18. Her İşletmenin Bir İç Kontrol Sistemi Var Mıdır?

Kurumsallaşma sürecini tamamlamış veya kurumsallaşma yolunda olan şirketler dışında en küçük ölçekteki şirketlerde bile bir iç kontrol yaklaşımı, uygulaması olmadığını söylemek doğru değildir. Belki de bu noktada bir iç kontrolün varlığından bahsedilmekle birlikte iç kontrol sisteminin olmadığı, iç kontrol yaklaşımının sistematik bir çerçeveye sahip olmadığı ifade edilebilir. Sonuç itibariyle en küçük işletmelerde müteşebbisin bizatihi kendisi veya kendisi tarafından görevlendirilen yetkilinin tüm işlemler üzerinde gerçekleştirdiği faaliyetleri iç kontrol olarak tanımlamak mümkündür. Somut hale getirmek gerekirse, her evrakı ya da işlemi onay mahiyetinde bir patron, yönetici veya sahibin imzalaması da bir kontrol işlemidir. Öte yandan organizasyonlar büyüdükçe bu tip işlemlerin sayısındaki artıştan hareketle kontrollerin varlığı ve etkinliği de tartışmalı bir hal almakta ve etkin bir iç kontrol yaklaşımından söz etmek de mümkün olmamaktadır. Aynı şekilde her işletmenin de bir iç kontrol sistemi olduğunu söylemek imkansızlaşmaktadır.

19. İç Kontrol Kavramı ya da İç Kontrol Sistemi ile Risk Yönetimi Arasında Bir İlişki Var Mıdır?

İç kontrol, kurumun, yönetimi ve personeli tarafından hayata geçirilen, belirlenmiş hedeflere ulaşmasında ve misyonunu gerçekleştirmesinde makul bir güvence sağlamak üzere tasarlanmış ve kurumun genelini etkileyen bütünleşmiş bir süreçtir. İç kontrol sistemi, işletme organizasyonunda yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, operasyonların etkinliği ve verimliliği, finansal raporlama sisteminin güvenilirliği, yasal düzenlemelere uygunluk sağlamayı amaçlayan ve bu konuda makul bir güvence sağlamak için tasarlanmış ve iş süreçleri içinde yer almasından ötürü bir sistem olarak nitelendirilen bir kavramdır.

İşletmelerin karşı karşıya kaldığı risklere ilişkin önlerine çıkan seçenekler;

  • Riskten kaçınma,
  • Riski kontrol etme,
  • Riski transfer etme,
  • Riski kabul etme,

olarak ifade edilebilir. Kontrollerin tasarımı organizasyonlardaki risklere karşılık gelecek şekilde kurgulanmaktadır. Söz konusu kurguyu yaparken de;

  • Önleyici kontroller,
  • Düzeltici kontroller,
  • Yönlendirici kontroller,
  • Denetleyici kontroller,

seçenekleri ortaya çıkmaktadır. Sözün özü; işletmelerdeki riskleri yönetebilmek/ yönlendirebilmek için kontrollere ihtiyaç duyulmaktadır. Risk ve kontroller arasındaki en temel ilişki de budur.

20. İç Denetim Faaliyeti ile İç Kontrol Sistemi Arasında Nasıl bir İlişki Vardır?

İç kontrol; farklı sorumluluklar taşımakla birlikte tüm kurum personelinin içinde yer aldığı, sadece belli bir zamana ilişkin bir politika ya da uygulama değil kurumun her seviyesinde süreklilik gösteren bir yapı, süreç ve sistemdir. Kontrollerin işlemlerin yapıldığı sırada ve aynı anda gerçekleştirilmesi, büyük önem taşımaktadır. Ancak bu şekilde, etkin ve kendi kendine işleyen bir iç kontrol sisteminden bahsetmek mümkün olacaktır.

İç kontrol, makul ölçüde güvenilirlik sağlamakta olup işletme yönetiminin sorumluluğundadır. Etkinliğinin ve yerindeliğinin değerlendirilmesi için ise iç denetim faaliyetine ihtiyaç duyulmaktadır. Bu nedenle iç kontrol ve iç denetim birbirinden farklı, ancak birbirini tamamlayan iki kavram olarak değerlendirilmelidir. Hata, hile ve suiistimallerin, gelir ve varlık kayıplarının önlenmesinde iç kontrol sistemi ve iç denetim faaliyetinin etkinliği birlikte önemli rol oynamaktadır.

21. İşletmeler Neden Kontrol İhtiyacı Duyar?

İnsanların gruplar halinde çalışmaya başlamasıyla yönetim ihtiyacı ortaya çıkmıştır. Başkaları aracılığıyla iş görme faaliyet olarak tanımlanan yönetimin, temel fonksiyonlarından bir tanesi de kontroldür. İşletme girdileri belirli süreçlerden geçerek çıktılara dönüşürken, bu faaliyetin etkin ve verimli bir şekilde gerçekleştirilmesi noktasında kontrol fonksiyonu da kritik bir rol oynamaktadır. Kontrol fonksiyonu özünde daha önce belirlenen hedeflere, standartlara uygunluğu ve ulaşmayı dikkate almaktadır. Kontrol, yapılmak istenilen ile yapılan arasındaki köprü vazifesindedir.

Başlangıçta kontrol tanımından anlaşılanın sadece mali kontroller olması ve mali kontrollerin tek başına yetersiz kalması iç kontrol ihtiyacını ortaya çıkartmıştır. Gerek kamu gerekse de özel sektörde gerçekleştirilen işlemler üzerindeki kontrol gücünün ve etkinin artırılması amacıyla mali kontrollerin de ötesinde tüm süreçlere temas eden kontrollerin tanımlanması gerekmiştir. Kurum kaynaklarının belirlenen stratejik amaç ve hedeflere uygun, etkin, etkili ve ekonomik bir şekilde gerçekleştirilmesi, faaliyetlerde esneklik ve hesap verebilirliğin artırılması amacıyla bir bütün halinde iç kontrollerin kurgulanması, işletmeler için önem ve gerekliliğin ön plana çıkmasına neden olmuştur.

22. Bağımsız Denetim ve İç Denetim Arasında Herhangi Bir İlişki Var Mıdır?

Bir işletmenin finansal tabloları ve diğer finansal bilgilerinin, finansal raporlama standartlarına uygunluğu ve doğruluğu konusunda gerekli bağımsız denetim teknikleri uygulanarak denetlenmesi ve değerlendirilerek rapora bağlanması bağımsız denetim olarak ifade edilmektedir. Bağımsız denetimin amacı da işletmenin finansal durumu ve faaliyet sonuçlarının tüm yönleriyle gerçeğe uygun ve doğru bir şekilde gösterilip gösterilmediği konusunda görüş bildirilmektir.

İç denetime göre bağımsız denetim faaliyetleri belli kriterleri sağlayan şirketler açısından ülkemizde zorunlu olarak gerçekleştirilmesi gereken denetim türlerindedir. Bağımsız denetim daha çok finansal tablolara ve finansal işlem ve sonuçlara odaklanırken iç denetim ise organizasyonun genelindeki süreçlere odaklanmaktadır. Dolayısıyla iç denetim, bağımsız denetim faaliyetlerine göre daha kapsayıcı bir özellik arz etmektedir. Her iki denetim türünün buluştuğu nokta ise iç kontrol faaliyetleridir. İç denetim iç kontrol sisteminin etkinliğini test etmeyi hedeflerken, bağımsız denetim süreci içerisinde de finansal tablolara ulaşan bilgilerin doğru ve dürüst resim ilkesine uygunluğu konusunda iç kontrol sisteminin mevcut durumunu analiz edip değerlendirmek ayrı bir faaliyet olarak yer almaktadır.

23. İç Denetim Birimi Organizasyon İçerisinde Nasıl Konumlandırılmalıdır? Neden?

İç denetçilerin, bağımsızlıklarını ve objektifliklerini destekleyen, gerekli yetkileri sağlayan bir sisteme ihtiyaçları vardır. Bu kişinin iç denetimin organizasyonel statüsünü güçlendirecek, şirketin kaynaklarına sınırsız ulaşımını destekleyecek fakat iç denetimin bağımsızlığını zayıflatmayacak bir konumda olması gerekmektedir.

Yönetim kadrolarındaki kişilerin faaliyetlerini ölçümlemek ve tavsiyelerde bulunmak gerginlik yaratabileceği gibi bu taraflarca profesyonelce ele alındığı takdirde sağlıklı da olabilir. İç Denetim personelinin kendi maaş, ikramiye, diğer özlük hakları ile kariyer planları, bağımsız, tarafsız ve objektif bir şekilde gerçekleştirdiği faaliyetlerin sonuçlarından etkilenmeyecek şekilde organizasyonel bir bağlılık oluşturulmalıdır. Kurum içinde, iç denetim faaliyetinin sorumluluklarını yerine getirmesine imkan sağlayan bir yönetim kademesine bağlı olması gerekir. Bu noktada da Uluslararası Standartlarda da belirtildiği üzere ikili bir bağlılık söz konusu olacaktır. Bu nedenle iç denetim yöneticisi, işlevsel olarak Denetim Komitesi ve Yönetim Kuruluna, idari olarak ise işletmenin İcra Kurulu Başkanı'na bağlı ve sorumlu olmalıdır.

İç denetim yönetmeliği, iç denetim planının ve bütçesinin onaylanması, iç denetim yöneticisinin atanması, performansının değerlendirilmesi, görevden alınması, ücret ve özlük haklarının onaylanması gibi konular işlevsel, günlük iş ve işlemleri kolaylaştıran ilişkiler ise idari bağlılığı oluşturmaktadır.

24. Her İç Denetim Raporunun Bir Yönetici Özeti Olmalı Mıdır?

İç denetim faaliyetlerinin en temel çıktısı iç denetim raporudur. Denetçiler tabiri caizse raporu ile konuşmaktadır. Gerçekleştirdikleri iç denetim faaliyetlerinin sonrasında ulaştıkları bulguları bilgi alıcılara raporları ile aktarmaktadırlar. Söz konusu denetim raporları zaman zaman gerçekleştirilen iç denetim operasyonlarının detayları, ulaşılan bulgu sayıları, karmaşık işlemler vb. nedenlerle uzun sayfalar halinde raporlanmaktadır. İster kısa ister uzun bir denetim raporu olsun denetim raporunu okuyan taraflar açısından bir yönetici özetinin yer alması elzemdir. Gün sonunda raporunun tamamını okumak isteyenlerle, sadece yönetici özetini okuyarak yönetici özeti üzerinden gerektiğinde raporda yer alan detaylara ulaşmak isteyen okuyucular açısından da ideal olan bu şekildedir.

Raporunun olması gereken en önemli özelliklerinden birisi açık ve sarih olması, net bir şekilde anlaşılması, denetim sonuçlarına sadece yönetici özetini okuyanlar açısından bile ulaşılmasıdır. En sınırlı kaynak olan zamanın doğru kullanımı açısından da denetim raporlarındaki yönetici özeti şirkete ilişkin denetim kanaatini de net bir şekilde ortaya koymalıdır. Bir örnek üzerinden açıklamak gerekirse orijinal bir eserin belli bir ölçekte küçültülmüş minyatürü o eserin tüm detaylarını yansıtmakta, minyatüre bakanlar açısından orijinal eser hakkında da önemli detaylar vermektedir.

25. COSO Küpü Neyi İfade Etmektedir?

"Committee of Sponsoring Organizations of Treadway Commission" olarak ifade edilen ve 1985 yılında kurulan Sahte Mali Raporlama Ulusal Komisyonu'nun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmaktı. Komisyonun himayesinde iç kontrol literatürünün yeniden gözden geçirilmesi için bir çalışma grubu oluşturulmuş, sponsor kurumların iç kontrol sisteminin kurulması ve etkinliğinin değerlendirilmesi için genel kabul görecek standartlar belirleyen bir projeyi üstlenmesi kararlaştırılmıştır. Bu amaçla Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi "İç Kontrol Bütünleşik Çerçeve" raporunu 1992'de yayımlamıştır. Söz konusu rapor, günümüzde COSO iç kontrol modeli olarak bilinmektedir.

COSO bileşenleri aşağıdakilerden oluşmaktadır:

  • Kontrol ortamı
  • Risk değerlendirme
  • Bilgi sistemi
  • Kontrol faaliyetleri
  • Gözetim (İzleme)

26. İç Denetim Birimleri de Denetlenir mi?

Belli bir zaman sonra konuya uzak olanlar tarafından denetimin de denetimi eleştirisi ile karşılaşılması çok olasıdır. Denetlenen taraflar açısından sürekli başka adlar altında gerçekleştirilen denetim faaliyetleri her zaman kafa karışıklığına neden olmaktadır. Aslında her denetim türü özellikleri itibariyle birbirinden keskin çizgilerle ayrılmakta olup konuya vakıf olanlar açısından bir karışıklık söz konusu değildir. Sorumuza cevaben iç denetim birimlerinin denetlenmesinden ziyade iç veya dış kaynak kanalıyla öz değerlendirmesinden bahsetmek, yine aynı şekilde yakından performanslarının takip edilmesi daha anlamlıdır. Sonuçta denetim birimlerinin etkinliği, performansı, gelişimi, evrimi, kendini yenilemesi, adaptasyonu vb. hususlar denetim komiteleri tarafından gerçekleştirilmelidir. Standartların da önerdiği gibi belli sıklıkta kontrol öz değerlendirme işleminin gerçekleştirilmesi de hem birimin kendini akredite etmesi hem de yapılan faaliyetlerin uluslararası standartlara uygunluğu konusunda bir nişane olacaktır.

Serinin ilk yayını olan "İç Denetim, İç Kontrol, Risk Yönetimi: Önemli Sorular ve Cevapları - 1" isimli makalemize ulaşmak için lütfen tıklayınız.

Serinin ikinci yayını olan "İç Denetim, İç Kontrol, Risk Yönetimi: Önemli Sorular ve Cevapları - 2" isimli makalemize ulaşmak için lütfen tıklayınız.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.