İÇ DENETİM BİRİMİNİZ NE KADAR OLGUN VEYA NE KADAR OLGUN OLABİLİR?

(Kamu İç Denetçileri Dünyanın Neresinde?-Bölüm II)

IIA Araştırma Vakfı tarafından 2016 yılında yayınlanan “İç Denetim Olgunluğunun Kıyaslanması[1]” isimli Raporun konusunu “İç Denetim Biriminiz Ne Kadar Olgun veya Ne Kadar Olgun Olabilir? Soruları oluşturuyor. Rapor, IIA’in CBOK (Ortak Bilgi Tabanı) veri tabanındaki 2.500’den fazla iç denetim yöneticisinin (CAE) verdiği cevaplar ve dünyanın farklı bölgelerinden oluşturulan örneklem içerisinde yer alan CAE’ler ile gerçekleştirilen görüşmelere dayanarak oluşturulmuş.

İç denetim biriminin olgunluğunun değerlendirilmesi önemli, çünkü bu değerlendirme, beklenen kalite ve gerçekleşme arasındaki boşlukların ortaya konulmasını ve giderilmesine ilişkin stratejilerin geliştirilmesini kolaylaştırıyor. Raporda “iç denetim olgunluk kriterlerine” yer verilmiş. Bu kriterler ile hem daha olgun iç denetim birimlerinin geliştirilmesinde CAE'lere rehberlik etmek hem de ana paydaşların, iç denetim hizmetlerine duydukları güvenin artırılması amaçlanıyor. (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 4)

Bu amaçlar doğrultusunda belirlenen “iç denetim olgunluk kriterleri” aşağıdaki şekilde:

1.      Kurumun Stratejik Planıyla Uyum

2.      Risk Değerlendirmesi,

3.      İç Denetim Yetkinliği

4.      İç Denetim Planlaması

5.      Denetim Prosedürleri

6.      Teknoloji Kullanımı

7.      Kalite Güvence ve Geliştirme Programı

Rapor sadece kamu sektörüne ilişkin değil, çeşitli bölgelerden, çok çeşitli sektörleri kapsıyor. Dolayısıyla tüm iç denetçiler ve iç denetim yöneticileri tarafından, birimlerinin olgunluk düzeyini kıyaslamak için kullanılabilir. Ben bu yazıda, İDKK’nın 2017 yılı araştırma sonuçlarını[2], global sonuçlar ile karşılaştırarak, kamu iç denetiminin olgunluğuna ilişkin bir genel resim ortaya koymak istedim.

İşte sonuçlar :

1.    Kurumun Stratejik Planı ile Uyum

IIA tarafından belirlenen, iç denetim faaliyetinin olgunluğunu belirleyen unsurların ilki, iç denetim planının, kurumun stratejik planı ile uyumluluğu.
Bu uyum sağlandığında, iç denetim ile kurum arasında sinerji oluşturmak, yönetim ile yakın ilişki kurmak ve iş hedeflerini desteklemek daha kolay olabiliyor.  2015 yılı küresel araştırma sonuçlarına göre, iç denetim planının, kurumun stratejik planı ile uyumlu olduğunu düşünenlerin oranı küreselde  %55 (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 7). Bu oran ülkemiz kamu iç denetçileri arasında %68 (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 27).

2.    Risk Değerlendirmesi

CBOK, risk değerlendirmesi için “kapsamlı risk değerlendirmesi” ve “odaklanmış risk değerlendirmesi” şeklinde ikili bir sınıflandırma kullanıyor. Odaklanmış Risk Değerlendirmesi, çok çeşitli risklerin bir kerede değerlendirilmesini; Kapsamlı Risk Değerlendirmesi ise, çeşitli risklerin bütünsel olarak değerlendirilmesini ifade ediyor. Günümüzün karmaşık iş ortamı, risklerin geniş bir bakış açısı ile değerlendirilmesini gerektiriyor. Odaklanmış risk değerlendirmesi, yalnızca belirli risklere odaklanılmasına ve önemli risklerin kaçırılmasına yol açabiliyor. Ayrıca kapsamlı risk değerlendirmesi, daha proaktif ve ileriye dönük. Bu nedenle iç denetim birimlerinin kapsamlı risk değerlendirmesini benimsemeleri öneriliyor. Küresel Ankete yanıt veren CAE’lerin ortalama% 71’i, kapsamlı risk değerlendirmesi yöntemini kullandıklarını belirtiyor. (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 12,13)

Kamu İç Denetim Rehberi ve Kamu İç Denetim Yazılımı(İÇDEN) risk değerlendirmelerinin en az üç farklı risk faktörü kullanılarak kapsamlı şekilde değerlendirilmesini zorunlu kılıyor. Teoride böyle olmakla birlikte, İDKK Anketinde bu konuda bir soru olmaması nedeniyle uygulamaya ilişkin kıyaslama yapılamıyor.

3.    İç Denetçilerin Yetkinliği[3]

İç denetçilerin mesleki geçmişi, iç denetim biriminin olgunluk göstergelerinden biri kabul ediliyor. Kurumun faaliyet gösterdiği sektöre uygun, çeşitli alanlarda yetkinlikler barındıran iç denetçilere sahip olmak iç denetim birimi açısından önemli bir avantaj. Küreselde CAE’lerin ortalama % 53’ü, birimlerinin geleneksel denetim becerileri ve endüstri bilgisini eşit biçimde barındıran bir yetkinliğe sahip olduğunu[4] beyan ediyor. %34’ünde iç denetçiler geleneksel muhasebe ve denetim yetkinliğine sahip. Küresel araştırmasında, kamu sektöründe de oranlar, bu oranlara çok yakın (%53-35). İç denetim biriminin faaliyet süresi uzadıkça, yetkinliklerin eşit karışımına sahip olma oranı da artıyor  (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 16,17).

Ülkemiz kamu iç denetçileri, büyük oranda (%72) denetim odaklı mesleki deneyime (müfettiş, kontrolör, denetmen gibi) sahip. Uzman ve mühendis kökenli kamu iç denetçisi oranı (%20). (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 11) Bununla birlikte bu durum, %72’nin geleneksel denetim becerilerine, %20’nin alan deneyimine sahip olduğu şeklinde yorumlanamaz çünkü, İDKK araştırmasında, iç denetçilere yetkinlikleri değil, önceki meslekleri sorulmuş.  Bu nedenle denetim odaklı mesleki deneyime sahip olanlar aynı zamanda alan deneyimine sahip olabileceği gibi, uzman ve mühendis olmakla birlikte, kuruma özgü alan deneyimi olmayanlar da olabilir. Dolayısıyla mevcut durumda kamu iç denetçilerinin ağırlıklı olarak “denetim odaklı mesleki deneyime sahip olduklarını” belirtip, bir sonraki araştırmada, bu sorunun küresel ile daha sağlıklı karşılaştırmaya imkan verecek şekilde sorulmasını umut ederek, devam edelim.

4.    İç Denetim Planlaması (Risk Değerlendirmelerinin Güncellenme Sıklığı)

İş ortamlarının dinamizmi, kurumsal gelişmelere ayak uydurabilmek için, risk değerlendirmesinin periyodik olarak güncellenmesini gerektiriyor. Bu nedenle bu konu olgunluk göstergelerinden biri. 2015 yılı Araştırmasında küreselde iç denetim yöneticilerinin %59’u, periyodik resmi güncellemeler veya sürekli güncellemeler ile risk değerlendirmelerinin güncelliğini sağladığını ifade ederken (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 23), ülkemiz kamu iç denetimi için bu oran, küresel ortalamanın üzerinde, %71 olarak ifade edilmiş. (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 27)

5.    Denetim Prosedürleri( İç Denetim Prosedürlerinin Dokümantasyonu ve İzlenmesi)

      İç denetim biriminde uygulanan denetim prosedürlerinin dokümante edilmiş ve (güncelliğinin) izleniyor olması, olgunluk kriterlerinden bir diğeri.  2015 yılı Küresel Anketinde CAE'lerin ortalama% 54'ü, birimlerindeki denetim prosedürlerinin bir iç denetim el kitabı veya rehberinde dökümante edildiğini ve izlendiğini, % 17'si denetim prosedürlerinin açıkça dökümante edilmediğini, % 29'u denetim prosedürlerinin bir rehberde belgelendiğini ancak izlenmediğini ifade ediyor.

CAE’lerin %85’i İç Denetim Yönetmeliğinin, %71’i Rehberinin, %70’i, Etik Kurallarının mevcut olduğunu belirtiyor. İç Denetim Biriminin ayrı “Misyon Bildirimi” bulunduğunu söyleyenlerin oranı %52, anahtar performans göstergelerine sahip olma oranı %40 ve son olarak “Strateji Belgesine Sahip Olma” oranı %36. Araştırma sırasında, iç denetim birimlerinin faaliyet süresi ile bu dokümantasyona sahip olma arasında pozitif ve olumlu bir ilişkinin varlığı gözlenmiş. (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 27-30)

Ülkemiz kamu sektörüne baktığımızda, kamu iç denetim faaliyetlerinin yürütülmesine ilişkin usul ve esaslar, İDKK tarafından belirleniyor. Bu kapsamda, Kamu İç Denetim Standartları, Meslek Ahlak Kuralları ve İç Denetim Yönetmeliği yanında, Kamu İç Denetim Rehberi, Kamu BT Denetimi Rehberi, Performans Denetimi Rehberi ve Kalite Güvence ve Geliştirme Rehberi gibi, iç denetimin mesleki uygulamasına ilişkin ayrıntılı rehberler oluşturuldu. Bu rehberlerin, iç denetim alanında, en ayrıntılı Türkçe kaynaklar olduğunu belirtmek gerek. İDKK Araştırmasında, kamu iç denetçilerinin %80’i, bu Rehberlerin, iç denetim faaliyetinin etkin şekilde yürütülebilmesini sağladığını ifade ediyor. Rehberlerden memnuniyet oranı oldukça yüksek. Bunun yanında, Rehberlerin güncelliğinin sağlanabilmesi için, düzenli olarak gözden geçirilmesi gerektiği notunu düşelim (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 34). 

6.    Teknoloji Kullanımı

        İç denetim biriminin olgunluğunu belirleyen kriterlerden biri de “Teknoloji Kullanımı”. 2015 Küresel Anketinde, iç denetim faaliyetlerini ağırlıklı olarak manuel sistem ve süreçler ile yürütttüğünü söyleyen CAE’lerin oranı %23, elektronik çalışma kağıdı veya diğer ofis araçlarını kullandığını söyleyenlerin oranı %39, uygun teknoloji ile desteklenen denetim metodolojisi kullandığını söyleyenlerin oranı %26, veri madenciliği ve analizini de içeren kapsamlı bir teknoloji kullandığını söyleyen CAE’lerin oranı %13 (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 31).

Kamu iç denetim faaliyetlerinde, İDKK tarafından geliştirilen İÇDEN yazılımı kullanılıyor. İÇDEN, iç denetim faaliyetlerinin, iç ve dış kalite güvence gözden geçirmeleri dahil, tamamının elektronik ortamda yürütülmesine imkan veriyor, veri madenciliği veya analizi gibi araçları bulunmuyor. Uygun teknoloji ile desteklenen bir denetim metodolojisi sağladığını söyleyebiliriz. İDKK Araştırmasına göre, kamu iç denetçileri arasında İÇDEN kullanma oranı %74. (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 13) Bu oran oldukça yüksek olmakla birlikte, İDKK halihazırda üç ve üzerinde iç denetçisi bulunan idarelere İÇDEN kullanma izni verdiği için bu oran %100’ün altında.

Kamu iç denetçilerinin %65’i  İÇDEN’in çalışmalarını kolaylaştırdığını,%67’si faaliyetlerinin etkinliği ve verimliliğini artırdığını düşünmektedir (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 34). Yazılımın, iç denetim faaliyetinin büyüklüğüne bakılmaksızın tüm kamu idarelerine yaygınlaştırılması, iç denetim metodolojisine uyum anlamında önemli katkılar sağlayacaktır.  

7.    Kalite Güvence ve Geliştirme Programı

Olgunluk göstergelerinin sonuncusu, dış kalite değerlendirmelerini de içeren iyi tanımlanmış bir “Kalite Güvence ve Geliştirme Programı (KGGP)”. Standartlara ve meslek ahlak kurallarına uyumun, KGGP ile güvence altına alınması gerekiyor. Performans ölçüm ve değerlendirmeleri, kıyaslamalar, denetlenenlerden alınan geri bildirimler, KGGP’nin unsurları arasında (Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens , 2016, s. 35).

İDKK tarafından kamu idareleri için, kapsamlı bir KGGP oluşturuldu, yine iç ve dış kalite değerlendirmelerinin yürütülmesine ilişkin detaylı bir Rehber de mevcut. Bununla birlikte, İDKK araştırmasında, denetlenenlerden anket vb. yollarla geri bildirim alındığını söyleyen iç denetçilerin oranı %52 ile sınırlı, %25 alınmadığını söylüyor. (İDKK, Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu, 2018, s. 30) 2017 yılında iç kalite değerlendirmesi yapan idare sayısı sadece 40 (İDKK, 2017 Yılı Kamu İç Denetim Genel Raporu, 2018). 2012 ve 2013 yıllarında başlanan ve 26 büyük ölçekli kamu idaresinde tamamlanan dış değerlendirme faaliyetlerinin, sonraki yıllarda sürdürülememesi, iç değerlendirme faaliyetlerini de önemli ölçüde aksatmış gibi görünüyor (Kamu İç Denetim Genel Raporu 2012-2016).

Kamu iç denetim faaliyetlerinin olgunluk kriterleri açısından zayıf halkası “KGGP” olarak görülüyor. Umarım bu konu İDKK tarafından, öncelikle gündeme alınır.

Bu kriterler doğrultusunda sizin iç denetim biriminiz ne kadar olgun veya ne kadar olgun olabilir?

References

İDKK. (2018). 2017 Yılı Kamu İç Denetim Genel Raporu. Ankara: İç Denetim Koordinasyon Kurulu.

İDKK. (2018). Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu. Ankara: İç Denetim Koordinasyon Kurulu.

Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens . (2016). Benchmarking Internal Audit Maturity . Altamonte Springs, Florida: The Institute of Internal Auditors Research Foundation (IIARF).

---

[1] Mohammad Abdolmohammadi,Giuseppe D’Onza,Gerrit Sarens . (2016). Benchmarking Internal Audit Maturity . Altamonte Springs, Florida: The Institute of Internal Auditors Research Foundation (IIARF).

[2] http://www.idkk.gov.tr/SiteDokumanlari/Manset/DBKonferans2018/ProjeSonucRaporu.pdf

[3] Background of Internal Auditors

[4] Q40: Which skill background is most dominant within the internal audit staff of your organization?