YAZARLARIMIZ
Erdal Yüksel
Serbest Muhasebeci Mali Müşavir
eyuksel@tersan.com.tr



İç Kontrolün Özü ve Değerlendirme Metodolojisi

İç kontrol, bir kurumda riskleri azaltmaya yönelik işlev gösteren uygulama, prosedür, politika, süreç, sistem ve eylemlerdir. İç kontrol sistemi ise, kurum genelinde amaç ve hedeflerin gerçekleştirilmesi amacı ile tesis edilen, tüm bu kontrolleri de kapsayan, ancak yönetim ve organizasyon, risk değerlendirmesi, iletişim, bilgi sistemleri ve iç denetimi de kapsayan bir yönetim aracı, üst düzey bir yönetsel kontrol mekanizmasıdır.

Hem münferit iç kontrol uygulamalarının, hem de üst düzey ve operasyonlar ile entegre bir sistem olarak iç kontrol sisteminin özünü anlamak, sistemi oluşturmak, işletmek ve verim sağlamak adına önemlidir. Hatta iç kontrolü doğru anlamak, fayda sağlamanın ön koşuldur.

Bugün ülkemizde hem özel sektör, hem de kamu idarelerinde iç kontrol; kalite yönetimi, süreç yönetimi, dokümantasyon, yeniden yapılandırma ve denetim gibi farklı yönetsel araç ve kavramlar ile karıştırılmaktadır.  Bu sayılanlar ülkemizde, bilindiği, tanındığı ve uygulama boyutu kazanmış olduğu için, iç kontrol bu kavramlar arasında pek anlaşılamamaktadır. Tüm bu yönetsel kavramlar ki buna iç kontrol de dahil, esasen aynı amacı hedefler yani kurumsal performansın ve buna bağlı olarak başarının artırılması. Ancak bunu sağlamak için farklı yöntemler kullanırlar. Bazı yönlerden birbirlerine oldukça benzeseler de her birinin farklı bir temel yaklaşımı vardır.

İç kontrol de özü itibariyle diğer yöntemlerden ayıran husus ise “risk” tir. İç kontroller ve bir bütün olarak iç kontrol sistemi riske karşı verilen kurumsal bir tepkidir. Diğer bir ifade ile iç kontrol, kurum strateji ve operasyonlarındaki risklerin, kurumun kabul edebileceği seviyeye, yani kuruma zarar verme potansiyeli minimize edilmiş seviyeye indirilmesini sağlar.

İç Kontrol Sistemi Değerlendirme Metodolojisi

Kurumların etkin bir iç kontrol sistemine sahip olup olmadıklarını makro bazda değerlendirirken aşağıda sıralanan ana başlıklardan yararlanılır. Bu çatı içerisinde kurumlar kontrol gereklerini yerine getirdikleri ölçüde iç kontrol etkinliğini sağlamış demektir.

Organizasyon Yapısı ve Yetkilendirme Sistemi

  • Sorumluluklar dağıtılarak bir kişinin bir işlemin tüm safhalarından sorumlu olmaması
  • Birim iş sahaları ve görev tanımlarının belirlenmesi
  • İş akışları – ana iç kontrol noktalarının belirlenmesi
  • Sorumluluk ve yetkilendirme görevlerin ayrılığı prensibine uygun olarak oluşturulması
  • Organizasyon yapısının faaliyetler ile uyumlu ve mümkün olduğunca basit olması

Politika ve Yazılı Prosedürler

  • Organizasyon iş etkinliği politikalarının oluşturulması
  • Politikaların net bir şekilde yazılmış, onaylanmış ve dağıtılmış olması
  • Politikaların yasa ve düzenlemelere uygun olması
  • İş ahlakı ve davranış standartlarının oluşturulması
  • Yazılı prosedürlerin oluşturulması
  • Prosedürlerin anlaşılabilir olması
  • Prosedürlerin dönemsel olarak gözden geçirilmesi ve geliştirilmesi

İnsan Kaynakları Yönetimi Sistemi

  • İşe alım kriterlerinin belirlenmesi
  • Eğitimlerin ihtiyaca göre tasarlanması
  • Performans değerleme sisteminin uygulanması
  • Kariyer planlamasının yapılması

Muhasebe Sistemi

  • Kayıt nizamına uygun işlemlerin yapılması
  • Finansal kontrol etkinliğinin sağlanması
  • Gelirlerin ve giderlerin kontrol edilmesi
  • Maliyet ve stok kontrol sisteminin oluşturulması
  • Muhasebeye bilgi ve belge akış düzeni ve zamanının sağlıklı olması
  • Hesap planında fonksiyonel ayrımların yeterli seviyede oluşturulması

Bütçe Sistemi

  • Bütçenin sahipleri tarafından yapılması
  • Bütçenin fiili durum ile karşılaştırılabilecek açıklıkta hazırlanması
  • Sistemin işlerliğinin sağlanması
  • Bütçe yapısı ve kriterlerinin belirlenmesi
  • Bütçe takip yönteminin oluşturulması

Yönetim Raporlama Sistemi

  • Raporlama yapısı ve standartlarının belirlenmesi
  • Raporların sorumluluklara bağlı olarak hazırlanması
  • Bilgi toplamanın fayda maliyet analizinin yapılması
  • Raporların basit ve hedefe dönük olması, ortak bir dil kullanılması
  • Performans raporlarının önceden belirlenmiş standartlar ile karşılaştırması
  • Raporların zamanında hazırlanması, dönemsel ihtiyaçları karşılaması

Risk Faktörleri

Özel sektör veya kamu sektörü için yapılacak iç kontrol sistemi değerleme çalışmasına ilişkin karşılaşılabilecek  belli başlı risk faktörlerini ele alarak bu riskleri birlikte anlamaya çalışalım.

Yönetimin belirlediği hedefler ile mali ve maddi duran varlıklar, operasyonel kaynaklar ve insan kaynaklarının uyumlu olmadığı; söz konusu varlıklar ve kaynaklar etkin kullanılamadığı ve operasyonel yönetim ile üst yönetimin entegrasyonunu tam sağlayamayan şirketler Kaynak Kullanım Riski ile karşı karşıya kalabilirler. Kaynak kullanım riskinin etkisi ise etkinlik ve verimliliğin ölçüm kriterlerinin belirlenmesi, kapsamlı fizibilite çalışmaları, süreçlerin yoğunluğu ve karmaşıklığı gibi hususlara bağlıdır.

Faaliyetleri, yazılı iş süreçleri ile belirlenmemiş, yazılı politika ve prosedürler ile tanımlanmamış olan organizasyonların örgütlenme yapısının karmaşık olduğu şirketler Yönetim Riski ile karşılaşabilir. Söz konusu iş süreçlerinin ve yazılı prosedürlerin faaliyet bütününü kapsamaması ve yeterli kontrolleri içermemesi ise ortaya çıkan risk etkisinin boyutunu belirler.

Şirket bünyesinde etkin olmayan veya işlemeyen bir raporlama ve toplantı sistematiğinin bulunması, kurum içi iletişim kanallarının eksikliği, etkin bir muhasebe ve bütçe sisteminin olmaması, veri işleme çevresinin bütünlüğünü etkileyen unsurlar ve yönetim bilgisinin hatalı üretilmesi Bilginin Bütünlüğü ve Güvenilirliği Riskini oluşturan başlıca faktörlerdir. Şirketlerdeki bilgi bütünlüğü ve güvenilirliği riskinin etkisini azaltıcı unsurları ise bilgi ve belge akışındaki zamanlılık, doğru ve gerekli veri kullanımı, kullanılan verilerden doğru sonuçlara ulaşılacak değerlendirmeler yapılması ve kontrol işlemlerine yönelik otomasyon sistemlerinin güvenliğidir.

Kilit personele bağımlı olan, kariyer planlama uygulamaları etkin olmayan, motivasyon araçları ve uygulamalarında yetersizlik bulunan, yetkinliği düşük bir personel yapısına sahip, iş sağlığı ve güvenliği uygulamaları etkin olmayan, iç ve dış eğitimlerin alınmadığı şirketlerde ise İnsan Kaynağı Riskinin ortaya çıkma olasılığı yüksektir. Operasyonların lokasyonu, yetkin personel çalıştırma prensibinin benimsenmesi, özel yetenek gerektiren konularda dahil yeterli eğitim alınması, modern tekniklere ve değişime açık olma vb. yaklaşımlar ise ortaya çıkacak riskin etkilenme derecesini azaltır.

Faaliyetlerin karmaşıklığı, stok değerlerinin ve finansal boyutun büyüklüğü, ekonomik dalgalanmalar ve plansız operasyon değişikliklerinin yoğunluğu, hedeflere ulaşma baskısı, bilgilerin hassaslığı veya gizliliği, hataların geçmişinin bilinmemesi Operasyon Riskini oluşturan önemli faktörleridir. Teknik beceriye verilen önem, performans ölçüm ve değerleme etkinliği, ulaşılabilir seviyede amaç ve hedeflerin belirlenmesi, veri kaybı veya yetkisiz kişilerce veriye erişim sonucunda oluşabilecek finansal kayıplara karşı alınan koruma önlemleri, liderlik gücü ve yönetimin etik değer yaklaşımı bu riskin etkisini azaltan unsurlardır.

Etik kuralları ve davranış standartlarını içeren yazılı işletme politikalarının bulunmadığı, etkin bir iç denetim faaliyetinin bulunmadığı, iç kontrol sistemi ile olası hata ve ihmaller için erken uyarı sisteminin oluşturulmadığı, personelin ve yönetimin gelişmiş bir etik anlayışa sahip olmadığı şirketlerde Hata ve Suiistimal Riski ile karşılaşma olasılığı yüksektir. Şirket içinde bu tür hatalar ile geçmişte karşılaşılmamış olması, denetim alanlarında daha önceki dönemlerde tecrübe sahibi olunması, iç kontrol sisteminin sürekli izlenmesi ve ödül-ceza sistemi gibi suiistimali caydırıcı önlemlerin bulunması bu riskin etkisini azaltıcı unsurlardır.

Fiziki güvenliğin yeterli olmadığı, düzenli sayımlar ile kaydi ve fiili mutabakat sisteminin oluşturulmadığı ve varlıkların likidite oranı yüksek olan şirketlerde Aktiflerin Fiziksel Zarara Uğrama Riski ortaya çıkmaktadır. Alınan korunma önlemleri, güvenlik seviyesi, zimmet uygulaması, sigorta kapsamı, sayım sisteminin işlerliği, varlıkların taşınma kolaylığı gibi unsurlar bu riskin olumlu ve olumsuz etkisini belirlemektedir.

Operasyonların bilgi sistemleri sürecinde uygulamalara ilişkin prosedürleri oluşturmayan, bilgi sistemlerindeki fiziki ve mantıksal erişimde açıklar bulunan, gizlilik ihlali ve veri kaybı önleme sistemini geliştirmeyen Şirketlerde Bilgi Sistemleri (Bilgi Güvenliği) Riski ortaya çıkmaktadır. Erişim güvenliği sınırlandırmaları, yasa dışı giriş önlemleri, destek görev tanımlamalarının belirlenmesi, erişim-giriş kontrol güvenliğinin gücü, felaket kurtarma planının varlığı bilgi sistemleri riskinin ortaya çıktığı durumlarda etkisini azaltan faktörlerdir

Risk faktörleri incelenirken risklerin ortaya çıkma olasılığı ve ortaya çıktığı takdirde faaliyet ve sonuçlarına yönelik etkisi olmak üzere iki ayrı açıdan değerlendirilmeli ve risklerin ortaya çıkma olasılığı değerlendirilirken de faaliyet sürecinde yerleştirilmiş olan kontroller dikkate alınmalıdır

14.09.2018

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)

GÜNDEM