Denetim ve Baz rneklerle Kontrol likisi mer Faruk

İç Denetim ve Bazı Örneklerle İç Kontrol İlişkisi Ömer Faruk NANGIR İç Denetçi (CGAP) 15. 02. 2019

2 İç Denetim Nedir?

3 İç Denetim Nedir?

4 İç Denetim Nedir?

5 İç Denetim Nedir?

6 Stratejik Planlama kuruluşun bulunduğu nokta ile ulaşmayı arzu ettiği durum arasındaki yolu tarif eder.

7 Stratejik Plan

8 Stratejik Plan

9 KAMU İÇ KONTROL STANDARTLARI I. Kontrol ortamı standartları 1. Etik değerler ve dürüstlük 2. Misyon, organizasyon yapısı ve görevler 3. Personelin yeterliliği ve performansı 4. Yetki devri II. Risk değerlendirme standartları 5. Planlama ve programlama 6. Risklerin belirlenmesi ve programlanması III. Kontrol faaliyetleri standartları 7. Kontrol stratejileri ve yöntemleri 8. Prosedürlerin belirlenmesi ve belgelendirilmesi 9. Görevler ayrılığı 10. Hiyerarşik kontroller 11. Faaliyetlerin sürekliliği 12. Bilgi sistemleri kontrolleri IV. Bilgi ve iletişim standartları 13. Bilgi ve iletişim 14. Raporlama 15. Kayıt ve dosyalama sistemi 16. Hata, usulsüzlük ve yolsuzlukların bildirilmesi V. İzleme standartları 17. İç kontrolün değerlendirilmesi 18. İç denetim

10 Önce Örnek, Doğrudan Temin Yöntemi: 22 c İhtiyaçların, 4734 sayılı Kamu İhale Kanununun 18 inci maddesinde sayılan (açık ihale usulü, belli istekliler arasında ihale usulü ve pazarlık ihale usulü) ihale usulleri için tespit edilen kurallara uyulmaksızın; ilan yapılmadan, teminat alınmadan, ihale komisyonu kurma ve anılan Kanunun 10 uncu maddesinde sayılan yeterlilik kriterlerini arama zorunluluğu bulunmaksızın, ihale yetkilisince görevlendirilecek kişi veya kişiler. tarafından piyasa fiyat araştırması yapılarak temin edilmesidir

11 Önce Örnek: 22 c Alım Yöntemi 22/c alımlarının Kamu İhale Genel Tebliğinin 22. 4. 1. 3 maddesinde yer alan “………. . ihtiyaçların 4734 sayılı Kanunun 22 nci maddesinin (c) bendi kapsamında temini için, alımı gerçekleştirilecek mal ve hizmetin, mevcut mal, ekipman, teknoloji veya hizmetlerle uyumun ve standardizasyonun sağlanmasının zorunlu olduğunun idarelerin teknik birimlerince ya da ilgili kuruluşlardan teknik yardım alınarak saptanması gerekmektedir.

12 22 c Başvuru Nedenleri HBYS alımı için 22/c maddesine başvurulmasının nedenleri i) İnsan kaynaklarında sürekli bir değişimin olması ve bu nedenle yönetim süreçlerinde zorluk yaşanması ve planlamanın tam olarak yapılamaması, ii) Kurum dışından sözleşme imzalanan yöneticilerin kuruma ve Bakanlığa yabancı olması nedeniyle ihale usullerini gerçekleştirmekte zorlanmaları, iii) Hastanenin küçük olmasından dolayı açık ihaleye katılımın olmaması iv) HBYS firma değişikliğinin data ve tahakkuk kaybına neden olabilmesi ve Hastane işleyişini aksatma problemleri ile arşiv kayıtlarına benzer programı kullanmayan yeni HBYS firmasının sistemi ile ulaşılamaması çekincesi, v) Genel Sekreterliğin o konudaki yetki devri zamanlamasının açık ihaleye çıkmaktan alıkoyması.

13 Riskler Rekabetin sağlanamaması Geçici bir çözümün kalıcı hale getirilmesi Dış Denetim raporlarında yer alması Kanunun çizdiği sınırlar dışına çıkılma ihtimali Kamu zararına meydan verilebilmesi Soruşturmaya konu olabilme

14 Eksiklikler/Bulgular 22/c kapsamında yapılan HBYS güncelleme hizmet alımlarına ilişkin “tek kaynaktan temin formları” nın gerekçe raporlarında teknik personel onayının bulunmadığı görülmüştür. Doğrudan temin ile alım kalıcı hale gelmiştir.

15 Alternatifler : Açık İhale ile Toplu Alım HBYS hizmet alımının toplu şekilde yapılmasının açık ihaleye çıkıp teklif alamayan küçük hastaneler için faydalı olduğu, tüm hastaneler açısından tek bir sistem dili kullanımı ile hastaneler arası görevlendirmelerde kullanıcıların zorluk yaşamadığı ve herhangi bir problemde aynı dili kullanabildikleri, maliyet avantajı sağladığı belirlenmiştir.

16 Alternatifin Riskleri Toplu alımlarda dal hastanesi ya da benzeri spesifik özellikte hastanelerin ihtiyaç duyduğu modüllerin göz önünde bulundurulmaması Toplu alımda yüklenici firma HBYS konusundaki bilgili personeli büyük hastanelere diğer personeli ise ilçe hastanelerine görevlendirmekte bu da problemleri çözmede etkili olmamaktadır (bu nedenle yüklenici firmanın daha fazla bilgisayar mühendisi ya da benzeri bilişim personelinin olması aranmalıdır. ) Toplu alım bölümlere ayrılmamış ise yüklenici firma teknik olarak yeterli olamayabilmektedir. (Sınıflandırma yapılarak toplu alımlara çıkılması yararlı olabilir. ) Toplu alımda yüklenici ile imzalanan sözleşmenin ceza maddesinin her sağlık tesisine ait kısım üzerinden olacak şekilde düzenlenmemesi (Sözleşmeyi imzalayan taraf Genel Sekreterlik ama işin takibini ve kontrolünü bilfiil yapan taraf Hastane yönetimleridir. Bir hastanede firmanın eksik iş yapması nedeniyle ceza kesilmesi ve sadece bir hastanenin cezalar keserek firmanın sözleşmesini fesih ve ihaleden yasaklı hale getirmesi birliğe bağlı diğer sağlık tesislerinin işleyişini etkileyecektir. )

17 Öneriler Açık İhale Usulünün uygulanması 22 c Takip Sistemi, iç kontrol freni Hastanelerdeki bilişim personeli eksikliğinin giderilmesi Sözleşmelerin sınıflandırılması, bölümlere ayrılması Toplu alımla ilgili öneriler Personelle ilgili eğitim, kariyer vb. öneriler Merkezi bir HBY sisteminin kurulması fakat yerel yönetimlere destek verecek sayıda personel ile

18

19 İç Kontrol Tarihçesi COSO Modeli 1940’lı yıllardan itibaren ABD’de muhasebe ve denetim alanında iç kontrole ilişkin standartlar ve tanımlar oluşmaya başlıyor. ABD’de yaşanan 1973 Watergate skandalından sonra kamuda iç kontrol önem kazanıyor. 1970 -1980’li yıllardaki hileli iflasları denetleyen ABD SPK’sı 200’den fazla şirketin dahil olduğu yolsuzluk tespit ediyor. 1980’lerde yaşanan hatalı ve hileli mali raporlamalar, iflaslar ve mali skandallar ABD’nin beş en önemli kuruluşunu işbirliğe itiyor.

20 İç Kontrol Tarihçesi COSO Modeli COSO Treadway Komisyonu Gönüllü Kuruluşlar Komitesi’nin kısaltmasıdır. Komisyonun başkanının soyisminden dolayı Treadway Komisyonu ismi verilmiştir. 1987’deki raporunda; İç kontrole ilişkin sorumluluğun yalnızca bağımsız denetçide olmadığını, yöneticiler, muhasebe ve iç denetim birimleri, hukuk ve mali müşavirler, denetim kurulları ve iç kontrol çalışanlarında da olduğunu ve hatalı ve hileli raporlamanın yüzde ellisinin iç kontrol zaafiyetinden kaynaklandığını ortaya koymuştur.

21 İç Kontrol Tarihçesi COSO Modeli Treadway Komisyonu çerçevesinde bir araya gelen beş kuruluş gelen öneriler doğrultusunda iç kontrole ilişkin Ekim 1992’de “İç Kontrol: Bütünleşik Çerçeve” rehberini yayımlamıştır. 2 defa daha güncellenmiştir. COSO Raporu daha sonra ABD Hükümeti, İç Denetim Enstitüsü (IIA), INTOSAI (Uluslar arası Sayıştaylar Birliği) gibi kuruluşların rehber olarak kabul edip standartlarını ona göre uyarladığı bir çerçeve oluşturdu.

COSO aşağıda yer alan kuruluşlar tarafından oluşturulmuş ve finanse edilmiş birliktir ; American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) Financial Executives International (FEI) Institute of Management Accountants (IMA) The Institute of Internal Auditors (IIA) www. coso. org

23 COSO İç Kontrol Modeli Coso modelinde iç kontrol sistemi birbiriyle bağlantılı beş unsurdan meydana gelir. Kontrol Ortamı Risk Değerlendirme Kontrol Faaliyetleri Bilgi ve İletişim İzleme

24 COSO İç Kontrol Modeli Sağlam bir iç kontrol sistemi için kontrol ortamı uygun bir zemin sağlar. Risk değerlendirme sonuçlarına göre belirlenen kontrol faaliyetleri gerçekleştirilerek kurumun hedefleri önündeki engeller bertaraf edilir veya en aza indirilir. Bilgi ve iletişim kanalları kullanılarak tüm bileşenler desteklenir, yönetici ve personele gerekli bilgi sağlanır, sistem yönetim tarafından izleme yapılarak

25

26

27 Keops’un M. Ö. 3000’lü yıllarda inşa edildiği tahmin ediliyor. Firavun Kufu için 20 yılda anıt mezar olarak yapılmış En ağır taşı 40 ton ama taşların çoğunluğu 3 ton kireçtaşı Günümüze kalmasa da ilk yapıldığında dışı bembeyaz ve pürüzsüz bir kaplama ile kaplıymış

28 KEOPS PİRAMİDİ Gize'nin 3 piramiti aralarında bir pisagor üçgeni oluşturacak şekilde düzenlenmiştir. üçünün birbirine oranı net olarak 3: 4: 5' tir. Gize'den geçen boylam dünyanın denizleriyle anakaralarını iki eşit parçaya böler

29 KEOPS PİRAMİDİ Piramidin yüksekliğiyle çevresi arasındaki oran, bir dairenin yarı çapıyla çevresi arasındaki orana eşittir. Piramit dev bir güneş saatidir. Ekim ortasıyla Mart başı arasında düşürdüğü gölgeler mevsimleri ve yılın uzunluğunu gösterir. Piramidi çeviren taş levhaların uzunluğu, bir günün gölge uzunluğuna eşittir. Piramidin dörtgen biçimli tabanının kenar uzunluğu 365, 342 mısır endazesine ( ölçü birimi ) denk gelir. Bu sayı tropik güneş yılındaki toplam gün sayısıdır.

30 KEOPS PİRAMİDİ

31 COSO İç Kontrol Modeli Sağlam bir iç kontrol sistemi için kontrol ortamı uygun bir zemin sağlar. Risk değerlendirme sonuçlarına göre belirlenen kontrol faaliyetleri gerçekleştirilerek kurumun hedefleri önündeki engeller bertaraf edilir veya en aza indirilir. Bilgi ve iletişim kanalları kullanılarak tüm bileşenler desteklenir, yönetici ve personele gerekli bilgi sağlanır, sistem yönetim tarafından izleme yapılarak

32 İç Denetim Nedir? (5018 s. k. 63. madde) İç denetim; kurumun faaliyetlerine değer katmak ve geliştirmek amacıyla tasarlanmış bağımsız, nesnel güvence sağlama ve danışmanlık faaliyetidir. Mali İşlemlerin Risk yönetimi, iç kontrol ve yönetim süreçlerinin etkinliğini sistematik ve disiplinli bir yaklaşımla değerlendirip geliştirerek kurumun hedeflerine ulaşmasına yardımcı olur.

33 İç Kontrol Nedir? (5018 s. k. 55. madde) Kurum hedeflerine ulaşılmasına yöneliktir. Mali ve mali olmayan hususları içerir. Risk esasına dayanır. Yöneticiler ve çalışanlar tarafından gerçekleştirilir. Sürekli ve disiplinli bir yaklaşımdır. Bir yönetim aracıdır. Makul güvence sağlar.

34 KAMU İÇ KONTROL STANDARTLARI I. Kontrol ortamı standartları 1. Etik değerler ve dürüstlük 2. Misyon, organizasyon yapısı ve görevler 3. Personelin yeterliliği ve performansı 4. Yetki devri II. Risk değerlendirme standartları 5. Planlama ve programlama 6. Risklerin belirlenmesi ve programlanması III. Kontrol faaliyetleri standartları 7. Kontrol stratejileri ve yöntemleri 8. Prosedürlerin belirlenmesi ve belgelendirilmesi 9. Görevler ayrılığı 10. Hiyerarşik kontroller 11. Faaliyetlerin sürekliliği 12. Bilgi sistemleri kontrolleri IV. Bilgi ve iletişim standartları 13. Bilgi ve iletişim 14. Raporlama 15. Kayıt ve dosyalama sistemi 16. Hata, usulsüzlük ve yolsuzlukların bildirilmesi V. İzleme standartları 17. İç kontrolün değerlendirilmesi 18. İç denetim

35 İç Denetim Standartları

36 İç Denetim (5018 s. k. ) Kanunun 60, 61, 63 ve 64 üncü maddelerinde, mali hizmetler birimleri, muhasebe yetkilileri ve iç denetçilerin iç kontrol alanındaki görev ve sorumluluklarına yer verilmiştir. Buna göre; mali hizmetler birimleri, idarenin iç kontrol sisteminin kurulması, standartlarının uygulanması ve geliştirilmesi konularında çalışmalar yapmak ve ön mali kontrol faaliyetini yürütmekten, muhasebe yetkilileri, ödeme emri belgesi ve eklerinin kontrolünden, muhasebe işlemlerinin belirlenmiş standartlara ve usulüne uygun olarak kaydedilmesinden, raporlanmasından, muhafazasından ve denetime hazır halde bulundurulmasından, iç denetçiler ise idarelerin iç kontrol sistemlerinin denetlenmesinden ve geliştirilmesi yönünde önerilerde bulunulmasından sorumludurlar.

37 İç Denetim İç İç kontrol sistemini denetlemek kontrol sisteminin yeterliliği, etkinliği ve işleyişi ile ilgili olarak yönetime, bilgi sağlamak, değerlendirme yapmak ve önerilerde bulunmaktan sorumludur.

38 İç Denetim Kurumun; Mevcut ve potansiyel riskleri nasıl yönettiğini, Risklere, hatalara, suistimal ve diğer olası kayıplara karşı iç kontrollerinin varlığını ve etkinliğini, Yönetim süreçleri ve organizasyon yapısının sağlıklılığını değerlendirir, sonuçları ilgili kurum içi makama raporlar ve sorunlara çözüm önerileri getirir.

39 4. İç denetimin Farkı Nedir? Kişi ve olay odaklı değil, sistem ve süreç odaklıdır Geçmişe değil, geleceğe odaklıdır İdareye nesnel güvence sağlar Soruşturma yapmaz Risk odaklı denetim metodunu benimser Yazılı kurallara sahiptir Uluslararası kabul görmüş standartlara sahiptir Sistematiktir ve süreklilik arz eder Öncelikli amacı idareyi geliştirmeyi hedefleyen, danışmanlık ve rehberlik faaliyetidir İyi uygulama örneklerini arayıcıdır İç Denetim Koordinasyon Kurulu tarafından koordine edilir

40 2. Mali denetimden farkı nedir? Mali denetim kurumun sadece mali tabloları, hesapları ve muhasebesi ile ilgilidir. Kurumun diğer faaliyetleri hakkında bilgi vermez. Oysa iç denetim; q Kurum faaliyetlerinin tamamı ile ilgilidir, tüm departmanlar değerlendirme kapsamındadır, q Kurum karşıya olduğu riskleri tespit etmiş mi diye inceler, q Bu risklere karşı kurumda herhangi bir kontrol var mı buna bakar. Var ise, bu kontroller doğru çalışmakta mıdır buna bakar. q Kurum hedeflerine ulaşmakta mıdır? Verimli çalışmakta mıdır bunu değerlendirir.

41 2. Mali denetimden farkı nedir? Bu bağlamda iç denetim: Kurum yönetimi için kurumun fotoğrafını çeker. Fotoğraftaki hataları gösterir. Görünüşe bakılırsa her şey kontrolünüz altında!

42 İç denetime ihtiyacımız var mı? Çok şanslıyız, delik bizim tarafta değil !

43 3. İç denetime ihtiyacımız var mı? Bir kurum ne kadar başarılı olursa olsun, ne kadar iyi yönetilirse yönetilsin, bağımsız bir gözün kuruma dışarıdan bakması ve kurumu tarafsız bir şekilde değerlendirmesi faydalıdır. Her zaman daha fazla gelişme sağlamak mümkündür. Önlem alınmamış bazı riskler çok yıkıcı sonuçlara neden olabilir. İç denetim kurum ortakları ve üst yönetimi adına yapıldığından, kurum yönetiminin kontrol ve denetim yükünü hafifletir. İç denetim tüm dünyada yaygın olarak kabul görmektedir. Özel sektörde pek çok büyük kuruluş bu çağdaş iç denetim yaklaşımını benimsemektedir.

44 3. İç denetime ihtiyacımız var mı? En önemlisi, kurum yönetimi kurumun işleyişi hakkında tarafsız bir gözün, periyodik ve sistematik bir değerlendirmesine sahip olur.

45 5. İç denetim nasıl gerçekleştirilir? Kurumumuzun iş ve işlemlerini, süreçlerini değerlendirme altına alırız. Bu amaçla çeşitli bilgi ve belge incelemesi yapar, işleri yerinde gözlemleriz. Kurumumuzdaki Departman iş süreçlerini inceleriz. bazlı değil, süreç bazlı denetim yaparız. Örneğin: muhasebe departmanını çeşitli süreçlere ayırır, denetimi bu süreçler bazında yaparız. (satınalma süreci, bütçeleme süreci, bordro hazırlama süreci, alacak ve borç yönetimi süreci, vb. gibi).

46 5. İç denetim nasıl gerçekleştirilir? Böylece tüm Kurum “süreç bazlı” incelenmiş olur. Bu daha verimli ve güvenli bir denetim biçimidir. Departman bazlı denetim, sadece o departmanı ilgilendirir. Ancak süreç bazlı denetimde pek çok departman işin içine girer. İşin doğal akışı yakalanmış olur. Örneğin: Satınalma süreci, sadece muhasebe değil farklı birimleri ilgilendirir. Yalnız muhasebe bacağına bakmak aldatıcı olabilir.

47 5. İç denetim nasıl gerçekleştirilir? Kurum içi tüm süreçler belirlendikten sonra, sıra tüm süreçlerin risk değerlendirmesinin yapılmasına gelir. Bu aşamada en riskli olanlar belirlenir. En riskli süreçlerin yanı sıra kurum yönetiminin denetlenmesini özellikle arzu ettiği süreçler de tespit edilir. Genellikle en riskli süreçler, denetlenmesi en çok arzu edilenler olmaktadır. Denetime en riskli süreçlerden başlanır, en yüksek riske sahip olanlara öncelik verilerek denetimde verimlilik sağlanır.

48 5. İç denetim nasıl gerçekleştirilir? Denetim Planı : Denetimin kapsamı, alan ve konuları, İhtiyaç duyulan işgücü ve diğer kaynakları içerecek şekilde, standartlara uygun, üç yıllık dönemler için hazırlanır. Denetim Programı : En riskli alan ve konulara öncelik verilmek ve denetim maliyeti de dikkate alınmak suretiyle, yöneticiler ve gerektiğinde çalışanlarla görüşülerek iç denetim plânıyla uyumlu bir yıllık iç denetim programı hazırlanır.

49 5. İç denetim nasıl gerçekleştirilir? Denetim faaliyeti yerine getirilir Denetim testi; yeniden hesaplama/uygulama, gözlem, doğrulama, görüşme, yayımlanmış rapor veya çalışmaları değerlendirme, vatandaş olarak yararlanma, anket, analitik inceleme Örnekleme; rastgele, sistematik, gelişigüzel, yargısal, örnekleme riski Bulgular; fiziki kanıt, sözlü kanıt, belgeye dayalı kanıt, analitik kanıt Bulguların paylaşımı ve kapanış toplantısı

50 5. İç denetim nasıl gerçekleştirilir? Raporlama safhasına geçilir Denetim raporları, denetimin amacını, kapsamını ve sonuçlarını, denetlenen birim çalışanlarının sorumluluklarını, denetlenen birimlerce alınacak tedbirleri içerecek şekilde İç Denetim Koordinasyon Kurulu tarafından belirlenen esaslar çerçevesinde hazırlanır. İç denetçi, denetim sonucunda hazırladığı denetim raporunu, belirli bir sürede cevaplandırılmak üzere, denetime tabi tutulan birim yöneticisine verir. İç denetçi hazırladığı nihai raporu Üst Yöneticiye sunar. Raporlar üst yönetici tarafından değerlendirildikten sonra gereği için raporda belirtilen birimlere verilir. Denetim sonuçları belli periyotlarda takip edilir. Düzeltici işlem ve tavsiyeler

51 6. İç denetimde denetim türleri Sistem Denetimi Performans Denetimi faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesine yönelik kontroller Mali Denetim birim veya süreçle ilgili iç kontrolün tamamına mali sistem ve tabloların güvenilirliğinin sağlanmasına ilişkin kontroller Uygunluk Denetiminde Kanun, tüzük, programa uygunluk Bilgi Teknolojisi Denetimi Diğer Denetimler

52

53

54

İÇ KONTROL SÜRECİ 2017 denetim programında Bakanlık Birimlerinde İç kontrolün kurulumuna katkı sağlanması amacıyla sistem denetimleri gerçekleştirilmiştir. Yapılan denetimlerde iç kontrol bileşenlerinden risk değerlendirme boyutunun tüm birimlerde eksik olduğu görülmüştür.

Standart: 6. Risklerin belirlenmesi ve değerlendirilmesi İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir. Bu standart için gerekli genel şartlar: 6. 1. İdareler, her yıl sistemli bir şekilde amaç ve hedeflerine yönelik riskleri belirlemelidir. 6. 2. Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilmelidir. 6. 3. Risklere karşı alınacak önlemler belirlenerek eylem planları oluşturulmalıdır. Kamu İç Kontrol Standartları gereği, idarelerde risk yönetiminin kurulması gerektiğinden, bu konudaki çalışmaların Strateji Geliştirme Başkanlığı öncülüğünde hızlandırılması gerektiği tavsiye edilmiştir.

İÇ KONTROL SÜRECİ Söz konusu bulgulara istinaden Etik değerler ve dürüstlük ilkelerinin personele duyurulması Eksik olan iş akış şemaları ve görev tanımlarının oluşturulması ve var olanların 694 sayılı KHK sonrası yeni yapıya uygun olarak güncellenmesi Yetki devirlerinin usulüne uygun yapılması, Hassas görevlerin tespiti gibi hususlarda birimlere rehberlik niteliğinde önerilerde bulunulmuştur.

58 Teşekkürler tr ofaruk. nangir@saglik. gov.