Yapılan iç denetim tanımlarından da anlaşılacağı üzere iç denetimin temel unsurlarını; kurum faaliyetlerini geliştirme ve değer katma, güvence verme, danışmanlık, evrensel standartlara uygunluk, kurumsal bütünlük, kurumsal bağımsızlık, meslek ahlak kuralları ve risk odaklı denetim oluşturmaktadır.
3.7.1. Kurum Faaliyetlerini Geliştirmesi ve Değer Katması
İç denetimin yaklaşımı kurumun faaliyetlerine değer katmak ve geliştirmektir. İç denetim kurumun yönetim süreçlerindeki önemli riskleri değerlendirmek suretiyle, yönetim surecinin iyileştirilmesi yönünde faaliyet gösterir. Risk ve gelecek odaklı olup, insanların hatalarından ziyade sistemlerin ve süreçlerin hataları ile ilgilenir. Koruyucu hekimlik anlayışına sahiptir.
İç denetim faaliyeti, kurum ve kuruluşla ilişkili olanlara objektif garanti vererek, yönetime danışmanlık yaparak, kurumun hedeflerini gerçekleştirmek için fırsatlar ve faaliyetler geliştirerek ve/veya ortaya çıkabilecek riskleri azaltarak kuruma değer katmaktadır. Bu bağlamda iç denetim, kurumun içindeki hataları, bozulmaları ve düzensizliği önlemek için yönetimin elinde çok etkili bir araçtır (Güredin, 1994: 176).
İç denetim işlevi, kurum ve kuruluşların faaliyetlerini geliştirmek ve değer çağındaki değer değişikliğinin yaratılmasına, yani müşteri odaklı hale gelen kuruluşlara değer katmaya yönelik bağımsız, objektif güvence ve danışmanlık faaliyeti olarak tanımlanmaktadır (Tektüfekçi, 2008: 82).
Türkiye İç Denetim Enstitüsü, kuruma değer katmayı şu şekilde tanımlamıştır: Değer katma, garanti verme ve danışmanlık hizmetleri ile kurumun hedeflerini gerçekleştirmek, fırsatlarını artırmak ve kurumun çalışmalarını geliştirmek, kurumun risk maruziyetini azaltmaktır (Gönülaçar, 2007: 8).
3.7.2. Güvence ve Danışmanlık Fonksiyonu
İç denetim tanımında yer alan “güvence” ve “danışma” terimleri iç denetimin genişleyen işlevlerini ifade etmektedir. Ayrıca tanımda yer alan “risk yönetimi” ve “kurumsal yönetim” kavramları da iç denetimin, denetim kurulunun ve üst yönetimin önemli bir unsuru olduğunu yansıtmaktadır (Aslan, 2003: 6).
İç denetim, kurum içinde etkin bir iç denetim sisteminin olduğu, risk yönetiminin, iç kontrol sisteminin ve işlem süreçlerinin etkin bir şekilde çalıştığı, üretilen bilgilerin doğru ve eksiksiz olduğu, varlıkların korunduğu ve faaliyetlerin etkin, ekonomik, verimli ve mevzuata uygun bir şekilde yürütüldüğü konusunda gerek kurum yönetimine gerekse kurumla ilgili olanlara güvence sağlamaktadır (Arcagök ve Ertan, 2006: 192).
Güvence sağlama görevi aslında denetim faaliyetinin en temel olarak tanımlanabilir görevdir. Güvence hizmetleri, kurumun risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin bağımsız bir şekilde değerlendirilmesini sağlamak için kanıtların tarafsız olarak incelenmesidir (Uzun, 2012: 79).
Danışmanlık hizmetleri; herhangi bir yönetim sorumluluğu üstlenmeden kapsamı denetlenen ile birlikte kararlaştırılan danışmanlık faaliyetleri ve diğer ilgili hizmetler ile bir kurumun çalışmalarını geliştirmek onlara değer katmaktır. Yöntem ve rehberlik, danışmanlık, kolaylaştırma ve eğitim, bu kapsamda faaliyetlere örnek verilebilir. Danışmanlık hizmetinin kapsamı ve kalitesi, iç denetçi ile değerlendirme yükümlüsü
arasındaki sözleşmeye bağlıdır. Danışmanlık hizmetleri işin doğası yönlendiricidir ve çoğunlukla görevlendirmeyi talep eden birimin özel talebi üzerine yapılır (Uzun, 2012: 80).
Mevcut duruma değer katacak bir şekilde günümüzde iş dünyasında mevcut finansal durumun korunması sorumluluğunu üstlenen iç denetim, vizyonunun gelişimi ile birlikte işletmeye değer katacak bir şekilde var olan durumun nasıl korunması gerektiği değil de; mevcut durumun daha da geliştirilmesini sağlamak adına olumlu bir şekilde yol göstermek, danışmanlık yapmak işlerini üstlenmiştir (Yılancı, 2006: 9).
Uygulamada danışmanlık çalışması sakınılarak yaklaşılan bir konudur. Sebebine gelince, iç denetçinin danışmanlık rolü idareye azami katkıda bulunması açısından desteklenmektedir fakat uygulamada danışmanlık çalışmasının denetimin istiklalini tehlikeye düşüreceği yönünde de önemli kaygılar bulunmaktır. İç denetçinin danışmanlık görevini yaparken çoğunlukla idari işlere yönelmesi ve iç denetçinin yönetimle benzeşmesi olasılığı bu kaygının temelini oluşturmaktadır (Gösterici, 2006: 9).
Güvence ve danışmanlık fonksiyonlarıyla iç denetim, idarenin faaliyetlerini geliştirmesine yardımcı olarak idareye değer katar. Ancak, iç denetimin güvencesi makul bir güvencedir ve yüzde yüz değildir (Aksoy, 2008: 89-94).
Kamu İç Denetim Rehberinde Makul güvence; “Normal koşullar altında belirli bir denetim görevi için gerekli tüm nitelikler ile teknik bilgi ve tecrübeye sahip bir denetçinin, söz konusu görevin gerektirdiği bütün özen ve dikkati göstererek ve izlenmesi gereken tüm denetim adımlarını izleyerek kanaatlerini ilgili, güvenilir ve yeterli denetim kanıtlarına dayandırarak oluşturması suretiyle verilecek güvence olup, kesin bir yanılmazlık içermemektedir” şeklinde tanımlanmıştır (KİDR, 2013: 34).
3.7.3. Evrensel Standartlara Uygunluk
Türkiye'de denetim sisteminin tesirli olamamasının en önemli sebeplerinden biri de denetim standartlarının geliştirilmemesi ve bu nedenle denetim faaliyetlerinin kaliteli bir şekilde gerçekleştirilememesidir.
Denetimden amaçlanan, denetlenen kuruluşun faaliyetlerini değerlendirmek ve bir yargıya ulaşmaktır. Ortaya konulacak sonuçlar ve değerlendirmelerin, ikna edici, güvenilir ve saygın olması için sonuçlar ve değerlendirmelerin; açık, net ve objektif değerlendirmeler olup olmadığına bakılacaktır. Tarafsızlığa ulaşmanın en güvenilir yolu,
denetim sırasında bir dizi kriteri önceden belirlemektir ve buna göre hareket etmektir. Bu kriterler genellikle denetim standartları anlamına gelmektedir (Köse, 2007: 50).
İç denetim standartları ilk defa uluslararası iç denetim organizasyonu IIA tarafından, bir tebliğ niteliğinde yayımlanmaya başlanmış ve mesleğin gelişimine bağlı olarak, toplam on üç adet tebliğ yayımlanmıştır. Bu tebliğler toplanarak, İç Denetim Mesleği Uygulama Standartları adı altında dünya çapında kabul edilmiştir (Özeren, 2000: 7).
Türkiye'de denetim standartları ile ilgili ilk çalışmalar 1964-1968 yılları arasında tekdüzen muhasebe sisteminin belirlenmesi ile Yeniden Düzenleme Komisyonu tarafından yürütülmüş ve 1972 yılından günümüze iktisadi devlet teşekküllerinde uygulanmıştır. SPK tarafından 18.06.1988 tarihinde yayımlanan tebliğler sayesinde denetim ilke ve kuralları ilk olarak yasal bir nitelik kazanmıştır.
Denetim süreci içerisinde iç denetçi, yönetim ve çalışanların sorumlulukları vardır ve yönetim ve çalışanlar bu sorumlulukları mevzuat ve kanunlara göre, iç denetçiler ise uygulamalarını İç Denetim Mesleki Uygulama Standartları uyarınca gerçekleştirmek zorundadır (Toroslu, 2014: 127).
Bu amaca ulaşmak ancak, kuruma değer katmak amacıyla yapılması öngörülen iç denetimin uluslararası kabul görmüş standartlara uygun olarak gerçekleştirilmesi ile mümkündür. Aksi durumda, denetim bir iç denetim çalışması olarak kabul görmeyecektir. Risk bazlı olmanın yanı sıra, iç denetim, denetim standartlarına uygun olarak sistematik, sürekli ve disiplinli bir yaklaşım ile yürütülmektedir. Ancak özetle, belirli standartlara uygun olarak yapılan bir denetim faaliyetinden başarılı bir sonuç alınabilir (Gürer, 2009: 108). İç denetim faaliyetinin uluslararası normlar çerçevesinde yürütülmesi, iç denetimin dünya çapında bir kurumsal yapıya sahip olduğunun bir göstergesidir.
3.7.4. Bağımsız ve Tarafsız Bir Faaliyet Olması
Bağımsızlığı, iç denetim fonksiyonunun etkin bir şekilde çalışması için en önemli koşuldur. Bu bağımsızlığı, iç denetçinin, idari olarak bağlı olduğu otoriteden bağımsız olduğu anlamını taşımamaktadır (Arcagök ve Ertan, 2006: 192). İç denetim faaliyeti danışmanlık yapma, önerilerde bulunma ve görüş bildirme işlevlerini ifade eden kurmaylık yetkisi ve niteliğine sahip bir faaliyettir. İç denetçilerin diğer birimlerden
bağımsız olmaları ve görevlerini objektif olarak yerine getirmeleri arzu edilmektedir (Güredin, 1994: 176).
Tarafsızlık, kurumun iç denetim fonksiyonunun amaçlarına uygun bir şekilde kullanılmasıdır. Tarafsızlık iç denetçiler açısından, kendilerinin ya da diğer bireylerin çıkarlarına önayak olmaksızın faaliyet yürütmenin gerekliliğini ifade eder (Toroslu, 2014: 126). İç denetim, kurumun diğer faaliyetlerinden tam bağımsız ve işlevsel bir şekilde, bu bağımsızlığı sürdürebilecek nitelikli elemanlarca yürütülmelidir (Toroslu, 2014: 126).
Mühim olan iç denetçilerin görevlerinde bağımsız olmalarıdır. Diğer bir deyişle, iç denetçi, herhangi bir etki altında olmaksızın denetim bulgularını, yorumlarını ve tavsiyelerini raporlayabilmeli ve iç denetim faaliyeti denetlenen faaliyetlerden bağımsız olmalıdır. Ancak, iç denetimin idari olarak bağlı olduğu kurumdaki iç denetim işlevinin bazı dezavantajları olabileceğini belirtmek gerekir. Çünkü iç denetçi; bireysel ve özlük hakları ve atama şekli açısından, yönetimin olumsuz bir durumunun belirlenmesinde ne kadar objektif davranabileceğine odaklanmak önemlidir. İç denetçilerin görevlerinin objektif ve bağımsız olarak yerine getirilebilmesi için, atama, işten çıkarma ve kişisel haklarına ilişkin düzenlemeler, iç denetçilerin bağımsızlığını destekleyecek nitelikte olmalıdır. Kısacası iç denetçilerin fonksiyonel bağımsızlığı garanti edilmelidir. İç denetimin işlevsel bağımsızlığının sağlanması durumunda, merkezi bir iç denetim biriminin veya merkezi uyumlaştırma biriminin varlığı da aranmaktadır (Gösterici, 2006: 182).
3.7.5. Meslek Ahlak Kuralları
Mesleğin etik kuralları, denetim faaliyetlerinin, işin özgürlüğüne ziyan vermeden, herhangi bir tesir ya da kısıtla karşı karşıya kalmadan doğru bir şekilde gerçekleştirilmesini sağlayan bir dizi değer, ilke ve yükümlülüktür. Bu kurallar, meslekle ve bazı kısıtlayıcı ya da engelleyici unsurlarla doğal olarak bağdaşmayan konuları içermektedir. İç denetim personeli sorumluluklarını etkin bir şekilde yapmak için yüksek ahlak krallarına bağlı bulunmalıdır (Gönülaçar, 2007: 11).
3.7.6. Risk Odaklı Denetim
Riskler, kuruluşun hedeflerine ulaşmasını önleyecek herhangi bir olay veya durumdur. Risk, etki ve olasılık açısından hesaplanır. Risk yönetimi süreci, kuruluşun
amaçlarına ulaşmak için makul güvence sağlamak amacıyla olası olayları ve durumları belirlemesi, değerlendirmesi, yönetmesi ve kontrol etmesidir (Gönülaçar, 2007: 10).
Risk odaklılığı, denetim faaliyetinin geçmiş faaliyetlerden geleceğe doğru dönüşümünün bir ifadesidir. Riskler, meydana gelme sıklığına ve yarattıkları hasara göre ölçülür ve uygun iç kontrol önlemleriyle en aza indirilirler. Risk yönetimi, tüm risklerin tanımlanması, ölçülmesi ve ortadan kaldırılmasını kapsayan sistematik bir metodolojinin uygulanmasıdır. Ayrıca, denetim kaynaklarının sınırlı olduğu, denetlenecek birim faaliyetlerinin farklı risklerle karşı karşıya kaldığı ve nispeten farklı bir öneme sahip olduğu varsayımına dayanmaktadır (Gönülaçar, 2007: 11).