T.C.SANAYİ VE TİCARET BAKANLIĞI
İç Denetim Birimi Başkanlığı
T.C.
SANAYİ VE TİCARET BAKANLIĞI
İÇ DENETİM REHBERİ
Mayıs 2008
GİRİŞ
Bu rehber, İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmeliğin 10 uncu maddesinin (1)
numaralı fıkrası uyarınca İç Denetim Koordinasyon Kurulunca yayımlanan “Kamu İç Denetim Rehberi”
esas alınmak suretiyle hazırlanmıştır. Bu rehber iki kısımdan oluşmaktadır. Birinci kısımda, iç denetimin
sürecini içeren genel çerçeve, ikinci kısımda ise, her bir iç denetim uygulamasına ilişkin ilkelerin
anlatıldığı bölümler yer almaktadır.
Bu rehberin iç denetim faaliyetlerinin planlanması, programlanması, gerçekleştirilmesi ve yönetilmesi
bakımından etkin ve yeterli olup olmadığı en az yılda bir defa gözden geçirilir ve yapılan değişiklikler
Kurula bildirilir.
İç denetim faaliyeti; uygunluk, performans, mali, bilgi teknolojileri ve sistem denetimi uygulamalarını
kapsar. Her iç denetim faaliyeti ise; planlama, denetimin yürütülmesi, raporlama ve izleme sürecinden
oluşur.
BİRİNCİ KISIM
GENEL ÇERÇEVE
İÇ DENETİM SÜRECİ
İç denetimin beklenen katma değeri sağlaması bakımından aşağıda yer verilen sürece uygun olarak
yerine getirilmesi esastır.
I. PLANLAMA
A. Denetim evreninin tanımlanması
B. Denetim alanlarının belirlenmesi
C. Risk kriterlerinin tanımlanması ve risklerin derecelendirilmesi
D. Denetim alanlarının öncelik sırasına konulması
E. Denetim kaynaklarının tahsis edilmesi
F. Planın hazırlanması ve onaylanması
G. İç denetim programının hazırlanması ve onaylanması
H. Denetçi ve denetlenecek birimlere bildirim
II. DENETİMİN YÜRÜTÜLMESİ A. Ön çalışma ve bireysel çalışma planı
1. Çalışma kağıtları ve formlar
2. Denetim amaçlarının belirlenmesi
3. Bilgi toplama/ön araştırma
4. Açılış toplantısı
5. Potansiyel sorunlu alanların belirlenmesi (risk değerlendirmesi)
6. Bireysel çalışma planının hazırlanması
B. Saha çalışması
1. Denetim testlerinin uygulanması
2. Bulguların elde edilmesi ve önerilerin geliştirilmesi
3. Bulguların denetlenen birimle paylaşılması
4. Kapanış toplantısı
III. RAPORLAMA
A. Taslak denetim raporunun hazırlanması ve gönderilmesi
B. Nihai denetim raporunun hazırlanması ve sunumu
IV. İZLEME VE DEĞERLENDİRME
A. Denetim sonuçlarının izlenmesi
B. Denetçinin değerlendirilmesi
Birinci Bölüm
PLANLAMA
İç denetimde planlama süreci; denetim evreninin tanımlanması, denetim alanlarının belirlenmesi, risk
kriterlerinin tanımlanması ve risklerin derecelendirilmesi, denetim alanlarının öncelik sırasına
konulması, denetim kaynaklarının tahsis edilmesi, planın hazırlanması ve onaylanması ile iç denetim
programının hazırlanması ve onaylanması aşamalarından oluşur. Bunlara ilişkin iş ve işlemler Kurulca
çıkarılan Kamu İç Denetim Planı ve Programı Hazırlama Rehberi ile Kamu İç Denetiminde Risk
Değerlendirme Rehberine göre yapılır. İç denetim planı ve programının hazırlanmasına ilişkin hususlara
aşağıda kısaca yer verilmiştir.
İç denetimin risk odaklı yapılması esastır. Kamu idarelerinin maruz kalabileceği risklerin sürekli
ölçülmesi ve değerlendirilmesi suretiyle yüksek risk teşkil edebilecek alanlar belirlenerek, iç denetim
planı ve programı hazırlanır. İç denetim, bu plana ve programa uygun olarak yapılır.
İç denetim planı; iç denetimin etkili, ekonomik ve verimli bir şekilde yapılmasını sağlamak amacıyla
denetimin alanı ve konuları, ihtiyaç duyulan işgücü ve diğer kaynaklar ile eğitim faaliyetlerini içerecek
şekilde, Müsteşar ve birim yöneticileriyle görüşülerek, Kurulca hazırlanan iç denetim strateji belgesi
(planı) de dikkate alınarak hazırlanır. Üç yıllık dönemler itibariyle hazırlanan iç denetim planı, her yıl
gözden geçirilerek gerektiğinde değiştirilir.
İç denetim programı; en riskli alan ve konulara öncelik verilerek denetim maliyeti de dikkate alınmak
suretiyle, üst yönetici, yöneticiler ve gerektiğinde çalışanlarla görüşülerek iç denetim planıyla uyumlu
şekilde ve bir yıllık dönemi geçmeyecek şekilde hazırlanır. Yüksek risk içerebilecek yeni birim ve
faaliyetler, yeniden yapılandırma projeleri, organizasyon ve insan kaynaklarındaki önemli değişiklikler
gibi hususlar denetim programına öncelikle alınır. Hazırlanacak iç denetim programında; denetlenecek
alanlar ve konular ile iç denetçilerin isimleri belirtilerek zaman çizelgesine bağlanır.
A . İÇ DENETİM PLANI İç denetim planı iç denetim birimince hazırlanır ve planlama döneminden bir ay önce Müsteşara
sunulur.
Denetim planının hazırlanmasında esas alınacak temel ilkeler şunlardır:
• Planın hazırlanmasında; Kurulun yayınladığı iç denetim strateji belgesi , Müsteşar ve birim
yöneticilerinin görüşleri ve önceki denetimlerin sonuçları göz önünde bulundurulur.
• Plan gelecek üç yıllık döneme ilişkin faaliyetleri içerir.
• Planda aşağıdaki faaliyetlere göre kaynak tahsisi yapılır:
• Denetim yönetimi faaliyetleri: İç denetim planlarının ve programlarının hazırlanması, denetim
faaliyetlerinin koordinasyonu, denetim raporlarının incelenmesi, denetim izleme faaliyetleri ve bu
kapsamdaki idari işlemleri kapsar.
• Denetim faaliyetleri: Yapılan risk değerlendirmeleriyle belirlenen öncelikli alanların planlı denetimini
kapsar.
• Danışmanlık faaliyetleri: Talep edilen hizmetler kapsamında planlı danışmanlık faaliyetlerini kapsar.
• Eğitim faaliyetleri: İlgili mevzuat hükümleri göz önüne alınarak, iç denetçiler için alınacak ve iç
denetçiler tarafından verilecek eğitimleri kapsar.
• İhtiyat için ayrılan denetim kaynağı: Planlama aşamasında öngörülemeyen denetim ve danışmanlık
faaliyetlerini kapsar.
• Plan Müsteşarın onayıyla işleme konulur.
• Plan her yıl gözden geçirilerek gerektiğinde revize edilir, değişiklikler Müsteşar onayıyla yürürlüğe
girer.
Denetim planı, denetim faaliyetleri ve diğer faaliyetler olmak üzere iki kısımda ele alınmalıdır.
1. Denetim faaliyetlerinin planlanması
Denetim faaliyetlerine ilişkin planlama, riskli alanların tespiti ve analizi ile bu doğrultuda denetim
kaynaklarının tahsisi olmak üzere iki aşamada yapılır.
1.1 Riskli alanların tespiti ve analizi
Riskli alanların tespiti, kurumun amaç ve hedeflerinin gerçekleştirilmesini engelleyecek veya
engellemesi muhtemel durumların belirlenmesi sürecidir.
İdarelerin tüm faaliyetleri Kurulca çıkarılan risk değerlendirme rehberine uygun olarak kapsamlı bir risk
analizine tabi tutulur. Bu analiz sonuçları değerlendirilerek, kamu idarelerinin hizmetlerini
etkileyebilecek riskler önemine göre sıralanır.
Bu değerlendirme sonuçlarına göre hazırlanacak denetim planlarında; Müsteşarın riskli gördüğü ve
öncelik verilmesini istediği hususlarla birlikte, iç denetçilerin sayısı, çalışma süre ve imkanları dikkate
alınarak, en riskli alan ve konulara öncelik verilmek suretiyle azami verim hedeflenir.
Riskli alanların tespiti ve analizi sürecinde aşağıdaki çalışmalar yapılır: 1.1.1 Denetim evreninin tanımlanması
Risk değerleme sürecinde ilk adım denetim evreninin tanımlanmasıdır. Denetim evreni,
denetlenebilecek alanların tamamını ifade eder. Genel ilke, denetim evreni kapsamına idarenin tüm
faaliyetlerinin dahil edilmesidir. Ancak denetim alanının;
• Kurum amaçlarının gerçekleştirilmesine önemli derecede katkıda bulunup bulunmadığı,
• Kurum üzerinde dikkate değer etkisi olacak büyüklükte olup olmadığı,
• Denetim de dahil olmak üzere tesis edilecek kontrollerin maliyetini haklı kılacak önemde olup
olmadığı,
gibi hususlar göz önünde bulundurularak denetim evreni sınırlandırılabilir.
1.1.2 Denetim alanlarının belirlenmesi
Denetimde esnekliği sağlamak ve denetim görevini yönetilebilir bir alanla sınırlamak için denetim
evreni alanlara bölünebilir.
Denetim evreninin; birim, faaliyet, süreç, proje veya bunlardan birkaçı bir arada değerlendirilmek
suretiyle idare faaliyetlerinin denetlenebilir bölümlere ayrılmasıyla denetim alanları belirlenir.
1 . 1.3 Risk kriterlerinin tanımlanması ve risklerin derecelendirilmesi
Risk kriterlerinin tanımlanması ve risklerin derecelendirilmesi çalışmaları Kurulca çıkarılan risk
değerlendirme rehberi uyarınca yapılır.
Risk, idarelerin kuruluş amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel
olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olaylardır.
İdareler, faaliyetlerini yürütürken bir çok risk ve belirsizlikle karşı karşıya kalabilir. İdareler, maruz
kaldıkları bu riskleri risk yönetimi kapsamında; üstlenerek, kaçınarak, transfer ederek veya kontrol
ederek yönetebilir. Risk ve belirsizliklerin olumsuz etkilerinin azaltılmasında, oluşturulacak iç kontrol
süreçleri en etkili çözümdür.
Risk esaslı denetim; idarelerin faaliyet alanlarına ilişkin risk faktörlerinin tanımlanmasını, risk
seviyelerinin ölçülmesini, bu riskler için uygulanan kontrollerin etkinlik ve yeterliliğinin
değerlendirilmesini ve yüksek risk içeren alanlara denetim önceliğinin verilmesini öngören bir denetim
yaklaşımıdır. Risk esaslı denetimde amaç; denetim kaynaklarının etkin kullanımının sağlanması ve riskli
alanlara yoğunlaşarak yönetim, kontrol ve risk yönetimi süreçlerinin etkinlik düzeylerinin arttırılmasında
yönetime yapılan katkının en üst seviyeye çıkartılmasıdır.
Risklerin tanımlanması ve kontrolü için gerekli stratejilerin geliştirilmesinden ve uygulanmasından
yönetim sorumludur.
Yönetim tarafından tanımlanan riskler çerçevesinde idarelerin tüm faaliyetleri iç denetim birimlerince
kapsamlı bir risk analizine tabi tutulur. Risklerin tanımlanması ve kontrolü için yönetimce bir risk
yönetimi sürecinin oluşturulmaması veya oluşturulan sürecin etkin olmadığının daha önceki
denetimlerde tespit edilmesi halinde risk tanımlaması çalışmaları iç denetim birimlerince yapılabilir.
Belirlenen riskler üzerinde yapılan analiz sonuçları değerlendirilerek, kamu idarelerinin hizmetlerini
etkileyebilecek riskler, risklilik oranı ve önemine göre ağırlık verilerek derecelendirilir. Bu değerlendirme
sonuçlarına göre en yüksek risk içeren alan ve konulardan başlanarak iç denetim planı ve programları
hazırlanır.
1. 1.4 Denetim alanlarının öncelik sırasına konulması Denetim alanları, risk derecelendirme çalışması sonuçlarına göre en yüksek riskli alandan başlamak
üzere sıralanır. Sayısal analizlerden çıkan sonuç mesleki tecrübeler ışığında tekrar değerlendirilir ve
gerektiğinde öncelik sıralaması, gerekçesi de belirtilerek değiştirilir. Bu hususta Müsteşarın görüşü de
dikkate alınır.
1.2. Denetim kaynaklarının tahsis edilmesi
Denetimde, kaynakların en etkili şekilde kullanılması esastır. Bunun için ölçü, denetlenecek alanların
risklilik düzeyleridir. Bu kapsamda, denetim kaynakları öncelikle ve büyük ölçüde yüksek risk içeren
alanlardan başlanarak tahsis edilir. Örneğin, düşük riskli bir alanda %10 örnekleme yeterli
olabilecekken, çok yüksek riskli bir alanda örnekleme yerine tarama yapmak gerekli olabilir. Bunun için
de daha fazla personel tahsisi ve zaman gerekecektir.
Diğer taraftan, denetim sıklığının belirlenmesinde de denetim kaynaklarının yeterliliği ve denetim
alanlarının risk düzeyleri dikkate alınır. Örneğin, çok yüksek riskli alanlar her yıl, orta derecede riskli
alanlar iki yılda bir, düşük riskli alanlar ise üç yılda bir denetlenmek üzere planlama yapılabilir.
Sonradan ortaya çıkabilecek olağanüstü görevler için denetim kaynağının bir kısmının ihtiyat olarak
bırakılması faydalı olabilir.
2. Diğer faaliyetlerin planlanması
Diğer faaliyetler; denetim yönetimi faaliyetleri, danışmanlık faaliyetleri, program dışı denetim ve
danışmanlık faaliyetleri, eğitim faaliyetlerini kapsar.
Diğer faaliyetlere ilişkin planlama; çalışmaların maliyeti de dikkate alınmak suretiyle, Müsteşarın da
görüşü alınarak iç denetim tecrübesi ışığında yapılır.
3. Planın onaylanması
İç denetim birimince hazırlanan denetim planı, planlama dönemi başlamadan önce Müsteşar tarafından
onaylanarak işleme konulur. Plan her yıl gözden geçirilerek gerektiğinde revize edilir, değişiklikler
Müsteşar onayıyla yürürlüğe girer.
B. İÇ DENETİM PROGRAMI
1.İç Denetim Programımın Hazırlanması ve Onaylanması
İç denetim programı, iç denetim birimince hazırlanır ve program döneminden bir ay önce Müsteşara
sunulur.
Denetim programının hazırlanmasında esas alınacak temel ilkeler şunlardır:
Programın hazırlanmasında; hazırlanan üç yıllık iç denetim planı, Müsteşarın görüşleri ve önceki
denetimlerin sonuçları göz önünde bulundurulur.
Program en fazla bir yıllık döneme ilişkin faaliyetleri içerir ve programda kaynak tahsisi yapılırken
planlama bölümünde belirtilen faaliyet ve esaslar dikkate alınır.
Program Müsteşarın onayıyla işleme konulur.
Denetim programı, denetim faaliyetleri ve diğer faaliyetler olmak üzere iki kısımda ele alınmalıdır. Bu
faaliyetlere ilişkin programlama çalışmalarında planlama bölümünde yer alan ilkeler gözetilir.
2.İç Denetçi ve Denetlenecek Birimlere Bildirim İç denetim programı hazırlanıp onaylandıktan sonra her iç denetçiye, iç denetim birimince görevi
yazıyla (Ek:1) bildirilir.
İç denetçi görevlendirmesi yapıldıktan sonra iç denetim birimince, denetim yapılacak birime bildirim
yazısı (Ek:2) gönderilir.
İkinci Bölüm
DENETİMİN YÜRÜTÜLMESİ
A. Ön Çalışma ve Bireysel Çalışma Planı
Denetim faaliyeti ön çalışmayla başlar. Bu çalışmanın amacı, iç denetçinin yapacağı bireysel denetim
faaliyeti için gerekli bilgiyi elde etmesine yardımcı olmaktır. Ön çalışma; denetim amaçlarının
belirlenmesi, bilgi toplama/ön araştırma ve açılış toplantısı safhalarından oluşur. Elde edilen bilgiler
ışığında denetim amaçları kesinleştirilir, potansiyel sorunlu alanlar ile denetim kapsamı belirlenerek
bireysel çalışma planı hazırlanır.
Ön çalışma aşamasında ayrıca denetim kontrol listesi oluşturulur. Denetim kontrol listesi (Ek:3), hem
denetçiye denetim sırasında izlemesi gereken yolu, hem de denetçinin çalışmalarını izlemekle görevli
denetçiye, denetimin hangi aşamada olduğunu göstermek bakımından kolaylık sağlar. Liste, denetime
ilişkin her bir adımın tamamlanmasını müteakip doldurulur ve ilgili çalışma kağıtlarıyla birlikte
dosyalanır.
1. Çalışma Kağıtları ve Formlar
Denetimin hazırlık aşamasında, öncelikle, kullanılacak çalışma kağıdı ve formların şekil ve içeriği
belirlenir.
Denetim süresince gerçekleştirilen tüm çalışmalar; denetime hazırlık, risk ve kontrol değerlendirmeleri,
yapılan testler, bunların sonucunda elde edilen bilgi, kanıt ve sonuçlar ile raporlama ve izleme
faaliyetleri çalışma kağıtlarıyla belgelendirilmelidir.
Çalışma kağıtları, denetimin yürütülmesinde denetçiye yardımcı olmaya ve denetçinin ulaştığı bulguları
desteklemeye hizmet eder.
Risk kontrol matrisi gibi şekil ve içeriği özel olarak belirlenenler dışında, denetimde kullanılacak
standart bir çalışma kağıdı örneği ekte yer almaktadır (Ek:4).
Çalışma kağıtları, denetimin sonuçlandırılmasını müteakip saklanması ve gerekli hallerde başkalarının
kullanımına açılması için iç denetim birimine bir yazı ekinde devredilir.
2. Denetim Amaçlarının Belirlenmesi
İç denetçi ön çalışma kapsamında öncelikle, denetim programında öngörülen hedefler doğrultusunda
gerçekleştireceği denetim faaliyeti sonucunda ulaşmak istediği amaçları net olarak ortaya koyar ve
bunları çalışma kağıdıyla kayıt altına alır.
3. Bilgi Toplama/Ön Araştırma
Denetim faaliyetinin amacını belirleyen iç denetçi gerçekleştireceği denetim öncesinde ihtiyaç
duyabileceği bilgileri toplayarak bir ön araştırma yapar. Bu safhada gerek görülmesi halinde
denetlenecek birim yöneticileri veya ilgililerle görüşülebilir. Bu aşama, aşağıdaki hususlarda önemli
bilgilerin ve uygulamaya yönelik tecrübelerin elde edilmesinden oluşur;
• Denetlenecek alanın büyüklüğü, kapsamı, amaç ve hedefleri,
• Denetlenecek birime ilişkin mevzuat, politika ve prosedürler, • Mevcut kontroller,
• İş akış süreçleri,
• Organizasyon ve yönetim yapısı.
Söz konusu bilgilere ulaşabilmek için kullanılabilecek bazı kaynaklar şunlardır;
• Önceki denetimlere ilişkin rapor ve çalışma kağıtları,
• Dış denetim ve diğer denetim birimlerince yazılmış raporlar,
• İş/süreç akış şemaları,
• Organizasyon şemaları,
• Fonksiyon ve iş/görev tanımları,
• Faaliyet raporları.
4. Açılış Toplantısı
İç denetçi, denetimin başlangıcında denetlenecek birim yöneticileri ve ihtiyaç duyulan personelin
iştirakiyle bir toplantı yapar. Bu toplantıda; denetimin amaçları, hedefleri, kapsamı ve tahmini süresi,
denetime yardımcı olacak personel, denetim sırasında çalışanlardan beklentiler, idarenin denetimden
beklentileri, denetim bulgularının değerlendirilmesi, denetim sonuçlarının raporlanması, denetçi ve
birim arasındaki iletişimin nasıl gerçekleştirileceği vb hususlar görüşülür ve toplantı sonrasında bir
tutanak düzenlenir (Ek:5).
5. Potansiyel Sorunlu Alanların Belirlenmesi (Risk Değerlendirmesi)
İç denetçi bilgi toplama ve ön araştırma aşamasını tamamladıktan sonra elde ettiği veriler yardımıyla
yapacağı risk değerlendirmesi sonucunda, denetlenecek birim ve süreçlere ilişkin potansiyel sorunlu
alanları belirler.
Bu alanların belirlenmesinde ilk adım, denetlenecek birimin temel süreçlerinin ortaya konulmasıdır. Bu
amaçla, birimin iş süreçlerinin, süreçler arasındaki ilişkilerin, süreçteki görevliler ve rolleri ile uygulanan
kontrollerin tespiti gerekir.
Bu aşamada, iş süreçlerini görsel hale getirmeyi sağlayacak iş akış şemaları kullanılabilir. İş akış
şemalarında açıklık ve sadelik çok önemlidir. Aşırı detay önemli hususların gözden kaçmasına neden
olabilir. Şemaların oluşturulmasında standart sembollerin kullanılmasına dikkat edilmelidir.
Daha sonra, belirlenen bu temel süreçlerdeki risklerin varlığı araştırılır. Risklerin varlığına ilişkin bazı
göstergeler şunlardır;
• Plansızlık ya da planlamadaki yetersizlikler,
• Konu, kişi ve birimler itibariyle uygun görev dağılımı yapmayan ve görevler ayrılığı ilkesini ihlal
eden organizasyon yapısı,
• Varlıklar, yükümlülükler, alacaklar, ödemeler ve harcamalar üzerinde etkili bir kontrol
oluşturulmasında yetersiz kalan yetki dağılımı,
• Resmi olarak uygulanması öngörülen ancak etkisiz veya maliyeti sağlayacağı faydadan yüksek
olan ya da açık olmayan ve anlaşılması güç yazılı prosedürler,
• Denetlenen alanın veya birimin iş/görev sahasının diğer birim, bölüm ya da kuruluşlarla ilişkili
olması durumunda koordinasyon eksikliği,
• Büyük tutarlı harcama, tahsilat veya alacaklar,
• Daha önce hiç denetlenmemiş fonksiyon, süreç, proje, program ve faaliyetlerin bulunması,
• Politika ve faaliyetleri etkileyecek konumda bulunan personelin kendi aralarındaki veya
bunlarla idare arasındaki çıkar çatışması,
• Kontrol ve yetkilendirme limitlerinin yakınında yoğun işlemler bulunması,
• Karmaşık süreç, program ve faaliyetler,
• Yöneticileri, birim faaliyetlerinden haberdar edecek geri bildirim mekanizmalarının yokluğu
veya yetersizliği,
• Olağandışı faaliyet ve işlemler, • Yeni birim ve faaliyetler ile yeniden yapılandırma projeleri,
• Organizasyon ve insan kaynaklarındaki önemli değişiklikler.
Bu noktada idarenin içinde bulunduğu durumun doğru anlaşılabilmesi ve denetimin kapsamı
belirlenirken ihtiyaç duyulacak bilgiye ulaşılması için denetçiler, denetlenen birim çalışanlarıyla
görüşmeler yapabilir. Bu tür görüşmeler olası sorunlar, hassas konular ve denetimde ihtiyaç duyulacak
diğer alanlarda önemli bir bilgi kaynağı oluşturur. Bu görüş alışverişleri bilgi toplama ve ön araştırma
aşamasında, açılış toplantısında ya da saha çalışması sırasında da gerçekleştirilebilir.
Son olarak, tespit edilen potansiyel riskli alanlara ilişkin mevcut kontrollerin değerlendirilmesi gerekir.
Ancak, kontrollerin tümünün gözden geçirilmesine gerek yoktur. Çoğu zaman denetim kaynaklarının
kısıtlılığı nedeniyle buna imkan da bulunmamaktadır. Bu nedenle denetçiler, bu aşamada denetim
görevi açısından çok önemli ve kritik kontrolleri belirlemeli ve bunlar üzerinde yoğunlaşmalıdır.
Potansiyel sorunlu alanların belirlenmesinden sonra, bunların risk düzeylerine göre derecelendirilmesi
amacıyla; potansiyel sorunlu alanlar (birim veya süreç), bu alanlara ilişkin yapısal (doğal) riskler, bu
risklere karşı mevcut kontroller, bu kontroller sonrası bakiye riskler ve bu çerçevede her bir riske ilişkin
nihai değerlendirmelerin yapıldığı açıklamalar bölümlerini içeren “Risk Kontrol Matrisi” hazırlanmalıdır
(Ek:6/A Ek:6/B).
Bu matrisin her bir bölümünün oluşturulmasında aşağıdaki hususlara uyulur:
• Potansiyel sorunlu alan bölümüne, denetlenebilir (ana veya alt) birim veya süreç isimleri
kaydedilir.
• Yapısal riskler bölümüne, her bir alt birim veya sürece ilişkin doğal riskler yazılır.
• Kontrol önlemleri bölümüne, her bir yapısal riske ilişkin idarece uygulandığı belirtilen kontroller
girilir. Ancak bu noktada uygulandığı beyan edilen kontrollerin fiilen var olup olmadığı denetçi
tarafından sınırlı sayıda testlerle teyit edilir ve buna göre kontrol önlemleri bölümü revize edilir.
• Bakiye riskler bölümüne, yapısal riskleri ortadan kaldırmak veya azaltmak amacıyla idarece
uygulanan kontroller sonrasında kalan riskler kaydedilir.
• Açıklamalar bölümüne, her bir bakiye riske ilişkin denetçinin nihai değerlendirmesi ve buna
bağlı olarak ilgili alanın denetim kapsamına alınıp alınmayacağına yönelik denetçi kararı girilir.
Yapısal riskleri ortadan kaldırmak veya azaltmak amacıyla idarece uygulanan kontrollerin yeterliliği ve
etkinliği değerlendirilerek, birim veya sürecin güçlü yönlerine de raporda yer verilir.
Bu matrise ayrıca, bireysel çalışma planının hazırlanması aşamasında, denetim kapsamına alınan birim
veya süreçlere ilişkin uygulanacak denetim testleri ilave edilir. Matrise beklenen kontroller de
eklenebilir.
6. Bireysel Çalışma Planının Hazırlanması
İç denetçi, denetim faaliyetinden beklenen amaçları gerçekleştirebilmek için; oluşturduğu risk kontrol
matrisinin açıklamalar bölümünde denetim kapsamına alınması kararlaştırılan yüksek riskli alanlar ve
bu alanlara ilişkin denetlenecek dönemleri içerecek şekilde yürüteceği denetim görevinin kapsamını
belirler. Daha sonra, denetim kapsamına alınan birim veya süreçlerdeki risklere ilişkin olarak uygulanan
kontrollerin “yeterlilik ve etkinliğini” ölçmeye ve değerlendirmeye yönelik denetim testleri Risk Kontrol
Matrisinin “uygulanacak testler” bölümüne girilir.
İç denetçi, denetim çalışmasını planlarken, denetim görevlendirme yazısında kendisine bildirilen
denetim süresine uygun olmak koşulu ile denetimin ana aşamalarına göre süre planlamasını gösteren
bir süre planı formu doldurur (Ek:7).
Denetimin planlanması veya saha çalışması sırasında, çeşitli nedenlerle başlangıçta belirlenen denetim
kaynağı veya sürelerini revize etme ihtiyacı doğduğunda, denetçi revizyonun nedenlerini de açıklayan
bir form düzenler ve iç denetim birim yönetimine sunar (Ek:8). İç denetçi; denetimin amaç ve hedefleri, denetimin kapsamı, bilgilerin elde edilmesi, analizi ve
değerlendirilmesine ilişkin yöntemler, denetim kapsamına alınan birim veya süreçlere ilişkin
uygulanacak denetim testleri ile tahmini denetim süresini gösteren bir bireysel çalışma planı oluşturur
ve denetim gözetim sorumluluğu kapsamında iç denetim birim yönetiminin uygun görüşüne sunar
(Ek:9/A Ek:9/B) İç Denetim Birim Başkanı, söz konusu planın, özellikle risk kontrol matrisi ve
denetim testleri kısmının, denetim amaçlarına ulaşılması açısından yeterliliğini değerlendirerek gerekli
hallerde düzeltme veya ilave testler isteyebilir.
B. Denetimlerin Gerçekleştirilmesi (Saha Çalışması)
Saha çalışması; denetim testlerinin uygulanması, bulguların oluşturulması ve önerilerin geliştirilmesi,
bulguların denetlenen birimle paylaşılması ve kapanış toplantısının yapılması aşamalarından oluşur.
1.Denetim Testlerinin Uygulanması
Bu aşamada, bireysel çalışma planında belirtilen testler gerçekleştirilir. Denetim testi, denetim
kapsamına alınmasına karar verilen hususlarla ilgili olarak idarece var olduğu belirtilen kontrollerin
gerektiği gibi çalışıp çalışmadığının süreçler, kayıtlar ve belgeler üzerinden incelenmesidir.
Bu çalışmalar yazılı hale getirilmeli, gözlem ve araştırmalarla desteklenmelidir. Mali ya da istatistiksel
veri ve raporların güvenilirliği, doğruluğu ya da yararlılığını etkileyebilen elektronik veri işleme
yöntemlerinin kullanımı da değerlendirmenin bir parçası olmalıdır. Bu test, araştırma ve gözlemler ile
elde edilen bulgular çalışma kağıtlarına geçirilir.
Denetim testlerinin uygulanmasında kullanılabilecek bazı araştırma tekniklerine aşağıda yer verilmiştir.
Yeniden hesaplama/uygulama: Bir hesaplama veya işlemi tekrar yaparak aynı sonuca ulaşılıp
ulaşılmadığının test edilmesidir. Bu test iç denetçiye denetlenen birim çalışanları tarafından
gerçekleştirilen işlemlere ne kadar güvenilebileceği hakkında fikir verir.
Gözlem: Denetlenen birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi
tarafından izlenerek bilgi edinilmesidir. Denetlenen birim tarafından gerçekleştirilen stok sayımının
gözlenmesi buna örnek olarak verilebilir.
Doğrulama: Denetçinin bir kaynaktan temin ettiği bilgilerin doğruluğunu, aynı veya daha fazla
güvenilirlik derecesine sahip bir başka bilgi kaynağından temin edeceği bilgilerle teyit etmesidir.
Görüşme: Denetlenen birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi
tarafından ilgili görevlilerle yüz yüze görüşülerek bilgi edinilmesidir. Bu yöntem, denetçi için denetlenen
birimde karşılaşılan sorunlar veya önemli risklerle ilgili en kısa bilgi edinme yoludur. Ancak bu yöntemle
yalnızca bir kaynaktan temin edilen bilgilerin diğer kaynaklardan doğrulanması gerekir.
Yayımlanmış rapor veya çalışmaların değerlendirilmesi: Denetlenen birim/süreç üzerinde etkili olmuş
çalışma ve raporların gözden geçirilmesidir.
Sunulan hizmetlerden bir vatandaş olarak yararlanma: Kamu idaresince sunulan hizmetin ilan edilen
kaliteyi/standartları sağlayıp sağlamadığının, söz konusu hizmetten bir vatandaş olarak yararlanarak
değerlendirilmesidir.
Anket: Herhangi bir konuyla ilgili durum ve tutumu belirlemek için düzenlenmiş ayrıntılı ve kapsamlı
soru dizisidir. İyi düzenlenmiş bir anket (hizmet değerlendirme anketi/ memnuniyet anketi/
özdeğerlendirme anketi) sürecin veya sunulan hizmetin etkinliği ve başarısı gibi konular hakkında
yararlı bilgiler sağlar.
Analitik inceleme: Verilerin kendi içindeki ve aralarındaki rasyonel ilişkilere dayanarak
değerlendirilmesini ifade eder. Analitik inceleme, ilgili veriler arasındaki tutarsızlık veya tahmin edilen tutarların önemli ölçüde sapması gibi verilerdeki tanımlanmış dalgalanmaların ve ilişkilerin
araştırılmasını da kapsar. Özellikle denetimin bir bütün olarak gözden geçirilmesi ve risk
değerlendirmesi aşamasında, denetlenen birimin faaliyet koşullarını ve çevresiyle olan ilişkilerini
kavramak amacıyla denetçi tarafından analitik inceleme teknikleri uygulanır.
Denetçi, çalışmanın niteliğine en uygun yöntemi seçmeli, ancak yöntem seçiminde katlanılacak
maliyetleri de göz önünde bulundurmalıdır. Denetçi, yeni ve daha etkili teknikleri bulmak ve kullanmak
için çaba göstermelidir.
1.1 Örnekleme
Örnekleme çalışması; denetlenecek tüm iş ve işlemleri ifade eden ana kütle (popülasyon) hakkında bir
sonuca varmak veya bir sonuca varılmasına yardımcı olmak amacıyla seçilen unsurların belirli özellikleri
hakkında denetim bulguları ve delillerini denetçinin değerlendirebilmesi için, denetim prosedürlerinin o
ana kütlenin %100'ünden daha az bir kısmına uygulanması olarak tanımlanır.
Saha çalışmasında bilgi ve belgelerin tümünü incelemek uygulamada çoğu zaman mümkün veya etkin
olmadığından, ayrıca örnekleme yöntemiyle güvenilir sonuçlara ulaşılabileceğinden, denetçi denetim
görüşünü oluştururken örnekleme yönteminden yararlanabilir.
Örneklemede istatistiksel olduğu kadar istatistiksel olmayan yöntemler de kullanılabilir. Ancak,
istatistiksel olmayan yöntemler kullanıldığında alınan örneğin ana kütleyi temsil etmemesi muhtemel
olduğundan bu çalışmanın sonuçlarının ana kütleye mal edilmemesi gerekir.
Örneklemin Tasarlanması:
Bir denetim örnekleminin büyüklüğü ve yapısını tasarlarken, denetçi, somut denetim hedeflerini, ana
kütlenin niteliğini, örnekleme ve seçim yöntemlerini dikkate almalıdır.
Örneklem birimi: Örneklem biriminin belirlenmesi, saha çalışmasında yapılacak denetim testlerinin
amacına bağlı olacaktır. Bu çerçevede örneklem birimi, her bir test konusunun niceliksel ve niteliksel
unsurlarından oluşur.
Ana kütle: Denetçinin denetlenen alanın tamamı hakkında bir sonuca ulaşmak için örnek seçmek
istediği veri seti anlamına gelir. Bu nedenle, örnekleme yapılacak olan ana kütlenin uygun olması ve
denetim hedefi için tam ve eksiksiz olduğunun doğrulanması gerekir.
Katmanlama: Her örneklem birimi sadece tek bir katmana girecek şekilde bir ana kütlenin açıkça
tanımlanmış benzer özellik ve niteliklere sahip alt kütlelere bölünmesi işlemidir.
Örneklem büyüklüğü: Denetçinin ana kütle hakkında bir sonuca ulaşmak için kullanacağı ana kütle
parçasını ifade eder. Örneklem büyüklüğünü tespit ederken, denetçi, örnekleme riskini, kabul
edilebilecek hata miktarını ve beklenen hataların kapsamını dikkate almalıdır.
Örnekleme riski: Denetçinin vardığı sonucun, ilgili ana kütlenin tümü aynı denetim prosedürüne tâbi
tutulsaydı, ulaşılacak olan sonuçtan farklı olabileceği ihtimalinden kaynaklanır. İki tip örnekleme riski
vardır:
• Yanlış kabul riski: Örneklemenin ana kütleyi yeterli düzeyde temsil etmemesi nedeniyle, ana kütle
düzeyinde hatalı olan bir durumun yanlış veya eksik örneklem seçimi nedeniyle hatasız kabul edilmesi
riskidir.
• Yanlış red riski: Yanlış kabul riskinin tam tersi olup, örneklemenin ana kütleyi yeterli düzeyde temsil
etmemesi nedeniyle, popülasyon düzeyinde hatasız olan bir durumun yanlış veya eksik örneklem
seçimi nedeniyle hatalı kabul edilmesi riskidir. Kabul edilebilir hata: İhmal edildiğinde dahi denetim sonuçlarını etkilemeyecek azami hata düzeyidir.
Denetçi, denetim konusunun idare açısından önemi, denetim kaynağı ve maliyeti ile denetim süresini
dikkate almak suretiyle bireysel tecrübesine dayanarak bu hata düzeyini belirler.
Beklenen hata: Daha önceki denetimlerde tespit edilen hata seviyeleri, kurumun prosedürlerinde
yapılan değişiklikler, iç kontrol değerlendirmesinin sonuçları ve analitik inceleme prosedürlerinin
sonuçları dikkate alınarak denetçi tarafından tespit edilen ve ana kütlede olması muhtemel hatadır. Bu
hatanın kabul edilebilir hata düzeyinden yüksek olmasının beklendiği durumlarda denetçi daha büyük
bir örneklem seçer. Aksi durumlarda ise, daha küçük örneklem grupları kullanılabilir.
Örneklem Yönteminin Seçilmesi:
Yaygın olarak kullanılan iki kategoride toplam dört örnekleme yöntemi vardır:
İstatistiksel Örnekleme Yöntemleri:
• Rasgele örnekleme: Ana kütledeki örneklem birimlerinin bütün kombinasyonlarının seçilme
şanslarının eşit olmasını sağlayan örnekleme yöntemidir.
• Sistematik örnekleme: Örneklem birimlerinin, seçmeler arasında belirli sabit bir aralık
bırakılarak ve ilk aralığın bir rasgele başlangıç noktasından başlatılarak seçildiği örnekleme
yöntemidir.
İstatistiksel Olmayan Örnekleme Yöntemleri:
• Gelişigüzel örnekleme: Denetçinin örneklemi yapısal bir teknik kullanmadan, fakat ön yargı
veya kestirimlerden kaçınarak seçtiği örnekleme yöntemidir. Bununla birlikte, ana kütle
hakkında bir sonuca varmak için, gelişigüzel örneklemeyle seçilmiş bir örneklemin analiz
sonuçlarına tam güvenmemek gerekir.
• Yargısal örnekleme: Denetçinin örneklem üzerinde belirli bir yanlılık (örneğin, belirli bir değerin
üzerindeki bütün örneklem birimleri, bütün eksi değerli olanlar, bütün yeni kullanıcılar vb.)
uyguladığı örnekleme yöntemidir. Ancak bir yargısal örneklemin, istatistiksel temellere
dayanmaması ve sonuçların örneklemin ana kütleyi temsil edici nitelikte olmaması ihtimali
nedeniyle, ana kütlenin tamamına teşmil edilmemesi gerektiği not edilmelidir.
Denetçinin örneklem birimlerini, test edilen özellikler açısından, ana kütleyi temsil edici nitelikte
seçmesi beklenir. Bunun için, ana kütledeki bütün örneklem birimlerinin eşit veya bilinen bir seçilme
şansı bulunmalıdır.
Örneklemede Dokümantasyon:
Çalışma kağıtları, örnekleme hedefini ve kullanılan örnekleme sürecini açıkça tanımlayan yeterli
ayrıntılar içermelidir. Çalışma kağıtları, ana kütlenin kaynağını, kullanılan örnekleme yöntemini,
örnekleme parametrelerini, seçilen birimleri, yapılan denetim testlerinin ayrıntılarını ve ulaşılan
sonuçları da göstermelidir.
Örneklem Sonuçlarının Değerlendirilmesi:
Her örneklem birimine, belirlenen denetim hedefi için uygun olan denetim prosedürlerini uyguladıktan
sonra, denetçi, tespit edilen olası hataların gerçekten hata olup olmadığını incelemeli ve belirlemelidir.
Denetçi hatanın mahiyeti, sebebi ve denetimin diğer aşamaları üzerindeki olası etkileri gibi niteliksel
yönlerini de değerlendirmelidir.
Denetçi, örneklem sonuçlarını ana kütleye uygulamak için, örneklemi seçmekte kullandığı yönteme
uygun ve uyumlu bir tahmin yöntemi kullanmalıdır.
Denetçi, ana kütledeki hataların kabul edilebilir hata düzeyini aşıp aşmadığını, denetim hedefine uygun
diğer denetim prosedürlerinin sonuçlarını da dikkate alarak belirlemeli ve değerlendirmelidir. Tahmini
ana kütle hatası kabul edilebilir hata düzeyini aşmışsa denetçi, bu alanı denetim kapsamına almalı, hatanın düzeyiyle paralel olarak bu alana kaynak ayırmalı ve denetim prosedürünü genişletmeyi
düşünmelidir.
2. Bulguların Oluşturulması ve Önerilerin Geliştirilmesi
İç denetçi denetim testlerinin uygulanması sonucunda elde ettiği bulguları yeterli kanıtla destekler ve
bu bulguları değerlendirerek kamu idaresine katma değer sağlayacak öneriler geliştirir.
Denetçi, denetim sırasında tespit ettiği hususları önem derecesine göre sınıflandırarak bulgu formuna
işler. Bulgu formunda; tespit, neden, riskler ve etkileri, kriterler ile öneriler alanları yer almalıdır
(Ek:10).
Bulgu formunun:
• Tespit bölümü, “yanlış veya sapma nedir” sorusunu yanıtlar.
• Neden bölümü, yanlış veya sapmanın sebebini ortaya koyar.
• Riskler ve etkileri bölümü, yanlış veya sapma sonucunda idarenin karşı karşıya olduğu riskleri
ve bu risklerin etkilerini gösterir.
• Kriterler bölümü, ilgili mevzuat, standart ve iyi uygulamalar çerçevesinde olması gerekeni
açıklar.
• Öneriler bölümü, olması gereken duruma ulaşma yolunu tarif eder.
Denetçi, denetim sonucunda ortaya koyduğu bulgu ve görüşlerini kanıtlara dayandırmalıdır. Denetim
kanıtı, denetim bulgularını desteklemek veya ispat etmek üzere toplanan ve kullanılan bilgilerdir.
Denetçinin, denetim amacına ulaşabilmesi açısından topladığı kanıtları uygunluk, güvenilirlik ve
yeterlilik olmak üzere üç açıdan değerlendirmesi gerekmektedir.
Denetim kanıtının uygunluğu, kanıtlarla denetim amaçları ve kriterleri arasında net ve mantıki bir
bağlantı bulunmasını gerektirmektedir. Bu, aynı zamanda kanıtların kalitesiyle ilgili bir husustur.
Denetim kanıtlarının güvenilirliğinin anlaşılabilmesi için kaynağı (kurum içi, kurum dışı gibi), doğası
(yazılı, sözlü, görsel ya da elektronik gibi) ve gerçekliği (asıl olma, imza, mühür gibi) açılarından
değerlendirilmesi gerekmektedir.
Denetim kanıtlarının güvenirliği açısından genel olarak aşağıdaki ilkeler kabul edilmektedir:
• Yazılı veya belgeye dayalı kanıtlar, sözlü kanıtlara göre daha güvenilirdir.
• Bağımsız kaynaklardan elde edilen kanıtlar, dahili kaynaklardan elde edilenlere nazaran daha
güvenilirdir.
• Denetçinin kendisinin elde ettiği kanıtlar, denetlenen birimin sunduklarından daha güvenilirdir.
• Asıl belgeler, fotokopilerinden daha güvenilirdir.
Denetim kanıtları, denetim amaç ve kapsamına ilişkin tüm önemli soruların cevaplanmasını sağlıyorsa
denetim kanıtının yeterliliğinden bahsedilebilir. Bu kanıtlara ilişkin testlerin başka bir denetçi tarafından
da yapılması halinde de aynı sonuçlara ulaşılması halinde denetim kanıtlarının objektif ve yeterli olduğu
kabul edilir.
Denetim kanıtının, denetim konusunun önemlilik düzeyi ve riskleri ile orantılı olması gerekir.
Denetim kanıtları türlerine göre fiziksel, sözel, belgeye dayanan ve analitik olmak üzere dört başlık
altında gruplandırılabilir:
• Fiziksel Kanıtlar: Fiziksel kanıtlar, genellikle kişilerin ve olayların gözlenmesi ya da varlıkların
incelenmesi yoluyla elde edilmektedir. Gözlemleme yöntemiyle elde edilen kanıtların örneklerle
belgelendirilmesi ya da destekleyici gözlemlemeler yapılması suretiyle güçlendirilmesi yerinde olacaktır. Destekleyici gözlemlemeler, diğer denetçiler tarafından, mümkünse kuruluşun temsilcilerinin eşliğinde
yapılması yerinde olacaktır. Buna örnek olarak fotoğraflar, haritalar, ses ve görüntü kayıtları sayılabilir.
Mevcut bir durumun gözlemlenmesi sonucunda çalışma kağıdı hazırlanmalıdır.
• Sözel Kanıtlar: Sözel kanıtlar, genellikle soruşturma, sorgulama ya da mülakat sonucunda
kurumun iç ve dış paydaşlarından elde edilen bilgilerdir. Aslında bu bilgiler ilgili paydaşın açıklamalarını
yansıtmaktadır. Denetim çalışmaları kapsamında diğer denetim teknikleri ile elde edilemeyecek önemli
ipuçları elde edilmesine ve konunun çok daha iyi anlaşılmasına imkan sağlamaktadır. Ancak sözel
kanıtların doğrudan kullanılması yerine mümkün olduğunca belgeler ile desteklenmesi yeterli miktarda
güvenilir ve uygun kanıt ile denetim amaçlarına ulaşılmasını sağlayacaktır.
Sözlü kanıtların güvenilirliği ve uygunluğu değerlendirilirken; mülakat yapılan kişinin inanılırlığı da göz
önünde bulundurularak, söz konusu kişinin görevi, bilgisi, uzmanlığı ve içtenliği göz önünde
bulundurulmalıdır.
Sözlü ifadelerin denetim sonucuna önemli bir etkisinin olacağı düşünüldüğü takdirde mutlaka bu
ifadeleri doğrulayan bir yazılı beyan tutanağı ya da ses veya görüntü kaydının alınması gerekmektedir.
• Belgeye Dayalı Kanıtlar: Belgeye dayalı kanıtlar, denetim kanıtlarının en yaygın şeklidir.
Anlaşmalar, sözleşmeler, raporlar, faturalar, tutanaklar, mektuplar gibi çok çeşitli formlarda olabilir.
Ayrıca uygun yöntem ve araçlarla bilgisayar kayıtlarından da elde edilmesi mümkündür.
Belgelere dayalı kanıtların güvenilirliği ve uygunluğu denetim amaçlarıyla bağlantılı olarak kaynağı
açısından değerlendirilmelidir. Kurum içerisinden elde edilen kanıtlarda özellikle güçlü bir iç kontrol
sisteminin varlığı söz konusu kanıtların güvenilirliğini artırmaktadır.
• Analitik Kanıtlar: Analitik kanıtlar, mali ve mali olmayan bilgiler arasındaki ilişkilerin incelenmesi ve
karşılaştırılması suretiyle elde edilen kanıtlardır. Analitik kanıtların toplanmasının arkasında “normal
şartlar altında benzer sonuçların çıkacağı” varsayımı bulunmaktadır. Bu amaçla hesaplamalar ve
karşılaştırmalar yapılır. Analitik kanıtlar çoğu kez sayısal olmakla birlikte sayısal karakterde olmadığı
durumlarda mevcuttur. Dönemler arasında oran ve eğilim analizleri yapılabileceği gibi eldeki bilgilerin
alt gruplara ayrılması şeklinde de elde edilebilir.
Bireysel çalışma planında öngörülen testlerin yapılıp yapılmadığı, bu testler sonucunda elde edilen
bulguları destekleyecek kanıtların yeterli olup olmadığı, yeterli örnekleme yapılıp yapılmadığı ve bu
doğrultuda ilave inceleme yapılmasına gerek olup olmadığı denetim gözetim sorumluluğu kapsamında
iç denetim birim yönetimi tarafından değerlendirilir ve bu husus kayıt altına alınır.
3. Bulguların Denetlenen Birim İle Paylaşılması
Bulguların oluşturulması sonrasında denetçi, denetim bulgularını kapanış toplantısında görüşülmek
üzere bir yazı ekinde denetlenen birime gönderir.
4. Kapanış Toplantısı
Denetçi ile denetlenen birim, denetim bulguları ve bunlar üzerine geliştirilen önerileri bir kapanış
toplantısında görüşür ve varılan sonuçlar bir tutanağa bağlanır (Ek 11).
Üçüncü Bölüm
RAPORLAMA
Denetim faaliyetlerine ilişkin raporlama, Kurulca çıkarılan Kamu İç Denetim Raporlama Standartlarına
göre yapılır., Taslak ve nihai denetim raporunun hazırlanması ve gönderilmesi ile Rapor çeşitleri gibi
konular bireysel denetim sürecinin bir parçası olduğundan, bu hususlara kısaca aşağıda yer verilmiştir. A. Taslak Denetim Raporunun Hazırlanması ve Gönderilmesi
Denetçi ile denetlenen birim arasında denetim bulguları üzerinde kapanış toplantısında yapılan
görüşmeler de dikkate alınarak denetçi bir taslak rapor hazırlar.
Denetçi, taslak denetim raporunu belirli bir sürede cevaplandırılmak üzere denetime tabi tutulan birim
yöneticisine bir yazı ekinde verir. Birim yöneticisi, gerektiğinde çalışanlardan ve ilgililerden görüş almak
suretiyle raporu, verilen sürede cevaplandırarak denetçiye gönderir.
Risklerin önem ve düzeyi konusunda denetçi ile birim yöneticisi arasında anlaşmazlık varsa, denetçi bu
duruma ilişkin değerlendirmesini raporuna dahil eder.
Risklerin önem ve düzeyi konusunda denetçi ile birim yöneticisi aynı görüşteyse, makul bir sürede
önlem alınması konusunda anlaşırlar ve alınacak önlemler denetlenen birimce bir eylem planına
bağlanır.
B. Nihai Denetim Raporunun Hazırlanması ve Sunumu
İç denetçi, denetlenen birimden alınan cevaplar ile bunlara ilişkin değerlendirmelerini de kapsayan
nihai raporunu, iç denetim birimi aracılığıyla üst yöneticiye sunar. İç denetim birim yöneticisi nihai
raporun ilgililere iletilmesinden sorumludur.
Raporlar üst yönetici tarafından değerlendirildikten sonra, raporda belirtilen birimlere ve strateji
geliştirme birimine gereği için gönderilir.
İç denetçi ile denetlenen birim arasında oluşacak görüş ayrılıkları üst yönetici tarafından çözülür. Üst
yönetici ile iç denetçi arasında görüş ayrılıkları olması halinde ise durum, anlaşmazlığın giderilmesine
yardımcı olmak amacıyla Kurula iletilir.
RAPOR ÇEŞİTLERİ
İç denetim faaliyetleri sonucunda ilgisine göre aşağıdaki raporlar düzenlenir:
• İç denetçiler tarafından yapılan her türlü uygunluk, performans, mali, bilgi teknolojisi ve
sistem denetimi faaliyetleri sonucunda “Denetim Raporu”.
• İç denetçiler tarafından danışmanlık faaliyetleri kapsamında yapılan inceleme ve araştırmalar
ile usulsüzlük ve yolsuzluk tespitine dair çalışmalar sonucunda “İnceleme Raporu”.
• İç Denetim Biriminin yıllık faaliyet sonuçlarını içeren “ İç Denetim Faaliyet Raporu”.
A. DENETİM RAPORU
1. Raporlama ilkeleri
Her iç denetim faaliyeti, düzenlenecek raporla kayıt altına alınır.
Raporlamada aşağıdaki ilkelere uyulur:
• Raporda denetimin amacı, kapsamı ve elde edilen sonuçlar ile denetçi kanaati belirtilmelidir.
• Rapordaki ifadeler doğru, tarafsız, açık, özlü, yapıcı ve tam olmalıdır.
• Raporda, ilgili yöneticilerin beklentileri, algılamaları ve ihtiyaçları dikkate alınmalıdır.
• Daha önce rapor edilmiş tespit ve tavsiyeler varsa bunlara ait bilgilere raporlarda yer
verilebilir.
• Her raporun bir özeti düzenlenmelidir.
• Rapor sunulmadan önce tamlık, doğruluk, uygunluk ve okunabilirlik açısından gözden
geçirilmelidir.
• Raporlar tespit edilen risklerin önemi ve alınacak önlemlerin ivediliği gibi konular gözetilerek
idareye değer katacak optimum bir zaman içerisinde sunulur. İşin niteliğine göre ihtiyaca hizmet edeceği düşünülen ve zamanlama gereği öncelikle bildirilmesi gereken hususların
varlığı halinde esas rapor düzenlenene kadar ara raporlar düzenlenebilir.
• Denetçi kanaatinin oluşmasına dayanak teşkil eden belgeler rapora eklenmelidir.
• Yapılan denetimler esnasında tespit edilen iyi uygulama örnekleri raporlarda ayrı bir bölümde
gösterilmelidir.
• Raporlar denetlenen birim, üst yönetim, iç denetim birimi gibi sunulacak merciler dikkate
alınarak ihtiyaca uygun sayıda düzenlenmeli ve gönderileceği yerler dağıtım listesinde
gösterilmelidir.
• Nihai raporun önemli bir hata veya eksiklik içerdiği sonradan anlaşılırsa; iç denetim birim
yöneticisi, ilgili iç denetçi tarafından yazılan düzeltilme notunu, dağıtım yapılan bütün taraflara
iletmelidir.
• Denetim raporlarında, denetimin “Kamu İç Denetim Meslekî Uygulama Standartlarına uygun
yapıldığı" belirtilmelidir. Ancak bu ibarenin kullanabilmesi için, iç denetim birim/faaliyetinin
1312 No’lu standart kapsamında kalite geliştirme programı değerlendirmesinin yapılması ve
değerlendirme sonucunda standartlara uygunluğunun teyidi gerekir. Denetim görevinin
yürütülmesi esnasında söz konusu Standartlara aykırılıkların ortaya çıkması halinde ise tam
olarak uyulmayan standartlar, aykırılık sebepleri ve aykırılığın göreve etkisi özel durum
açıklaması olarak raporda belirtilmelidir.
• Raporların düzenlenmesi, sunulması ve saklanmasında gizlilik ilkesi gözetilir.
2. Rapor yazım ilkeleri
Raporun yazılmasında aşağıdaki ilkeler gözetilir:
Doğruluk: Raporun gerçeklere dayanmasını ifade eder. Bu amaçla rapora ait bilgiler, çalışma kağıtları
ve denetim bulgularının yer aldığı denetim dosyasından elde edilir.
Tarafsızlık: Gözlem, tespit, sonuç ve önerilerin gerçeğe dayalı, çarpıtmadan uzak ve önyargısız olarak
ortaya konulmasını ifade eder.
Açıklık: Raporun yeterli bilgiyi anlaşılır şekilde ortaya koymasını ve gereksiz teknik ifadelerden
kaçınılmasını ifade eder.
Ölçülebilirlik: Yapılan testlerin, örneklemelerin ve yorumların mümkün olduğunca karşılaştırılabilir ve
rakamsal olarak ortaya konulabilir olmasını ifade eder.
Kısalık (Öz): Uzun anlatımdan ziyade konunun anlaşılabilir kısalıkta ortaya konulmasını ifade eder.
Yapıcılık: Raporda kullanılacak ifade biçimi ve yapılan vurguyla ilgili olup, kişileri ve geçmişi
eleştirmekten ziyade, sistemi değerlendiren ve iyileştirmeye yönelik ifadelerin seçilmesini kapsar.
Tamlık: Raporun ayrıca bir açıklama ya da sözlü yorum gerektirmeyecek şekilde yazılmasını ifade
eder.
Zamanlılık: Raporun idareye değer katacak optimum bir zaman içerisinde düzenlenmesi ve
sunulmasını ifade eder.
Kararlılık (Çözüm): Raporun yapılan tespitler doğrultusunda, neyin nasıl düzeltilebileceğini gösteren
önerileri içermesini ifade eder.
3. Raporun kapsam ve biçimi
Denetim raporunda asgari olarak denetimin amacı, kapsamı ve sonuçlarına yer verilir. Tavsiye edilen
rapor biçimi aşağıda yer almaktadır.
a) Rapor kapağı
Raporun birinci sayfası kapaktır . Rapor kapağında aşağıdaki hususlara yer verilir;
• İç denetim biriminin adı,
• Denetlenen birim/konu adı,
• İç denetçi ya da denetçileri ile varsa denetim gözetim sorumlusunun adları,
• Rapor numarası,
• Rapor tarihi. b) Rapor sunumu
Bir sayfayı geçmeyen rapor sunumu rapor kapağının ardında yer alır. Bu sunumda aşağıdaki
hususlara yer verilir;
• Raporun kime hitaben yazıldığı,
• Rapor tarihi,
• Denetimin türü,
• Denetimin dönemi, konusu ve kapsamı,
• Denetimin “Kamu İç Denetim Meslekî Uygulama Standartlarına uygun yapıldığı" ifadesi veya bu
Standartlara aykırılıklar söz konusu ise tam olarak uyulmayan standartlar, aykırılık sebepleri ve
aykırılığın göreve etkisinin belirtildiği özel durum açıklaması,
• Nihai raporun, taslak rapordan sonraki görüşmeler ve toplantılarda (kapanış toplansının tarihi de
verilebilir) ele alınan yorum ve cevapları da içerdiği bilgisi,
• Raporun tebliğinden itibaren süre öngörülerek izleme sürecinin başlayacağının ve bu evrede
sorumlulukların yerine getirilip getirilmediğinin izleneceğinin belirtilmesi,
• Denetim sonucunda ulaşılan; “yeterli”, “düzeltme/iyileştirme gerektiriyor” ya da “yönetimin dikkatini
gerektiriyor” gibi somut görüş ifadeleri,
• İsteğe göre denetlenen birim personeline sorumluluk anlayışları ve sağladıkları bilgiler nedeniyle
“teşekkür notu”,
• Denetime katılan her bir denetçinin adı ve imzası.
c) Dağıtım listesi
Denetlenen birimler, üst yönetici, iç denetim birim yöneticisi gibi raporla ilgili gerekli tedbirlerin
alınmasını sağlayabilecek seviyedeki kişilerin unvanları ile adreslerini içeren bilgilere yer verilen dağıtım
listesi rapor sunumunun ardında yer alır.
d) Rapor özeti
Raporun önemli bilgilerini içerecek rapor özetinde aşağıdaki hususlara yer verilir ;
• Denetimin hukuki çerçevesi, amacı, kapsamı ve yönteminin açıklandığı “Tanıtım” bölümü,
• Tespit edilen riskler, varsa risk kodu, anahtar bulgular ve risk seviyelerinden oluşan “Risk
Değerlendirmesi” bölümü,
• Denetim bulguları, öneriler, yönetimin cevabı ve eylem planından oluşan “Denetim Bulguları ve
Öneriler” bölümü,
• Denetlenen birimin cevaplarını içeren “Rapora Cevap ve Eylem Planı” bölümü,
• Bulgu ve öneriler ile rapora verilen cevap ve eylem planı kapsamında uzlaşmaya varılamayan
hususlar ve bunlara ilişkin denetçinin nihai değerlendirmelerini içeren “Uzlaşılamayan Konular” bölümü,
• Denetlenen birimle ilgili “Güçlü ve Zayıf Yönler” bölümü.
e) Rapor metni
Rapor metni asgari olarak aşağıdaki hususları içerir;
• Görevin amaç ve kapsamı ile denetlenen birim hakkındaki kısa bilgilerin açıklandığı “Tanıtım” bölümü,
• Rapora alınmasına lüzum görülen her bir bulgu için “Bulgular” bölümü altında aşağıdaki alt bölümler;
a. Önem derecesine göre sınıflandırılan bulguların ortaya konulduğu “Tespit” bölümü,
b. Bulgunun kaynağını ortaya koyan “Nedenler” bölümü,
c. Kurumun karşı karşıya olduğu riskleri ve bu risklerin etkilerini gösteren “Riskler ve Etkiler” bölümü,
d. İlgili mevzuat, standart ve iyi uygulamalar çerçevesinde olması gerekenin açıklandığı “Kriterler”
bölümü,
e. Denetim sonuçlarına ilişkin tavsiyeleri içeren “Öneriler” bölümü,
f. Denetlenen birimin verdiği cevaplar ile eylem planını içeren “Rapora Cevap ve Eylem Planı” bölümü,
g. Bulgu ve öneriler ile rapora verilen cevap ve eylem planı kapsamında uzlaşmaya varılamayan
hususlar ve bunlara ilişkin denetçinin nihai değerlendirmelerini içeren “Uzlaşılamayan Konular” bölümü,
• Varsa ek ve nihai düşüncelerin özetinden oluşan “Değerlendirme ve Sonuç” bölümü. Raporun metin kısmında ayrıca;
• Daha önce rapor edilmiş tespit ve tavsiyelere ilişkin bilgilere,
• Denetlenen faaliyetlerle ilgili iyi uygulama örneklerine,
• Önemli görülen diğer hususlara
yer verilebilir.
f) Ekler
Raporda yer verilen tespit, örnekleme ve testleri destekleyen belgelerin birer örneklerine rapor ekinde
yer verilir. Ekler numaralandırılır ve önüne bir ek listesi konulur.
4. Ara rapor
İvedi olarak işlem yapılması gereken bilgilerin iletilmesi, denetlenen faaliyetle ilgili bir değişikliğin
bildirilmesi veya görevin uzun bir süre devam etmesi halinde görevin seyri hakkında üst yönetici ile iç
denetim birim yöneticisinin bilgilendirilmesi amacıyla ara raporlar yazılabilir. Ara rapor belli bir şekil
şartına tabi değildir. Ancak ara raporların yazılması görev sonunda bir rapor yazılması ihtiyacını
ortadan kaldırmaz.
< FONT align="_target>Ek:1) bildirilir.
İç denetçi görevlendirmesi yapıldıktan sonra iç denetim birimince, denetim yapılacak birime bildirim
yazısı (Ek:2) gönderilir.
İkinci Bölüm
DENETİMİN YÜRÜTÜLMESİ
A. Ön Çalışma ve Bireysel Çalışma Planı
Denetim faaliyeti ön çalışmayla başlar. Bu çalışmanın amacı, iç denetçinin yapacağı bireysel denetim
faaliyeti için gerekli bilgiyi elde etmesine yardımcı olmaktır. Ön çalışma; denetim amaçlarının
belirlenmesi, bilgi toplama/ön araştırma ve açılış toplantısı safhalarından oluşur. Elde edilen bilgiler
ışığında denetim amaçları kesinleştirilir, potansiyel sorunlu alanlar ile denetim kapsamı belirlenerek
bireysel çalışma planı hazırlanır.
Ön çalışma aşamasında ayrıca denetim kontrol listesi oluşturulur. Denetim kontrol listesi (Ek:3), hem
denetçiye denetim sırasında izlemesi gereken yolu, hem de denetçinin çalışmalarını izlemekle görevli
denetçiye, denetimin hangi aşamada olduğunu göstermek bakımından kolaylık sağlar. Liste, denetime
ilişkin her bir adımın tamamlanmasını müteakip doldurulur ve ilgili çalışma kağıtlarıyla birlikte
dosyalanır.
1. Çalışma Kağıtları ve Formlar
Denetimin hazırlık aşamasında, öncelikle, kullanılacak çalışma kağıdı ve formların şekil ve içeriği
belirlenir.
Denetim süresince gerçekleştirilen tüm çalışmalar; denetime hazırlık, risk ve kontrol değerlendirmeleri,
yapılan testler, bunların sonucunda elde edilen bilgi, kanıt ve sonuçlar ile raporlama ve izleme
faaliyetleri çalışma kağıtlarıyla belgelendirilmelidir.
Çalışma kağıtları, denetimin yürütülmesinde denetçiye yardımcı olmaya ve denetçinin ulaştığı bulguları
desteklemeye hizmet eder.
Risk kontrol matrisi gibi şekil ve içeriği özel olarak belirlenenler dışında, denetimde kullanılacak
standart bir çalışma kağıdı örneği ekte yer almaktadır (Ek:4). Çalışma kağıtları, denetimin sonuçlandırılmasını müteakip saklanması ve gerekli hallerde başkalarının
kullanımına açılması için iç denetim birimine bir yazı ekinde devredilir.
2. Denetim Amaçlarının Belirlenmesi
İç denetçi ön çalışma kapsamında öncelikle, denetim programında öngörülen hedefler doğrultusunda
gerçekleştireceği denetim faaliyeti sonucunda ulaşmak istediği amaçları net olarak ortaya koyar ve
bunları çalışma kağıdıyla kayıt altına alır.
3. Bilgi Toplama/Ön Araştırma
Denetim faaliyetinin amacını belirleyen iç denetçi gerçekleştireceği denetim öncesinde ihtiyaç
duyabileceği bilgileri toplayarak bir ön araştırma yapar. Bu safhada gerek görülmesi halinde
denetlenecek birim yöneticileri veya ilgililerle görüşülebilir. Bu aşama, aşağıdaki hususlarda önemli
bilgilerin ve uygulamaya yönelik tecrübelerin elde edilmesinden oluşur;
• Denetlenecek alanın büyüklüğü, kapsamı, amaç ve hedefleri,
• Denetlenecek birime ilişkin mevzuat, politika ve prosedürler,
• Mevcut kontroller,
• İş akış süreçleri,
• Organizasyon ve yönetim yapısı.
Söz konusu bilgilere ulaşabilmek için kullanılabilecek bazı kaynaklar şunlardır;
• Önceki denetimlere ilişkin rapor ve çalışma kağıtları,
• Dış denetim ve diğer denetim birimlerince yazılmış raporlar,
• İş/süreç akış şemaları,
• Organizasyon şemaları,
• Fonksiyon ve iş/görev tanımları,
• Faaliyet raporları.
4. Açılış Toplantısı
İç denetçi, denetimin başlangıcında denetlenecek birim yöneticileri ve ihtiyaç duyulan personelin
iştirakiyle bir toplantı yapar. Bu toplantıda; denetimin amaçları, hedefleri, kapsamı ve tahmini süresi,
denetime yardımcı olacak personel, denetim sırasında çalışanlardan beklentiler, idarenin denetimden
beklentileri, denetim bulgularının değerlendirilmesi, denetim sonuçlarının raporlanması, denetçi ve
birim arasındaki iletişimin nasıl gerçekleştirileceği vb hususlar görüşülür ve toplantı sonrasında bir
tutanak düzenlenir (Ek:5).
5. Potansiyel Sorunlu Alanların Belirlenmesi (Risk Değerlendirmesi)
İç denetçi bilgi toplama ve ön araştırma aşamasını tamamladıktan sonra elde ettiği veriler yardımıyla
yapacağı risk değerlendirmesi sonucunda, denetlenecek birim ve süreçlere ilişkin potansiyel sorunlu
alanları belirler.
Bu alanların belirlenmesinde ilk adım, denetlenecek birimin temel süreçlerinin ortaya konulmasıdır. Bu
amaçla, birimin iş süreçlerinin, süreçler arasındaki ilişkilerin, süreçteki görevliler ve rolleri ile uygulanan
kontrollerin tespiti gerekir.
Bu aşamada, iş süreçlerini görsel hale getirmeyi sağlayacak iş akış şemaları kullanılabilir. İş akış
şemalarında açıklık ve sadelik çok önemlidir. Aşırı detay önemli hususların gözden kaçmasına neden
olabilir. Şemaların oluşturulmasında standart sembollerin kullanılmasına dikkat edilmelidir. Daha sonra, belirlenen bu temel süreçlerdeki risklerin varlığı araştırılır. Risklerin varlığına ilişkin bazı
göstergeler şunlardır;
• Plansızlık ya da planlamadaki yetersizlikler,
• Konu, kişi ve birimler itibariyle uygun görev dağılımı yapmayan ve görevler ayrılığı ilkesini ihlal eden
organizasyon yapısı,
• Varlıklar, yükümlülükler, alacaklar, ödemeler ve harcamalar üzerinde etkili bir kontrol
oluşturulmasında yetersiz kalan yetki dağılımı,
• Resmi olarak uygulanması öngörülen ancak etkisiz veya maliyeti sağlayacağı faydadan yüksek olan
ya da açık olmayan ve anlaşılması güç yazılı prosedürler,
• Denetlenen alanın veya birimin iş/görev sahasının diğer birim, bölüm ya da kuruluşlarla ilişkili olması
durumunda koordinasyon eksikliği,
• Büyük tutarlı harcama, tahsilat veya alacaklar,
• Daha önce hiç denetlenmemiş fonksiyon, süreç, proje, program ve faaliyetlerin bulunması,
• Politika ve faaliyetleri etkileyecek konumda bulunan personelin kendi aralarındaki veya bunlarla
idare arasındaki çıkar çatışması,
• Kontrol ve yetkilendirme limitlerinin yakınında yoğun işlemler bulunması,
• Karmaşık süreç, program ve faaliyetler,
• Yöneticileri, birim faaliyetlerinden haberdar edecek geri bildirim mekanizmalarının yokluğu veya
yetersizliği,
• Olağandışı faaliyet ve işlemler,
• Yeni birim ve faaliyetler ile yeniden yapılandırma projeleri,
• Organizasyon ve insan kaynaklarındaki önemli değişiklikler.
Bu noktada idarenin içinde bulunduğu durumun doğru anlaşılabilmesi ve denetimin kapsamı
belirlenirken ihtiyaç duyulacak bilgiye ulaşılması için denetçiler, denetlenen birim çalışanlarıyla
görüşmeler yapabilir. Bu tür görüşmeler olası sorunlar, hassas konular ve denetimde ihtiyaç duyulacak
diğer alanlarda önemli bir bilgi kaynağı oluşturur. Bu görüş alışverişleri bilgi toplama ve ön araştırma
aşamasında, açılış toplantısında ya da saha çalışması sırasında da gerçekleştirilebilir.
Son olarak, tespit edilen potansiyel riskli alanlara ilişkin mevcut kontrollerin değerlendirilmesi gerekir.
Ancak, kontrollerin tümünün gözden geçirilmesine gerek yoktur. Çoğu zaman denetim kaynaklarının
kısıtlılığı nedeniyle buna imkan da bulunmamaktadır. Bu nedenle denetçiler, bu aşamada denetim
görevi açısından çok önemli ve kritik kontrolleri belirlemeli ve bunlar üzerinde yoğunlaşmalıdır.
Potansiyel sorunlu alanların belirlenmesinden sonra, bunların risk düzeylerine göre derecelendirilmesi
amacıyla; potansiyel sorunlu alanlar (birim veya süreç), bu alanlara ilişkin yapısal (doğal) riskler, bu
risklere karşı mevcut kontroller, bu kontroller sonrası bakiye riskler ve bu çerçevede her bir riske ilişkin
nihai değerlendirmelerin yapıldığı açıklamalar bölümlerini içeren “Risk Kontrol Matrisi” hazırlanmalıdır
(Ek:6).
Bu matrisin her bir bölümünün oluşturulmasında aşağıdaki hususlara uyulur: • Potansiyel sorunlu alan bölümüne, denetlenebilir (ana veya alt) birim veya süreç isimleri kaydedilir.
• Yapısal riskler bölümüne, her bir alt birim veya sürece ilişkin doğal riskler yazılır.
• Kontrol önlemleri bölümüne, her bir yapısal riske ilişkin idarece uygulandığı belirtilen kontroller
girilir. Ancak bu noktada uygulandığı beyan edilen kontrollerin fiilen var olup olmadığı denetçi
tarafından sınırlı sayıda testlerle teyit edilir ve buna göre kontrol önlemleri bölümü revize edilir.
• Bakiye riskler bölümüne, yapısal riskleri ortadan kaldırmak veya azaltmak amacıyla idarece
uygulanan kontroller sonrasında kalan riskler kaydedilir.
• Açıklamalar bölümüne, her bir bakiye riske ilişkin denetçinin nihai değerlendirmesi ve buna bağlı
olarak ilgili alanın denetim kapsamına alınıp alınmayacağına yönelik denetçi kararı girilir.
Yapısal riskleri ortadan kaldırmak veya azaltmak amacıyla idarece uygulanan kontrollerin yeterliliği ve
etkinliği değerlendirilerek, birim veya sürecin güçlü yönlerine de raporda yer verilir.
Bu matrise ayrıca, bireysel çalışma planının hazırlanması aşamasında, denetim kapsamına alınan birim
veya süreçlere ilişkin uygulanacak denetim testleri ilave edilir. Matrise beklenen kontroller de
eklenebilir.
6. Bireysel Çalışma Planının Hazırlanması
İç denetçi, denetim faaliyetinden beklenen amaçları gerçekleştirebilmek için; oluşturduğu risk kontrol
matrisinin açıklamalar bölümünde denetim kapsamına alınması kararlaştırılan yüksek riskli alanlar ve
bu alanlara ilişkin denetlenecek dönemleri içerecek şekilde yürüteceği denetim görevinin kapsamını
belirler. Daha sonra, denetim kapsamına alınan birim veya süreçlerdeki risklere ilişkin olarak uygulanan
kontrollerin “yeterlilik ve etkinliğini” ölçmeye ve değerlendirmeye yönelik denetim testleri Risk Kontrol
Matrisinin “uygulanacak testler” bölümüne girilir.
İç denetçi, denetim çalışmasını planlarken, denetim görevlendirme yazısında kendisine bildirilen
denetim süresine uygun olmak koşulu ile denetimin ana aşamalarına göre süre planlamasını gösteren
bir süre planı formu doldurur (Ek:7).
Denetimin planlanması veya saha çalışması sırasında, çeşitli nedenlerle başlangıçta belirlenen denetim
kaynağı veya sürelerini revize etme ihtiyacı doğduğunda, denetçi revizyonun nedenlerini de açıklayan
bir form düzenler ve iç denetim birim yönetimine sunar (Ek:8).
İç denetçi; denetimin amaç ve hedefleri, denetimin kapsamı, bilgilerin elde edilmesi, analizi ve
değerlendirilmesine ilişkin yöntemler, denetim kapsamına alınan birim veya süreçlere ilişkin
uygulanacak denetim testleri ile tahmini denetim süresini gösteren bir bireysel çalışma planı oluşturur
ve denetim gözetim sorumluluğu kapsamında iç denetim birim yönetiminin uygun görüşüne sunar
(Ek:9). İç Denetim Birim Başkanı, söz konusu planın, özellikle risk kontrol matrisi ve denetim testleri
kısmının, denetim amaçlarına ulaşılması açısından yeterliliğini değerlendirerek gerekli hallerde
düzeltme veya ilave testler isteyebilir.
B. Denetimlerin Gerçekleştirilmesi (Saha Çalışması)
Saha çalışması; denetim testlerinin uygulanması, bulguların oluşturulması ve önerilerin geliştirilmesi,
bulguların denetlenen birimle paylaşılması ve kapanış toplantısının yapılması aşamalarından oluşur.
1.Denetim Testlerinin Uygulanması Bu aşamada, bireysel çalışma planında belirtilen testler gerçekleştirilir. Denetim testi, denetim
kapsamına alınmasına karar verilen hususlarla ilgili olarak idarece var olduğu belirtilen kontrollerin
gerektiği gibi çalışıp çalışmadığının süreçler, kayıtlar ve belgeler üzerinden incelenmesidir.
Bu çalışmalar yazılı hale getirilmeli, gözlem ve araştırmalarla desteklenmelidir. Mali ya da istatistiksel
veri ve raporların güvenilirliği, doğruluğu ya da yararlılığını etkileyebilen elektronik veri işleme
yöntemlerinin kullanımı da değerlendirmenin bir parçası olmalıdır. Bu test, araştırma ve gözlemler ile
elde edilen bulgular çalışma kağıtlarına geçirilir.
Denetim testlerinin uygulanmasında kullanılabilecek bazı araştırma tekniklerine aşağıda yer verilmiştir.
Yeniden hesaplama/uygulama : Bir hesaplama veya işlemi tekrar yaparak aynı sonuca ulaşılıp
ulaşılmadığının test edilmesidir. Bu test iç denetçiye denetlenen birim çalışanları tarafından
gerçekleştirilen işlemlere ne kadar güvenilebileceği hakkında fikir verir.
Gözlem : Denetlenen birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi
tarafından izlenerek bilgi edinilmesidir. Denetlenen birim tarafından gerçekleştirilen stok sayımının
gözlenmesi buna örnek olarak verilebilir.
Doğrulama : Denetçinin bir kaynaktan temin ettiği bilgilerin doğruluğunu, aynı veya daha fazla
güvenilirlik derecesine sahip bir başka bilgi kaynağından temin edeceği bilgilerle teyit etmesidir.
Görüşme: Denetlenen birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi
tarafından ilgili görevlilerle yüz yüze görüşülerek bilgi edinilmesidir. Bu yöntem, denetçi için denetlenen
birimde karşılaşılan sorunlar veya önemli risklerle ilgili en kısa bilgi edinme yoludur. Ancak bu yöntemle
yalnızca bir kaynaktan temin edilen bilgilerin diğer kaynaklardan doğrulanması gerekir.
Yayımlanmış rapor veya çalışmaların değerlendirilmesi : Denetlenen birim/süreç üzerinde etkili
olmuş çalışma ve raporların gözden geçirilmesidir.
Sunulan hizmetlerden bir vatandaş olarak yararlanma : Kamu idaresince sunulan hizmetin ilan
edilen kaliteyi/standartları sağlayıp sağlamadığının, söz konusu hizmetten bir vatandaş olarak
yararlanarak değerlendirilmesidir.
Anket: Herhangi bir konuyla ilgili durum ve tutumu belirlemek için düzenlenmiş ayrıntılı ve kapsamlı
soru dizisidir. İyi düzenlenmiş bir anket (hizmet değerlendirme anketi/ memnuniyet anketi/
özdeğerlendirme anketi) sürecin veya sunulan hizmetin etkinliği ve başarısı gibi konular hakkında
yararlı bilgiler sağlar.
Analitik inceleme : Verilerin kendi içindeki ve aralarındaki rasyonel ilişkilere dayanarak
değerlendirilmesini ifade eder. Analitik inceleme, ilgili veriler arasındaki tutarsızlık veya tahmin edilen
tutarların önemli ölçüde sapması gibi verilerdeki tanımlanmış dalgalanmaların ve ilişkilerin
araştırılmasını da kapsar. Özellikle denetimin bir bütün olarak gözden geçirilmesi ve risk
değerlendirmesi aşamasında, denetlenen birimin faaliyet koşullarını ve çevresiyle olan ilişkilerini
kavramak amacıyla denetçi tarafından analitik inceleme teknikleri uygulanır.
Denetçi, çalışmanın niteliğine en uygun yöntemi seçmeli, ancak yöntem seçiminde katlanılacak
maliyetleri de göz önünde bulundurmalıdır. Denetçi, yeni ve daha etkili teknikleri bulmak ve kullanmak
için çaba göstermelidir.
1.1 Örnekleme
Örnekleme çalışması; denetlenecek tüm iş ve işlemleri ifade eden ana kütle (popülasyon) hakkında bir
sonuca varmak veya bir sonuca varılmasına yardımcı olmak amacıyla seçilen unsurların belirli özellikleri hakkında denetim bulguları ve delillerini denetçinin değerlendirebilmesi için, denetim prosedürlerinin o
ana kütlenin %100'ünden daha az bir kısmına uygulanması olarak tanımlanır.
Saha çalışmasında bilgi ve belgelerin tümünü incelemek uygulamada çoğu zaman mümkün veya etkin
olmadığından, ayrıca örnekleme yöntemiyle güvenilir sonuçlara ulaşılabileceğinden, denetçi denetim
görüşünü oluştururken örnekleme yönteminden yararlanabilir.
Örneklemede istatistiksel olduğu kadar istatistiksel olmayan yöntemler de kullanılabilir. Ancak,
istatistiksel olmayan yöntemler kullanıldığında alınan örneğin ana kütleyi temsil etmemesi muhtemel
olduğundan bu çalışmanın sonuçlarının ana kütleye mal edilmemesi gerekir.
Örneklemin Tasarlanması:
Bir denetim örnekleminin büyüklüğü ve yapısını tasarlarken, denetçi, somut denetim hedeflerini, ana
kütlenin niteliğini, örnekleme ve seçim yöntemlerini dikkate almalıdır.
Örneklem birimi : Örneklem biriminin belirlenmesi, saha çalışmasında yapılacak denetim testlerinin
amacına bağlı olacaktır. Bu çerçevede örneklem birimi, her bir test konusunun niceliksel ve niteliksel
unsurlarından oluşur.
Ana kütle : Denetçinin denetlenen alanın tamamı hakkında bir sonuca ulaşmak için örnek seçmek
istediği veri seti anlamına gelir. Bu nedenle, örnekleme yapılacak olan ana kütlenin uygun olması ve
denetim hedefi için tam ve eksiksiz olduğunun doğrulanması gerekir.
Katmanlama: Her örneklem birimi sadece tek bir katmana girecek şekilde bir ana kütlenin açıkça
tanımlanmış benzer özellik ve niteliklere sahip alt kütlelere bölünmesi işlemidir.
Örneklem büyüklüğü: Denetçinin ana kütle hakkında bir sonuca ulaşmak için kullanacağı ana kütle
parçasını ifade eder. Örneklem büyüklüğünü tespit ederken, denetçi, örnekleme riskini, kabul
edilebilecek hata miktarını ve beklenen hataların kapsamını dikkate almalıdır.
Örnekleme riski: Denetçinin vardığı sonucun, ilgili ana kütlenin tümü aynı denetim prosedürüne tâbi
tutulsaydı, ulaşılacak olan sonuçtan farklı olabileceği ihtimalinden kaynaklanır. İki tip örnekleme riski
vardır:
• Yanlış kabul riski : Örneklemenin ana kütleyi yeterli düzeyde temsil etmemesi nedeniyle, ana
kütle düzeyinde hatalı olan bir durumun yanlış veya eksik örneklem seçimi nedeniyle hatasız
kabul edilmesi riskidir.
• Yanlış red riski : Yanlış kabul riskinin tam tersi olup, örneklemenin ana kütleyi yeterli düzeyde
temsil etmemesi nedeniyle, popülasyon düzeyinde hatasız olan bir durumun yanlış veya eksik
örneklem seçimi nedeniyle hatalı kabul edilmesi riskidir.
Kabul edilebilir hata : İhmal edildiğinde dahi denetim sonuçlarını etkilemeyecek azami hata düzeyidir.
Denetçi, denetim konusunun idare açısından önemi, denetim kaynağı ve maliyeti ile denetim süresini
dikkate almak suretiyle bireysel tecrübesine dayanarak bu hata düzeyini belirler.
Beklenen hata : Daha önceki denetimlerde tespit edilen hata seviyeleri, kurumun prosedürlerinde
yapılan de ğ i ş iklikler, iç kontrol de ğ erlendirmesinin sonuçları ve analitik inceleme prosedürlerinin
sonuçları dikkate alınarak denetçi tarafından tespit edilen ve ana kütlede olması muhtemel hatadır. Bu
hatanın kabul edilebilir hata düzeyinden yüksek olmasının beklendiği durumlarda denetçi daha büyük
bir örneklem seçer. Aksi durumlarda ise, daha küçük örneklem grupları kullanılabilir.
Örneklem Yönteminin Seçilmesi:
Yaygın olarak kullanılan iki kategoride toplam dört örnekleme yöntemi vardır: İstatistiksel Örnekleme Yöntemleri:
• Rasgele örnekleme : Ana kütledeki örneklem birimlerinin bütün kombinasyonlarının seçilme
şanslarının eşit olmasını sağlayan örnekleme yöntemidir.
• Sistematik örnekleme : Örneklem birimlerinin, seçmeler arasında belirli sabit bir aralık bırakılarak ve
ilk aralığın bir rasgele başlangıç noktasından başlatılarak seçildiği örnekleme yöntemidir.
İstatistiksel Olmayan Örnekleme Yöntemleri:
• Gelişigüzel örnekleme : Denetçinin örneklemi yapısal bir teknik kullanmadan, fakat ön yargı veya
kestirimlerden kaçınarak seçtiği örnekleme yöntemidir. Bununla birlikte, ana kütle hakkında bir sonuca
varmak için, gelişigüzel örneklemeyle seçilmiş bir örneklemin analiz sonuçlarına tam güvenmemek
gerekir.
• Yargısal örnekleme : Denetçinin örneklem üzerinde belirli bir yanlılık (örneğin, belirli bir değerin
üzerindeki bütün örneklem birimleri, bütün eksi değerli olanlar, bütün yeni kullanıcılar vb.) uyguladığı
örnekleme yöntemidir. Ancak bir yargısal örneklemin, istatistiksel temellere dayanmaması ve
sonuçların örneklemin ana kütleyi temsil edici nitelikte olmaması ihtimali nedeniyle, ana kütlenin
tamamına teşmil edilmemesi gerektiği not edilmelidir.
Denetçinin örneklem birimlerini, test edilen özellikler açısından, ana kütleyi temsil edici nitelikte
seçmesi beklenir. Bunun için, ana kütledeki bütün örneklem birimlerinin eşit veya bilinen bir seçilme
şansı bulunmalıdır.
Örneklemede Dokümantasyon:
Çalışma kağıtları, örnekleme hedefini ve kullanılan örnekleme sürecini açıkça tanımlayan yeterli
ayrıntılar içermelidir. Çalışma kağıtları, ana kütlenin kaynağını, kullanılan örnekleme yöntemini,
örnekleme parametrelerini, seçilen birimleri, yapılan denetim testlerinin ayrıntılarını ve ulaşılan
sonuçları da göstermelidir.
Örneklem Sonuçlarının Değerlendirilmesi:
Her örneklem birimine, belirlenen denetim hedefi için uygun olan denetim prosedürlerini uyguladıktan
sonra, denetçi, tespit edilen olası hataların gerçekten hata olup olmadığını incelemeli ve belirlemelidir.
Denetçi hatanın mahiyeti, sebebi ve denetimin diğer aşamaları üzerindeki olası etkileri gibi niteliksel
yönlerini de değerlendirmelidir.
Denetçi, örneklem sonuçlarını ana kütleye uygulamak için, örneklemi seçmekte kullandığı yönteme
uygun ve uyumlu bir tahmin yöntemi kullanmalıdır.
Denetçi, ana kütledeki hataların kabul edilebilir hata düzeyini aşıp aşmadığını, denetim hedefine uygun
diğer denetim prosedürlerinin sonuçlarını da dikkate alarak belirlemeli ve değerlendirmelidir. Tahmini
ana kütle hatası kabul edilebilir hata düzeyini aşmışsa denetçi, bu alanı denetim kapsamına almalı,
hatanın düzeyiyle paralel olarak bu alana kaynak ayırmalı ve denetim prosedürünü genişletmeyi
düşünmelidir.
2. Bulguların Oluşturulması ve Önerilerin Geliştirilmesi
İç denetçi denetim testlerinin uygulanması sonucunda elde ettiği bulguları yeterli kanıtla destekler ve
bu bulguları değerlendirerek kamu idaresine katma değer sağlayacak öneriler geliştirir. Denetçi, denetim sırasında tespit ettiği hususları önem derecesine göre sınıflandırarak bulgu formuna
işler. Bulgu formunda; tespit, neden, riskler ve etkileri, kriterler ile öneriler alanları yer almalıdır
(Ek:10).
Bulgu formunun:
• Tespit bölümü, “yanlış veya sapma nedir” sorusunu yanıtlar.
• Neden bölümü, yanlış veya sapmanın sebebini ortaya koyar.
• Riskler ve etkileri bölümü, yanlış veya sapma sonucunda idarenin karşı karşıya olduğu riskleri
ve bu risklerin etkilerini gösterir.
• Kriterler bölümü, ilgili mevzuat, standart ve iyi uygulamalar çerçevesinde olması gerekeni
açıklar .
• Öneriler bölümü, olması gereken duruma ulaşma yolunu tarif eder.
Denetçi, denetim sonucunda ortaya koyduğu bulgu ve görüşlerini kanıtlara dayandırmalıdır. Denetim
kanıtı, denetim bulgularını desteklemek veya ispat etmek üzere toplanan ve kullanılan bilgilerdir.
Denetçinin, denetim amacına ulaşabilmesi açısından topladığı kanıtları uygunluk, güvenilirlik ve
yeterlilik olmak üzere üç açıdan değerlendirmesi gerekmektedir.
Denetim kanıtının uygunluğu, kanıtlarla denetim amaçları ve kriterleri arasında net ve mantıki bir
bağlantı bulunmasını gerektirmektedir. Bu, aynı zamanda kanıtların kalitesiyle ilgili bir husustur.
Denetim kanıtlarının güvenilirliğinin anlaşılabilmesi için kaynağı (kurum içi, kurum dışı gibi), doğası
(yazılı, sözlü, görsel ya da elektronik gibi) ve gerçekliği (asıl olma, imza, mühür gibi) açılarından
değerlendirilmesi gerekmektedir.
Denetim kanıtlarının güvenirliği açısından genel olarak aşağıdaki ilkeler kabul edilmektedir:
• Yazılı veya belgeye dayalı kanıtlar, sözlü kanıtlara göre daha güvenilirdir.
• Bağımsız kaynaklardan elde edilen kanıtlar, dahili kaynaklardan elde edilenlere nazaran daha
güvenilirdir.
• Denetçinin kendisinin elde ettiği kanıtlar, denetlenen birimin sunduklarından daha güvenilirdir.
• Asıl belgeler, fotokopilerinden daha güvenilirdir.
Denetim kanıtları, denetim amaç ve kapsamına ilişkin tüm önemli soruların cevaplanmasını sağlıyorsa
denetim kanıtının yeterliliğinden bahsedilebilir. Bu kanıtlara ilişkin testlerin başka bir denetçi tarafından
da yapılması halinde de aynı sonuçlara ulaşılması halinde denetim kanıtlarının objektif ve yeterli olduğu
kabul edilir.
Denetim kanıtının, denetim konusunun önemlilik düzeyi ve riskleri ile orantılı olması gerekir.
Denetim kanıtları türlerine göre fiziksel, sözel, belgeye dayanan ve analitik olmak üzere dört başlık
altında gruplandırılabilir:
• Fiziksel Kanıtlar : Fiziksel kanıtlar, genellikle kişilerin ve olayların gözlenmesi ya da varlıkların
incelenmesi yoluyla elde edilmektedir. Gözlemleme yöntemiyle elde edilen kanıtların örneklerle
belgelendirilmesi ya da destekleyici gözlemlemeler yapılması suretiyle güçlendirilmesi yerinde
olacaktır. Destekleyici gözlemlemeler, diğer denetçiler tarafından, mümkünse kuruluşun
temsilcilerinin eşliğinde yapılması yerinde olacaktır. Buna örnek olarak fotoğraflar, haritalar,
ses ve görüntü kayıtları sayılabilir. Mevcut bir durumun gözlemlenmesi sonucunda çalışma
kağıdı hazırlanmalıdır. • Sözel Kanıtlar: Sözel kanıtlar, genellikle soruşturma, sorgulama ya da mülakat sonucunda
kurumun iç ve dış paydaşlarından elde edilen bilgilerdir. Aslında bu bilgiler ilgili paydaşın
açıklamalarını yansıtmaktadır. Denetim çalışmaları kapsamında diğer denetim teknikleri ile elde
edilemeyecek önemli ipuçları elde edilmesine ve konunun çok daha iyi anlaşılmasına imkan
sağlamaktadır. Ancak sözel kanıtların doğrudan kullanılması yerine mümkün olduğunca
belgeler ile desteklenmesi yeterli miktarda güvenilir ve uygun kanıt ile denetim amaçlarına
ulaşılmasını sağlayacaktır.
Sözlü kanıtların güvenilirliği ve uygunluğu değerlendirilirken; mülakat yapılan kişinin inanılırlığı da göz
önünde bulundurularak, söz konusu kişinin görevi, bilgisi, uzmanlığı ve içtenliği göz önünde
bulundurulmalıdır.
Sözlü ifadelerin denetim sonucuna önemli bir etkisinin olacağı düşünüldüğü takdirde mutlaka bu
ifadeleri doğrulayan bir yazılı beyan tutanağı ya da ses veya görüntü kaydının alınması gerekmektedir.
• Belgeye Dayalı Kanıtlar: Belgeye dayalı kanıtlar, denetim kanıtlarının en yaygın şeklidir.
Anlaşmalar, sözleşmeler, raporlar, faturalar, tutanaklar, mektuplar gibi çok çeşitli formlarda
olabilir. Ayrıca uygun yöntem ve araçlarla bilgisayar kayıtlarından da elde edilmesi
mümkündür.
Belgelere dayalı kanıtların güvenilirliği ve uygunluğu denetim amaçlarıyla bağlantılı olarak kaynağı
açısından değerlendirilmelidir. Kurum içerisinden elde edilen kanıtlarda özellikle güçlü bir iç kontrol
sisteminin varlığı söz konusu kanıtların güvenilirliğini artırmaktadır.
• Analitik Kanıtlar : Analitik kanıtlar, mali ve mali olmayan bilgiler arasındaki ilişkilerin
incelenmesi ve karşılaştırılması suretiyle elde edilen kanıtlardır. Analitik kanıtların
toplanmasının arkasında “normal şartlar altında benzer sonuçların çıkacağı” varsayımı
bulunmaktadır. Bu amaçla hesaplamalar ve karşılaştırmalar yapılır. Analitik kanıtlar çoğu kez
sayısal olmakla birlikte sayısal karakterde olmadığı durumlarda mevcuttur. Dönemler arasında
oran ve eğilim analizleri yapılabileceği gibi eldeki bilgilerin alt gruplara ayrılması şeklinde de
elde edilebilir.
Bireysel çalışma planında öngörülen testlerin yapılıp yapılmadığı, bu testler sonucunda elde edilen
bulguları destekleyecek kanıtların yeterli olup olmadığı, yeterli örnekleme yapılıp yapılmadığı ve bu
doğrultuda ilave inceleme yapılmasına gerek olup olmadığı denetim gözetim sorumluluğu kapsamında
iç denetim birim yönetimi tarafından değerlendirilir ve bu husus kayıt altına alınır.
3. Bulguların Denetlenen Birim İle Paylaşılması
Bulguların oluşturulması sonrasında denetçi, denetim bulgularını kapanış toplantısında görüşülmek
üzere bir yazı ekinde denetlenen birime gönderir.
4. Kapanış Toplantısı
Denetçi ile denetlenen birim, denetim bulguları ve bunlar üzerine geliştirilen önerileri bir kapanış
toplantısında görüşür ve varılan sonuçlar bir tutanağa bağlanır (Ek 11).
Üçüncü Bölüm
RAPORLAMA
Denetim faaliyetlerine ilişkin raporlama, Kurulca çıkarılan Kamu İç Denetim Raporlama Standartlarına
göre yapılır. , Taslak ve nihai denetim raporunun hazırlanması ve gönderilmesi ile Rapor çeşitleri gibi
konular bireysel denetim sürecinin bir parçası olduğundan, bu hususlara kısaca aşağıda yer verilmiştir.
A. Taslak Denetim Raporunun Hazırlanması ve Gönderilmesi Denetçi ile denetlenen birim arasında denetim bulguları üzerinde kapanış toplantısında yapılan
görüşmeler de dikkate alınarak denetçi bir taslak rapor hazırlar.
Denetçi, taslak denetim raporunu belirli bir sürede cevaplandırılmak üzere denetime tabi tutulan birim
yöneticisine bir yazı ekinde verir. Birim yöneticisi, gerektiğinde çalışanlardan ve ilgililerden görüş almak
suretiyle raporu, verilen sürede cevaplandırarak denetçiye gönderir.
Risklerin önem ve düzeyi konusunda denetçi ile birim yöneticisi arasında anlaşmazlık varsa, denetçi bu
duruma ilişkin değerlendirmesini raporuna dahil eder.
Risklerin önem ve düzeyi konusunda denetçi ile birim yöneticisi aynı görüşteyse, makul bir sürede
önlem alınması konusunda anlaşırlar ve alınacak önlemler denetlenen birimce bir eylem planına
bağlanır.
B. Nihai Denetim Raporunun Hazırlanması ve Sunumu
İç denetçi, denetlenen birimden alınan cevaplar ile bunlara ilişkin değerlendirmelerini de kapsayan
nihai raporunu, iç denetim birimi aracılığıyla üst yöneticiye sunar. İç denetim birim yöneticisi nihai
raporun ilgililere iletilmesinden sorumludur.
Raporlar üst yönetici tarafından değerlendirildikten sonra, raporda belirtilen birimlere ve strateji
geliştirme birimine gereği için gönderilir.
İç denetçi ile denetlenen birim arasında oluşacak görüş ayrılıkları üst yönetici tarafından çözülür. Üst
yönetici ile iç denetçi arasında görüş ayrılıkları olması halinde ise durum, anlaşmazlığın giderilmesine
yardımcı olmak amacıyla Kurula iletilir.
RAPOR ÇEŞİTLERİ
İç denetim faaliyetleri sonucunda ilgisine göre aşağıdaki raporlar düzenlenir:
• İç denetçiler tarafından yapılan her türlü uygunluk, performans, mali, bilgi teknolojisi ve sistem
denetimi faaliyetleri sonucunda “ Denetim Raporu ”.
• İç denetçiler tarafından danışmanlık faaliyetleri kapsamında yapılan inceleme ve araştırmalar ile
usulsüzlük ve yolsuzluk tespitine dair çalışmalar sonucunda “ İnceleme Raporu ”.
• İç Denetim Biriminin yıllık faaliyet sonuçlarını içeren “ İç Denetim Faaliyet Raporu ”.
A. DENETİM RAPORU
1. Raporlama ilkeleri
Her iç denetim faaliyeti, düzenlenecek raporla kayıt altına alınır.
Raporlamada aşağıdaki ilkelere uyulur:
• Raporda denetimin amacı, kapsamı ve elde edilen sonuçlar ile denetçi kanaati belirtilmelidir.
• Rapordaki ifadeler doğru, tarafsız, açık, özlü, yapıcı ve tam olmalıdır.
• Raporda, ilgili yöneticilerin beklentileri, algılamaları ve ihtiyaçları dikkate alınmalıdır.
• Daha önce rapor edilmiş tespit ve tavsiyeler varsa bunlara ait bilgilere raporlarda yer verilebilir. • Her raporun bir özeti düzenlenmelidir.
• Rapor sunulmadan önce tamlık, doğruluk, uygunluk ve okunabilirlik açısından gözden geçirilmelidir.
• Raporlar tespit edilen risklerin önemi ve alınacak önlemlerin ivediliği gibi konular gözetilerek idareye
değer katacak optimum bir zaman içerisinde sunulur. İşin niteliğine göre ihtiyaca hizmet edeceği
düşünülen ve zamanlama gereği öncelikle bildirilmesi gereken hususların varlığı halinde esas rapor
düzenlenene kadar ara raporlar düzenlenebilir.
• Denetçi kanaatinin oluşmasına dayanak teşkil eden belgeler rapora eklenmelidir.
• Yapılan denetimler esnasında tespit edilen iyi uygulama örnekleri raporlarda ayrı bir bölümde
gösterilmelidir.
• Raporlar denetlenen birim, üst yönetim, iç denetim birimi gibi sunulacak merciler dikkate alınarak
ihtiyaca uygun sayıda düzenlenmeli ve gönderileceği yerler dağıtım listesinde gösterilmelidir.
• Nihai raporun önemli bir hata veya eksiklik içerdiği sonradan anlaşılırsa; iç denetim birim yöneticisi,
ilgili iç denetçi tarafından yazılan düzeltilme notunu, dağıtım yapılan bütün taraflara iletmelidir.
• Denetim raporlarında, denetimin “Kamu İç Denetim Meslekî Uygulama Standartlarına uygun
yapıldığı">
B. İNCELEME RAPORU
1. İnceleme raporu düzenlenecek haller
İnceleme Raporu;
• Danışmanlık faaliyetleri kapsamında yapılan inceleme ve araştırmalar,
• Usulsüzlük ve yolsuzluk iddia ve tespitlerine ilişkin olarak yapılan incelemeler,
• Denetim programı, münferit görevlendirmeler veya iç denetçi tarafından gerek görülen hallerde
yapılan inceleme ve araştırmalar
sonucunda düzenlenen rapordur.
2. İlkeler
İnceleme raporları hazırlanırken bu standartların II-A-1 bölümünde yer alan raporlama ilkeleri
gözönünde bulundurulur. Söz konusu raporların yazımında ise II-A-2 bölümünde yer alan rapor yazım
ilkelerine uyulur.
3. Raporların kapsam ve biçimi
İnceleme raporlarının kapsam ve biçimi, rapor üzerine yapılacak işlemler ile diğer hususlar aşağıda yer
almaktadır.
a) Danışmanlık faaliyetleri sonucunda düzenlenecek rapor
İç denetim birim yönergelerinde belirtilen alanlarda ve üst yöneticinin onayıyla, tanımlanmış iş
programına uygun olarak yürütülen danışmanlık faaliyetleri sonucunda inceleme raporu düzenlenir.
Bu raporda aşağıdaki bilgilere yer verilir; • Görevin amacı, niteliği, kapsamı, danışmanlık hizmetini talep edenlerin beklentileri ve görev süresi,
• Görevin yıllık program kapsamında mı, yoksa program dışı bir talep üzerine mi yapıldığı,
• Yapılan çalışma ve analizler, kullanılan yöntemler, alınan uzman tavsiye ve yardımları,
• Görev sonucunda yapılan tespit ve değerlendirmeler ile kanaat ve tavsiyeler,
• Görev kapsamı dışında kalmakla birlikte iç kontrol, risk yönetimi ve yönetim süreçlerine ilişkin tespit
edilen ve üst yönetime bildirilmesi gerekli görülen sorunlar,
• Görev sırasında elde edilen ve daha sonraki denetimlerde değerlendirilebilecek risk ve kontrol
bilgileri,
• Genel değerlendirme ve sonuç.
Acil ve özel durumlarda ara raporlama yapılabilir. Ancak, ara rapor verilmesi, görev sonunda inceleme
raporu düzenlenmesi gereğini ortadan kaldırmaz.
Danışmanlık faaliyeti sonucunda düzenlenen raporlar iç denetim birimi aracılığıyla üst yöneticiye
sunulur.
İç denetim birimi, danışmanlık hizmeti talep edenlerle mutabık kalındığı ölçüde, görev sonuçlarını
izlemelidir.
b) Usulsüzlük ve yolsuzluk bulgularına ilişkin rapor
Denetim sırasında tespit edilen usulsüzlük ve yolsuzluklara ilişkin bulguların üst yöneticiye intikal
ettirilmesi ile iç denetim birimine intikal eden ihbar ve şikayetlerde yer alan iddiaların incelenmesi
sonucunda inceleme raporu düzenlenir.
Raporda aşağıdaki bilgilere yer verilir;
• Usülsüzlük ve yolsuzluklara ilişkin bulgular, deliller ve diğer bilgiler,
• Bilgisine başvurulanların açıklamaları,
• Usulsüzlük ve yolsuzluğun niteliği ve boyutu,
• Tespit ve değerlendirmeler çerçevesinde varılan sonuçlar, tavsiyeler, alınması gereken önlemler ve
yapılması gereken diğer işlemler,
• İnceleme konusuyla bağlantılı olarak tespit edilen ve denetim programının hazırlanmasında
değerlendirilebilecek risk ve kontrol bilgileri ile bunlara ilişkin denetçi görüşü.
Düzenlenen raporlar iç denetim birimi aracılığıyla üst yöneticiye sunulur. İç denetim birim yöneticisi
raporun ilgili diğer mercilere iletilmesinden sorumludur.
İç denetim birimi, rapor üzerine yapılan işlemleri ve sonuçlarını izler.
Suç teşkil eden fiillere ilişkin raporların yetkili mercilere sunulmasıyla ilgili olarak mevzuatta öngörülen
özel hükümler saklıdır.
c) Araştırma ve incelemelere ilişkin raporlar
Yıllık denetim programı ile program dışı münferit görevlendirmeler uyarınca veya iç denetçiler
tarafından resen yapılan inceleme ve araştırmalar sonucunda inceleme raporu düzenlenir.
İç denetçiler tarafından,
• Uluslararası standartlar ile en iyi uygulama örneklerinin incelenmesi neticesinde ulusal mevzuatın
geliştirilmesine yönelik değerlendirme ve önerilerin,
• İç denetim, risk yönetimi, iç kontrol ve yönetim süreçleri gibi konulara ilişkin mesleki ve bilimsel
çalışmaların, • Kamuda yolsuzluk ve usulsüzlüklerin önlenmesi ve ortadan kaldırılması için alınacak önlemler ve
yapılması gerekenlere ilişkin önerilerin,
ilgili mercilere iletilmesi için inceleme raporu düzenlenir.
Araştırma ve incelemelere ilişkin raporlarda aşağıdaki bilgilere yer verilir;
• Konu hakkındaki temel bilgiler,
• Araştırma veya incelemenin niteliği ve kapsamı,
• İlgili mevzuat, standart ve kriterler,
• Yapılan analizler, kullanılan yöntemler,
• Konu hakkında bilgisine başvurulanların görüş ve düşünceleri,
• Yapılan değerlendirmeler,
• Varılan sonuç ve öneriler,
• Gerek görülen diğer hususlar.
İç denetçiler, yaptıkları inceleme ve araştırmalar sonucunda düzenledikleri raporları iç denetim birimine
sunarlar. İç denetim birim yöneticisi, araştırma ve inceleme raporlarının ilgili mercilere iletilmesinden
sorumludur.
Dördüncü Bölüm
İZLEME VE DEĞERLENDİRME
A. Denetim Sonuçlarının İzlenmesi
Denetim sonuçlarının izlenmesi, Kurulca çıkarılan Kamu İç Denetim Raporlama Standartları
çerçevesinde yürütülür. Denetim sürecinin bütünlüğünü korumak açısından, denetim sonuçlarının
izlenmesine ilişkin temel hususlar aşağıda belirtilmiştir.
İç denetim faaliyeti sonucu denetçi tarafından önerilen düzeltici işlem ve tavsiyeler ilgili raporda
belirtilen süre içerisinde denetlenen birim tarafından yerine getirilir. Düzeltici işlemin
gerçekleştirilmesinin belli bir süre gerektirmesi durumunda, bu husus denetim raporuna verilen
cevapta belirtilir ve periyodik gelişmeler ilgili birimce en az altı aylık dönemler halinde iç denetim
birimine bildirilir.
Raporda belirtilen önlemlerin alınıp alınmadığı üst yönetici tarafından izlenir. Üst yönetici bu görevini iç
denetim birimi aracılığıyla da yerine getirebilir.
Denetlenen birimlerce, rapor üzerine yapılan işlemler veya işlem yapılmama gerekçeleri iç denetçiye
bildirilmek üzere iç denetim birimine gönderilir.
Hazırlanan rapor özeti, nihai rapor üzerine yapılan işlemlerle birlikte, üst yönetici tarafından raporun
kendisine sunulduğu tarihten itibaren iki ay içinde Kurula gönderilir.
İç denetim raporları, iç denetim birim yöneticisinin izni olmaksızın Kurul hariç idare dışına verilemez.
B. Denetçinin Değerlendirilmesi
Denetimin sonunda denetçinin performansı iç denetim birim yönetimi tarafından denetçi
değerlendirme formuyla (Ek:12) değerlendirilir ve bu form denetçinin kişisel dosyasında saklanır.
İKİNCİ KISIM
İÇ DENETİM UYGULAMALARI Birinci Bölüm
SİSTEM DENETİMİ
Sistem denetimi, rehberin genel çerçeve kısmında belirtilen metodolojiye uygun olarak yürütülür.
Bununla beraber, sistem denetimine özgü bazı hususlara aşağıda yer verilmiştir.
A. Tanım
Sistem, belirli unsurlardan oluşan ve bu unsurlar arasında belli ilişkiler olan bir bütün olarak
tanımlanabilir. Sistemin unsurları, son derece basit veya karmaşık olabileceği gibi, kendi başına bir
sistem oluşturabilen alt sistemler de olabilir.
Bir sistemi, girdi, süreç ve çıktı olmak üzere üç ana bölümde incelemek mümkündür. Girdiler, sisteme
dışarıdan dahil olan ve bir sürecin başlamasına yol açan unsurlardır. Örneğin hammadde, enerji ve
diğer veriler birer girdidir. Çıktı ise, hizmet, bilgi, rapor gibi sistem tarafından oluşturulan ve kullanıcıya
sunulan ürünlerdir. Girdiler tarafından tetiklenen ve çıktılara dönüşen eylemler de süreç olarak
adlandırılır. Örneğin bir ürün imalatı, bir raporun hazırlanması ve bir hizmetin sunulması gibi.
Bu bilgiler ışığında sistem denetimi, denetlenen sürecin ya da birimin (sistem) amaçlarına ulaşmasını
sağlamada iç kontrol sistemlerinin yeterlik ve etkinliğinin değerlendirilmesidir. Diğer bir ifadeyle,
denetlenen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir
yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması,
kaynakların ve uygulanan yöntemlerin yeterliğinin ölçülmesi suretiyle değerlendirilmesidir.
Kamu İç Kontrol Standartlarında tanımlandığı şekliyle iç kontrol; kontrol ortamı, risk değerlendirmesi,
kontrol faaliyetleri, bilgi ve iletişim ile izleme bileşenlerinden oluşur.
Sistem denetiminde, birim veya süreçle ilgili iç kontrolün tamamına bakılırken, performans
denetiminde faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesine yönelik kontroller, mali
denetimde ise mali sistem ve tabloların güvenilirliğinin sağlanmasına ilişkin kontroller incelenir.
Sistem denetiminde;
• Kamu gelir, gider, varlık ve yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde
yönetilmesi,
• Kamu idarelerinin kanunlara, temel politika belgelerine * ve diğer düzenlemelere uygun olarak
faaliyet göstermesi,
• Karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir rapor ve bilgi üretilmesi,
• Her türlü karar ve işlemlerde usulsüzlük ve yolsuzluğun önlenmesi,
--------------------
* Kalkınma planı ve yıllık programı ifade etmektedir.
• Varlıkların kötüye kullanımının ve israfının önlenmesi ile kayıplara karşı korunması
amacıyla oluşturulan iç kontrol sistemi bir bütün olarak değerlendirilir ve iç kontrol bileşenlerinin var
olup olmadığı incelenir.
B. Uygulama
Sistem denetiminde, denetlenecek süreç veya birimin kontrol sisteminin değerlendirilmesine
odaklanılması gerekmektedir. 1. Denetim Amaçlarının Belirlenmesi
İç denetçi ön çalışma kapsamında öncelikle, görevlendirildiği denetimin yıllık denetim programına
alınma nedenini öğrenmelidir. Gerçekleştirilecek denetim faaliyeti sonucunda beklenenlerin tam olarak
ortaya konması denetim amaçlarının belirlenmesini kolaylaştıracaktır.
2. Bilgi Toplama/Ön Araştırma
Denetimin amacı belirlendikten sonra iç denetçi, denetime konu sistem hakkında bilgi toplayarak bir ön
araştırma yapar. Bu çalışma sonucunda denetlenecek sürecin nerede başlayıp nerede bittiği ve diğer
sistemlerle ilişkisi ortaya konmalıdır.
Denetlenecek süreç ya da birimlerin iyi anlaşılabilmesi için; ilgili mevzuat, faaliyet raporları, yetki
paylaşımı ve devriyle ilgili idare tarafından hazırlanıp yürürlüğe konulan düzenlemeler ile yönetici ve
çalışanlarla yapılan görüşmeler bu aşamada kaynak olarak kullanılabilir. Birimlerde yapılacak
görüşmelerde kullanılabilecek sorgu formuna aşağıda yer verilmiştir.
• Yürütülen hizmetlerle ilgili mevcut süreçler nelerdir ve hangi alt süreçlerden oluşmaktadır?
• Süreçlerin temel önceliği nedir? Süreç tarafından üretilen çıktının değeri (parasal olan – olmayan)
nedir?
• Sürecin işleyişi ile ilgili olarak;
• Süreç nasıl işlemeye başlamaktadır? Süreci hangi talep, olay veya sistem başlatmaktadır?
• Süreç şu anda sorunsuz işlemekte midir? Sürecin işlemesine ilişkin önemli engeller nelerdir?
• Biriminiz içinde bu süreçte görev alan alt birimler hangileridir?
• Biriminiz dışında süreçler için ihtiyaç duyduğunuz temel girdiler ve bu girdileri sağlayan birimler
hangileridir?
• Bu süreçle ilgili olarak diğer birimlerden alınan bilgi ve belgelerde kritik noktalar nelerdir?
• Bu sürece ilişkin herhangi bir bilgi teknolojisi sistemi kullanılmakta mıdır?
• Sürecin çıktılarıyla ilgili olarak;
• Süreç sonunda ortaya çıkan çıktılar nelerdir?
• Bu çıktıları kimler kullanmaktadır? Bu çıktılara kimler bağımlıdır?
• Bu çıktılar kabul edilmediği zaman ilgili birim tarafından yapılan işlemler nelerdir?
• Sürecin nihai faydalanıcısı kimdir?
• Bu çıktının belirli zaman ve sürelerde oluşturulması gerekmekte midir?
• Sürecin çalışma dönemleri var mıdır?
• Süreçteki dokümantasyonla ilgili olarak;
• Sürece ilişkin dokümantasyon / teknik belgeler bulunmakta mıdır?
• Sürece ilişkin düzenlenmiş raporlar bulunmakta mıdır?
• Hedefleri başarıyla gerçekleştirmek için ne gibi ilave kaynak ve imkânların bulunması
gerekmektedir?
• Bu süreçle ilgili olarak ortaya çıkabilecek en önemli sorun nedir?
• Geçmişte bu süreçle ilgili karşılaşılan en önemli sorun nedir?
• Bir kriz anında sürecin işlemesini sağlayacak alternatifler var mıdır?
3. Riskler ve Kontrollerin Belirlenmesi ve Değerlendirilmesi
Riskler ve kontrollerin belirlenmesi ve değerlendirilmesi aşaması sistem denetiminde en kritik
aşamadır. Denetlenen birim veya süreçte uygulanan kontrollerin yeterlik ve etkinlik açısından
değerlendirilmesi için kullanılabilecek çeşitli yöntemler bulunmaktadır. Bu yöntemlerden bazılarına
aşağıda yer verilmiştir.
İş Akış Şemaları: Sistemin tanınmasında ve sınırların belirlenmesinde de kullanılan iş akış şemaları
aynı zamanda sistem içinde tıkanma yaşanan noktaların, görevler ayrılığı ilkesine uyulmayan
durumların ve aynı işin birden fazla yerde tekrar edilmesi gibi kontrol zayıflıklarının belirlenmesine ve
süreçlerdeki kritik kontrol faaliyetlerinin ortaya çıkarılmasına yardımcı olur. Kontrollere İlişkin Açıklamalar : Süreç veya birim hakkında detaylı bilgisi olan kişilerin sisteme
ilişkin açıklamaları, denetçinin iç kontrol sistemini değerlendirmesi için önemli bilgi kaynaklarından
biridir. Ayrıca birimle ilişki içinde olan idare dışındaki ilgililer de kontrol zayıflıklarına ilişkin faydalı
bilgiler sunabilir. Ancak alınan bilgilerin herhangi bir önyargı taşımaması ve tarafsız olmasına dikkat
edilmelidir.
İç Kontrol Sorgu Formu: İç kontrolün değerlendirilmesinde bir başka yöntem de, daha önce
hazırlanmış iç kontrol sorgu formları kullanılarak sorumlu personelden kontroller hakkında detaylı bilgi
alınmasıdır. Sorgu formları, olumsuz bir yanıtın olası bir zayıflığı ve riski ortaya çıkarmasına yönelik
hazırlanır. Olumsuz bir yanıtla karşılaşan denetçi, bu riske karşı olması gereken kontrollerin mevcut
olup olmadığına bakar. İç kontrol bileşenlerinden kontrol ortamının değerlendirilmesiyle ilgili örnek bir
sorgu formu ekte (Ek:13) yer almaktadır. İç kontrol sorgu formları denetimin sistematik bir şekilde
yapılmasına imkân sağlayan bir araçtır.
Risk ve Kontrol Değerlendirme Matrisleri: Bu yöntemde birim veya sürecin iç kontrol sistemi risk
odaklı bir biçimde ele alınır ve risklerle uygulanan kontroller birlikte değerlendirilir. Örnek olarak bir
idaredeki hukuk müşavirliğiyle ilgili risk ve kontrol matrisine ekte (Ek:14) yer verilmiştir.
Yukarıdaki yöntemlerden denetçinin uygun göreceği bir veya birkaç yöntem birlikte uygulanabilir.
Kontroller üst ve orta/alt olarak 2 ayrı düzeyde ele alınabilir. Üst düzey kontroller, idare düzeyinde
belirlenen ve uygulanan kontrollerdir. Orta ve alt düzeydeki kontroller ise birim/süreç bazında
tasarlanan ve uygulanan kontrollerdir.
I. Üst düzey kontroller;
• Amaç ve hedefler,
• Plan ve prosedürler,
• Yetkilendirme,
• Organizasyon,
• Performans kriterleri,
• Görev ve sorumluluklar,
• Etkin iletişim ve raporlama,
• Yeterli insan kaynağı,
• Yönetim felsefesi ve idare tarzı,
• Etik değerler.
• II. Orta/ alt düzey kontroller;
• Amaçlara ulaşımın izlenmesi,
• Sürekli değerlendirme,
• Çalışanların performansının izlenmesi,
• Bütçe, muhasebe ve mali kontroller,
• Kontrollerin değerlendirilmesi,
• Yenileme ve güncellemeler,
• Yetkilendirme ve onaylama,
• Görevler ayrılığı,
• Fiziki kontroller,
• Tam ve güvenilir kayıt sistemi,
• Dokümantasyon ve arşiv sistemi.
Üst düzey kontroller, orta ve alt düzeydeki kontrollerin işleyişini de etkilediğinden, denetçi ilk olarak üst
düzey kontrollerin işleyişini incelemeli, daha sonra orta ve alt düzey kontrolleri değerlendirmelidir.
Kontrollerle ilgili değerlendirme yapılırken öncelikle kontrollerin belirtildiği şekliyle işleyip işlemediği
incelenmelidir. Bunun için başlangıç aşamasından son aşamaya kadar bir kontrolün nasıl işlediği yerinde izlenmelidir. Denetçi bu izleme esnasında çalışanlara; görevlerini yerine getirirken hangi
noktalara dikkat ettiklerini, bir hata tespit ettiklerinde ne yaptıklarını, genellikle hangi tür hatalarla
karşılaştıklarını sorarak uygulanan kontrolle ilgili detaylı bilgi edinir.
İç kontrol siteminin sağlıklı bir şekilde işleyip işlemediğine ilişkin kritik değerlendirmeler, denetim
testlerinin uygulanma aşamasından önce tamamlanır. Bir anlamda denetim testleri, bu değerlendirme
sonucunda varılan sonuçların doğru olup olmadığını teyit etmek için yapılır. Bununla birlikte
kontrollerin değerlendirilmesi, denetim boyunca devam eden bir süreçtir. Diğer bir ifadeyle, saha
çalışması sırasında uygulanan denetim testleri sonuçlarına göre, gerektiğinde kontrollerin etkinliği
tekrar gözden geçirilmelidir.
İkinci Bölüm
UYGUNLUK DENETİMİ
Uygunluk denetimi, rehberin genel çerçeve kısmında belirtilen metodolojiye uygun olarak yürütülür.
Bununla beraber, uygunluk denetimine özgü bazı hususlara aşağıda yer verilmiştir.
A. Uygunluk Denetiminin Tanımı ve Kapsamı
Uygunluk denetimi iki bileşenden oluşmaktadır. Bunlar;
1- İdarenin harcamalarının ve mali işlemlere ilişkin karar ve tasarruflarının amaç ve politikalara,
kalkınma planına, yıllık programlara, stratejik plana ve performans programına uygunluğunun
denetlenmesi ve değerlendirilmesi,
2- İdarenin harcamalarının ilgili kanun, tüzük, yönetmelik ve diğer mevzuata uygunluğunun harcama
sonrasında denetlenmesidir.
Uygunluk denetimi, idarenin tüm birimlerini kapsar.
B. Uygunluk Denetiminde Kriterler
Uygunluk denetiminde ele alınacak kriterler aşağıdaki gibi sıralanabilir;
• Anayasa ile ilgili kanun, kanun hükmünde kararname, tüzük, yönetmelik ve tebliğler,
• Kalkınma planı, yıllık programlar, stratejik plan ve performans programı,
• Yönetim tarafından belirlenen yönergeler,
• Yönetim tarafından belirlenen veya kabul edilen iş ve işlem prosedürleri,
• Yönetim tarafından alınan kararlar,
• İdarenin giriştiği sözleşme ve taahhütlere ilişkin hükümler.
C. Uygunsuzluğun Sonuçlarının Saptanması
Belirlenen kriterlere uygunsuzluğun saptanması durumunda iç denetçi; uygunsuzlukla ilgili olanlar,
uygunsuzluğun sebepleri ve sonuçlarını belirler.
Uygunsuzluğun “kamu zararı”na yol açtığının tespiti halinde, denetçi seçtiği örneklem büyüklüğü
kapsamında bu zararı da tespit eder. İşin niteliği gereği, uzmanlık gerektirmesi nedeniyle kamu
zararının tespit edilemediği durumlarda, denetçi olayda kamu zararının doğduğunu ancak belirtilen
nedenlerle hesaplanamadığını raporunda açıklar.
Kamu zararının belirlenmesi ve raporlanmasında, 19 Ekim 2006 tarihli ve 26324 sayılı Resmî Gazetede
yayımlanan “Kamu Zararlarının Tahsiline İlişkin Usul ve Esaslar Hakkında Yönetmelik” ile 27 Haziran
1983 tarihli ve 83/6510 sayılı Bakanlar Kurulu Kararıyla yürürlüğe konulan “Devlete ve Kişilere
Memurlarca Verilen Zararların Nevi ve Miktarlarının Tespiti, Takibi, Amirlerinin Sorumlulukları, Yapılacak Diğer İşlemler Hakkında Yönetmelik”, diğer ilgili mevzuat ve idarelerin bu konudaki kendi
mevzuatı dikkate alınır.
Uygunsuz işlem neticesinde kişilerin hak kaybına uğraması durumunda, iç denetçi, bu hususu da
ortaya koyar.
D. İç Kontrolün Değerlendirilmesi
Uygunluk denetimi kapsamında elde edilen sonuçlar çerçevesinde, denetlenen birim veya sürece ilişkin
oluşturulan iç kontrollerin etkinliği ve yeterliliği de değerlendirilir. Bu çerçevede, iç kontrollerin
mevzuata ve ilgili diğer düzenlemelere uyumu sağlamadaki başarısı ortaya konulur.
E. Uygunsuzlukların Raporlanması
Uygunluk denetimi sonucunda elde edilen bulgular, sorunların giderilmesine yardımcı olacak ve bu
konuda oluşturulan kontrollerin iyileştirilmesine yönelik önerilerle birlikte ilgili makamlara raporlanır.
Uygunsuz işlemlerin, hile, suistimal ve yolsuzluk gibi durumlarla ilgili olması halinde; konuya ilişkin
tespitler Kamu İç Denetim Raporlama Standartları uyarınca raporlanır.
Üçüncü Bölüm
MALİ DENETİM
Mali denetim; gelir, gider, varlık ve yükümlülüklere ilişkin hesap ve işlemlerin doğruluğunun, mali
sistem ve tabloların güvenilirliğinin değerlendirilmesidir.
Mali denetim, rehberin genel çerçeve kısmında belirtilen metodolojiye uygun olarak yürütülür. Bununla
beraber, mali denetime özgü bazı hususlara aşağıda yer verilmiştir.
A. Ön Çalışma
1. Mali Tabloların Anlaşılması
Mali tablolar, mali denetimde odak noktadır. Mali tabloların hazırlanması ile ilgili sistemin, hesaplar ve
mizan arasındaki ilişkinin kavranması gereklidir. Bu amaçla, mali tablolarda yer alan kalemler
arasındaki ilişkiler ve bunların zaman içinde göstermiş oldukları eğilimler aşağıdaki yöntemler
kullanarak incelenebilir.
Olasılık (Senaryo) Analizi: Tek bir değişkenin değerindeki değişmeler yerine, bütün değişkenlerin
değerlerinin iyimser, kötümser ve ikisinin ortalaması olmak üzere tahmin edilmesidir.
Oran Analizi: Mali tablolarda yer alan kalemler arasındaki oransal ilişkilere dayanan analiz tekniğidir.
Regresyon Analizi: İki ya da daha fazla değişkenin arasındaki ilişkiyi açıklamak ve güçlü bir
bağlantının bulunması halinde olası sonuçları tahmin etmek için kullanılan bir model oluşturma
tekniğidir.
Trend Analizi: Bir idarenin farklı tarihlerdeki iki veya daha fazla mali tablolarının karşılaştırılması, her
hesap veya hesap grubunda meydana gelen değişiklikler ile bunların trendlerinin saptanması ve
yorumlanmasıdır.
Çok Değişkenli Analizler: Birkaç değişken arasındaki ilişkiyi incelemek amacıyla kullanılan; ana
bileşenler analizi, faktör analizi, küme analizi ve ayırıcı analizler gibi bir dizi istatistiksel tekniği içeren
model oluşturma tekniğidir. 2. Hesap Alanlarına Ayırma
Mali tablolar, içerdiği bilgileri nasıl sunduğuna dayalı olarak hesap alanlarına ayrılır. Mali tablolar,
benzer temel özelliklere ve işlem akışlarına sahip borç, alacak ve varlık hesap alanları itibariyle analiz
edilmelidir. Denetçi, her bir hesap alanı açısından uygun bir denetim yaklaşımı benimsemeyi amaçlar.
Hesap alanları benzer kontrollere ya da risklere tabi işlem türlerinden oluşur. Denetçi hesap alanlarını
belirlemek için mesleki birikiminden yararlanır. Denetçi, gereğinden az ya da fazla hesap alanı
belirlemeden kaçınmalıdır. Hesap alanları belirlenmesinde; önemli işlem türleri, muhasebe ve mali
raporlama süresi, muhtelif işlem türlerindeki risk ve hataya olan doğal eğilim, idare tarafından
uygulamaya konulan kontrol önlemleri göz önünde bulundurulur.
3. Önemlilik Seviyesinin Tespiti
Önemlilik seviyesinin tespiti, hangi miktardaki hata ya da yanlışların mali tabloların güvenirliğini ve
doğruluğunu zedeleyeceğine karar verilmesidir. Bir bilginin, mali tablolara dahil edilmemesi veya yanlış
ifade edilmesi alınacak kararları etkileyebilir. Bilginin etkileme düzeyi mali tablolar açısından önemlilik
düzeyinin temel göstergesidir. Denetçinin, hataların önemlilik düzeyinin mali tablolara yansıyıp
yansımadığını değerlendirmesi zorunludur.
4. Risklerin Belirlenmesi
İdare üzerindeki baskılar, personelin deneyimi ve uzmanlığı, muhasebe sistemlerinin güvenilirliği,
organizasyonun istikrarsızlığı üst düzey risklere örnektir. Karmaşık düzenlemeler, ödemelerin mal ve
hizmetler karşılığı olmaktan ziyade bildirimler karşılığı olması, normal akış dışındaki işlemler, tahmini
işlemler, dönem sonu işlemleri orta ve alt düzey risklere örnek verilebilir.
B. Saha Çalışması
1. Kanıtların Toplanması
Denetçi çeşitli denetim tekniklerini kullanarak gerekli kanıtları toplar. Kanıt elde etmek için mali
denetimde sıkça kullanılan denetim tekniklerine aşağıda yer verilmiştir.
Envanter ve Sayım: Fiili durum ile kayıtların karşılaştırılmasıdır. Sayım işlemi ve envanter çıkarılması
ile idarenin kayıtlarında görülen fiziki varlıkların gerçekte var olup olmadığı, bu varlıkların idareye ait
olup olmadığı ve kurum mülkiyetinde bulunan varlıkların kayıtlara geçirilip geçirilmediğinin tespiti
yapılır.
Kayıt Sisteminin Yeniden Kontrolü: Örneklemeler yoluyla kaynak belgelerin seçilmesi, bu
belgelerden hareketle muhasebe kayıt ortamında ileriye doğru giderek, incelenen konu ile ilgili
muhasebe kayıtlarının doğruluğunun araştırılmasıdır.
Yeniden Hesaplama: İdare tarafından yapılmış olan aritmetik hesaplamaların denetçi tarafından
doğrulanmasıdır.
Belge İncelemesi: Belgelerin içeriğinin ve kayıtlara uygunluğunun araştırılmasıdır. Belgenin varlığı,
gerçekliği ve doğruluğu incelenir. Şekil ve içerik incelemesi yapılır, belgelerin içeriğinin yapılan işle
uyumlu olup olmadığına bakılır.
2. Muhasebe Verilerinin Doğruluğunun Değerlendirilmesi
Denetçi, idarenin; nakit sistemi, alacakları, stokları, maddi duran varlıkları, maddi olmayan duran
varlıkları, borçları, öz sermayesi ve gelir tablosunun doğruluğunu önemlilik seviyesi çerçevesinde
değerlendirmelidir. Muhasebe verilerinin doğruluğunu test etmek için aşağıdaki prosedürler
izlenmelidir; • Hesaplarda kayıtlı işlemlerin gerçekte var olup olmadığına bakmak,
• Var olduğu anlaşılan işlemlerin tamamının hesaplara aktarılıp aktarılmadığını incelemek,
• İşlemlerin hesaplara doğru tutarları ile aktarılıp aktarılmadığını kontrol etmek,
• İşlemlerin doğru hesaplara kaydedilip edilmediğine bakmak,
• İşlemlerin hesaplara kaydedilmesinde dönemsellik ilkesine riayet edilip edilmediğini incelemek,
• Hesaplara kaydedilen işlemlerin mali tablolara tam ve doğru olarak aktarılıp aktarılmadığını
kontrol etmek.
C. İç Kontrolün Değerlendirilmesi
Mali denetim kapsamında elde edilen sonuçlar çerçevesinde, denetlenen birim veya sürece ilişkin
oluşturulan iç kontrollerin etkinliği ve yeterliliği de değerlendirilir. Bu çerçevede, iç kontrollerin hesap
ve işlemlerin doğruluğunu, mali sistem ve tabloların güvenilirliğini sağlamadaki başarısı ortaya konulur.
Mali denetimde Sayıştay tarafından yayınlanan Mali Denetim Rehberi ile Sermaye Piyasası Kurulunca
yayınlanan Bağımsız Denetim Standartlarından da yararlanılabilir.
Dördüncü Bölüm
PERFORMANS DENETİMİ
Performans denetimi, kamu idarelerinin ya da bu idarelerin belirli faaliyet, program ya da projelerinin
verimlilik, ekonomiklik ve etkililik ilkeleri açısından objektif ve sistematik olarak incelenmesidir.
Performans denetimi, rehberin genel çerçeve kısmında belirtilen metodolojiye uygun olarak yürütülür.
Bununla beraber, performans denetimine özgü bazı hususlara aşağıda yer verilmiştir.
A. Performans Denetiminin Tanımı, Amacı, Kapsamı ve İşlevi
Performans denetimi, yönetimin bütün kademelerinde gerçekleştirilen faaliyet ve işlemlerin
planlanması, uygulanması ve kontrolü aşamalarındaki etkililiğin, ekonomikliğin ve verimliliğin
değerlendirilmesidir.
Performans denetiminin amacı, tahsis edilen beşeri, mali ve teknolojik kamu kaynaklarının etkili,
ekonomik ve verimli bir surette parasal değerlerine uygun olarak kullanılıp kullanılmadığının objektif
olarak incelenip değerlendirilmesidir. Diğer bir ifadeyle, kullanılan kaynakların denetlenen birimin amaç
ve hedeflerine uygunluğunun, elde edilen çıktılarla orantılı olup olmadığının denetlenmesidir.
Performans denetimi;
• Kurumsal amaçlara maliyet-etkin yöntemlerle ulaşılması,
• Hizmetlerin daha iyi kalitede sunulması,
• Yönetim ve organizasyon süreçlerinin geliştirilmesi,
• Kaynak kullanımında tasarruf sağlanması,
amacıyla yapılması gereken iyileştirmeler konusunda yol gösterir.
Performans denetimleri aracılığıyla iç denetçi, kamuda hesap verme sorumluluğunun
güçlendirilmesine, kamu hizmetlerinde kalitenin artırılmasına, planlama ve kontrol faaliyetlerinin
geliştirilmesine, kamu idarelerinin amaçlarına ulaşmasında ve kaynak kullanımında etkililik, verimlilik ve
ekonomikliğin sağlanmasına yardımcı olur.
Performans denetiminin esas unsurlarını oluşturan etkililik, verimlilik ve ekonomiklik kavramları kısaca
şu şekilde açıklanabilir. Etkililik, hedeflere ulaşma derecesine ilişkin olup, istenilen etki ile gerçekleşen etki, bir başka ifadeyle,
amaçlar ve çıktılar ile sonuçlar arasındaki ilişkiyi ifade eder. Etkililik denetimi, kurumsal amaçlara
ulaşılıp ulaşılmadığını ve bu amaçlara ulaşmak için izlenen politikaların başarısını sorgular.
Verimlilik, kurum faaliyetlerinde kullanılan girdilerin sabit kalması koşuluyla belirli bir kalitede en fazla
mal veya hizmetin sunumu ya da belirli bir miktar ve kalitedeki mal ve hizmeti sunmak için en az
miktarda girdi kullanılmasıdır. Kurum faaliyetlerinin verimliliği, beşeri, mali ve diğer kaynakların
kullanımında; bilişim sistemleri, performans ölçütleri, gözetim ve iç kontrol sistemlerinin de incelenmesi
suretiyle denetlenir.
Ekonomiklik, uygun düzeydeki kaliteyi de gözeterek, bir faaliyette kullanılan kaynakların maliyetinin en
aza indirilmesidir. Bir başka deyişle, en uygun girdinin en iyi fiyata temin edilmesidir.
Performans denetiminin kapsamı sürekli genişlemekte, bu üç ana unsura yeni unsurların ilave
edilmesiyle içeriği ve işlevleri zenginleşmektedir. Bu gelişme alanlarının başlıcaları çevre, eşitlik ve
etiktir.
Önemli bir kamu kaynağı olarak algılanan ve küresel kamu malları arasında ilk sırada yer alan çevrenin
de, belirli kurallar çerçevesinde ve sürdürülebilir bir yaklaşımla kullanılması gereği, performans
denetimlerinde çevrenin ayrı ve önemli bir unsur olarak ele alınmasını kaçınılmaz kılmıştır.
Eşitlik ilkesi, kamu kaynaklarının kullanımında adil ve tarafsız olmaya ilişkin olup, yönetimin
hakkaniyete uygun ve yansız davranmasını, ayrım gözetmeksizin hedef grupların
çıktılardan/hizmetlerden eşit şekilde yararlanması ya da bu çıktılardan/hizmetlerden dolayı üretilen
faydaya herkesin ulaşmasını hedefler.
Kamu kaynaklarının yönetiminde etik , kişisel davranışlarda doğruluk ve dürüstlük ilkelerine riayet
edilmesini ve kamu idarecilerinin görev bilinci ile hareket etmelerini içerir. Performans denetiminin bir
unsuru olarak etik ise; yönetim tarafından kamu görevlilerinin kamu fonlarını dürüst biçimde
kullanmalarını güvence altına alacak prosedürler oluşturulup oluşturulmadığının ve kamu görevlilerinin
göreve bağlılıkları, güvenilirlik ve başarı için motive edilmiş olup olmadıklarının değerlendirilmesini
içerir.
B. Performans Göstergeleri
Performans göstergeleri farklı şekillerde sınıflandırılmakla birlikte, yaygın olan sınıflandırmaya göre beş
tür performans kıstası bulunmaktadır. Bunlar;
1) Girdi kıstasları (kullanılan kaynaklar),
2) Çıktı kıstasları (tamamlanan faaliyetler),
3) Sonuç kıstasları (ulaşılan sonuçlar),
4) Verimlilik göstergeleri (kaynakların ne kadar iyi kullanıldığı) ve
5) Kalite göstergeleri (hizmet kalitesi)
olarak sayılabilir.
C. Performans Göstergeleri ve Performans Denetimi İlişkisi
Performansın üç boyutunun, yani verimlilik, etkililik ve ekonomikliğin sağlanması yönetimin
sorumluluğundadır. Performans denetiminde denetçinin görevi, bu sorumluluğun yerine
getirilmesindeki başarı derecesinin/performansın incelenmesi, değerlendirilmesi ve sonucun rapor
edilmesidir. Bu itibarla, kurumun yönetim sorumluluğu çerçevesinde yaptığı performans
değerlendirmeleri (iç değerlendirmeler) ile performans denetimleri birbirinden ayrıdır. Performans
denetimlerinde kurumun performans ölçüm sisteminin yeterliliği ve etkinliği de değerlendirilir. Ayrıca,
performans denetimi kapsamında denetlenen kurumun, faaliyetlerinde verimlilik, etkililik ve ekonomiklik ilkelerine riayet edip etmediğinin tespit edilebilmesi bu konuda çeşitli performans
ölçümlerinin yapılmasını gerektirmektedir.
Kamu kesiminde üretilen mal ve hizmetlere ilişkin her programın mümkün olduğunca bağımsız ve
anlamlı bir nihai çıktısının/sonucunun olması ve bunların ölçülmesi gerekmektedir. Ölçümlerde her
programa uygun kriterlerin belirlenmesi ve elde edilen sonuçların bu kıstaslarla değerlendirilmesi
gerekmektedir.
Performans standartları olarak da adlandırılan ölçüm kıstasları, yönetimin ve denetçilerin
gerçekleşen/fiili performansın ölçülebildiği ve değerlendirilebildiği referans noktalarıdır. Performans
denetimleri kapsamında; verimlilik, etkililik, ekonomiklik ve hizmetin kalitesine yönelik kıstaslar
çerçevesinde performans ölçümleri yapılır.
D. Denetim Konularının Seçimi
Konu seçiminde, performansa ya da iyi yönetime ilişkin risklerin en yüksek ve değer katma
potansiyelinin en fazla olduğu alanlara odaklanılmalıdır. En uygun konuların seçilebilmesi, kurumun
faaliyetlerinin ve bu faaliyetlerin gerçekleştiği çevrenin önemli yönlerinin de bilinmesini gerektirir. Bu
da temel olarak idarenin;
• Hukuki çerçevesi ve faaliyette bulunduğu ortamı,
• Mevzuatında ve stratejik planında yer alan amaçları, faaliyetleri ve hedefleri,
• Stratejik plan ve performans programında yer alan performans göstergeleri,
• Teşkilat yapısı, işleyişi ve yerleşim düzeni,
• Gelirleri, harcamaları, varlıkları ve kaynakları,
• Sayı ve nitelik bakımından sahip olduğu insan kaynakları,
• Raporlama yükümlülükleri, raporlanmış performansı ve denetim raporları,
• İş planları
hakkında bilgilenmeyi gerektirir.
İdare ve her bir biriminin temel fonksiyonları, sahip olduğu kaynakları, yürüttüğü başlıca program,
proje ve faaliyetleri içeren ve sürekli güncellenen bir bilgi bankasının oluşturulması, denetimlerin diğer
aşamalarında olduğu gibi, konu seçiminde de büyük yarar sağlayacaktır.
Riskli alanların tespitinde kesin göstergeler bulunmamakla birlikte, bazı faktörler riskin varlığına işaret
edebilir, örneğin;
• Denetlenen birimle ilgili mevzuatta veya stratejik planda ortaya konulan temel amaç ve hedeflere,
performans programında yer alan performans göstergeleri içerisinde ağırlık verilen faaliyetlere ve
denetlenen birime yıllık programlarda verilen görevlere aykırılık teşkil edecek mahiyette kaynak tahsisi,
• Bir faaliyete tahsisli mali kaynakların veya bütçe ödeneklerinin miktarlarında yıllar itibariyle önemli
değişiklikler olması,
• Önemli tutarda idarecinin takdir yetkisinin yüksek olduğu harcamaların (yılsonu harcamaları, temsil
ve ağırlama ile seyahat giderleri gibi) bulunması,
• Hizmet kalitesiyle ilgili yakınmaların ya da davaların çok olması,
• İç kontrol sistemlerinin uygun bir şekilde yapılandırılmamış olması,
• Rekabetçi niteliği zayıf ortamda yürütülen faaliyet ve sözleşmelerin bulunması, • Geleneksel olarak riskli kabul edilen alanların (satın alma, teknoloji, çevre sorunları, sağlık vb.)
bulunması,
• Yeni ya da acilen yürütülmesine (özellikle doğal afetler nedeniyle) ihtiyaç duyulan faaliyetlerin veya
koşulları değişen alanların var olması,
• Yönetim süreçlerinin karmaşık olması ve yetki-sorumluluk ilişkilerinin belirgin olmaması,
• Daha önce düzenli bir incelemeye konu edilmemiş alanların bulunması,
• Yürütülen projelerde önemli maliyet artışları ya da başarısızlıkların yaşanması.
Bu göstergelere göre belirlenmiş performans denetimi konuları, yine risk odaklı bir yaklaşımla ve
önemlilik faktörü de dikkate alınarak öncelik sıralamasına tabi tutulmalıdır. Bu sıralamada aşağıdaki
hususlar dikkate alınabilir;
• Denetlenen birimin faaliyetlerinin, ilgili mevzuatta veya stratejik planlarda yer alan amaç ve
hedeflere uygunluğu ve performans programında belirlenen göstergelerle tutarlılığı,
• Programın/faaliyetin, idarenin amaçları ve ülke menfaatleri açısından taşıdığı önem,
• Malî önemlilik,
• Performans riskleri,
• Denetimin muhtemel etkisi,
• Daha önce denetim yapılmamış olması.
E. Denetim Kriterlerinin Belirlenmesi
Denetim kriterleri; sistemlerin ve süreçlerin yeterliliğinin, faaliyetlerin verimliliğinin, etkililiğinin ve
ekonomikliğinin kıyasen değerlendirildiği mantıksal ve gerçekçi performans ve kontrol standartlarıdır.
Performans denetimlerinde genel geçer denetim kriterleri bulunmamaktadır. Her denetim görevi için,
kurumun yapısı, görevleri, amaçları, hedefleri gibi hususlar göz önünde bulundurularak çeşitli
göstergeler oluşturulabilir ve denetimler bu çerçevede yürütülür. Denetçi, denetim kriterlerini
belirlerken, idare tarafından stratejik plan ve performans programlarında belirlenmiş performans
göstergeleri ile performans ölçümünde kullanılan göstergeler olan; girdi, çıktı, sonuç, verimlilik ve
kalite kıstaslarını kullanır.
Performans denetimi niteliği gereği çok fazla yargı içerebilir. Bu yargıların, idarenin kendine has
özellikleri göz önüne alınarak her bir denetim görevi için oluşturulması beklenir. Örneğin; yönetim
kalitesi, çalışan elemanların yetenekleri, uygulanan program ve proje türleri, kaynakların yeterliliği,
faaliyet ve işlemler üzerindeki kısıtlamaları da kapsayan ilgili hukuki ve idari düzenlemeler, idarenin
özellikleri olarak bu değerlendirmede dikkate alınabilir.
Denetim kriterlerinin oluşturulmasında yararlanılabilecek başlıca kaynaklar şunlardır;
• Denetlenecek birimle ilgili kanuni ve idari düzenlemeler ile kalkınma planı ve yıllık programların ilgili
bölümleri,
• Stratejik plan ve performans programındaki performans göstergeleri ile denetlenen birim tarafından
geliştirilen diğer performans göstergeleri,
• İyi uygulama örnekleri ile yapılan karşılaştırmalar,
• Mesleki standartlar, • Daha önceki benzer denetimlerde ya da diğer iç denetim birimleri ve Sayıştay tarafından kullanılmış
olan kriterler,
• Benzer faaliyetleri yürüten ya da benzer programları olan kuruluşlar,
• Bilimsel araştırma sonuçları ve bağımsız uzman görüşleri ve ilgili literatür.
Denetim kriterlerinin, denetim çalışması ile cevapları aranacak sorular şeklinde formüle edilmesi uygun
bir yöntemdir. Bu soruların belirlenmesi, denetimin planlanması safhasının en önemli kısmıdır.
Performans denetimlerinde yaygın olarak kullanılan sorulara aşağıdaki örnekler verilebilir :
• Kaynak tahsis edilen alan ve faaliyetler idarenin amaç ve hedefleriyle ilişkili midir?
• Harcama ile hedeflenen sonuca farklı bir harcama alternatifiyle daha verimli bir şekilde ulaşılması
mümkün müdür?
• Tedarik süreçlerinde yeterli rekabet sağlanmakta mıdır?
• Uygulanan politikalar kamu kaynaklarının ekonomik kullanımını sağlamakta mıdır?
• Sunulan hizmetler kaliteli ve kullanıcı odaklı mıdır?
• Uygulanan program ya da proje amaçlarını karşılamakta mıdır?
Performans denetimlerinde bir ana soru ve bu ana soru ile bağlantılı olarak 7'den fazla olmayan,
tercihen 5 ya da daha az sayıdaki temel soruya cevap aranmaya çalışılmalıdır. Bu sınırlandırma,
denetçilerin temel sorunlara odaklanmasını sağlayacaktır. Bu bağlamda ana soru, yeterli, uygun ve
güvenilir denetim kanıtları temelinde cevabı alınabilen, denetlenen faaliyet, proje ya da programın
ekonomik, verimli ve etkili yönetilip yönetilmediğini ölçecek ve denetçinin geliştireceği öneriler yoluyla
değer katmasına imkan sağlayacak nitelikte bir soru olmalıdır.
Bu soru, kriterlerin formüle edilmesine ve ihtiyaç duyulan kanıtların tanımlanması, elde edilmesi ve
analiz edilmesine imkan verecek şekilde 3 ile 5 arasında (2'den az, 7'den fazla olmamak üzere) alt
soruya ayrılmalıdır. Bu soruların her birisi de, aynı şekilde daha alt sorularla ayrıntılandırılabilir.
Denetim soruları “evet” veya “hayır”, ya da “evet fakat…”, “hayır fakat…” şeklinde cevaplanabilir
nitelikte olmalıdır. Bu da denetlenmek istenen sorun alanının net bir şekilde tarif edilmesini
sağlayacaktır. Alt soruların denetimin amaçları ile bağlantılı olması ve kendi içlerinde mantıksal bir sıra
izlemesi de önemlidir.
Örneğin, bir idaredeki tedarik sürecinin performansını denetlemek amacıyla yürütülen bir çalışmada
ana soru; “Tedarik süreçleri verimli bir şekilde yönetilmekte midir?” şeklinde olabilir. Buna ilişkin 4 alt
soru şu şekilde belirlenebilir:
(1) Satınalma öncesinde ihtiyaç analizleri sağlıklı bir şekilde gerçekleştirilmekte midir?
(2) Tedarik süreçlerinde rekabet koşulları yeterince sağlanmakta mıdır?
(3) Satınalmalara ilişkin şartname ve sözleşmeler uygun kalitede mal ve hizmet alımını güvence altına
alacak nitelikte midir?
(4) Satınalınan mal ve hizmetlerden amaçlanan faydanın elde edilmesi konusunda ilgili firmanın
yükümlülüklerini yerine getirmesini sağlayacak mekanizmalar işletilmekte midir?
Bu soruların da her biri alt sorularla ayrıntılandırılabilir. Örneğin ikinci soruda araştırılması hedeflenen
rekabet şartlarının oluşup oluşmadığı hususu, yeterli ölçüde duyuru ya da ilan yapılıp yapılmadığı,
duyurularda ihale konusunun ve şartlarının şeffaf ve anlaşılır bir şekilde yer alıp almadığı, gerektiğinde
yeterli sayıda firmaya davetiye gönderilip gönderilmediği, başvurular hakkında gizlilik ve güvenlik
gereklerine riayet edilip edilmediği gibi alt araştırma soruları ile daha detaylı bir şekilde ortaya
konulabilir. Yine bu sorular da, ihtiyaç duyulması halinde daha alt sorularla detaylandırılabilir. Bu şekilde gövdesi “ana soru”dan oluşan ve dalları aşağıya doğru genişleyen bir “soru ağacı” oluşturulmuş
olur.
F. İç Kontrolün Değerlendirilmesi
Performans denetimi kapsamında elde edilen sonuçlar çerçevesinde, denetlenen birim veya sürece
ilişkin oluşturulan iç kontrollerin etkinliği ve yeterliliği de değerlendirilir. Bu çerçevede, iç kontrollerin
kamu idarelerinin ya da bu idarelerin belirli faaliyet, program ya da projelerinin etkili, ekonomik ve
verimli bir şekilde yönetilmesini sağlamadaki başarısı ortaya konulur.
Performans denetiminde Sayıştay tarafından yayınlanan Performans Denetimi Rehberinden de
yararlanılabilir.
Beşinci Bölüm
BİLGİ TEKNOLOJİSİ DENETİMİ
Bilgi teknolojisi; bilginin toplanmasında, işlenmesinde, depolanmasında, ağlar aracılığıyla bir yerden bir
yere iletilmesinde, kullanıcıların hizmetine sunulmasında ve yönetilmesinde yararlanılan yazılım ve
donanım teknolojilerini kapsayan bir bütündür.
Bilgi teknolojisi denetimi; idarenin amaçlarına ve kontrol hedeflerine ulaşmasına yönelik olarak bilgi
sistemlerinin ve bu sistemlere ilişkin kontrollerin yeterliliği hakkında, nesnel bir güvence sağlamak
amacı ile bilgi teknolojisi sistemlerinin incelenmesi, gerekli kanıtların toplanması, değerlendirilmesi ve
sonuçların raporlanması sürecidir. Bu çerçevede denetçi, mevcut bilgi teknoloji kontrollerini; etkililik,
etkinlik, gizlilik, bütünlük, doğruluk, erişilebilirlik, uygunluk ve güvenilirlik kriterleri çerçevesinde
değerlendirilir.
Bu denetim, Kurul tarafından bu rehbere ek olarak hazırlanan Bilgi Teknolojileri Denetimi Rehberi
uyarınca yapılır.
Söz konusu Rehber yayınlanana kadar Uluslararası İç Denetçiler Enstitüsü (IIA), Asya Sayıştaylar Birliği
(ASOSAI) ve Bilgi Sistemlerinin Denetim ve Kontrolü Birliği (ISACA) gibi uluslararası mesleki
kuruluşlarca yayınlanmış rehberler esas alınarak bilgi teknolojisi denetimi yapılabilir.
