KAMU İÇ DENETİM YAZILIMI
(İçDen)
KULLANIM KILAVUZU
AĞUSTOS 2014
SÜRÜM 1
İÇİNDEKİLER
1. İçDen Kamu İç Denetim Yazılımına Giriş ............................................................................. 3
2. Denetim Evreni ...................................................................................................................... 5
2.1. Denetçi ............................................................................................................................. 5
2.2. Birimler ............................................................................................................................ 9
2.3. Faaliyet .......................................................................................................................... 11
2.4. Denetim Evreni .............................................................................................................. 12
3. Yönetim Faaliyetleri ............................................................................................................. 16
3.1. Plan Dönemi .................................................................................................................. 16
3.2. Makro Risk Değerlendirmesi......................................................................................... 18
3.3. Denetim Alanları ........................................................................................................... 21
3.4. Denetim Stratejisi .......................................................................................................... 24
3.5. Denetim Planı ................................................................................................................ 25
3.6. Denetim Programı.......................................................................................................... 27
3.7. Program Dışı Denetim ................................................................................................... 30
4. Denetim Görevleri ................................................................................................................ 31
4.1. Denetim Başlatma.......................................................................................................... 31
4.2. Görev Süre Planı ............................................................................................................ 32
4.3. Ön Çalışma .................................................................................................................... 34
4.4. Risk Kontrol Matrisi ...................................................................................................... 38
4.5. Çalışma Planı ................................................................................................................. 42
4.6. Saha Çalışması ............................................................................................................... 44
5. Raporlama ve İzleme ............................................................................................................ 49
5.1. Bulguların Paylaşılması ................................................................................................. 49
5.2. Denetlenenin Görüşü ..................................................................................................... 51
5.3. Denetim Görüşü ............................................................................................................. 54
5.4. Denetim Raporu ............................................................................................................. 54
5.5. Bulgu Görevlendirmesi.................................................................................................. 55
5.6. İzleme ............................................................................................................................ 56
1
2
1. İçDen Kamu İç Denetim Yazılımına Giriş
İçDen yazılımına girmek için web tarayıcısının adres bölümüne
www.idkk.gov.tr yazılarak İç Denetim Koordinasyon Kurulu ana sayfasına
girilmesi gerekmektedir. Ana sayfanın sağ alt bölümünde yer alan İçDen
bölümü tıklanarak kimlik doğrulama ekranına ulaşılmaktadır.
Kimlik doğrulama ekranında denetçi tarafından aşağıdaki bilgilerin girilmesi
gerekmektedir.
Sertifika Numarası: İç denetçi sertifika numarasıdır.
Kullanıcı Şifre: Denetçi tarafından belirlenen şifredir.
Güvenlik Kodu: Giriş sayfası her görüntülendiğinde yazılım tarafından
güvenliğin sağlanması amacıyla üretilmiş bir doğrulama kodudur.
3
Ana ekrana girildikten sonra denetçilerin karşısına sadece kullanım iznine
sahip oldukları bölümler gelmektedir. 3 farklı tür ekran bulunmaktadır. Bunlar;
1. MUB Ekranı
2. İç Denetim Birim Başkanı Ekranı
3. İç Denetçi Ekranı
4
2. Denetim Evreni
2.1. Denetçi
Bu bölümde birimde görevli olan iç denetçiler görüntülenmektedir. Yeni
iç denetçi tanımı MUB tarafından yapılabildiğinden burada sadece belirli
alanlarla ilgili güncelleme işlemleri yerine getirilebilmektedir.
İç denetim birimi başkanı birimde görevli tüm iç denetçilere ilişkin bilgileri
görüntüleyebilirken,
iç
denetçiler
sadece
kendi
bilgilerini
görüntüleyebilmektedir.
Denetçi butonuna basıldığında denetçi listesi ekrana gelmektedir.
Herhangi bir denetçi ile ilgili güncelleme yapılacaksa, güncelleme yapılacak
denetçinin mavi renkli olan sertifika numarası tıklanarak tanım penceresi
açılmaktadır.
Denetçi tanımı bölümünde güncellenebilen bilgiler; genel bilgiler, güvenlik,
eğitim, yabancı dil ve yayınlar bölümüdür. Güvenlik sekmesindeki bilgiler
sadece iç denetim birimi başkanı tarafından güncellenebilmektedir. Diğer alanlar
için her denetçi kendi bilgilerini güncelleyebilmektedir.
5
İç denetim birimi başkanı tarafından şifre değiştirilmek istendiğinde güvenlik
sekmesi içerisinde alt bölümde yer alan şifre değiştir bağlantısı tıklanmalıdır.
Bağlantıya tıklandığında yeni şifre giriş ekranı gelmektedir. Belirlenen şifre 2
kez girilmeli ve ardından güvenlik kodu girilerek kaydet butonuna basılmalıdır.
6
Eğitim sekmesinde yeni bir bilgi girilmek istendiğinde (+) butonuna
basıldığında yeni bilgi giriş ekranı gelmektedir. İç denetçi burada bilgi girişini
yaptıktan sonra kaydet butonuna basmalıdır.
7
Örnek eğitim bilgileri giriş ekranı aşağıdaki gibidir.
Yabancı dil bilgi girişi aşağıdaki ekranda yer alan (+) butonuna basılarak
gerçekleştirilmektedir.
Yayınlar bölümü için (+) butonuna basılarak giriş yapılmaktadır.
8
2.2. Birimler
İdare bünyesinde yer alan birimler bu bölümde yer almaktadır. Birim
tanımı sadece başkan tarafından yapılmaktadır.
Birim tanımlaması sırasıyla Yeni Ana Birim ve Detay Tanımlama şeklinde
gerçekleştirilmektedir.
Yeni Ana Birim butonuna basıldığında aşağıdaki ekran gelmektedir. Başkan bu
bölümde birimin adını, organizasyon yapısı ve birim tipi bilgisini girmektedir.
9
Ana birim oluşturulduktan sonra, satırın sağında bulunan detay tanımlama
bağlantısı tıklanarak alt birimler tanımlanır.
Hatalı giriş yapılan birimler sil bağlantısı ile silinmektedir.
10
2.3. Faaliyet
İdarelerin yürüttüğü faaliyetler bu bölümde tanımlanmaktadır. Faaliyet
tanımları, başkan tarafından yapılmaktadır. Yeni faaliyet tanımlayabilmek için
aşağıdaki resimde görünen (+) butonuna basılmalıdır.
Bu bölümde kod, tanım, faaliyet tipi, kategorisi ve amacı bilgileri yer
almaktadır. Faaliyetin ilgili olduğu birimler bu ekrandan seçilmelidir.
Alt bölümde bulunan metin girişi bölümüne gerekli görülmesi halinde faaliyetle
ilgili açıklamalar girilebilmektedir.
Faaliyetin silinmek istenmesi halinde tanım satırının başında bulunan sil
seçeneğinin kullanılması gerekmektedir.
Denetim evreni modülüne girilen her faaliyet, risk ve kontrol doğrudan
“faaliyet” modülüne yansır. Ancak “faaliyet” modülüne yapılan yeni girişler
denetim evreni modülüne “havuzdan al” seçeneği ile getirilebilir.
11
2.4. Denetim Evreni
İdareye ilişkin olarak, ana faaliyet, alt faaliyet, risk, kontrol ve testlerin
ilişkilendirilmesi bu bölümde yapılmaktadır. Bu bölüme girişler sadece Başkan
tarafından yapılmaktadır. Denetçiler bu bölümü sadece görüntüleyebilmektedir.
Gerekli olması durumunda bu bölümde yeni faaliyet tanımı da
yapılabilmektedir. Faaliyet bölümünde yapılan bu tanımlar burada “havuzdan
al” seçeneği ile kullanılabilmektedir.
İlişkilendirme oluşturulurken ana faaliyet, alt faaliyet, risk, kontrol ve test
sıralamasının takip edilmesi gerekmektedir.
Yeni bir faaliyet/risk/kontrol/test tanımlanmak istenildiğinde ekranın sol üst
köşesinde yer alan yeni (+) butonuna tıklanır.. Eğer yeni bir
faaliyet/risk/kontrol/test oluşturulmadan doğrudan havuzdan alınmak isteniyorsa
havuzdan al seçeneği kullanılmalıdır.
12
Havuzdan al seçeneği kullanıldığında aşağıdaki ekran gelmektedir. Seçilecek
faaliyet sayısı birden fazla ise işaret kutucuklarının istenilen sayıda seçilmesi
gerekmektedir. Kaydet butonuna basıldığında seçilen sayıda faaliyet aktarılmış
olacaktır.
Yeni seçeneği seçildiğinde ise, faaliyet bölümündeki tanımlama ekrana
gelmektedir.
Alt faaliyet tanımlama süreci faaliyet tanımlama süreci ile benzerdir. Burada
dikkat edilmesi gereken en önemli husus alt faaliyet eklenmesinden önce altına
ekleme yapılacak olan ana faaliyetin üzerine gelinerek seçilmesidir. Ana/alt
faaliyetlerin silinmesi için ilgili faaliyet seçildikten sonra üst bölümde bulunan
sil butonuna basılması gerekmektedir.
13
Risk/Kontrol/Test tanımları denetim evreninden yapılabildiği gibi kütüphane
modülünden de yapılabilmektedir. . Kütüphane modülünde yapılan tanımlamalar
daha sonra denetim evreni modülünde havuzdan al seçeneği ile
taşınabilmektedir. Benzer şekilde denetim evreni modülünde yapılan
tanımlamalar da kütüphane modülüne yansımaktadır. Bu modüle girişler sadece
Başkan tarafından yapılabilmektedir. İç denetçiler ise bu tanımlama işlemlerini
sadece RKM modülünde yapabilmektedir.
Bu aşamadan önce henüz risk/kontrol/test oluşturulmamışsa bu işlem RKM(Risk
Kontrol Matrisi) modülünden de yapılabilmektedir.
Yeni risk tanımlama ekranı aşağıdaki gibidir. Bu ekranda; riskin kodu, tanımı
açıklamalar, referans, tipi, iç kontrol amaçları ve ilgili kurum-birim seçimi
tanımlamaları yapılmalıdır.
14
Kontrol Tanımlama ekranı aşağıdaki gibidir. Bu ekranda kontrolün kodu, tanımı,
kontrol türü, kontrol kategorisi, kontrol düzeyi, anahtar kontrol olup olmadığı,
açıklamalar, referans, kontrol standardı, Kurum-Birim tanımı yer almaktadır.
15
Test tanımlama ekranı aşağıdaki gibidir. Bu ekranda, testin kodu, tanımı,
açıklamalar, test kategorisi, metod tipi, tüm birimler için geçerli olup olmadığı,
kurum-birim bilgisi, ön çalışma mı yoksa saha çalışmasında mı yer alıp
almayacağı bilgilerinin tanımlanması gerekmektedir.
3. Yönetim Faaliyetleri
3.1. Plan Dönemi
Plan
dönemi
ve
program dönemi
sadece
Başkan
tarafından
tanımlanabilmektedir. Plan dönemi 3 yıllık dönemi kapsamaktadır. Program
dönemi ise plan döneminin detayını oluşturan yıllık denetim dönemlerini ifade
etmektedir.
Plan dönemi tanımlanmak istenildiğinde ekranın sağ üst bölümünde yer alan (+)
butonuna basılır. Plan tanımında yer alan alanlar; planın kodu, tanımı, başlangıç
ve bitiş tarihi, risk değerlendirme yöntemi, genel çalışma ve haftalık çalışma
saat ve gün bilgileridir.
16
Plan dönemi tanımı yapıldıktan sonra ilgili plan dönemine ilişkin program
dönemi detayları tanımlanmalıdır. Bu tanımlama için plan dönemi satırının
sonunda yer alan “Detay Tanımlama” bağlantısı kullanılmalıdır.
Detay tanımlama ile ilgili ekran görüntüsü aşağıdaki gibidir. Burada dikkat
edilmesi gereken husus, cari yıla ait olmayan her bir program dönemi için “Aktif
Olmayan Yıl” kutucuğunun işaretlenmesidir.
Durum sütununda denetim planı ve programının hangi aşamada olduğu
görülebilir.
17
3.2. Makro Risk Değerlendirmesi
Makro Risk Değerlendirmesi modülüne veri girişleri; Başkan tarafından
yapılmakta ve onaylanmaktadır. Bu modülde öncelikle “Risk değerlendirmesi”
sekmesindeki “mevcut süreç
bilgilerini getir” butonuna tıklanması
gerekmektedir..
Bu butona basıldığında “Denetim Evreni”nde tanımlı tüm süreçler bu ekrana
doğrudan yansımaktadır. Tanımlanmış en alt seviyedeki her bir faaliyet için risk
değerlendirmesi yapılır. Ana faaliyet risk puanı, alt faaliyet risk puanlarının
toplamından oluşmaktadır.
Ana faaliyet risk puanı belirlenirken alt faaliyetlere verilen ağırlıklar dikkate
alınmaktadır. Ağırlık verilmemesi durumunda İçDen, ana faaliyetin puanını her
bir alt faaliyetin eşit ağırlıkta olduğu varsayımıyla hesaplamaktadır.
Risk puanı vermek için alt faaliyetin bulunduğu satırda yer alan risk faktörleri
başlığı altındaki aç bağlantısını tıklamak gerekmektedir.
Açılan pencerede risk faktörleri bilgisi gelmektedir. Bu pencerede ekrana gelen
risk faktörleri parametreler bölümünde MUB tarafından tanımlanmış olan risk
faktörleridir. Ayrıca Başkan “parametreler modülü”nde idareye özgü risk
faktörü tanımlayabilmektedir. Bu tanımlama yapılırken ilgili risk faktörleri için
duruma göre etki/olasılık seçimi yapılmalıdır. Şayet ilgili risk faktörünün ne etki
ne de olasılık olduğu değerlendiriliyorsa risk faktörü herhangi bir seçim
yapılmadan tanımlanmalıdır.
18
Her bir faaliyet için risk faktörleri en az bir etki ve bir olasılık faktörü içerecek
şekilde üçten az olmamak üzere seçilir ve seçilmiş olan risk faktörlerine ilişkin
açıklamalar ilgili bölüme girilir.
Böylece seçimi yapılan risk puanının hangi faktörler dikkate alınarak seçildiği
belirtilmiş olmaktadır.
Seçim işlemi sonrası verilecek risk puanı ile ilgili olarak aşağıdaki ekran
görüntüsünde de görüldüğü üzere aç bağlantısının tıklanması gerekmektedir.
19
Bu bağlantıya tıklandıktan sonra risk skalası bölümü ekrana gelmektedir. Üst
yatay bölümde etki düşükten yükseğe, sol dikey bölümde ise olasılık düşükten
yükseğe doğru sıralanmaktadır.
Bu bölümde yapılması gereken, risk puanının tablo içerisinden seçilmesidir. Bu
seçim yapıldıktan sonra risk puanına karşılık gelen etki ve olasılık puanı
ekrandaki etki ve olasılık kutucuklarına otomatik olarak gelmektedir. Aşağıdaki
örnekte risk puanı 13 olarak seçildiğinde, etki 3 (Orta), olasılık 3 (Orta) olarak
ekrana gelmiştir.
Tüm alt faaliyetlere ilişkin olarak, risk skalasından risk puanlarının seçilmesi
gerekmektedir. Alt faaliyet tanımı bulunmayan faaliyetlerde ise risk puanı
doğrudan ana faaliyet için oluşturulmaktadır.
Tüm risk puanları atandıktan sonra puan verilen faaliyetler sonuç sekmesinde alt
alta sıralanmaktadır.
20
Tüm bu işlemler gerçekleştirildikten sonra makro risk değerlendirmesi
tamamlanarak onaylanır.
3.3. Denetim Alanları
Denetim alanları modülüne veri girişi Başkan tarafından yapılmaktadır.
Denetim evreninde yer alan her bir faaliyet müstakil bir denetim alanı olarak
belirlenebileceği gibi birbiriyle ilişkili olan faaliyetler birleştirilerek de denetim
alanları oluşturulabilir. Birden fazla faaliyetin birleştirilerek bir denetim alanı
oluşturulması halinde bu faaliyetlerin birleştirilme gerekçesi “Açıklamalar”
kısmında kayıt altına alınmalıdır.
Denetim alanı tanımlamak için ekranın sol üst bölümünde yer alan artı (+)
butonuna basılması gerekmektedir.
Ekran açıldıktan sonra denetim alanının kodu, başlığı, denetim büyüklüğü ve
açıklamalar bölümüne tanımlar girilmelidir. Her bir denetim alanı için
sayılardan oluşan bir kod ve denetim alanındaki faaliyetleri ifade edecek şekilde
bir başlık belirlenmelidir.
21
Bu bilgiler girildikten sonra açılan pencerenin alt bölümünde denetim alanına
yönelik faaliyet ve kurum-birim seçim işlemleri gerçekleştirilmektedir.
Birimler ile ilgili faaliyet eklemek için alt bölümde yer alan faaliyet başlığı
altındaki “Birimler ile Faaliyet Ekle” seçeneğinin kullanılması gerekmektedir.
Burada ekrana faaliyetler ve bu faaliyetlerin gerçekleştirildiği birimler
gelmektedir. Denetçinin ilgili gördüğü faaliyet ve birimleri seçmesi
gerekecektir.
Bir denetim alanı oluşturulurken faaliyetlerin ilişkili olduğu tüm birimler
sıralanarak görüntülenir. Denetim görevinin uygulanacağı birimler
sınırlandırılmak isteniyorsa, hariç tutulacak tüm birimler seçilerek silinir.
“Birimler ile Faaliyet Ekle” seçeneğinin dışında ayrıca “Kurum-Birim”
butonunun altında yer alan “Faaliyet ile Birim Ekle” seçeneği de kullanılabilir.
22
Bu bölümde kurum-birim listesi ve bunlara bağlı faaliyetler ekrana gelmektedir.
Bu bölümdeki seçim işlemi Başkan tarafından gerçekleştirilir.
Denetim alanına dâhil edilen bir faaliyetin “Denetim Evreni” modülünde birim
ile ilişkisi kurulmamış ise ilgili modülden faaliyet ile birim ilişkisi kurulduktan
sonra denetim alanı oluşturulmalıdır.
Denetim evreninde yer alan faaliyetlerin her birinin bir denetim alanına dâhil
edilip edilmediği “Denetim Alanı Dışı Faaliyetlerin Raporu” kullanılarak tespit
edilmektedir. Bu raporda açıkta kalan faaliyet ya da faaliyetler bulunması
halinde bu faaliyetlerin de bir denetim alanına dâhil edilmesi ya da tek başına bir
denetim alanı olarak belirlenmesi zorunludur. “Denetim Alanı Dışı Faaliyetlerin
Raporu” aşağıda gösterilmektedir.
“Denetim Alanı Dışı Faaliyetlerin Raporu” butonuna basıldığında aşağıdaki
ekran gelmektedir.
23
3.4. Denetim Stratejisi
Denetim stratejisi modülüne veri girişleri Başkan tarafından
yapılmaktadır. Kaynak tahsisi, yürürlükteki Kamu İç Denetim Strateji
Belgesiyle belirlenen oranlar esas alınarak yüzde olarak girilmektedir.
“Denetim Büyüklüğü” bölümünde, ortalama denetim süreleri saat bazında
belirlenerek veri girişi yapılmalıdır.
Yönetmelik uyarınca “Denetim Sıklığı”, yüksek ve orta risk düzeyine sahip
denetim alanları için 36 aydan daha fazla belirlenemez.
“Denetçiler” sekmesinden İç Denetçilerin plan dönemine ilişkin tahmini net
çalışma süreleri girilmektedir. Mevzuatla öngörülen izinlerin toplamı “İzinler”
bölümüne girilmelidir.
Ekle butonuna basılarak listeden denetçi eklemesi yapılabilmektedir. Her
denetçi satırının sağ tarafında bulunan “Düzenle” bağlantısı tıklanarak her
24
denetçi için izin süreleri ayrı ayrı girilmelidir.. Her denetçi için ilgili plan
dönemine ilişkin 3 yıllık tahmini izin süreleri girilir.
Denetim stratejisi modülündeki denetim sıklığı ve kaynak tahsisi parametreleri
Yönetmelik, Rehber ve Kamu İç Denetim Strateji Belgesinde belirlenen esaslara
göre Başkan tarafından girilir.
3.5. Denetim Planı
Denetim stratejisiyle belirlenen kurallara göre İçDen tarafından otomatik
olarak oluşturulan iç denetim planı, kaynak kısıtı göz önünde
bulundurulmaksızın hazırlanan durumu yansıtmaktadır. Denetim kaynağının
yeterli olması halinde bu şekilde oluşturulan plan aynen uygulanabileceği gibi,
İçDen tarafından otomatik olarak ilgili yıllara dağıtılan denetim alanları
arasındaki değişiklik, program yılları kutucuğundaki işaretler kaldırılarak veya
kutucuğa işaretler konularak yapılabilmektedir. Denetim planında herhangi bir
25
yıla ait kutucuktaki işaret kaldırılırsa bu denetimin plan dönemi içerisinde başka
bir yıla eklenmesi gerekmektedir.
Aşağıdaki ekranda görüldüğü üzere ilgili plan döneminde değiştirilmesine karar
verilen denetimlerin işaretleri kaldırılabilmekte ya da seçili olmayanların
işaretlenmesi mümkün olabilmektedir.
Üst yöneticinin iç denetim planını imzalamasını müteakip söz konusu plan,
Başkan tarafından “Denetim Planı” modülünden onaylanır.
İçDen tarafından otomatik olarak oluşturulan İç Denetim Planına göre denetim
kaynağının yetersiz olması ve kısa vadede denetim kaynağının artırılmasının
mümkün olmaması durumunda, denetim alanının aktif program yılı
kutucuğundaki işaretler kaldırılarak, mevcut denetim kaynağı ile
denetlenebilecek denetim alanları belirlenir. Bu doğrultuda, aktif program
yılından çıkarılan denetim alanları, ihtiyaç duyulan denetim kaynağının doğru
belirlenebilmesi ve raporlanabilmesi amacıyla sonraki program yıllarına eklenir.
Ayrıca denetim alanının ilgili program yılı kutucuğundaki işaretin kaldırılması
durumunda yapılan değişikliğe ilişkin gerekçe, açıklama ile kayıt altına
alınmaktadır. Üst yöneticinin İç Denetim Planını imzalamasını müteakip söz
konusu Plan, Başkan tarafından “Denetim Planı” modülünden onaylanmaktadır.
26
3.6. Denetim Programı
İç Denetim Planında, denetim programına (aktif program yılı) dâhil edilen
denetimler bu modülde görüntülenir. Programda yer alan
denetimlere
ilişkin; başlama ve bitiş tarihleri, denetim türü, görevlendirilecek İç Denetçiler
ile Denetim Gözetim Sorumlusu (DGS) bilgileri Başkan tarafından girilmelidir.
Denetim programı ekranında her satırın başında düzenle bağlantısı
bulunmaktadır. Bu bağlantı tıklandığında; başlama tarihi, bitirme tarihi, denetim
türü, başkan ve DGS bilgileri seçilebilmektedir.
27
Denetim dışı faaliyetlere (Danışmanlık, İzleme, Eğitim ve Yönetim Faaliyetleri)
ilişkin başlama ve bitiş tarihleri ile bu faaliyetlerde görevlendirilecek Başkan ve
Denetçi bilgileri Başkan tarafından “Denetim Dışı” sekmesinden girilmektedir.
Denetim evrenindeki bir faaliyete ilişkin danışmanlık hizmeti verilmesi
durumunda “Denetim Dışı” sekmesinden ilgili olan faaliyet veya faaliyetler
seçilerek gerekli ilişki kurulabilmektedir.
Denetim dışı ekranında sol üstte yer alan + şeklindeki Ekle butonuna basılarak
denetim dışı faaliyet eklemesi yapılabilmektedir.
Tanımlama ekranında kaynak tahsisinin ne olduğu seçilmelidir. Tanım
bölümüne bilgi girişi yapılarak, faaliyetin başlangıç ve bitiş tarihleri
seçilmelidir. Denetçiler sekmesinde denetim dışı faaliyet ile ilgili denetçi seçimi
yapılmalıdır.
Faaliyet bölümünde ise ilgili faaliyet seçimi yapılmalıdır.
28
Daha önceden tanımlanmış bir denetim dışı faaliyet ile ilgili değişiklik
yapılacaksa, tanımı yapılan faaliyet üzerine gelinerek satır başında bulunan
düzenle bağlantısı tıklanmalıdır. Tanımın silinmesi isteniyorsa yine satır başında
yer alan sil butonuna basılması gerekmektedir.
Denetimler, başlama ve tarihleri esas alınarak İç Denetim Programı çıktısında
sırasıyla görüntülenmektedir. İçDen tarafından oluşturulan İç Denetim Programı
dokümanına üzerinde gerekli şekilsel düzenlemeler yapılarak son hali verilmeli
ve üst yöneticinin imzasına sunulmalıdır. Üst yöneticinin Programı
imzalamasını müteakip söz konusu Program, Başkan tarafından “Denetim
Programı” modülünden onaylanır.
Denetim Programına ilişkin işlemler tamamlandıktan sonra programın
onaylanması için “Onayla” butonuna basılması gerekmektedir.
29
Denetim Programı onaylandıktan sonra onayın Başkan tarafından geri alınması
mümkün bulunmamaktadır. Zira denetimler başladıktan sonra denetim
programındaki onayın geri alınması durumunda, önceki programa göre
başlatılan denetimlere ilişkin bilgilere ulaşılamama riski bulunmaktadır.
Denetim Programında revizyona ihtiyaç duyulması halinde durum İçDen
koordinatörleri tarafından MUB’a iletilmelidir.
“Denetim Programı” modülündeki denetim türleri ile denetim dışı iç denetim
faaliyet türlerine ilişkin parametreler MUB tarafından belirlenmektedir.
3.7. Program Dışı Denetim
Denetim programında yer almayan ancak yıl içerisinde ortaya çıkan
ihtiyaçlardan kaynaklı yeni denetimlerin girişleri (+) butonuna tıklanmak
suretiyle Başkan tarafından bu modül aracılığıyla yapılır.
Ekranda yer alan denetim alanı, plan dönemi, denetim türü, denetim türü 2,
DGS, denetçiler ve tarih kısımlarına ilişkin veri girişleri Başkan tarafından
yapılır.
30
4. Denetim Görevleri
4.1. Denetim Başlatma
Denetim başlatma ekranında denetime ilişkin amaç, kapsam, yöntem ve
ihtiyaç duyulması halinde denetim ekibine iletilmesi gereken özel not Başkan
tarafından girilmektedir.
31
Alt bölümdeki denetçi sekmesinde ise iç denetçi bilgileri yer almaktadır. Bu
ekranda iç denetçi değişikliği ekle/kaldır butonlarıyla, DGS değişikliği ise
denetim gözetim sorumlusunun adının yanında yer alan mavi buton aracılığıyla
Başkan tarafından yapılır.
4.2. Görev Süre Planı
Ön çalışma, saha çalışması ve raporlama aşamalarına ilişkin takvim,
denetim ekibi tarafından birlikte belirlenmekte ve bu modüle veri girişi DGS
tarafından yapılmaktadır. Aşağıdaki ekranda denetim takvimine yönelik tarih
bilgi girişi yer almaktadır.
32
DGS tarafından “havuzdan al” butonu kullanılarak MUB’un oluşturmuş
olduğu ön çalışmalar seçilebileceği gibi, “yeni” butonu kullanılarak da yeni ön
çalışmalar oluşturulabilir. Daha sonra bu görevlerin hangi tarihlerde ve hangi
denetçiler tarafından yürütüleceği bilgileri DGS tarafından girilmelidir.
Sistemde her bir göreve yalnızca bir denetçi atanması gerekmektedir.
Bir ön çalışmaya ilişkin başlangıç ve bitiş tarihleri, ön çalışmayı yapacak
ve gözden geçirecek iç denetçiler belirlenirken öncelikli olarak bu ön çalışmaya
ilişkin kutucuğun seçilmesi gerekmektedir.
33
4.3. Ön Çalışma
Bu modülde ön çalışma görevlerine ilişkin veri girişleri İç Denetçiler
tarafından yapılmaktadır. Bu kapsamda iç denetçiler tarafından tamamlanan
görevler, DGS tarafından incelenerek onaylanmalı veya tekrar gözden
geçirilmek üzere gerekçesi ile birlikte ilgili iç denetçiye geri gönderilmelidir.
Aşağıdaki ekranda ön çalışmada yapılması gereken testler veya tamamlanması
gereken aşamalar yer almaktadır. Burada yer alan görevlerin hangi tarih
aralığında yapılacağı, sonucunun olumlu yada olumsuz olup olmadığı, hangi
denetçi tarafından yapılacağı ve onaylayan kişinin kim olacağı bilgileri yer
almaktadır.
34
Her bir görev ile ilgili işlemi gerçekleştirebilmek için ilgili satırda bulunan kod
tıklanarak ilgili test/aşama ekranı açılmalıdır.
Test ekranında örneklem metodu, örneklem büyüklüğü, sonuç bilgisi, olumlu
olup olmadığı belirtilmedir.
Alt bölümde bulunan çalışma kağıdı sekmesinde denetçi, göreve ilişkin
açıklamaları detaylı olarak yazabilmektedir.
Notlar sekmesinde denetçilerin birbirlerine yazdıkları notlar yer almaktadır.
Burada gelen kutusunda denetçiye gelen notlar, giden kutusunda ise denetçinin
gönderdiği notlar yer almaktadır.
Yeni bir not oluşturmak için alt bölümde bulunan “not oluştur” butonuna
basmak gerekmektedir.
35
Not ekranının üst bölümünde, notun oluşturulduğu, faaliyet, risk, kontrol ve test
bilgisi ile notu gönderen kişi bilgisi otomatik olarak gelmektedir. Bu bilgiler
değiştirilememektedir. Öncelik, konu bilgisi ve açıklama notu denetçi tarafından
doldurulmaktadır.
Notun kime gönderildiği ile ilgili olarak notun alt kısmında alıcı bölümü
bulunmaktadır. Denetçi notu kime gönderdiğini buradaki listeden seçmelidir.
36
Görev içerisindeki dosyalar sekmesinde göreve eklenmiş olan dosya varsa bu
bölümde görüntülenmektedir.
Ön çalışma içerisinde yer alan dosyalar sekmesinde ise ön çalışma ile ilgili her
türlü dosya eklenebilmektedir. Dosya eklemek için sol üst bölümde yer alan ekle
butonuna basılması ve ilgili dosyanın seçilmesi yeterlidir. Dosya bu bölüme
eklenecektir. Gereksiz görülen dosyalar için ise ilgili dosya başındaki kutu
işaretlenerek sil butonuna basılmalıdır. Ayrıca “açılış toplantısı tutanağı ekle”
butonu ile tutanak sisteme yüklenebilmekte, yüklenmiş olan dosya ise “açılış
toplantısı tutanağını aç” butonu ile görüntülenebilmektedir.
37
4.4. Risk Kontrol Matrisi
“Risk Kontrol Matrisi” modülüne risk, kontrol ve test girişleri iç denetçiler
veya DGS tarafından yapılmaktadır.
Denetim alanı kapsamında yer alan bir faaliyete ilişkin olarak denetlenecek
birimler Denetim Alanı Modülünde görüntülenmektedir. Bu birimlerden
hangilerinde saha çalışması testlerinin uygulanacağına yapılacak mikro risk
değerlendirmesi sonuçları ve denetim kaynağına göre karar verilmektedir.
Değerlendirme sonucu test yapılması öngörülmeyen risk ve kontroller için her
hangi bir test girişi yapılmamalıdır.
İlk aşamada denetim ekibince her bir alt faaliyete ilişkin riskler belirlenerek veri
girişi yapılmalıdır. Girişler yapılırken risk, kontrol ve test birden fazla faaliyete
ilişkinse her bir faaliyet için ayrı ayrı risk, kontrol ve test ataması yapmak yerine
çoklu ekle seçeneği kullanılabilir.
38
Daha sonra risk analizi modelinde etki ve olasılık değerlerinin kesiştiği hücrede
bulunan risk puanı belirlenerek mikro risk değerlendirmesi tamamlanmaktadır.
RKM Liste Görünümü sekmesinde risk kontrol matrisinde yer alan kurum,
birim, faaliyet, risk, kontrol ve test detayları liste şeklinde görüntülenebilir ve
Excel dosyası halinde alınabilir.
39
Risk değerlendirmesinin sonuçlarına göre, Rehberdeki esaslar göz önünde
bulundurularak test edilmesine karar verilen kontrollere ilişkin testlerin girişi
yapılmaktadır.
Risk ve kontrol bilgileri girilirken, bu bilgilerin ön çalışmanın hangi görevinden
elde edildiği veya diğer bir kaynaktan elde edilmişse bu verinin kaynağı
“referans” bölümünde açıkça belirtilmelidir.
Risk bölümünde ayrıca üst metin, riskin kodu, tanımı, riske ilişkin açıklamalar,
referans, riskin tipi ve iç kontrol amaçları yer almaktadır.
40
Kontrol bölümünde üst metin, kontrolün kodu, tanımı, türü, kategorisi, düzeyi,
anahtar kontrol olup olmadığı, kontrole ilişkin açıklamalar ile referans ve
kontrol standardı bilgileri yer almaktadır.
41
Test bölümü ekranı aşağıdaki gibidir. Bu bölümde üst metin, testin kodu, tanımı,
açıklamalar, olgunluk modeli test kategorisi ve test yöntemi bilgileri yer
almaktadır.
Aynı birimde yapılacak her bir teste yalnızca bir denetçi atanması esastır. Bir
testin birden fazla denetçi tarafından yapılmasına ihtiyaç duyulması halinde,
aynı testler farklı kodlar verilmek suretiyle farklı iç denetçilere atanabilmektedir.
4.5. Çalışma Planı
“Çalışma Planı” modülüne veri girişleri DGS tarafından yapılmaktadır.
“Denetim Başlatma” modülünde girilen denetimin amaç, kapsam ve yöntemi,
yapılan ön çalışmalar neticesinde elde edilen bilgiler doğrultusunda DGS
tarafından bu aşamada güncellenmektedir.
42
DGS tarafından saha çalışması testlerine ilişkin görevlendirmeler ile testlerin
yapılacağı tarihler testlerin başındaki kutucuklar işaretlendikten sonra
girilmelidir.
Denetçi Sekmesinden yürürlükteki iç denetim programıyla üst yöneticiden
gerekli yetki alınması kaydıyla, denetim ekibinde Başkan tarafından bu aşamada
değişiklik yapılabilir.
43
4.6. Saha Çalışması
“Saha Çalışması” modülüne veri girişlerinin iç denetçiler tarafından
yapılması esastır. Saha çalışmasına ilişkin “ilişkili görünüm” ekranı aşağıdaki
gibidir.
Saha Çalışmasına ilişkin “liste görünümü” ekranı aşağıdaki gibidir.
Testlerle ilgili çalışma yapmak için kodu bölümünde yer alan test kodu
tıklandığında test ekranı gelmektedir. Test ekranında bilgi girilmesi gereken
ekranlar örneklem metodu, örneklem büyüklüğü ve sonuç bilgileridir. Test
sonucunun olumlu mu yoksa olumsuz mu olduğu seçilmelidir. Alt bölümde
bulunan çalışma kağıdı sekmesinde denetçi, göreve ilişkin açıklamaları detaylı
olarak yazabilmektedir.
Çalışmalara açılır ekran kapatılmadan devam edilmek istenirse “kaydet”
butonuna; çalışmayı hem kaydedip hem de pencereyi kapatmak için “kaydet ve
kapat” butonuna basılır.
44
İç denetçiler kendilerine atanmış olan testleri bu aşamada yapmaktadırlar.
Testler olumlu ya da olumsuz olarak sonuçlandırılmaktadır. Testlerin sonucunda
kritik önem düzeyinde bulgu oluşturması muhtemel bir tespit yapılması halinde,
bu testin olumsuz sonucunu vurgulamak için olumsuz seçeneğiyle birlikte
bayrak kutucuğu da işaretlenmelidir. Öte yandan olumlu sonuçlanan testlerde,
tespitin iyi uygulama örneği olduğunun düşünülmesi halinde olumlu seçeneği ile
birlikte bayrak kutucuğu da işaretlenmelidir.
İç denetçiler tarafından tamamlanan testler, DGS tarafından incelenerek
onaylanmalıdır veya not oluşturularak ilgili iç denetçiden tekrar gözden
geçirmesi istenmelidir. “Bulgular” sekmesinde; olumlu seçeneğiyle birlikte
bayrak kutucuğu da işaretlenen testler iyi uygulama örneği alt sekmesinin
altında, olumsuz sonuçlanan testler ise “olumsuz” alt sekmesinin altında yer
almaktadır.
45
İyi uygulama örneği olan testleri gösteren ekran aşağıdaki gibidir.
Olumsuz sonuçlanan testleri gösteren ekran aşağıdaki gibidir.
Olumsuz sonuçlanan testler denetim ekibi tarafından gözden geçirilerek
bulguların oluşturulması aşamasına geçilmektedir. Bulguların iç denetçiler
tarafından oluşturulması esastır. Ancak birden fazla testin farklı iç denetçiler
tarafından yapılması ve bu testlerden tek bir bulgu oluşturulması durumunda,
söz konusu bulgu DGS tarafından veya DGS tarafından görevlendirilen iç
denetçi tarafından oluşturulmaktadır.
Bir testten tek bulgu oluşturulması esas olmakla birlikte, birden çok testten de
tek bir bulgu oluşturulabilmektedir. Ancak bir testten birden çok bulgu
oluşturulamaz.
Bulgu oluşturulması için olumsuz sekmesindeki ekle butonu kullanılmalıdır.
Bulgu ekranı genel, test ve sorumlu kişi sekmelerinden oluşmaktadır.
Genel sekmesinde; Mevcut Durum (Tespit), Neden, Risk ve Etkileri, Kriter,
Öneri alanları yer almaktadır.
46
Test sekmesinde bulgu oluşturulurken eklenen testler görüntülenmektedir.
Ayrıca bu sekmeden de test eklenmesi mümkündür.
Bulgular ve iyi uygulama örnekleri iç denetçiler tarafından tamamlandıktan
sonra DGS tarafından incelenerek onaylanmalı veya tekrar gözden geçirilmek
üzere gerekçesi ile birlikte ilgili iç denetçiye geri gönderilmelidir. Bulgu,
denetlenen birimle e-posta ile paylaşılacaksa, DGS tarafından denetlenen birim
yöneticisinin e-posta adresi bilgisi girilmelidir.
47
Oluşturulan bulgular, DGS veya iç denetçinin ilgili bulguyu tamamlamasından
önce bulguyu oluşturan kişi tarafından silinebilir.
Bulgular ancak bulguyu oluşturan iç denetçi veya DGS tarafından geri alınarak
değiştirilebilir.
İyi uygulama örneği olarak belirlenen tespit, bulgu oluşturma sırasında iyi
uygulama olarak ekranda görüntülenmektedir. Denetim ekibince yapılacak
değerlendirme sonucu raporlanması uygun görülen tespitler iyi uygulama örneği
olarak oluşturulmaktadır ve sistem tarafından denetim raporunun ilgili bölümüne
aktarılmaktadır.
48
Testler bölümünde dosya ekleme işlemi dosyalar sekmesinin altında bulunan
ekle butonu ile yapılmaktadır. Eklenen dosyaların silinmesi istendiğinde sil
butonunu kullanmak gerekmektedir.
5. Raporlama ve İzleme
5.1. Bulguların Paylaşılması
“Bulguların Paylaşılması” modülüne veri girişleri DGS tarafından
yapılmaktadır. Bulgu unsurlarının yanında bulunan kutucuklar işaretlenerek
denetlenen birim ile paylaşılması istenen unsurlara karar verilir. “Saha
Çalışması” modülünde denetlenen birim yöneticisinin e-posta adresi girilerek
tamamlanan bulgu, bu aşamada DGS tarafından onaylanmaktadır ve gözden
geçirilmek üzere Başkana sistem üzerinden gönderilmektedir. Bulgular Başkan
tarafından, bulguların önem düzeyi ve maddi hata bakımından gözden
geçirilmekte ve sorun olması durumunda gerekçesi ile birlikte DGS’ye geri
gönderilmesi gerekmektedir.
49
DGS tarafından denetlenen birim yöneticisinin e-postasının girilmesi halinde, İç
Denetim Birim Başkanı tarafından gözden geçirilen bulgular otomatik olarak
denetlenen birimle e-posta aracılığıyla paylaşılmaktadır.
Bulguların e-posta aracılığıyla paylaşılmasının tercih edilmemesi durumunda
Başkanlık, bulguları kurum içi yazışma ve bulgu paylaşım formu kullanmak
suretiyle denetlenen birimle paylaşabilmektedir. Denetlenen birimden kurum içi
yazışmayla gelen görüşler “Denetlenenin Görüşü” modülüne DGS tarafından
girilmektedir.
50
5.2. Denetlenenin Görüşü
“Denetlenenin Görüşü” modülüne veri girişleri denetlenen birim veya DGS
tarafından yapılmaktadır.
Bulguların e-posta aracılığıyla paylaşıldığı durumda, denetlenen birim bulguya
katılıyorsa, e-posta ile gönderilen bağlantıya giriş yaparak eylem planını bildirir.
Denetlenen birim bulguya katılmıyorsa gerekçesini belirtir. Söz konusu eylem
planı veya katılmama gerekçeleri “Denetlenenin Görüşü” modülüne otomatik
olarak kaydedildiğinden, DGS tarafından bu modüle veri girişi yapılmasına
gerek bulunmamaktadır.
Bulgu denetlenen birimle paylaşıldıktan sonra denetlenen birimden gelen görüş
doğrultusunda bulgunun esasına ilişkin olarak denetim ekibi tarafından temel bir
hatanın yapıldığının kabul edilmesi ve artık bulgunun konusunun kalmadığının
anlaşılması üzerine DGS tarafından bulgu iptali butonuna basılarak bulgu iptal
edilir.
Ayrıca kapanış toplantısı tutanağı “kapanış toplantısı tutanağı ekle/güncelle”
butonu kullanılarak sisteme yüklenebilir. Yüklenen dosya “kapanış toplantısı
tutanağını aç” butonu ile açılabilmekte, “kapanış toplantısı tutanağını sil” butonu
ile silinebilmektedir.
51
Bulguların e-posta aracılığıyla paylaşılmasının tercih edilmemesi durumunda,
Başkanlık kurum içi yazışma ile paylaştığı bulgulara ilişkin denetlenen birimce
gönderilen eylem planı veya katılmama gerekçesi DGS tarafından
“Denetlenenin Görüşü” modülüne girilmektedir.
Başkanlık, denetlenen birimin bulguya katılmama gerekçesini uygun buluyorsa
ve bu durum düzeltilebilir bir husus olarak mütalaa ediliyorsa, bulgu oluşturma
aşamasına geri dönülerek gerekli değişiklikler yapılmaktadır. Bu işlem için
Başkanın, yaptığı gözden geçirmeye ilişkin işlemi geri alması gerekmektedir.
İlgili DGS ya da iç denetçi tarafından bulgunun düzeltilmesi ile birlikte
bulguların paylaşılması süreci tekrarlanmaktadır.
Başkanlık, denetlenen birimin görüşüne katılmıyorsa konu uzlaşılamayan husus
olarak üst yöneticiye sunulmaktadır. Üst yöneticinin görüşü doğrultusunda işlem
tesis edilmektedir. Üst yöneticinin uzlaşılamayan hususlara ilişkin olarak
Başkanlığın değerlendirilmesine katılması halinde, denetlenen birimden
52
uzlaşmazlık konusu hususlarla ilgili kurum içi yazışmayla alınan eylem planı
DGS tarafından “Denetlenenin Görüşü” modülüne girilmektedir.
Üst yöneticinin, uzlaşılamayan hususlarla ilgili olarak Başkanlığın görüşlerine
katılmaması halinde, söz konusu bulguya denetim raporunda yer
verilmemektedir. Ancak ilgili bulgunun sonuçları “Denetim Görüşü” modülünde
dikkate alınmaktadır ve ayrıca bu bulgu yılı iç denetim faaliyet raporunda yer
verilmek suretiyle Kurula bildirilmektedir.
Bulgu geçmişini görüntülemek için aşağıda kırmızı çerçeve içerisinde
gösterilmiş bulgu geçmişi kolonundaki göster bağlantısının tıklanması
gerekmektedir.
Göster bağlantısı tıklandığında aşağıdaki ekranda bulguya yönelik oluşturulan
geçmiş bilgilerin tarihsel görünümü yer almaktadır.
53
5.3. Denetim Görüşü
Denetlenen her bir faaliyete ilişkin denetim görüşü, Rehberde belirlenen
kurallar doğrultusunda sistem tarafından otomatik olarak oluşturulmaktadır.
5.4. Denetim Raporu
“Denetim Raporu” modülüne ilişkin işlemler DGS tarafından yapılmaktadır.
DGS bu modülde denetim raporunda yer alması ya da hariç tutulması gereken
bulgulara karar vermektedir.
Denetim raporuna dâhil edilmeyen bulgulara ilişkin gerekçeler açıklama
bölümünde belirtilmektedir.
“Yönetici Özeti” ve “Giriş” bölümü hariç olmak üzere Denetim Raporu sistem
tarafından üretilmektedir. Üretilen raporun “Yönetici Özeti” ve “Giriş” bölümü
denetim ekibi tarafından doldurulmaktadır. İhtiyaç olması halinde üzerinde
gerekli şekilsel düzenlemeler yapılarak son şekli verilen rapor, modüle yeni
haliyle yüklenebilir
Denetim Raporuna nihai hali verilerek sisteme yüklendikten sonra, DGS
tarafından “Raporu Tamamla” butonuna basılır.
54
5.5. Bulgu Görevlendirmesi
“Bulgu Görevlendirmesi” modülüne veri girişleri Başkan tarafından
yapılmaktadır. Bu modülde Başkan, denetim raporunda yer alan bulgulara
ilişkin izleme faaliyetini yürütecek iç denetçilerin görevlendirmesini
yapmaktadır.
Kaydet butonuna basıldıktan sonra görevlendirme işlemi gerçekleşmiş
olmaktadır. Görevlendirmenin iptal edilmesi isteniyorsa, görevlendirmede
olduğu gibi seçim işlemi gerçekleştirildikten sonra denetçiyi kaldır butonunun
kullanılması gerekmektedir.
Görevlendirme yapılacak bulgular satır başlarında bulunan kutucuklar
işaretlenerek seçilmelidir. İzlemeyi yapacak denetçi ”Denetçi Görevlendirme”
butonuna basılarak belirlenir. Yapılan görevlendirmelerin ardından Başkan
tarafından “Denetimi Tamamla” butonuna basılır.
55
5.6. İzleme
“İzleme” modülüne veri girişleri iç denetçiler tarafından yapılmaktadır.
Kendisine izleme görevi verilen iç denetçi bulgunun takibini bu modülden
yapmaktadır.
İzlemeye ilişkin eylemin denetlenen birimce yerine getirildiğinin iç denetçi
tarafından tespit edilmesi durumunda, ilgili alana açıklama girilerek izleme
faaliyeti tamamlanmakta ve bulgu kapatılmaktadır.
Bulguya ilişkin eylemin öngörülen tarihte tamamlanmaması ve denetlenen
birimce eyleme ilişkin ek süre istenmesi durumunda “Devam Ediyor” butonu
kullanılarak revize edilmiş eylem planının girişi yapılmaktadır ve ek süre
verilmektedir. İkinci izleme dönemi sonunda eylemin denetlenen birimce yerine
getirildiğinin iç denetçi tarafından tespit edilmemesi durumunda ilgili alan
açıklama girilerek izleme faaliyeti tamamlanmalı ve bulgu kapatılmalıdır.
İlk izleme döneminde herhangi bir ilerleme kaydedilmemesi ve ilgili birimden
de süre uzatımına yönelik bir talebin olmaması halinde “Devam Ediyor” butonu
kullanılarak ek süre verilmektedir. İkinci izleme dönemi sonunda da herhangi
bir ilerleme kaydedilmemesi durumunda “Risk Kabul” butonu kullanılıp gerekli
açıklamalar yazılarak bulgu kapatılmaktadır.
56
Tüm bulguların izlemesi tamamlandıktan sonra denetimi kapatma işlemi Başkan
tarafından yapılır.
57
Download

İçDen Kullanım Kılavuzu - İç Denetim Koordinasyon Kurulu