Bilindiği üzere, iç denetim faaliyeti Kamu İdareleri açısından bir zorunluluk (5018 sayılı Kanun ve ilgili iç denetim mevzuatı). Öte yandan, özel sektörde, Bankacılık Sektörü hariç, iç denetim faaliyetinin zorunlu olmadığını görmekteyiz. Ancak özellikle son yıllarda, özel sektörde iç denetim faaliyetine ilginin arttığını, pek çok şirketin, kanuni zorunluluk olmasa dahi bünyesinde iç denetim fonksiyonları oluşturduğuna şahit oluyoruz.

Bazıları bunu geçmişten gelen mevcut “teftiş” veya “mali kontrol” fonksiyonlarını devşirmek, bazıları da sıfırdan iç denetim birimleri oluşturmak suretiyle gerçekleştiriyor. Hangi sektörde, ne yöntemle oluşturulmuş olursa olsun, bir iç denetim faaliyetinin;

- Dünyada kabul gören çağdaş iç denetim yaklaşımlarına uygun olarak yapılandırılıp yapılandırılmadığını,

- etkin bir şekilde hizmet verip vermediğini,

- yeterli olup olmadığını,

- kurumu için değer katıp katmadığını

nasıl anlayabiliriz? Başka bir ifade ile, herhangi bir iç denetim faaliyetini tarafsız bir gözle analiz ederek; bu faaliyetin etkinliğini değerlendirmek ve iyileştirme gereken alanları tespit etmek için ne yapmak gerekir?

Böylesi bir değerlendirmeyi yapabilmek için elimizde bir değerlendirme modeli olması gerekir. Aşağıda, E. Bertan Kaya tarafından oluşturulmuş olan “KİDDM İç Denetim Faaliyeti Değerlendirme Modeli” ana hatları ile sunulmaktadır:

KİDDM değerlendirme modeli kullanılarak, iç denetim faaliyetleri, 6 farklı boyut çerçevesinde analiz edilir. Bu altı boyut, ideal koşulları ortaya koymaktadır. İç denetim faaliyetlerinin fiili durumları; bu boyutlar kapsamında yer alan koşullar ile karşılaştırılmak suretiyle değerlendirilir.

1. Uluslararası Standartlara uygunluk

2. Örgüt içi konum

3. Örgüt içi kabul ve farkındalık

4. Yeterlilik ve Kapasite

5. Hedeflere ulaşma ve değer katma

6. Kalite güvence sistemi

Uluslararası Standartlara Uygunluk:

- Faaliyet genelinde, Uluslararası İç Denetim Standartları biliniyor ve kabul ediliyor mu?

- Uluslararası Standartlara uygun bir iç denetim “yönetmeliği/yönergesi” var mı?

- İç denetim faaliyetlerini, kullanılan metodoloji, araç ve teknikleri açıklayan ve iç denetçilere yol gösteren bir “İç Denetim Rehberi” oluşturulmuş mu?

- İç denetim metodolojisi (planlama, denetimler, raporlama ve gözetim) faaliyetleri uluslararası standartlara uygun mu?

Örgüt İçi Konum:

- İç denetim faaliyetinin örgütsel konumu nedir? Örgüt hiyerarşisinde idari ve fonksiyonel (raporlama) olarak hangi pozisyona bağlı? (Mümkün olan en üst yönetsel pozisyona bağlı olunması tercih sebebidir)

- Denetim görevleri dahilinde, kurumun tüm bilgi sistemleri, raporlama faaliyetleri, veritabanları ve insan kaynağına erişim yetkisi bulunmakta mıdır?

- İç denetim faaliyetinden sorumlu kişi (Müdür/Direktör), Kurum Üst Yönetimine, Yönetim Kuruluna ve var ise Denetim Komitesine periyodik olarak veya gerekli gördüğünde kolaylıkla erişebilmekte midir?

- Kurum genelinde risk yönetimi veya kontrolden sorumlu diğer Birimlerden (var ise) bağımsız mıdır?

- Kurum genelinde diğer departmanlardan bağımsız mıdır? Denetleyen-denetlenen veya danışman- danışan ilişkisi dışında farklı bir operasyonel ilişki söz konusu mudur?

Örgüt genelinde kabul ve farkındalık:

- İç denetim faaliyetinin, misyonu, amaçları, konumu ve fonksiyonu üst yönetim ve operasyonel yönetim tarafından iyi biliniyor mu?

- İç denetimin misyonu ve gerçekleştirmek istediği amaçlar ile kurum amaç ve hedefleri örtüşüyor mu?

- Kurum çalışanları iç denetim faaliyetine ilişkin doğru bilgi sahibi mi?

- Kurum genelinde iç denetime yönelik bir direnç var mı? Bu direnci aşmak için ne tür mekanizmalar öngörülmüş?

- İç denetim faaliyeti kendisini tanıtmak için çeşitli aktiviteler gerçekleştirmiş mi?

Yeterlilik ve Kapasite:

- İç denetim faaliyeti risk odaklı (bazlı) iç denetim metodolojisi ve araçlarına hakim mi?

- İç denetim ekibinde, çeşitli alanlarda uzmanlığa ve tecrübeye sahip yeterli sayıda denetçi mevcut mu? (finans, muhasebe, hukuk, bilgi teknolojileri (BT), istatistik ve finansal modelleme gibi)

- İç denetçiler risk yönetimi ve iç kontrol alanlarında yeterli bilgi ve deneyime sahipler mi?

- İç denetim ekibi, denetimlerde bilgisayar destekli denetim tekniklerini kullanabilecek beceriye sahip mi? BDDT için yeterli yazılım ve donanım bulunuyor mu?

- İç denetim ekibinde BT kontrolleri alanında uzman kişiler var mı?

- İç denetim faaliyeti, kurum içinde suistimal ve yolsuzluk belirtilerini tespit etmek ve önlemeye yönelik kontrolleri değerlendirebilecek düzeyde yetkinliğe sahip mi?

- İç denetim faaliyeti, kurum yapısı, kültürü ve operasyonlarını tanıyor mu?

- İç denetim ekibi sayıca yeterli mi?

Hedeflere Ulaşma ve Değer Katma:

- İç denetim faaliyeti, planlarını gerçekleştirebiliyor mu? (yıllık veya üç yıllık planlarda yer alan denetim ve danışmanlık işleri tamamlanmış mı?)

- İç denetim planında olmayan, cari dönemde Kurum Üst Yönetimince talep edilen denetim ve inceleme görevleri var mıdır? Bu görevler, planın gerçekleştirilmesini engelleyecek sıklıkta mıdır?

- İç denetim raporları Üst Yönetim tarafından değerlendirilmekte midir? (okunuyor mu, gereği yapılıyor mu?)

- Raporlarda belirtilen hususlara ilişkin olarak, üst yönetim, iç denetim faaliyetine geri bildirimde bulunulmakta mıdır?

- Denetimlerde tespit edilen hususlara ilişkin rapora ek olarak, üst yönetime periyodik olarak sözlü sunumlar yapılmakta mıdır?

- Raporda tespit edilen hususlar ve bunlara ilişkin öneriler, üst ve operasyonel yönetim nezdinde kabul görmekte midir?

- İç denetim faaliyeti denetimler sonrası veya periyodik olarak müşteri memnuniyetini ölçmekte ve değerlendirmekte midir? Değerlendirme sonuçları genellikle olumlu mudur?

Kalite Güvence Sistemi:

- İç denetim faaliyetinin bir kalite güvence ve geliştirme programı var mıdır?

- İç değerlendirmeler hangi sıklıkla ve ne kapsamda yapılmaktadır? Hangi iç değerlendirme yöntemleri (öz değerlendirme veya iç denetimi bilen uzmanlarca yapılan değerlendirmeler) kullanılmaktadır?

- İç denetim faaliyetinin kalitesinin değerlendirilmesi amacı ile, kurum dışından, beş yılda bir yetkin ve bağımsız bir gözden geçirme hizmeti alınmakta mıdır?

- İç ve dış değerlendirme sonuçları Üst yönetime sunulmakta mıdır?

- Değerlendirmeler sonucu aksayan yönlerin düzeltilmesi ve sorunların çözümü için adım atılmakta mıdır?

Kurum veya şirketinizde bulunan iç denetim faaliyetini, KİDDM modeli çerçevesinde ortaya koyulan bu altı boyut dahilinde değerlendirmeniz mümkündür. Elbette bu makalede, KİDDM modeline ilişkin ancak genel bilgi verilmektedir. Modelin puanlama ve ölçüm sistemi ile sonuçlarının değerlendirilmesine ilişkin ayrıntılı bilgi daha sonra sunulacaktır.

KİDDM Modelinin kullanılabilmesi için boyutlar bazında puanlama ve ölçüm yapılması (sayısal değerlendirme) şart değildir.. Her bir iç denetim faaliyeti, yukarıdaki boyutlarda yer alan koşullar bağlamında, puanlama yapılmadan da rahatlıkla değerlendirilebilir. Bu değerlendirme modeli ile amaçlanan, fiili durumun ideal durumdan ne düzeyde farklı olduğunun tespitidir. Bu değerlendirme modeli, iç denetim birimlerinin kendi durumlarını analiz etmelerinde kullanılabileceği gibi, kalite güvence programlarındaki iç değerlendirmeler için de bir baz teşkil edebilir.

Günümüzde altı boyutun tamamını da mükemmel bir şekilde sağlayan, tüm boyutlarda tam puan almayı başarmış bir iç denetim faaliyeti ile karşılaşmak pek kolay değildir. Sadece ülkemizde değil, yurt dışında pek çok gelişmiş ülkede dahi bu boyutlar çerçevesinde ortaya koyulan koşulları tam anlamı ile karşılayan iç denetim faaliyeti bulmak zordur. Ancak, burada ortaya koyulan modele ilişkin en önemli nokta, modelin IIA(Uluslar arası İç Denetçiler Enstitüsü) tarafından ortaya koyulmuş olan Uluslararası İç Denetim Standartları ile uyumlu olarak oluşturulmuş olmasıdır. Bu nedenle bir iç denetim faaliyetini değerlendirmeye başlamadan önce Uluslararası İç Denetim Standartları ile ilgili bilgi sahibi olmak gerekmektedir.