İÇ DENETİM NEDİR?
İç denetimin ortaya çıkışı her ne kadar M.Ö 3500 yıllarına dayansa da esaslı varlığını Sanayi Devrimi ile birlikte korumaya başlamıştır.
Sanayi devrimi ile birlikte büyüyen işletmelerin karmaşık hale gelen muhasebe kayıtlarının denetim ve düzen ihtiyacından ortaya çıkmasıyla Avrupa’da muhasebe kayıtlarının incelenmesi ve belgelendirilmesi halen güncelliğini koruyan iç denetimi ile benzer özellikler taşımaktadır. Avrupalılar zamanla bu uygulamaları Amerika’ya taşımışlardır. İngiltere’den Amerika’ya göç eden muhasebeciler, 1886 yılında, New York’ta ilk Diplomalı Kamu Muhasipleri Kanunu’nun çıkarmışlardır. Yirminci yüzyılın başlarından itibaren büyük ve karmaşık yapıdaki şirketlerin oluşması ile denetim gelişimi hızlanmıştır.Böylece denetim uluslararası niteleği kazanmış ve büyümeye ihtyaç duymuştur. Ve bu ihtiyaca bağlı olarak Amerikada 1941 yılında İç Denetçiler Enstitüsü (Institute of Internal Auditors – IIA) kurulmuştur.
İç Denetim ve Türkiye
Türkiyedeki gelişimden söz edecek olursak, iç denetim; İç denetçiler tarafından 1995 yılında İstanbul’da kurulan Türkiye İç Denetim Enstitüsü (TİDE), iç denetim mesleğinin ve profesyonellerinin uluslararası standartlarda mesleğin gelişimi için sertifikasyon, uluslararası standartlar, eğitim, ulusal kongreler, yayıncılık, araştırma, kariyer gelişimi ve rehberlik gibi çok çeşitli hizmetler sunmaktadır. Aynı zaman da İç Denetçiler Enstitüsü (Institute of Internal Auditors – IIA) bağlıdır.
İÇ DENETİM VE İÇ KONTROL İLİŞKİSİ
İÇ DENETİM
Bir kurumun faaliyetlerinin, kaliteli ve kapsamlı gelişimini sağlaması adına, kuruma değer katan çalışmaların ve kontrollerinin objektif ve bağımsız bir şekilde yapılmasını sağlayan danışmanlık faaliyetidir.
- Etkin iç denetim fonksiyonu
- Üst Yönetim ile işbirliği sağlamak
- İç Denetim yönetmeliği
- Üst Yönetici, Denetim Komitesi ile sürekli ve düzenli iletişim
- Üst Yönetici’ye raporlama yapılması
- Denetim Komitesine raporlama yapılması
- Risk bazlı iç denetim planı yapılması
Dış Denetçiler ve diğer güvence fonksiyonları ile koordinasyon halinde olmak.
İÇ KONTROL
Kurumun varlıklarının korunması, muhasebe kayıtlarının doğruluk ve güvenirliğinin sağlanması,kurumun faaliyetlerinin verimliliğini geliştirilmesi aynı zamanda kurum tarafından belirlenen politikalara bağlılığın sağlanmasını ve alınan bu önlemlere iç kontrol adı verilir.
Bir diğer tabir ile iç kontrol sadece finansal işlemler ve raporlama ile ilgili değil aynı zamanda yönetimi, idare süreçlerini, planlamaları ve kurumun diğer faaliyet operasyonlarını kapsayan tüm kontrolleri ifade eder.
İç Kontrol Ne Değidir ?
İç kontrol sisteminin amaç ve hedefler ile bunları tehdit eden riskler olduğunu unutmayın. İç kontrolün amacı ne süreç yönetimidir, ne de kalite yönetimi. İç kontrol riskler için vardır ve özünde riskler yer alır. Risklerini tespit etmeyen, doğru yöntemler ile ölçmeyen ve bunlara yönelik iç kontrollerini değerlendirme altına almayan bir kurumda iç kontrol sistemi var denemez.
İÇ KONTROL YAPISININ AMAÇLARI
- Kurum faaliyetlerin etkin ve verimli kullanılması.
- İşletme varlıklarının her türlü olumsuzluklara karşın korunması.
- Kuruma ilişkin tüm raporların ,belgelerin doğruluğunun ve güvenilir olmasının sağlanması.
- Kurumun belirlediği planların ve yönetim politikalarının yürürlükteki mevzuata uyum sağlanması.
Özetleyecek olursak iç kontrol,kurumun hedeflerine ulaşması ve sürdürülebilirliğinin sağlanması adına tasarlanmış bir sistemdir. Bu sistemde en çok kullanılan model COSO (Comittee of Sponsoring Organizations) modelidir.
COSO ile İlgili Genel Bilgi
Yönetimin temel fonksiyonlarından bir tanesi kontroldür. iç kontrole yönelik çeşitli modeller ve raporlar yayınlanmış olup şu an dünya da en çok kabul gören kontrol modeli COSO tarafindan 1992 yılında gelistirilen COSO lç Kontrol Çerçevesidir. Bu modelin haricinde Kanada’da CoCo ve İngiltere’de Turnbull Raporu gibi çeşitli raporlar ile bilgi sistemleri alanında da COBIT modeli tarzında yaklaşımlar mevcuttur. İç denetçi öncelikle iç kontrol sistemi üzerine odaklanmalıdır. İç denetçi kurum faaliyetlerini ve finansal sonuçlarını değerlendirirken temelde iç kontrol sisteminin etkinlik derecesini ölçmektedir. İyi bir iç kontrol sistemi sayesinde kurum amaçlarına ulaşılabilmesi için uygun bir altyapı sunulur, işletme süreçlerinde elde edilecek veriler doğru ve ilgili olur, yasalara ve işletme politikalarına uyum sağlanır, kaynakların kullanımında etkinlik sağlanır ve işletme varlıkları korunur.
İç Kontrol Yapısı
İşletmenin varlıklarının korunması, muhasebe bilgilerinin doğruluk ve güvenirliğinin sağlanması .İşletme faaliyetlerinde verimliliğin geliştirilmesi, ilgili mevzuata uygun faaliyetlerin sağlanması.İşletme yönetimi tarafından belirlenen kurumsal politikalara bağlılığının uyumun sağlanması gibi bütün alınan önlemlere iç konrol yapısı adı verilir.
İç Kontrol Sisteminin Amaçları
- Operasyonların etkinlik ve verimliliği; standartlaşmış süreçler yardımıyla operasyonların etkinliğini ve verimliliğini arttırır. Bir organizasyonda kontrollerin varlığı, süreçlerin standart tanımları, görev tanımları, kuralların düzenlenmesi ve sonuç olarak işletme etkinliğinin ve verimliliğinin artırılmasında katma değer yaratır.
- Kontrol faaliyetleri aracılığıyla işletmenin var olan varlıklarının korunmasını sağlar. Çünkü işletme büyüdükçe varlıklarını korumak sistemsel bir sorun haline gelmektedir
- Mali raporlamanın güvenilirliğini sağlamak diğer bir amaçtır. Mali tabloların güvenilir olması yönetimin ticari kararlarda doğru kararlar alması, işletme içi herhangi bir yolsuzluğun önlenmesi veya tespitinde yardımcı olur
- İç kontrol sistemi, gerek işletme içi, gerekse yasal düzenlemelerin getirdiği kurallara uygunluğun sağlanmasında yardımcı olur, güvence sağlar.Diğer bir ifadeyle iç kontrol sisteminin bir işletmede var olmamasının olumsuz sonuçları para ve mal kaybi, hatalı kararlar alınması, suistimal ve dolandırıcılıklarla karşı karşıya kalınması, gelir kaybı ve amaçlara ulaşılamamasıdır. Bu özellikleri ile iç kontrol sisteminin etki alanları; organizasyon yapısı ve yetkilendirme sistemi,politikalar ve yazılı prosedürler, insan kaynakları yönetimi, muhasebe sistemi ve mali kontrol, bütçe ve yönetim raporlama sistemidir.
- İç kontrol sistemi sayesinde işletmenin bütün faaliyetleri eksizksiz olarak kayıt altına alınır
İç Denetim İç Kontrol İlişkisi
- İç denetim, iç kontrol sisteminin parçası olan yönetimsel bir fonksiyondur.
- İç denetim, dış denetçiler ve yönetim, iç kontrol sistemini, önemli yanlışlıkları görmek ve riskleri azaltmak için kullanır.
- İç denetçiler, denetim faaliyetlerinde iç kontrol sisteminin işleyişini, en iyi şekilde çalışıyor olduğundan emin olmak için incelerler.
- İç kontrol bir sistemdir ve kurumun iş akışları arasına yerleştirilmelidir.
- İç denetim fonksiyonu, iç kontrol sisteminin etkinliğini ve verimliliğini belli aralıklarda riskleri önceliklendirerek değerlendirir.
İç denetçiler şu unsurları da gözden geçirir:
- Finansal ve operasyonel bilgilerin bütünlüğü ve güvenilirliği
- Organizasyon politikalarına, yönetmeliklerine ve yasalara uygunluk
- Varlıkların korunması
- Kaynakların ekonomik ve etkin kullanımı
İç Denetim ve İç Kontrol-Karşılaştırma
İÇ DENETİM | İÇ KONTROL |
Hedefe ulaşmada araçtır. | Hedefe ulaşmada amaçtır. |
İdarede ayrı bir birim ve görevdir. | Hedefe ulaşmada amaçtır. |
İç Kontrolün bir unsurudur. | Kendisi hesap verilebilirlik sistemidir. |
İç Denetim karar alma ve uygulama
süreçlerinde yer almaz |
Personel yönetimin tüm süreçlerinde
bulunur. |
Üst yöneticinin sorumluluğundadır | Yönetimin tümünün
sorumluğundadır. |
İç Denetim fonksiyonel olarak
bağımsızdır. |
Üst Yöneticiye bağlıdır. |
COSO Nedir ?
COSO bir organizasyon içerisinde iç kontrolün nasıl işlemesi gerektiğini anlatan, 2004 yılı ile birlikte geliştirilerek risk yönetimi unsurlarını da içine katan modeldir.
Geniş bir açıklamayla COSO; Mali raporlamanın iş ahlakı, etkili iç kontroller ve kurumsal yönetim aracılığıyla kalitesinin artırılmasını amaç edinmiş gönüllü kuruluşların bir araya gelmesi ile oluşturulmuştur. 1985 yılında Hileli Mali Raporlama Üzerine Ulusal Komisyonu desteklemek üzere kurulmuştur. COSO tarafından hazırlanan iç kontrol modeli, Avrupa Birliği ülkeleri başta olmak üzere birçok gelişmiş ülkeye ilham kaynağı olmuştur. COSO Modeli iç kontrol sistemlerine ilişkin standartların temelini oluşturmaktadır. Bir iç kontrol modeli olan COSO, İç Denetçiler Enstitüsü tarafından yayımlanan ‘İç Kontrole İlişkin İşletme Raporunun Hazırlanmasında İç Denetçilerin Rolü’ başlıklı Raporda belirtildiği şekilde, denetim sürecine dahil edilmiş bir modeldir. Modele göre iç kontrol sisteminin ana hedefleri; Organizasyonun etkin ve etkili işler yapmasını, güvenilir mali raporlar hazırlamasını ve mevzuata uyumunu sağlamaktır. COSO Modeli; kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ile izleme olmak üzere beş unsurdan oluşmaktadır.
Coso iç Kontrol Yapısı
1992 yılında COSO tarafından yayınlanan ‘’İç Kontrol Çerçevesi’’, iç kontrol tanımına,kurumların iç kontrol sistemlerinin değerlendirilmesine ve geliştirilmesine ilişkin bir yapı sunar.
COSO iç kontrol yapısına göre iç kontrol; bir kurumun yönetim kurulu, üst yönetimi ve çalışanlarından etkilenen ve operasyonların etkinliği verimliliğine, finansal raporlamanın güvenilirliğine ve yürürlükteki kanun ve düzenlemelere uyumuna ilişkin makul düzeyde güvence sağlayan bir süreçtir.
Genel olarak değerlendirilecek olursa iç kontrol kurumun hedeflerine ulaşma olasılığını artıran bir yönetim faaliyetidir
İÇ KONTROLÜN BAZI TEMEL ÖZELLİKLERİ
- İç kontrol bir süreçtir. İç kontrol yönetim faaliyetleri içine yerleştirilmiş, temel bir başlangıç ve sonuç noktası olmayan bir süreçtir.
- Çalışanlar tarafından yürütülür. İç kontrol sadece belgeler ve formalara dayanan bir süreç değildir.İç kontrol, yönetim kurulu ve üst düzey yöneticiler dahil olmak üzere bütün kurum çalışanları tarafından yürütülen bir sistemdir.
- Makul güvence sağlar. İç kontrol sistemi hiçbir zaman mutlak güvence sağlamaz ancak kabul edilebilir düzeyde yani makul güvence sağlar.
- Amaçların başarılması için bir araçtır. İç kontrol kurum hedeflerine ulaşılabilmesi için gerekli alt yapıyı sağlayan, işletme sistemi içinde bir alt sistemdir parçadır.
İÇ KONTROL UNSURLARI / BİLEŞENLERİ
Kontrol ortamı
COSO Modeline göre kontrol ortamı, bir idarede çalışanların iç kontrol bilincinin oluşmasını sağlayarak iç kontrolün diğer bileşenleri için temel oluşturmaktadır. Kontrol ortamı iç kontrol sisteminin temel bileşenidir.
Kamu idarelerinde iç kontrol sisteminin düzgün biçimde işleyebilmesi için sağlam bir kontrol ortamına ihtiyaç duyulmaktadır. Kontrol ortamı bileşeninde sıkıntı yaşanması halinde diğer bileşenlerin işleyişi olumsuz etkilenecektir.
Düzgün işleyen bir kontrol ortamı; kurumun hedeflerinin bilindiği, görev ve sorumlulukların açıkça belirlendiği, organizasyonel yapının raporlama ve hiyerarşik ilişkileri gösterdiği, insan kaynakları uygulamalarının objektif kurallara bağlandığı, yönetimin ve personelin etik değerleri benimsediği, personelin yeterliliğinin artırılması için ihtiyaç duyduğu eğitim ve donanımın sağlandığı ve yöneticilerin kontrollere uyarak çalışanlara örnek olduğu bir çalışma ortamını ifade eder.
Bu çerçevede kontrol ortamı, genel olarak kurumun iç kontrol bilinci, değerleri, iş görme biçimi ve prosedürlerini, çalışanların yöneticiler ile ilişkileri gibi hususları içeren kurum kültürünü ifade etmektedir.
Dürüstlük, etik değerler, yetenek, yetki, sorumluluklar gibi faktörleri içerir. Kontrolün diğer bütün bileşenlerinin temelini oluşturur.
COSO İç Kontrolün Beş Ana Bileşeni
- İç denetimin önemli derecede faaliyet göstermesi.
- Yönetim kararlarını verirken, problemlerin üzerine giderek uygun derecede kontrollü bir ortam oluşturmaya yönelik bir kararlılık göstermesi.
- Yönetimin çalışanlarına eğitimler, araçlar ve destek vererek çalışmalarına yardımcı olması.
- Açık ve düzenli iletişim ve üst düzey yöneticilerden kontrol kalitesine kişisel bağlılık, kontrolün yüksek önceliği olan bir husus olarak değerlendirilmesi.
- Operasyonel yönetimin bilginin paylaşılması ve problemlerin çözülmesine öncelik vermesi.
COSO iç kontrol yapısının ana bileşenleri COSO küpünde de görülmektedir.
COSO İÇ KONTROL YAPISININ ANA BİLEŞENLERİ
- Kontrol Ortamı
- Risk Değerlendirme
- Kontrol Faaliyetleri
- Bilgi ve İletişim
- İzleme Faaliyetleri
1) KONTROL ORTAMI
Kurumun çalışma ortamını ifade eder ve iç kontrol sisteminin temelini oluşturur.Kontrol ortamına yön veren faktörler aşağıdaki gibi sıralanmıştır.
Kontrol Ortamının Temelini Oluşturan İlkeler
- Dürüstlük ve etik değerlere bağlılık.
- Yönetim kurulunun bağımsız olarak iç kontrol sistemini izlemesi.
- Organizasyon yapısının, raporlama ilişkilerinin, yetki ve sorumlulukların belirlenmesi.
- Uzmanlaşmaya önem verilmesi.
- Hesap verebilirliğin güçlendirilmesi.
Uygun bir kontrol ortamının oluşturulması için idarenin organizasyon yapısının
- İdare birimlerinin teşkilat içerisindeki görev dağılımını göstermesi,
- Hesap verme mekanizmalarını ve bu mekanizmaların işleyişini sağlayacak raporlama kanallarını içermesi,
- Siyasi sorumluluk, yönetsel sorumluluk, uygulama-yerine getirme sorumluluğu, kontrol sorumluluğu ile denetim ve raporlama sorumluluğunu görevler ayrılığı ilkesi çerçevesinde belirlemesi,
- Koordinasyon, danışma ve destek birimlerini göstermesi, gerekmektedir.
Yukarıda belirtilen gerekliliklerin sağlanabilmesi amacıyla; dinamik, iletişimin etkin bir şekilde gerçekleştiği, katılımcılık ve uzmanlaşmayı ön plana çıkaran yatay organizasyon yapısının tercih edilmesi uygun olacaktır.
Diğer yandan, organizasyon yapısında yer alan birimler ve alt birimlerin görevlerinin de idarenin misyonuyla uyumlu olacak şekilde belirlenmesi önemlidir. Bu nedenle birimler ve alt birimlerin görevlerinin misyonla uyumunun sağlanması ve değişikliklerin sürekli izlenerek organizasyon yapısı ve görevlerin değişiklikler çerçevesinde revize edilmesi gerekmektedir.
2) Risk Değerlendirme
İşletmenin hedeflerini gerçekleştirmesini engelleyen önemli riskleri tespit ve tahlil ederek bu riskleri en aza indirecek uygun önlemlerin belirlenmesi sürecidir.
Risk değerlendirme süreci ileriye yönelik bir süreçtir ve birçok işletme çeşitli seviyelerdeki riskleri değerlendirmek için en uygun zamanın yıllık veya belirli aralıklarla yapılan planlama süreçleri olduğunu düşünmektedir. COSO risk değerlendirme sürecini üç adımda tanımlamaktadır.
- Riskin öneminin tahmin edilmesi,
- Riskin gerçekleşme ihtimalinin veya sıklığının değerlendirilmesi,
- Riskin nasıl yönetilmesi gerektiğinin belirlenmesi ve ne gibi önlemler alınması gerektiğine karar verilmesidir.
COSO risk değerlendirme süreci riskin önemli olup olmadığını değerlendirmek ve önemli ise gerekli önlemlerin alınması amacıyla atılacak adımlardan yönetimi sorumlu tutmaktadır. Risklerin belirlenebilmesi içinde öncelikle işletmelerde kurumsal hedeflerin belirlenmesi ve kurumsal hedefler doğrultusunda ortaya çıkan risklerin nasıl yürütüleceğine karar verilmesi oldukça önemlidir.
Başka bir tanımla Yönetimi,
Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler Risk Yönetiminin konusunu oluşturur.
Hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar risk, amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya durumlar ise fırsat olarak tanımlanır.
RİSK YÖNETİMİNİN İDAREYE SAĞLAYABİLECEĞİ FAYDALAR
Risk yönetiminin idareye sağlayabileceği temel yararlar aşağıdaki şekilde ifade edilebilir:
- İdarenin amaç ve hedeflerine ulaşmasına ve performansını geliştirmesine katkı sağlamak,
- İdarelerin sunduğu hizmetler ve gerçekleştirdiği faaliyetlerin sürekliliğinin sağlanmasına ve kalitesinin geliştirilmesine yardımcı olmak,
- Risk yönetiminde fayda-maliyet, maliyet-etkinlik veya gerek görülen diğer analiz yöntemlerinin kullanılması suretiyle kaynak tahsisinde etkinliği artırmak,
- Olası kayıpların etkilerinin kontrol altında tutulması ve bunların neden olacağı maliyetlerin azaltılmasına katkı sağlamak,
- Mevzuata ve düzenlemelere uygunluğu sağlamak,
- Karar alma mekanizmalarının kanıtlara ve risklere dayalı bir yaklaşımla güçlendirilmesini sağlamak,
- İdarenin risklerine ilişkin görev, yetki ve sorumlulukların açıkça belirlenmesini destekleyerek hesap verebilirliği artırmak,
- İdarelerin kamuoyunda daha olumlu bir imaja sahip olmasına katkı sağlamak.
- Çalışanların sahiplenme ve aidiyet duygusunu artırmak.
ETKİN BİR RİSK YÖNETİMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ
Risk yönetiminden beklenen yararların sağlanabilmesi için idarelerde;
- Risk yönetim sürecinin üst yönetim tarafından sahiplenilmesi, vizyon ve misyon doğrultusunda bir risk stratejisinin oluşturularak uygulamanın teşvik edilmesi,
- Ortak ve tutarlı bir risk yönetim diline sahip olunması için gerekli mekanizmaların oluşturulması,
- Risk yönetimine ilişkin yeterli bilgi, rehberlik ve danışmanlığın sağlanması,
- Risk yönetimi süreçlerinin sade, esnek ve uygulanabilir olması ve diğer temel süreçlerle(stratejik planlama, performans yönetimi, insan kaynakları yönetimi vb.) bütünleşik olarak planlanması ve yürütülmesi,
- Risklere ilişkin değerlendirmelerin mutlaka güvenilir kanıtlarla desteklenmesi,
- Risk yönetimi süreçlerinin sistematik bir şekilde izlenmesi, raporlanması ve değerlendirilmesi,
- Risk yönetimi sürecinde herkesin önemli bir role sahip olduğu ve risk yönetiminin mevcut faaliyetlerin ayrılmaz bir parçası olarak yürütülmesi gerektiği bilincinin idarede yerleştirilmesi,
- Kurumsal iletişim stratejisinin belirlenmiş olması, idare içinde ve dışında uygun iletişim kanallarının oluşturulması,
- Risk değerlendirmede önemli olanın, uygulanan tekniklerden ziyade riskleri değerlendirecek olanların tecrübe ve birikimlerinin olduğunun hesaba katılması, gerekmektedir.
Son olarak Risk İştahından (Risk Appetite) bahsedecek olursak ;
- Risk İştahı; idarenin amaçları doğrultusunda kabul etmeye (tolere etmeye/maruz kalmaya/önlem almamaya) hazır olduğu en yüksek risk düzeyidir. Risk iştahı kavramı, bu düzeyin üzerindeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder.
- Stratejik Plan hazırlanırken yürürlükte bulunan RSB de göz önünde bulundurulur.
- Risk İştahı; iç ve dış çevre, insanlar ve politikalardan etkilenir. Bu kapsamda risk iştahı, Risk Yönetimi Stratejisi çerçevesinde, kurum/birim/alt birim düzeylerinde yukarıdan aşağıya doğru belirlenir.
- İdarenin kurum düzeyinde belirlenen risk iştahı sınırları içinde kalınması şartıyla birimler/alt birimler tarafından farklı iştah düzeylerinin belirlenmesi mümkündür.
- Çok risk almak kadar, az risk almak da başarısızlığa neden olabilir. Risk iştahının düşük olması güvenilir bir yönetim tekniği olarak görülse de yaratıcılık, yenilikçilik (inovasyon) ve fırsatlardan yararlanma konusunda idareyi sınırlayabilir.
RİSK YÖNETİMİ SÜRECİ
Kurumsal Risk Yönetimi (KRY) idarenin amaç ve hedeflerine ulaşabilmesi açısından makul güvence sağlamaya yönelik yönetsel bir araçtır. Bu bağlamda idarelerin KRY çalışmalarını stratejik plan ve performans programı hazırlık çalışmaları ile eş zamanlı* olarak yürütmeleri gerekmektedir. İdareler öncelikle stratejik planda gösterilen amaçları gerçekleştirmeyi sağlayacak hedefler ile riskler arasında bir denge kurarlar ve RSB ile belirlenmiş olan risk iştahları çerçevesinde hedeflerini belirlerler.
3) KONTROL FAALİYETLERİ
Kontrol faaliyetleri, bir riskin etki veya olasılığını azaltarak faaliyet hedeflerine ulaşılmasını kolaylaştırmak amacıyla uygulanan politika ve prosedürlerdir.
Kontrol faaliyetleri onaylama, yetkilendirme, mutabakat, performansın gözden geçirilmesi, görevler ayrılığı, çift imza yöntemi, varlıklara erişim vb. çok sayıda faaliyeti içerir. Kontrol faaliyetleri tespit edilirken risk puanına göre önceliklendirilir. Olasılığı ve etkisi yüksek riskler için kontrol faaliyetlerinin yanında acil durum eylem planlarının da hazırlanması gerekir. Kontrol faaliyetlerinin sistemlere ve süreçlere bu sistem ve süreçleri oluştururken yerleştirilmesi büyük önem taşır. Kontrol faaliyetleri tüm kurum çapında, tüm kademelerde ve bütün fonksiyonları kapsayacak şekilde gerçekleştirilir.
Kontrol faaliyetlerini devreye almadan önce fayda-maliyet analizi yapılmalıdır.
Kontrol faaliyetleri, mali ve mali olmayan kontrolleri kapsamakta olup idarenin tüm faaliyetleri için bir bütün olarak tasarlanıp uygulanmalıdır.
Kontrollerin etkinliği ve işleyişi düzenli olarak izlenmelidir. Kontrol faaliyetlerine örnekler aşağıdaki gibidir ;
- Yetkilendirme
- Onaylama
- Doğrulama
- Hesapların mutabakatı
- Uyumluluk kontrolleri
- Belgelere sıralı numara verilmesi
- Kaynaklara ve kayıtlara erişimin kısıtlanması
- Bilgi sistemin güvenirliği
- Önleyici kontrol
- Düzenleyici kontrol
- Yönlendirici kontrol
- Saptayıcı kontrol
Kontrol faaliyetlerinin kontrol hedeflerine göre düzenlenmesi gerekmektedir.
Başka bir tanımla anlatacak olursak özetle kontrol faaliyetleri;
- Önleyici Kontroller
İstenmeyen bir sonucun gerçekleşmesini engellemeye yönelik kontrollerdir. Bu kontroller hataları engelleyerek, olası düzeltme maliyetlerini azaltır.
- Tespit Edici Kontroller
İstenmeyen olayların gerçekleşip gerçekleşmediğini tespit etmeye yönelik olarak yapılan kontrollerdir. Tüm risklerin önleyici kontrollerle engellenmesi mümkün olmadığından, riskin gerçekleşip gerçekleşmediğinin tespit edici kontrollerle açığa çıkarılması gerekebilir. Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın ne olduğunun tespiti amacıyla yapılan kontrollerdir.
- Yönlendirici Kontroller
Bilgilendirme, koruma, davranış şekli belirleme, arzu edilen bir amaca yönlendirme gibi faaliyetlerle riskleri kontrol etme yöntemidir.
- Düzenleyici Kontroller
Risklerin gerçekleştiği durumlarda, istenmeyen sonuçların etkisinin giderilmesine yönelik kontrollerdir.
KONTROL FAALİYETLERİ YÖNTEMLERİ
Başlıca kontrol yöntemleri aşağıda sayılmakla birlikte, idareler kendi görev alanları ve teşkilat yapılarına göre ihtiyaç duyacakları farklı uygulama öncesi (ex-ante) ve uygulama sonrası (ex-post) kontrol yöntemleri de uygulayabilirler.
Uygulama öncesi kontroller, faaliyet gerçekleştirilmeden önce uygun prosedürler izlenerek uygulamaya konulan kontrollerdir.
Uygulama sonrası kontroller ise kurum faaliyetlerinin, gerçekleştirilmesinden sonra, yönetim tarafından önceden belirlenmiş yöntemlerle kontrole tabi tutulmasını ifade eder.
4) BİLGİ VE İLETİŞİM
İşlemelerde; birimlerin ve çalışanların performansının izlenebilmesi, karar alma süreçlerinin sağlıklı bir şekilde işleyebilmesi ve hizmet sunumunda etkinlik ve memnuniyet sağlanabilmesi amacıyla uygun bir bilgi ve iletişim sistemine sahip olmalıdır.
Kurumun amaç, hedef ve faaliyetleri ile sonuçları ilgili taraflara raporlanmalıdır.
Doğru bilginin, zamanında ve uygun kişilere iletilmesi gerekir.
Hata, usulsüzlük ve yolsuzlukların bildirilmesini sağlayan yöntemler oluşturulmalıdır.
Etkin bir iç kontrol yapısı kurmak ve kurumun hedeflerini gerçekleştirmek için bir kurumun bütün kademelerinde bilgiye ihtiyaç duyulur. Çalışanların sorumluluklarını yerine getirebilmeleri için iç kontrolle ilgili bilgiler anında kaydedilmeli, sınıflandırılmalı ve personele duyurulmalıdır. Güvenilir ve uygun bilgilerin sağlanabilmesi için işlemlerin anında kaydedilmesi ve düzgün biçimde sınıflandırılması gerekmektedir
COSO, çeşitli kişi ve gruplar ve bunların beklentileri söz konusu olduğunda iletişimin daha geniş kapsamlı bir şekilde ele alınması gerektiğini vurgulamıştır. COSO’ya göre, iletişimin belki de en önemli bileşeni üst yönetim tarafından çalışanlara belirli aralıklarla iç kontrol sorumluluklarının çok önemsenmesi gerektiğini hatırlatan mesajlar göndermesidir. Gönderilen bu mesajların açık olması işletmenin etkin iç kontrol ilkelerini takip edebilmesi açısından önem taşımaktadır
Bilgi ve İletişimin Temelini Oluşturan İlkeler
- Faaliyetlerle ilgili kaliteli bilginin temin edilerek kullanılması
- Hedefler, sorumluluklar vb. bilgilerin kurum çalışanlarıyla paylaşılması
- Kurum dışı ilgili taraflarla iletişim kurulması
5) İZLEME
Kurumun hedeflerine ulaşmasının güvencesini teşkil eden iç kontrol sisteminin beklenen şekilde işleyip işlemediğini, değişen koşullara uyum sağlayıp sağlamadığını belirlemek ve sistemdeki zayıf, aksayan yönlerin tespit edilerek iç kontrol sisteminin devamlı surette sağlıklı bir şekilde işlemesini sağlamaya yönelik yürütülen bir süreçtir.
İç kontrol sisteminin izlenmesinde katılımcılık esastır. İzlemede; soru formları, iç ve dış denetim raporları, kişi ve/veya idarelerin talep ve şikayetleri, bütçe bilgileri, ön mali kontrole ilişkin veriler ile birim yöneticilerinin görüşlerinden yararlanılmalıdır
Kurumlar iç kontrol sistemlerini yılda en az bir kez değerlendirmelidir.
İzleme;iç kontrol sisteminin performansının, kalitesinin ve kontrollerinin tasarımı ve işleyişinin gözden geçirilerek alınması gereken önlemlerin değerlendirilmesidir.İzleme sürekli,ayrık ve karmaşık izleme şeklinde olabilir. Sürekli izleme faaliyetler yürütülürken gerçekleştirilen izlemedir.Bu tür izlemeye yönetim ve danışmanın tarafından düzenli olarak yapılan izlemeler ve işini yapan personel tarafından gerçekleştirilen diğer izleme faaliyetleri örnek verilebilir. (COSO,1992)
Ayrık izleme ise daha çok iç denetim birimi tarafından gerçekleştirilen veya faaliyeti gerçekleştirilen kişilerden bağımsız kişilerce gerçekleştirilen izleme ve kontrol faaliyetleridir. Ayrık izlemlerin kapsamı ve sıklığı başlangıç risk değerlendirmelerine ve sürekli izlemlerin etkinliğine bağlıdır. Uygulamada çoğunlukla sürekli ve ayrık izlemeler birlikte kullanılmaktadır.
İzlemenin Temelini Oluşturan İlkeler
- Sürekli ve özel değerlendirmeler yapılması,
- Eksikliklerin değerlendirilmesi ve ilgili taraflara bilgi verilmesidir.
Yararlanılan Kaynaklar
İpek AĞMA, İstanbul Ticaret Üniversitesi, Muhasebe ve Denetim Bölümü.
COSO iç kontrol modeli ve Kontrol Ortamı, Hasan TÜREDİ Finans Politik & Ekonomik Yorumlar 2015 Cilt: 52 Sayı: 602
COSO MODELİ: İÇ KONTROL YAPISI, Hasan TÜREDİ