Birinci Bölüm

SİSTEM DENETİMİ

Sistem denetimi, rehberin genel çerçeve kısmında belirtilen metodolojiye uygun olarak yürütülür. Bununla beraber, sistem denetimine özgü bazı hususlara aşağıda yer verilmiştir.

 

A. Tanım

Sistem, belirli unsurlardan oluşan ve bu unsurlar arasında belli ilişkiler olan bir bütün olarak tanımlanabilir. Sistemin unsurları, son derece basit veya karmaşık olabileceği gibi, kendi başına bir sistem oluşturabilen alt sistemler de olabilir.

Bir sistemi, girdi, süreç ve çıktı olmak üzere üç ana bölümde incelemek mümkündür. Girdiler, sisteme dışarıdan dahil olan ve bir sürecin başlamasına yol açan unsurlardır. Örneğin hammadde, enerji  ve diğer veriler birer girdidir. Çıktı ise, hizmet, bilgi, rapor gibi sistem tarafından oluşturulan ve kullanıcıya sunulan ürünlerdir. Girdiler tarafından tetiklenen ve çıktılara dönüşen eylemler de süreç olarak adlandırılır. Örneğin bir ürün imalatı, bir raporun hazırlanması ve bir hizmetin sunulması gibi.

Bu bilgiler ışığında sistem denetimi, denetlenen sürecin ya da birimin (sistem) amaçlarına ulaşmasını sağlamada iç kontrol sistemlerinin yeterlik ve etkinliğinin değerlendirilmesidir. Diğer bir ifadeyle, denetlenen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin yeterliğinin ölçülmesi suretiyle değerlendirilmesidir.

Kamu İç Kontrol Standartlarında tanımlandığı şekliyle iç kontrol; kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ile izleme bileşenlerinden oluşur.

Sistem denetiminde, birim veya süreçle ilgili iç kontrolün tamamına bakılırken, performans denetiminde faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesine yönelik kontroller, mali denetimde ise mali sistem ve tabloların güvenilirliğinin sağlanmasına ilişkin kontroller incelenir.

Sistem denetiminde;

• Kamu gelir, gider, varlık ve yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde yönetilmesi,
• Kamu idarelerinin kanunlara, temel politika belgelerine* ve diğer düzenlemelere uygun olarak faaliyet göstermesi,
• Karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir rapor ve bilgi üretilmesi,
• Her türlü karar ve işlemlerde usulsüzlük ve yolsuzluğun önlenmesi,
• Varlıkların kötüye kullanımının ve israfının önlenmesi ile kayıplara karşı korunması

amacıyla oluşturulan iç kontrol sistemi bir bütün olarak değerlendirilir ve iç kontrol bileşenlerinin var olup olmadığı incelenir.

B. Uygulama

Sistem denetiminde, denetlenecek süreç veya birimin kontrol sisteminin değerlendirilmesine odaklanılması gerekmektedir.

 

1. Mağaza denetim Amaçlarının Belirlenmesi

İç denetçi ön çalışma kapsamında öncelikle, görevlendirildiği denetimin yıllık mağaza denetim programına alınma nedenini öğrenmelidir. Gerçekleştirilecek mağaza denetim faaliyeti sonucunda beklenenlerin tam olarak ortaya konması mağaza denetim amaçlarının belirlenmesini kolaylaştıracaktır.

 

2. Bilgi Toplama/Ön Araştırma

Denetimin amacı belirlendikten sonra iç denetçi, denetime konu sistem hakkında bilgi toplayarak bir ön araştırma yapar. Bu çalışma sonucunda denetlenecek sürecin nerede başlayıp nerede bittiği ve diğer sistemlerle ilişkisi ortaya konmalıdır.

Denetlenecek süreç ya da birimlerin iyi anlaşılabilmesi için; ilgili mevzuat, faaliyet raporları, yetki paylaşımı ve devriyle ilgili idare tarafından hazırlanıp yürürlüğe konulan düzenlemeler ile yönetici ve çalışanlarla yapılan görüşmeler bu aşamada kaynak olarak kullanılabilir. Birimlerde yapılacak görüşmelerde kullanılabilecek sorgu formuna aşağıda yer verilmiştir.

• Yürütülen hizmetlerle ilgili mevcut süreçler nelerdir ve hangi alt süreçlerden oluşmaktadır?
• Süreçlerin temel önceliği nedir? Süreç tarafından üretilen çıktının değeri (parasal olan – olmayan) nedir?
• Sürecin işleyişi ile ilgili olarak;
  • Süreç nasıl işlemeye başlamaktadır? Süreci hangi talep, olay veya sistem başlatmaktadır?
  • Süreç şu anda sorunsuz işlemekte midir? Sürecin işlemesine ilişkin önemli engeller nelerdir?
  • Biriminiz içinde bu süreçte görev alan alt birimler hangileridir?
  • Biriminiz dışında süreçler için ihtiyaç duyduğunuz temel girdiler ve bu girdileri sağlayan birimler hangileridir?
  • Bu süreçle ilgili olarak diğer birimlerden alınan bilgi ve belgelerde kritik noktalar nelerdir?
  • Bu sürece ilişkin herhangi bir bilgi teknolojisi sistemi kullanılmakta mıdır?
• Sürecin çıktılarıyla ilgili olarak;
  • Süreç sonunda ortaya çıkan çıktılar nelerdir?
  • Bu çıktıları kimler kullanmaktadır? Bu çıktılara kimler bağımlıdır?
  • Bu çıktılar kabul edilmediği zaman ilgili birim tarafından yapılan işlemler nelerdir?
  • Sürecin nihai faydalanıcısı kimdir?
  • Bu çıktının belirli zaman ve sürelerde oluşturulması gerekmekte midir?
  • Sürecin çalışma dönemleri var mıdır?
• Süreçteki dokümantasyonla ilgili olarak;
  • Sürece ilişkin dokümantasyon / teknik belgeler bulunmakta mıdır?
  • Sürece ilişkin düzenlenmiş raporlar bulunmakta mıdır?
• Hedefleri başarıyla gerçekleştirmek için ne gibi ilave kaynak ve imkânların bulunması gerekmektedir?
• Bu süreçle ilgili olarak ortaya çıkabilecek en önemli sorun nedir?
• Geçmişte bu süreçle ilgili karşılaşılan en önemli sorun nedir?
• Bir kriz anında sürecin işlemesini sağlayacak alternatifler var mıdır?

 

3. Riskler ve Kontrollerin Belirlenmesi ve Değerlendirilmesi

Riskler ve kontrollerin belirlenmesi ve değerlendirilmesi aşaması sistem denetiminde en kritik aşamadır. Denetlenen birim veya süreçte uygulanan kontrollerin yeterlik ve etkinlik açısından değerlendirilmesi için kullanılabilecek çeşitli yöntemler bulunmaktadır. Bu yöntemlerden bazılarına aşağıda yer verilmiştir.

İş Akış Şemaları: Sistemin tanınmasında ve sınırların belirlenmesinde de kullanılan iş akış şemaları aynı zamanda sistem içinde tıkanma yaşanan noktaların, görevler ayrılığı ilkesine uyulmayan durumların ve aynı işin birden fazla yerde tekrar edilmesi gibi kontrol zayıflıklarının belirlenmesine ve süreçlerdeki kritik kontrol faaliyetlerinin ortaya çıkarılmasına yardımcı olur.

Kontrollere İlişkin Açıklamalar: Süreç veya birim hakkında detaylı bilgisi olan kişilerin sisteme ilişkin açıklamaları, denetçinin iç kontrol sistemini değerlendirmesi için önemli bilgi kaynaklarından biridir. Ayrıca birimle ilişki içinde olan idare dışındaki ilgililer de kontrol zayıflıklarına ilişkin faydalı bilgiler sunabilir. Ancak alınan bilgilerin herhangi bir önyargı taşımaması ve tarafsız olmasına dikkat edilmelidir.

İç Kontrol Sorgu Formu: İç kontrolün değerlendirilmesinde bir başka yöntem de, daha önce hazırlanmış iç kontrol sorgu formları kullanılarak sorumlu personelden kontroller hakkında detaylı bilgi alınmasıdır. Sorgu formları, olumsuz bir yanıtın olası bir zayıflığı ve riski ortaya çıkarmasına yönelik hazırlanır. Olumsuz bir yanıtla karşılaşan denetçi, bu riske karşı olması gereken kontrollerin mevcut olup olmadığına bakar. İç kontrol bileşenlerinden kontrol ortamının değerlendirilmesiyle ilgili örnek bir sorgu formu ekte (Ek:14) yer almaktadır. İç kontrol sorgu formları denetimin sistematik bir şekilde yapılmasına imkân sağlayan bir araçtır.

Risk ve Kontrol Değerlendirme Matrisleri: Bu yöntemde birim veya sürecin iç kontrol sistemi risk odaklı bir biçimde ele alınır ve risklerle uygulanan kontroller birlikte değerlendirilir. Örnek olarak bir idaredeki hukuk müşavirliğiyle ilgili risk ve kontrol matrisine ekte (Ek:15) yer verilmiştir.

Yukarıdaki yöntemlerden denetçinin uygun göreceği bir veya birkaç yöntem birlikte uygulanabilir.

Kontroller üst ve orta/alt olarak 2 ayrı düzeyde ele alınabilir.  Üst düzey kontroller, idare düzeyinde belirlenen ve uygulanan kontrollerdir. Orta ve alt düzeydeki kontroller ise birim/süreç bazında tasarlanan ve uygulanan kontrollerdir.

1.                                I.      Üst düzey kontroller;

• Amaç ve hedefler,
• Plan ve prosedürler,
• Yetkilendirme,
• Organizasyon,
• Performans kriterleri,
• Görev ve sorumluluklar,
• Etkin iletişim ve raporlama,
• Yeterli insan kaynağı,
• Yönetim felsefesi ve idare tarzı,
• Etik değerler.

1.                             II.      Orta/ alt düzey kontroller;

• Amaçlara ulaşımın izlenmesi,
• Sürekli değerlendirme,
• Çalışanların performansının izlenmesi,
• Bütçe, muhasebe ve mali kontroller,
• Kontrollerin değerlendirilmesi,
• Yenileme ve güncellemeler,
• Yetkilendirme ve onaylama,
• Görevler ayrılığı,
• Fiziki kontroller,
• Tam ve güvenilir kayıt sistemi,
• Dokümantasyon ve arşiv sistemi.

Üst düzey kontroller, orta ve alt düzeydeki kontrollerin işleyişini de etkilediğinden, denetçi ilk olarak üst düzey kontrollerin işleyişini incelemeli, daha sonra orta ve alt düzey kontrolleri değerlendirmelidir.

Kontrollerle ilgili değerlendirme yapılırken öncelikle kontrollerin belirtildiği şekliyle işleyip işlemediği incelenmelidir. Bunun için başlangıç aşamasından son aşamaya kadar bir kontrolün nasıl işlediği yerinde izlenmelidir.  Denetçi bu izleme esnasında çalışanlara; görevlerini yerine getirirken hangi noktalara dikkat ettiklerini, bir hata tespit ettiklerinde ne yaptıklarını, genellikle hangi tür hatalarla karşılaştıklarını sorarak uygulanan kontrolle ilgili detaylı bilgi edinir.

İç kontrol siteminin sağlıklı bir şekilde işleyip işlemediğine ilişkin kritik değerlendirmeler, mağaza denetim testlerinin uygulanma aşamasından önce tamamlanır. Bir anlamda mağaza denetim testleri, bu değerlendirme sonucunda varılan sonuçların doğru olup olmadığını teyit etmek için yapılır.  Bununla birlikte kontrollerin değerlendirilmesi, mağaza denetim boyunca devam eden bir süreçtir. Diğer bir ifadeyle, saha çalışması sırasında uygulanan mağaza denetim testleri sonuçlarına göre, gerektiğinde kontrollerin etkinliği tekrar gözden geçirilmelidir.