MADDE 30 - (1) İç Denetim Birimi Başkanlığınca, denetim faaliyetlerine ilişkin plan ve programların hazırlanması ve uygulanmasında; Kurulun her 3 (üç) yılda bir oluşturacağı ve 3 (üç) yıllık döneme ilişkin olarak İç Denetimin genel stratejisini belirleyecek ve İç Denetim birimlerinin planlama ve programlamalarına esas teşkil edecek olan Kamu İç Denetimi Strateji Belgesi esas alınır.
Risklerin değerlendirilmesi
MADDE 31- (1) İdare Yönetimi, risklerin tanımlanması ve kontrolü için gerekli stratejilerin geliştirilmesinden ve uygulanmasından sorumludur.
(2) İç Denetim Birimi Başkanlığı tarafından denetim evreninde yer alan denetim alanları (faaliyet, süreç, proje vb.) İdarenin stratejik planlarında yer alan amaç ve hedefler doğrultusunda, Kurulun düzenlemelerine uygun olarak, denetim öncelikleri belirlenmek amacıyla değerlendirmeye ve kapsamlı bir risk analizine tabi tutulur.
(3) Risklerin değerlendirilmesinde, İç Denetim Birim Başkanlığının bağımsız bir şekilde risk değerlendirme yapmasına engel teşkil etmeyecek şekilde; Üst Yöneticinin, Genel Müdür Yardımcıları, Harcama Yetkilisi olan Daire Başkanı ve Şube Müdürlerinin ve hatta personelin katılımıyla belirlenmesi şeklindeki iyi uygulama örneklerinin gerçekleştirilmesi imkân ve fırsatları Başkanlık tarafından gözetilir.
(4) Her bir faaliyete ilişkin makro risk analizi sonuçları, her bir denetim görevi sonuçlarına göre güncellenir. Söz konusu güncelleme, hem bulguların kesinleşmesi hem de izleme sonucunda bulgulara ilişkin eylemlerin yerine getirildikten sonra olmak üzere iki aşamada yapılır.
(5) Söz konusu güncellemeler sırasında, denetim görevlerinden elde edilen bilgilerin yanı sıra denetlenen birimler tarafından risk yönetimine ilişkin yapılan çalışma sonuçlarından veya dış denetim bulgularından faydalanılabilir.
(6) Yıl içerisinde denetlenmemiş alanların risk değerlendirmelerinin ise standartlar gereği yılsonunda güncellenerek, tüm denetim planının her yıl güncellenmesi sağlanır.
(7) Risk analizi yapılırken, risk kontrol matrisi düzenlenir, risk kontrol matrisinin düzenlenmesi sırasında, risklerin etkisi- risklerin gerçekleşme olasılığı parametreleri veya diğer parametreler üzerinden riski derecelendirmesi yapılır. Yapılan risk analiz sonuçları değerlendirilerek, İdarenin hizmetlerini etkileyebilecek riskler, risklilik oranı ve önemine göre ağırlık verilerek sıralanır. Risklerin derecelendirilmesine ilişkin çalışma kâğıtları dosyasında muhafaza edilir.
(8) Bu değerlendirme sonuçlarına göre en yüksek risk içeren alan ve konulardan başlanarak denetim alanlarının belirlenir ve önceliklendirilir ve buna göre İç Denetim planı ve uygulamaya ilişkin programlar hazırlanır.
(9) Yeni birim ve faaliyetler, yeniden yapılandırma projeleri, organizasyon yapısı ve insan kaynaklarındaki önemli değişiklikler hataların yaşanması ihtimalini barındırması sebebiyle yüksek risk içerdiğinden, denetim programına öncelikle alınır.
(10) İdarenin bilgi teknolojileri alanındaki;
a) Yazılım, donanım ve bilgi teknolojilerinin yeterli olup olmadığı,
b) Yazılım, donanım ve bilgi teknolojilerinin verimli bir şekilde kullanılıp kullanılmadığı,
c) Yazılım, donanım ve bilgi teknolojilerine izinsiz erişim olup olmadığı, bunların izinsiz erişimlere karşı güvenli olup olmadığı,
ç) Bilgi ve kayıtlara erişimlerin kontrol altında tutulup tutulmadığı,
d) Bilgi teknolojileri projelerinin ve harcamalarının yeterli seviyede kontrol edilip edilmediği,
e) İş ve bilgi teknolojileri stratejileri arasında eşgüdüm olup olmadığı,
f) Bilgi teknolojileri işlem kapasitesinin yeterli olup olmadığı,
g) Bilgi teknolojilerinin performans sorunları olup olmadığı,
ğ) Programcı, operatör, teknik personel, son kullanıcı hatalarından kaynaklanan riskler,
h) Bilgi teknolojilerinin doğal felaketler, yangın, su basması, enerji problemleri, sabotaj, terör eylemleri ve benzeri olumsuz durum risklerine karşı güvenli olup olmadığı,
ı) Bilgi teknolojileri iç kontrol faaliyetlerinin yeterli olup olmadığı,
i) Bilgi teknolojilerinin yasalar, standartlara veya İdarenin iç politikalarına uyumlu olup olmadığı
Hususlarındaki riskleri her denetim görevinde veya özel olarak planlanan bilgi teknolojisi denetim veya danışmanlık görevinde değerlendirilir.
(11) İdarenin;
a) Yönetişim süreçlerinin,
b) Yönetişim unsurlarından olan,
1) Stratejik Planlama,
2) Performans esaslı programlama,
3) Görev, yetki ve sorumlulukların dağılımı,
4) Performans göstergeleri,
5) Organizasyon yapısı,
6) Kurum içi iletişim,
7) Dış paydaşlarla olan ilişkiler,
8) İnsan kaynakları politikaları,
9) Faaliyet sonuçlarının izlenmesi ve raporlanması gibi konuların,
b) Faaliyetlerinin,
c) Bilgi sistemlerinin
Maruz kalabileceği riskler makro planlamalarda ve mikro planlamalar sırasında değerlendirilir.
(12) İdare risk yönetim sistemi kurulduktan sonra, risk yönetim sisteminin değerlendirilmesine yönelik denetim faaliyetleri tanımlanır ve yürütülür.
(13) İç Denetçiler tarafından; bilgilerin güvenirliği ve doğruluğuna ilişkin kontroller her bir denetim ve danışmanlık görevi kapsamında veya ayrı ve müstakil bir şekilde yürütülecek denetim ve danışmanlık faaliyetleri yolu ile değerlendirilir.
(14) Yılsonlarında, denetlenen birimlerde yapılacak toplantılarda denetim sonuçlarına göre mevcut riskler gözden geçirilir.
Denetimin risk odaklı yapılması
MADDE 32- (1) İç Denetim faaliyetlerinin risk odaklı olarak yürütülmesi esastır. İdarenin maruz kalabileceği risklerin tespit edilerek sürekli ölçülmesi ve değerlendirilmesi suretiyle, risk odaklı İç Denetim planı ve programı hazırlanır. İç Denetim; risk odaklı hazırlanmış bu plan ve programa uygun olarak yapılır.
(2) İdarenin en riskli alanlarından başlamak ve İç Denetim imkânları dikkate alınmak suretiyle, İç Denetim uygulamalarından bir veya birkaçı birlikte programa alınır.
(3) Yapılan risk değerlendirmeleri sonucunda idare için yüksek risk alanları belirlenir.
(4) Denetim sıklığının belirlenmesinde faaliyetlerin taşıdığı risk seviyeleri dikkate alınır.
a) Yüksek riskli alanların 12 (on iki) ayda bir,
b) Orta riskli alanların 24 (yirmi dört) ayda bir,
c) Düşük riskli alanların 36 (otuz altı) ayda bir denetlenir.
(5) İç Denetim Birimi Başkanı, Üst Yöneticinin önerilerini de dikkate alarak, idarenin risklerinden kabul edilemeyecek olanları denetim programına alır ve Üst Yöneticiye onaylatır. Bu onay denetim programının risk odaklı hazırlamasına, hangi risklerin yüksek, hangilerinin düşük olduğuna karar vermeye ve programa alınmasına müdahale anlamına gelmez.
(6) Program onaylandıktan sonra önemli risk alanlarının tespit edilmesi veya Kurulca önerilmesi halinde program dışı özel İç Denetim yapılabilir.
Dostları ilə paylaş: |