2000 - İç Denetim Faaliyetinin Yönetimi
İç denetim birimi başkanı, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır.
2010 - Planlama
İç denetim birimi başkanı, idarenin hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esaslı planlar yapmak zorundadır.
2010.G1 - İç denetim planı, en az yılda bir kez yapılan yazılı bir risk değerlendirmesine dayanmak zorundadır. Üst yönetici ile üst düzey yöneticiler bu sürece dâhil edilerek görüşleri alınmak zorundadır.
2010.G2 - İç denetim birimi başkanı, üst düzey yöneticilerin görüş ve kanaatlerini almak, beklentilerini göz önünde bulundurmak zorundadır. Ayrıca, iç denetim planının hazırlanmasında, idarenin Stratejik Planı ile Kamu İç Denetimi Strateji Belgesinin dikkate alınması zorunludur.
2010.D1 - İç denetim birimi başkanı, danışmanlık görevinin risk yönetimini geliştirme, katma değer yaratma ve faaliyetleri geliştirme potansiyelini değerlendirerek, talep edilen danışmanlık görevlerini kabul etmeyi düşünmelidir. Kabul edilen bu görevler, iç denetim planına dâhil edilmek zorundadır.
2020 - Bildirim ve Onay
İç denetim birimi başkanı, önemli değişiklikler de dâhil, iç denetim faaliyetinin plan ve programları ile kaynak ihtiyaçlarını, gözden geçirme ve onay için üst yöneticiye bildirmek zorundadır. İç denetim birimi başkanı, kaynak sınırlandırmalarının etkilerini de üst yöneticiye bildirmek zorundadır.
2030 - Kaynak Yönetimi
İç denetim birimi başkanı, onaylı planın uygulanabilmesi için, iç denetim kaynaklarının uygun ve yeterli olmasını ve etkili bir şekilde kullanılmasını sağlamak zorundadır.
2040 - Politika ve Prosedürler
İç denetim birimi başkanı, iç denetim faaliyetini yönlendirmek amacıyla politika ve prosedürleri belirlemek zorundadır.
2050 – Koordinasyon
İç denetim birimi başkanı; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, dış denetim ile gerekli bilgileri paylaşmalı ve faaliyetleri koordineli şekilde sürdürmelidir.
2060 - Üst Yönetici ve Bakana Raporlamalar
İç denetim birimi başkanı, iç denetim faaliyetinin amacı, görev, yetki ve sorumlulukları ve iç denetim planının uygulama sonuçlarını üst yönetici ile bakanlıklar ve bağlı idarelerde bakana dönemsel raporlar halinde sunmak zorundadır.
Bu raporlar, suiistimal risklerini, kurumsal yönetim sorunlarını ve üst düzey yöneticiler ve üst yöneticinin ihtiyaç duyabileceği veya talep edebileceği diğer konuların da dâhil olduğu önemli riskleri ve kontrol sorunlarını içermek zorundadır.
2100 - İşin Niteliği
İç denetim faaliyeti; sistematik ve disiplinli ve risk esaslı bir yaklaşımla, kurumsal yönetim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak zorundadır. İç denetçiler proaktif davrandıklarında ve görevler sırasındaki değerlendirmeleri, yeni bakış açıları sunduğu ve gelecek etkilerini dikkate aldığında, iç denetim faaliyetinin güvenilirliği ve değeri artar.
2110 –Kurumsal Yönetim
İç denetim faaliyeti, aşağıdaki hedeflerin gerçekleştirilmesi amacıyla kurumsal yönetim sürecini değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
• Stratejik ve operasyonel kararlar alınması,
• Risk yönetiminin ve kontrolün gözetimi,
• İdare içinde gerekli etik değerlerin geliştirilmesi.
• Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin sağlanması.
• Risk ve kontrol bilgilerinin idarenin ilgili alanlarına iletilmesi.
• Üst yönetici ve üst düzey yönetim ile iç ve dış denetçilerin faaliyetleri arasında işbirliğinin ve bunlar arasında gerekli bilgilerin paylaşımının sağlanması.
2110.D1 - İç denetim faaliyeti, idarenin etikle ilgili amaç, program ve faaliyetlerinin tasarımını, uygulanmasını ve etkililiğini değerlendirmek zorundadır.
2110.D2 - İç denetim faaliyeti, idarenin bilgi teknolojileri yönetiminin, idarenin strateji ve amaçlarını destekleyip desteklemediğini değerlendirmek zorundadır.
2120 - Risk Yönetimi
İç denetim faaliyeti; risk yönetimi süreçlerinin etkililiğini değerlendirmek ve iyileştirilmesine katkıda bulunmak zorundadır.
2120.G1 - İç denetim faaliyeti, aşağıdaki hususları dikkate alarak, idarenin yönetim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek zorundadır:
• Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu.
• Programların ve faaliyetlerin etkililik ve verimliliği,
• Varlıkların korunması.
• Mevzuat, politika ve prosedürlere ve sözleşmelere uyum.
2120.G2 - İç denetim faaliyeti, suiistimalin gerçekleşme ihtimalini ve idarenin suiistimal riskini nasıl yönettiğini değerlendirmek zorundadır.
2120.D1 - İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla ilişkili riskleri değerlendirmek ve diğer önemli risklere karşı dikkatli olmak zorundadır.
2120.D2 - İç denetçiler, danışmanlık görevlerinden elde ettikleri risk bilgilerini, idarenin risk yönetim süreçlerini değerlendirmede kullanmak zorundadır.
2120.D3 - İç denetçiler, risk yönetimi süreçlerinin kurulmasında veya geliştirilmesinde yönetime danışmanlık hizmeti verirken, “riskleri fiilen yönetmek suretiyle yönetim sorumluluğu almaktan” kaçınmak zorundadırlar.
2130 - Kontrol
İç denetim faaliyeti, kontrollerin etkililik ve verimliliğini değerlendirmek ve sürekli gelişimini teşvik etmek suretiyle, idarenin etkili kontrollere sahip olmasına yardımcı olmak zorundadır.
2130.G1 - İç denetim faaliyeti, idarenin yönetim, faaliyet ve bilgi sistemlerine ilişkin risklere karşı mevcut kontrollerinin yeterliliğini ve etkililiğini aşağıdaki hususlar çerçevesinde değerlendirmek zorundadır:
• Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu.
• Programların ve faaliyetlerin etkililik ve verimliliği.
• Varlıkların korunması.
• Mevzuata, politika ve prosedürlere ve sözleşmelere uyum.
2130.D1 - İç denetçiler; danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, idarenin kontrol süreçlerinin değerlendirilmesinde kullanmak zorundadır.
2200 - Görev Planlaması
İç denetçiler, her bir görev için; amaçları, kapsamı, süre planı ve kaynak dağılımı hususlarını da dikkate alan bir çalışma planı hazırlamak ve yazılı hâle getirmek zorundadır. Plan İdarenin stratejilerini, hedeflerini ve göreve ilişkin riskleri dikkate almalıdır.
2201 - Planlamada Dikkate Alınması Gerekenler
Bir görev planlanırken, iç denetçiler aşağıdaki hususları dikkate almak zorundadır:
• Görev konusu faaliyetin hedefleri ve performansının, yönetim tarafından kontrol edilmesi sırasında yararlanılan araçlar.
• Görev konusu faaliyetin stratejileri ve yönetimine ilişkin önemli riskler ve bu risklerin potansiyel etkilerini kabul edilebilir bir seviyede tutmanın yol ve araçları.
• Kamu İç Kontrol Standartlarına kıyasla, ilgili faaliyetin risk yönetimi ve kontrol süreçlerinin yeterliliği ve etkililiği.
• Görev konusu faaliyetin risk yönetimi ve kontrol süreçlerinde önemli gelişme sağlama fırsatları.
2201.G1 - İdare dışında yürütülecek bir denetim görevi planlanırken iç denetçiler, görevlendirmenin amaçları, kapsamı, her iki tarafın sorumlulukları (denetim görevi kayıtlarına erişime ve sonuçların dağıtımına getirilecek kısıtlamalar dâhil) ve diğer karşılıklı beklentiler konusunda söz konusu taraflarla yazılı bir anlaşma yapmak zorundadır.
2201.D1 - İç denetçiler, görevlendirmenin amaçları, kapsamı, yerine getirilecek sorumluluklar ve beklentiler hakkında, danışmanlık hizmeti verecekleri ilgili yöneticiyle mutabakata varmak ve çok önemli görevlendirmelerde bu mutabakatı yazılı hâle getirmek zorundadır.
2210 - Görev Amaçları
Amaçlar, her bir denetim ve danışmanlık görevi için belirlenmek zorundadır.
2210.G1 - İç denetçiler, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmak zorundadır. Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmak zorundadır.
2210.G2 - İç denetçiler, görevin amaçlarını belirlerken, önemli hataların, suistimallerin, mevzuata aykırılıkların ve diğer risklerin meydana gelme ihtimalini göz önüne almak zorundadır.
2210.G3 – Kurumsal yönetim, risk yönetimi ve kontrollerin değerlendirilmesi için yeterli kriterlere ihtiyaç vardır. İç denetçiler, hedef ve amaçlara ulaşılıp ulaşılmadığını belirlemek için yönetimin oluşturduğu kriterlerin yeterlilik derecesini ortaya koymak zorundadır. Bu kriterler yeterliyse, iç denetçiler de kendi değerlendirmelerinde bunları kullanmak; kriterler yeterli değilse, iç denetçiler uygun değerlendirme kriterleri geliştirmek için yönetimle birlikte çalışmak zorundadırlar.
2210.D1 - Danışmanlık görevi amaçlarının belirlenmesinde, ilgili yöneticiyle mutabık kalındığı ölçüde, kurumsal yönetim, risk yönetimi ve kontrol süreçlerinin de göz önünde bulundurulması zorunludur.
2210.D2 - Danışmanlık görev amaçları, idarenin değerleri, stratejileri ve hedefleriyle uyumlu olmak zorundadır.
2220 - Görev Kapsamı
Görevin kapsamı, görevin amaçlarına ulaşılmasına yetecek seviyede olmak zorundadır.
2220.G1 – Görevin kapsamı, ilgili sistemlerin, kayıtların, personel ve maddî varlıkların dikkate alınmasını (üçüncü tarafların sahip oldukları dâhil) içermek zorundadır.
2220.G2 – Bir güvence görevi esnasında önemli danışmanlık fırsatları çıkarsa, görevin amaçları, kapsamı, karşılıklı sorumluluklar ve diğer beklentilerle ilgili yazılı bir anlaşma hazırlanmalı ve danışmanlık görevinin sonuçları, danışmanlık standartlarına uygun olarak raporlanmalıdır.
2220.D1 – İç denetçiler danışmanlık görevlerini yürütürken, görevin kapsamının, üzerinde mutabık kalınan amaçlarla uyumlu olmasını sağlamak zorundadır. İç denetçiler, görev sırasında kapsamla ilgili çekinceleri olursa, göreve devam edilip edilmeyeceğini belirlemek üzere, bunları ilgili yöneticiyle değerlendirmek zorundadır.
2220.D2 – Danışmanlık görevleri sırasında, iç denetçiler, görev amaçlarıyla uyumlu bir şekilde önemli kontroller ve kontrol zaafiyetleri konusunda dikkatli olmak zorundadırlar.
2230 - Görev Kaynaklarının Tahsisi
İç denetçiler, görevin niteliği, karmaşıklığı, süre kısıtı ve mevcut kaynakları dikkate alarak görevin amaçlarına ulaşmak için uygun ve yeterli kaynakları belirlemek zorundadır.
2240 – Görev İş Programı
İç denetçiler, görev amaçlarına ulaşmalarını sağlayacak iş programları hazırlamak ve kayıtlı hâle getirmek zorundadırlar.
2240.G1 – İş programları, görev sırasında uygulanacak bilgi toplama, analiz, değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır. İş programı, saha çalışmasına başlanmadan önce onaylanmak zorunda olup, programda yapılan değişiklikler için de derhal onay alınmak zorundadır.
2240.D1 – Danışmanlık görevleri için hazırlanan iş programlarının şekli ve içeriği, görevin niteliğine bağlı olarak değişebilir.
2300 - Görevin Yürütülmesi
İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgileri belirlemek, analiz etmek, değerlendirmek ve kayıtlı hale getirmek zorundadır.
2310 - Bilgilerin Belirlenmesi
İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri belirlemek zorundadır.
2320 - Analiz ve Değerlendirme
İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını, uygun analiz ve değerlendirmelere dayandırmak zorundadır.
2330 - Bilgilerin Kaydedilmesi
İç denetçiler, vardıkları kanaatlere ve görev sonuçlarına dayanak teşkil eden yeterli, ilgili, güvenilir ve faydalı bilgileri kayıtlı hale getirmek zorundadır.
2330.G1 – İç denetim birimi başkanı, görev kayıtlarına erişimi kontrol etmek zorundadır. İç denetim birimi başkanı, gerektiğinde bu kayıtları kurum dışı taraflara vermeden önce üst yöneticinin onayını ve/veya hukuk müşavirliğinin görüşünü almak zorundadır.
2330.G2 – İç denetim birimi başkanı, görev kayıtlarının saklanmasına ilişkin esasları, kayıtların hangi ortamda muhafaza edildiğine bakılmaksızın, belirlemek zorundadır. Bu esaslar, idarenin temel ilkelerine ve ilgili mevzuata uygun olmak zorundadır.
2330.D1 - İç denetim birimi başkanı, danışmanlık görevi kayıtlarının tutulması, saklanması ve idare içi ve dışı taraflara sunulmasını düzenleyen politikaları belirlemek zorundadır. Bu politikalar, idarenin düzenlemelerine ve ilgili mevzuata uygun olmak zorundadır.
2340 - Görevin Gözetimi
Görevler; görevin amaçlarına ulaşılmasını, kalitenin güvence altına alınmasını ve iç denetçilerin mesleki gelişimini sağlayacak bir tarzda gözetlenmek zorundadır.
2400 - Sonuçların Raporlanması
İç denetçiler, görev sonuçlarını raporlamak zorundadır.
2410 - Raporlama Kriterleri
Raporlar, varılan sonuçlar, uygulanabilir öneriler ve eylem planlarının yanı sıra görevin hedeflerini ve kapsamını da içermek zorundadır.
2410.G1 – Görevin sonuçlarını gösteren rapor, iç denetçinin görüş ve kanaatlerini de içermek zorundadır. Bu görüş ve kanaatler, üst yöneticinin ve üst düzey yöneticilerin beklentilerini dikkate almak ve faydalı, ilgili, yeterli ve güvenilir bilgilerle desteklenmek zorundadır.
2410.G2 – İç denetçilerin, denetlenen faaliyete ilişkin iyi uygulamalara ve başarılı performansa denetim raporlarında yer vermesi teşvik edilir.
2410.G3 – Görev sonuçları idare dışındaki taraflara bildirilirken, söz konusu bildirim, sonuçların dağıtımı ve kullanımı konusundaki kısıtlamaları da içermek zorundadır.
2410.D1 – Danışmanlık görevi sonuçlarının raporlanmasının şekil ve içeriği, görevlendirmenin niteliğine ve ilgili yöneticinin ihtiyaçlarına bağlı olarak değişir.
2420 - Raporlamanın Kalitesi
Raporların; doğru, tarafsız, açık, özlü, yapıcı ve tam olması ile zamanında sunulması zorunludur.
2421 - Hata ve Eksiklikler
Görev sonuçlarını gösteren rapor önemli bir hata veya eksiklik içeriyorsa, iç denetim birimi başkanı, bu raporu alan bütün taraflara düzeltilmiş bilgileri iletmek zorundadır.
2430 - “Kamu İç Denetim Standartları’na Uygun Olarak Yapılmıştır” İbaresinin Kullanılması
İç denetçiler, iç ve dış kalite değerlendirmelerini kapsayacak Kalite Güvence ve Geliştirme Programı sonuçlarının desteklemesi şartıyla, görevlerinin "Kamu İç Denetim Standartları'na Uygun Olarak" yapıldığına dair ibareye raporlarında yer verebilirler.
2431 - Aykırılıkların Açıklanması
İç Denetimin Tanımına, Meslek Ahlak Kurallarına veya Standartlara aykırılık belli bir görevi etkilediğinde, görev sonuçları raporlanırken (iç denetim birimi başkanı tarafından) aşağıdaki hususlar özel durum olarak açıklanmak zorundadır:
• Tam olarak uyumun sağlanamadığı Meslek Ahlak Kuralı ve/veya Standart.
• Aykırılığın sebepleri.
• Aykırılığın göreve ve görev sonuçlarının raporlanmasına etkisi.
2440 - Sonuçların Dağıtımı
İç denetim birimi başkanı, görev sonuçlarını ilgili taraflara dağıtmak zorundadır.
2440.G1 – İç denetim birimi başkanı, denetim önerilerini yerine getirecek yöneticilere görev sonuçlarının raporlanmasından sorumludur.
2440.G2 – İç denetim birimi başkanı, aksi yasal olarak düzenlenmediği takdirde, görev sonuçlarını kurum dışındaki taraflara göndermeden önce aşağıdaki hususları yerine getirmek zorundadır:
• İdare açısından oluşabilecek muhtemel riskleri değerlendirmek.
• Uygun bir şekilde üst yönetici ve/veya hukuk müşaviri ile istişare etmek.
• Sonuçların kullanımını kısıtlayarak dağıtımı kontrol altına almak.
2440.D1 – İç denetim birimi başkanı, danışmanlık görevlerinin sonuçlarının ilgili yöneticilere raporlanmasından sorumludur.
2440.D2 – Danışmanlık görevleri sırasında, kurumsal yönetim, risk yönetimi ve kontrol sorunları tespit edilebilir. Bu sorunlar, idare için önemli hâle geldiğinde üst yöneticiye ve üst düzey yöneticilere bildirilmek zorundadır.
2450 – Kapsamlı Görüş
Kapsamlı bir görüş ortaya konulacaksa, idarenin stratejileri, hedefleri ve riskleri ile üst yöneticinin ve üst düzey yöneticilerin beklentilerinin dikkate alınması ve görüşün faydalı, ilgili, yeterli ve güvenilir bilgilerle desteklenmesi zorunludur.
2500 - İlerlemenin İzlenmesi
İç denetim birimi başkanı, yönetime rapor edilen sonuçların uygulanma durumunun izlenmesi için bir sistem kurmak ve uygulamak zorundadır.
2500.G1 – İç denetim birimi başkanı, üst düzey yönetimin aldığı tedbirlerin etkili bir şekilde uyguladığından veya üst düzey yöneticilerin gerekli tedbiri almamasının riskini üstlenmeyi kabul ettiğinden emin olmak ve gelişmeleri izlemek amacına yönelik bir takip süreci kurmak zorundadır.
2500.D1 – İç denetim birimi başkanı, ilgili yöneticilerle mutabık kalındığı ölçüde, danışmanlık görevlerinin sonuçlarını izlemek zorundadır.
2600 - Yönetimin Artık (Bakiye) Riskleri Üstlenmesi
İç denetim birimi başkanı, üst düzey yöneticinin idare için kabul edilemeyecek düzeyde bir artık riski üstlenmeyi kabul ettiğine kanaat getirdiği takdirde, konuyu üst düzey yöneticiyle müzakere etmek zorundadır. Artık riskle ilgili olarak bir mutabakata varılamazsa, iç denetim birimi başkanı, konuyu, çözümlenmesi için üst yöneticiye rapor etmek zorundadır.