Uluslararası İç Denetçiler Enstitüsü (The Institute of Internal Auditors-IIA)’nün kabul ettiği tanıma göre “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve nesnel (objektif) bir güvence ve danışmanlık faaliyetidir. İç denetim; kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.”

Bu tanım incelendiğinde iç denetim faaliyetinin “güvence” ve “danışmanlık” şeklinde iki temel işlevinin olduğu görülmektedir. Diğer bir deyişle iç denetimin güvence sağlama ve danışmanlık hizmetleri verme şeklinde iki farklı boyutu/yüzü bulunmaktadır.

Güvence hizmetlerinin genellikle üç tarafı vardır.

• Bir kurum, faaliyet, işlev, süreç, sistem veya başka bir unsurun doğrudan içinde olan kişi veya grup (süreç sahibi),
• Değerlendirmeyi yapan kişi veya grup (iç denetçi),
• Değerlendirmeyi kullanan kişi veya grup (kullanıcı)

Danışmanlık hizmetlerinin genellikle iki tarafı vardır.

• Tavsiye veren kişi veya grup (iç denetçi),
• Tavsiye talep eden ve alan kişi veya grup (görevin müşterisi).

Güvence sağlama işlevi, aslında denetim faaliyetinin en klasik olarak nitelendirilebilecek işlevidir. Güvence hizmetleri (Assurance Services); kurumun risk yönetimi, kontrol ve yönetişim süreçlerine dair bağımsız bir değerlendirme sağlamak amacıyla kanıtların nesnel bir şekilde incelenmesidir.

Danışmanlık hizmetleri (Consulting Services); herhangi bir idari sorumluluk üstlenmeden bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden, niteliği ve kapsamı denetlenen ile birlikte kararlaştırılan istişari faaliyetler ve bununla bağlantılı diğer hizmetlerdir. Usul ve yol göstermek, tavsiyede bulunmak, işleri kolaylaştırmak ve eğitim vermek; bu kapsamdaki faaliyet örnekleridir.

İşletmelerde iç denetim; risk ve kontrol değerleme faaliyetlerine destek sağlar, • İşletme faaliyetlerini izler, • Faaliyetlere ilişkin risk ve kontrol faaliyetleri ile ilgili önerilerde bulunur, • Kontrollerin uygunluğunu ve etkinliğini test eder. İç denetim faaliyetinin çok yönlü kapsamı; mali denetim, uygunluk denetimi, operasyonel denetim ve bilgi sistemleri denetimi gibi çeşitli denetim faaliyetlerini içerir.

Resmî rehber, iki sınıf rehberden oluşmaktadır (UİDS, 2010:5): Zorunlu Rehber: İç denetimin mesleki uygulaması için zorunlu rehberde ortaya konan kurallarla uyum, gereklidir ve elzemdir. Zorunlu rehber, titiz bir çalışma süreci sonucunda geliştirilmiş olup bu sürece ilgili tüm tarafların görüşlerinin alınması da dahildir. UMUÇ’un üç zorunlu unsuru şunlardır: • İç Denetimin Tanımı, • Etik Kuralları ve • İç Denetimin Uluslararası Mesleki Uygulama Standartları (kısaca ‘Standartlar’). Kuvvetle Tavsiye Edilen Rehber: Kuvvetle tavsiye edilen rehber, resmî bir onay sürecinden geçerek IIA tarafından onaylanır. Bu rehberde; IIA’nın iç denetim tanımının, etik kurallarının ve standartların etkili şekilde uygulanmasına yönelik uygulama esasları anlatılmaktadır.

UMUÇ’un kuvvetle tavsiye edilen unsurları şunlardır:
• Pozisyon Raporları,
• Uygulama Önerileri
• Uygulama Rehberleri.

Standartların yapısı; • Nitelik standartları ve • Performans standartları şeklinde ikiye ayrılmıştır. Nitelik standartları, iç denetim faaliyetlerini yürüten kurumların ve kişilerin özelliklerine yöneliktir. Performans standartları, iç denetimin doğasını açıklar ve bu hizmetlerin performansını değerlendirmekte kullanılan kalite ölçütlerini sağlar.

Standartların amaçları şunlardır :

• İç denetim uygulamasını olması gerektiği gibi temsil eden temel ilkeleri tanımlamak,
• Katma değerli iç denetim faaliyetlerini teşvik etmeye ve hayata geçirmeye yönelik bir çerçeve oluşturmak,
• İç denetim performansının değerlendirilmesine uygun bir zemin oluşturmak,
• Gelişmiş kurumsal süreç ve faaliyetleri canlandırmak.

Nitelik Standartları

• 1000 - Amaç, Yetki ve Sorumluluklar
• 1010 - İç Denetim Tanımının, Etik Kurallarının ve Standartların İç Denetim Yönetmeliğinde Tanınması
• 1100 - Bağımsızlık ve Objektiflik
• 1110 - Kurum İçi Bağımsızlık
• 1111 - Yönetim Kurulu ile Doğrudan Etkileşim
• 1120 - Bireysel Objektiflik
• 1130 - Bağımsızlık veya Objektifliğin Bozulması
• 1200 - Yeterlilik ve Azami Mesleki Özen ve Dikkat
• 1210 - Yeterlilik
• 1220 - Azami Mesleki Özen ve Dikkat
• 1230 - Sürekli Mesleki Gelişim
• 1300 - Kalite Güvence ve Geliştirme Programı
• 1310 - Kalite Güvence ve Geliştirme Programının Gereklilikleri
• 1311 - İç Değerlendirmeler
• 1312 - Dış Değerlendirmeler
• 1320 - Kalite Güvence ve Geliştirme Programı Hakkında Raporlama
• 1321 - “Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygundur” İbaresinin Kullanılması
• 1322 - Aykırılıkların Açıklanması

Performans Standartları

• 2000 - İç Denetim Faaliyetinin Yönetimi
• 2010 - Planlama
• 2020 - Bildirim ve Onay
• 2030 - Kaynak Yönetimi
• 2040 - Politika ve Prosedürler
• 2050 - Eş Güdüm (Koordinasyon)
• 2060 - Üst Yönetim ve Yönetim Kuruluna Raporlamalar
• 2100 - İşin Niteliği
• 2110 - Yönetişim/Kurumsal Yönetim
• 2120 - Risk Yönetimi
• 2130 - Kontrol
• 2200 - Görev Planlaması
• 2201 - Planlamada Dikkate Alınması Gerekenler
• 2210 - Görev Amaçları
• 2220 - Görev Kapsamı
• 2230 - Görev Kaynaklarının Tahsisi
• 2240 - Görev İş Programı
• 2300 - Görevin Yapılması
• 2310 - Bilgilerin Tespiti ve Tanımlanması
• 2320 - Analiz ve Değerlendirme
• 2330 - Bilgilerin Kayıtlı Hâle Getirilmesi
• 2340 - Görevin Gözetim ve Kontrolü
• 2400 - Sonuçların Raporlanması
• 2410 - Raporlama Kıstasları
• 2420 - Raporlamaların Kalitesi
• 2421 - Hata ve Eksiklikler
• 2430 - “Uluslararası İç Denetim Meslekî Uygulama Standartları’na Uygun Olarak Yapılmıştır” İbaresinin Kullanılması
• 2431 - Görevlendirmelerde Aykırılıkların Açıklanması
• 2440 - Sonuçların Dağıtımı
• 2500 - İlerlemenin Gözlenmesi
• 2600 - Yönetimin Artık (Bakiye) Riskleri Üstlenmesi

Bu yaklaşımlar;

• İşletme içinde iç denetim birimi kurularak veya iç denetçi istihdam edilerek iç denetim faaliyetinin başlatılması (iç kaynak kullanılması),
• İşletme dışı profesyonel bir kurumdan iç denetim hizmeti alınması (dış kaynak kullanılması),
• İşletme içi ve dışı kaynakların birlikte kullanılması (eş kaynak kullanılması) dır.

Kurumsal yönetim; bir şirketin hak sahipleri ve kamuoyunun menfaatlerine zarar vermeyecek şekilde, mali kaynakları ve insan kaynaklarını kendine çekmesini, verimli çalışmasını ve bu sayede de hissedarları için uzun dönemde ekonomik kazanç yaratarak istikrar sağlamasını mümkün kılan kanun, yönetmelik ve gönüllü özel sektör uygulamaları bileşimidir.

Kurumsal yönetimle ilgili düzenlemeler, dört temel ilkeye odaklanmaktadır: Adillik, şeffaflık, hesap verebilirlik ve sorumluluk.

Adillik ilkesi, şirket yönetiminin bütün hak sahiplerine karşı eşit davranmasının ifadesidir. Bu ilke, azınlık hissedarlar ve yabancı ortaklar da dahil olmak üzere hissedar haklarının korunmasını ve yapılan sözleşmelerin uygulanmasını ifade etmektedir.

Şeffaflık ilkesi; şirketin kamuoyu ile doğru, açık ve karşılaştırılabilir bilgi paylaşımını gerektirmektedir.

Hesap verebilirlik ilkesi, yönetim kurulunun tepe yönetim performansını bağımsız bir şekilde izlemesini ve tepe yöneticilerin hissedarlara karşı hesap verebilirliğinin temin edilmesini gerektirmektedir.

Sorumluluk ilkesi, şirketlerin hissedarları için değer yaratırken toplumsal değerleri yansıtan kanun ve düzenlemelere uyum gösterecek şekilde faaliyet göstermesini ifade etmektedir.

Risk yönetimini; şirketlerin faaliyetleri sırasında ortaya çıkabilecek risklerin önceden belirlenmesi, tanımlanması, değerlendirilmesi, ölçülmesi ve bu riskleri azaltacak veya ortadan kaldıracak önlemler bütünü olarak tanımlamak mümkündür.

Etkin bir risk yönetiminin dört aşaması söz konusudur. Bunlar;

• Risklerin belirlenmesi,
• Risklerin ölçülmesi ve değerlendirilmesi,
• Risklerin yönetilmesi ile risklerin kontrol edilmesi,
• Denetimi ve raporlanması olarak belirtilebilir.

İç kontrolün anlatıldığı bölümde de tanımlandığı gibi iç kontrol; işletme organizasyonunda yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, faaliyetlerin etkinliği ve verimliliğini, mali raporlama sisteminin güvenilirliğini, yasal düzenlemelere uygunluğunu sağlamayı amaçlayan ve bu konuda makul güvence sağlamak için tasarlanmış ve iş süreçleri içinde yer almasından ötürü bir sistem olarak nitelendirilen bir kavramdır.

Gerçekten de iç kontrol sisteminin üç temel amacı vardır. Birincisi, finansal raporlamanın güvenilirliğini sağlamaktır. Finansal tabloların güvenilir olması; yönetimin ticari konularda doğru kararlar alması, işletme içi herhangi bir yolsuzluğun önlenmesi veya tespitinde yardımcı olur. Bir diğer önemli amaç ise standartlaşmış süreçler yardımıyla faaliyetlerin etkinliğini ve verimliliğini artırmaktır. Bir organizasyonda kontrollerin varlığı; süreçlerin standart tanımları, görev tanımları, kuralların düzenlenmesi ve sonuç olarak işletme etkinliğinin ve verimliliğinin artırılmasında katma değer yaratır. Aynı zamanda kontrol faaliyetleri aracılığıyla işletmenin var olan varlıklarının korunmasını sağlar. Çünkü işletme büyüdükçe varlıklarını korumak sistemsel bir sorun hâline gelmektedir. Üçüncü temel amaç ise iç kontrol sisteminin gerek işletme içi gerekse yasal düzenlemelerin getirdiği kurallara uygunluğun sağlanmasında yardımcı olması, güvence sağlamasıdır. Diğer bir ifadeyle iç kontrol sisteminin bir işletmede var olmamasının olumsuz sonuçları; para ve mal kaybı, hatalı kararlar alınması, suistimal ve dolandırıcılıklarla karşı karşıya kalınması, gelir kaybı ve amaçlara ulaşılamamasıdır. Bu özellikleri ile iç kontrol sisteminin etki alanları; organizasyon yapısı ve yetkilendirme sistemi, politikalar ve yazılı yordamlar, insan kaynakları yönetimi, muhasebe sistemi ve mali kontrol, bütçe ve yönetim raporlama sistemidir.

Kamu mali yönetim ve kontrol sistemi iki tür denetimi içermektedir. Söz konusu denetimlerden birincisi, idarelerin üst yöneticilerinin hesap verme sorumluluğu kapsamında görev yürüten iç denetim; ikincisi ise TBMM adına görev yürüten Sayıştay tarafından gerçekleştirilen dış denetimdir.

Kamu Yönetimi Kanunu’yla iç denetçilerin yerine getirmeleri gereken görevler, aşağıdaki gibi sıralanmaktadır:

• Nesnel risk analizlerine dayanarak kamu idarelerinin yönetim ve kontrol yapılarını değerlendirmek,
• Kaynakların etkili, ekonomik ve verimli kullanılması bakımından incelemeler yapmak ve önerilerde bulunmak,
• Harcama sonrasında yasal uygunluk denetimi yapmak,
• Kamu idaresinin harcamalarının, mali işlemlere ilişkin karar ve tasarruflarının; amaç ve politikalara, kalkınma planına, programlara, stratejik planlara ve performans programlarına uygunluğunu denetlemek ve değerlendirmek,
• Mali yönetim ve kontrol süreçlerinin sistem denetimini yapmak ve bu konularda önerilerde bulunmak,
• Denetim sonuçları çerçevesinde iyileştirmelere yönelik önerilerde bulunmak,
• Denetim sırasında veya denetim sonuçlarına göre soruşturma açılmasını gerektirecek bir duruma rastlandığında ilgili idarenin en üst amirine bildirmek.

Kamuda iç denetçi olarak atanacakların 657 sayılı Devlet Memurları Kanunu’nun 48’inci maddesinde belirtilenler ile aşağıdaki koşulları taşıması gerekir:

• İlgili kamu idaresinin özelliği de dikkate alınarak İç Denetim Koordinasyon Kurulu tarafından belirlenen alanlarda en az dört yıllık yükseköğrenim görmüş olmak,

• Kamu idarelerinde denetim elemanı olarak en az beş yıl veya İç Denetim Koordinasyon Kurulunca belirlenen alanlarda en az sekiz yıl çalışmış olmak,

• Mesleğin gerektirdiği bilgi, ehliyet ve temsil yeteneğine sahip olmak,

• İç Denetim Koordinasyon Kurulunca gerekli görülen diğer şartları taşımak.

Genelde iç denetim faaliyetleri, aşağıdaki faaliyetlerden birini veya birkaçını kapsar;

• Muhasebe ve iç kontrol sistemlerinin gözden geçirilmesi: Yeterli muhasebe ve iç kontrol sistemlerinin kurulması, işletme yönetiminin sorumluluğunda olup sürekli özen ve dikkat gerektiren bir faaliyettir. Bu çerçevede söz konusu sistemlerin gözden geçirilmesi, işlerliklerinin kontrol edilmesi ve geliştirilmesine yönelik çalışmaların yapılması da iç denetimin görev tanımı içinde yer alır.
• Finansal bilgiler ile faaliyet bilgilerinin incelenmesi: Bu süreç; finansal bilgilerin belirlenmesi, ölçülmesi, sınıflandırılması ve raporlanması için kullanılan yordamlar ile işlemlere, kayıtlara ve yordamlara ilişkin detay testleri de içeren münferit kalemlerin özellikle araştırılması amacıyla kullanılan yöntemlerin gözden geçirilmesini kapsar.
• İşletmenin, finansal nitelikli olmayan kontrolleri de dahil olmak üzere, faaliyetlerinin etkinliği ve yeterliliğinin gözden geçirilmesi,
• Kanunlar, diğer yasal gereklilikler ve düzenlemeler ile işletme yönetimi politikaları, kuralları ve diğer iç gerekliliklere uyumun gözden geçirilmesi.

İç denetim işlevlerinin anlaşılmasında ve ön değerlendirmesinde iç denetimin aşağıda belirtilen özellikleri esas alınır:

• Örgüt Yapısındaki Konumu: İç denetimin işletme içindeki özel konumu ve bunun tarafsızlığa etkisidir. Normal koşullarda iç denetim, çalışmalarını işletmenin en üst yönetim kademesine rapor eder ve işletme faaliyetlerine ilişkin olarak başka bir sorumluluk üstlenmez. İşletme yönetimi tarafından iç denetime getirilen her bir kısıtlama, titizlikle irdelenir. Özellikle iç denetçilerin her durumda bağımsız denetçilerle iletişim kurabiliyor olması gerekir.
• İç Denetim İşlevinin Kapsamı: İşletme içinde uygulanan iç denetim işlevinin içeriği ve kapsamıdır. Bağımsız denetçi; işletme yönetiminin iç denetimin önerilerini dikkate alıp almadığını, kanıtlayıcı bilgi ve belgeler üzerinden değerlendirir.
• Teknik Yeterlilik: İç denetimin teknik bakımdan yeterli, eğitimli ve uzman kişiler tarafından yapılıp yapılmadığı hususunun tespitidir. Bağımsız denetçi, iç denetim elemanlarının işe alınış ve eğitim yordamları ile tecrübe ve mesleki ehliyetlerini inceleyebilir.
• Mesleki Özen: İç denetimin planlama, denetleme, gözden geçirme ve belgeleme faaliyetlerinin uygun olarak gerçekleştirilip gerçekleştirilmediği hususunun tespitidir. Denetim el kitapları, çalışma programları ve çalışma kâğıtlarının yeterliliği dikkate alınır.

Belirli bir iç denetim çalışmasının değerlendirilmesi; bu çalışmanın ve bunlara esas teşkil eden programların kapsamının, yeterliliğinin ve iç denetim için yapılan ön değerlendirmenin uygunluğunu koruyup korumadığının değerlendirilmesini kapsar. Bu değerlendirme, aşağıdaki hususların mevcut olup olmadığı dikkate alınarak yapılır:

• İç denetim çalışmasının yeterli teknik eğitimi ve ehliyeti olanlar tarafından yapılması ve çalışmada görev alan yardımcıların doğru bir şekilde yönlendirilip bu yardımcıların çalışmalarının uygun şekilde gözden geçirilmesi ve belgelendirilmesi,
• Ulaşılan sonuçların makul temellere dayanmasını teminen yeterli ve uygun bağımsız denetim kanıtlarının toplanması,
• Ulaşılan sonuçların koşullara uygunluğunun ve hazırlanan raporun yapılan çalışmanın sonuçlarıyla tutarlılığının sağlanması,
• İç denetim tarafından açıklanan istisnai hususların uygun şekilde çözüme kavuşturulması.