YAZARLARIMIZ
Hakkı Şeker
Serbest Muhasebeci Mali Müşavir
Bilim Uzmanı
hakkiseker1@gmail.com
fuat@okcunymm.com



İşletmelerde İç Kontrol Sistemi ve Denetimi - 1

ÖZET

İşletmelerin hedeflerine etkin bir şekilde ulaşmalarını ve bu hedeflere ulaşılacağına makul ölçüde güven duyulmasını sağlamaya yönelik olarak oluşturulan usul ve yöntemler bütünü iç kontrol sistemi olarak tanımlanır.

Herhangi bir işletmedeki iç kontrol sisteminin başlıca amaçları; işletmenin varlıklarını  korumak, bilgilerin doğruluk ve güvenilirliğini sağlamak, işletme faaliyetlerinin politikalara, planlara, prosedürlere, yasalara ve düzenlemelere uygunluğunu sağlamak, kaynakların ekonomik ve verimli olarak kullanılmasını sağlamak ve belirlenmiş hedeflere ulaşılmasını sağlamak, olarak belirtilebilir.

İç kontrol sistemi, uluslararası denetim standartları başta olmak üzere, çok çeşitli ulusal ve uluslararası standartların ve düzenlemelerin içinde yer bulmuştur. Bu çalışmada, iç kontrol sistemi çeşitli yönleri ve alt bileşenleri ile karşılaştırmalı olarak ele alınmış, iç kontrol sistemine ilişkin belli başlı ulusal ve uluslararası standartlar ve düzenlemeler incelenmeye çalışılmıştır.

GİRİŞ

Günümüzde küresel rekabet içinde olan şirketler sürekli büyümeyi hedeflemektedir. Bu hedeflerin doğrultusunda kontrol, denetim ve risk yönetimine öncelik vermektedir. Hem mevcut varlıklarına, hem de gelecekteki büyümelerine yönelik riskleri en etkili şekilde yönetmek, uzun vadede yüksek performans sergilemek için şirket içi kontrollerin yeterliliği ve denetlenebilir olması şirketlerin önceliğini oluşturmaktadır.

Şirketlerde yönetim kurullarını şirket içi kontrollerin denetlenebilir olmaya ve risk yönetimi konusunda bilinçli olmaya zorlayan çok sayıda etken bulunmaktadır. Belki de en göze çarpan etken, son dönemlerde yaşanan küresel mali krizdir. ABD ve AB ülkelerinde yaşanan krizin ulaştığı boyutlar risk yönetimi ve denetimin önemini ciddi şekilde gündem konusu yapmıştır. Risk yönetimi ve denetim zafiyetleri sonucu yaşanan çok sayıda kurumsal iflasın izleri hala hafızalarda. Dünyada olduğu gibi ülkemizde de örneklerine tanık olduğumuz kurumsal varlıkların, itibar ve güvenin yok olması, şirketler, yöneticiler ve yönetim kurulları için bedeli çok ağır sonuçlar doğurmuştur.

Son yıllarda ortaya çıkan bir diğer gerçek ise menfaat sahiplerinin beklentileridir. Günümüzde şirket pay sahipleri, birçok kurumsal yatırımcı, kredi kuruluşları güçlü kontrol, denetim ve risk yönetimi uygulamaları talep etmektedir. Şirketler mevcut varlıklarını veya mali tablolarının doğruluğunu korumayı başaramazlarsa, piyasa değerleri önemli bir zarar görebilir. Menfaat sahipleri bu tür sürprizlerle artık karşı karşıya kalmak istememektedir.

Bu nedenle şirketlerde iç kontrollerin yeterliliği, iç denetim ve risk yönetimi ile ilgili düzenleyici kurumlar tarafından düzenlemeler yapılmaktadır.

Dünya’da ve Ülkemizde düzenleyici kurumlar (Amerika’da; Securities and Exchange Commission-SEC, Public Company Accounting Oversight Board-PCAOB, ve New York Stock Exchange-NYSE, Japonya’da; Financial Services Agency-FSA, Türkiye’de; Sermaye Piyasası Kurumu-SPK, Bankacılık Düzenleme ve Denetleme Kurumu-BDDK v.b.), iç kontroller, denetim ve risk yönetimi ile ilgili çalışmalar yapılmasını şart koşmakta ve teşvik etmektedir

İŞLETMELERDE İÇ KONTROL SİSTEMİ ve İÇ DENETİM

İyi tasarlanmış iç kontrol sistemi birçok ülkede yasal bir ihtiyaç haline gelmiş, iç kontrol uygulamaları küresel düzeyde genel kabul görmüş ve yaygın bir şekilde kullanılmaya başlanmıştır (Liu, College, 2005:92). Organizasyonlar büyüdükçe ve daha karmaşık hale geldikçe, üst düzey yöneticilerin işletme faaliyetleri konusunda doğrudan bilgi sahibi olma olanakları azalmakta ve iç kontrolün önemi artmaktadır. Bu sebeple; hata, hile, savurganlık ve yolsuzlukları en aza indirecek aynı zamanda verimliliği arttıracak, doğru, güvenilir, bir defa da doğru rapor alınmasını sağlayacak, işlemlerin yapısına ve büyüklüğüne uygun etkili ve sürekli yenilenebilir bir iç kontrol sisteminin kurulması, çalıştırılması önemlidir (Öndeş, 2009:15). Ayrıca kurulacak olan bu iç kontrol sisteminin sağlıklı bir şekilde işleyip işlemediğinin belirlenmesi, raporlanması ve bu durumun yönetime bildirilmesini sağlayan iç denetim birimlerinin yerine getirdiği iç denetimin işleminin varlığı da oldukça önemlidir.

A. İÇ KONTROL SİSTEMİ KAVRAMI

İşletmelerin gelişen ekonomik koşuların etkisiyle fiziki olarak büyümesi, faaliyetlerinin ve meydana gelen değer hareketlerinin sayı ve karmaşıklığının artması, yetkilerin devredilmesine ve sorumlulukların yaygınlaştırılmasına neden olmuştur. Bu gelişmeler, isletmelerde iç kontrol sistemine duyulan gereksinimi daha da arttırmıştır (Gönen, 2007:12). İç kontrol, kurumun hedeflerine ulaşmasına makul güvence sağlamak üzere yöneticiler ve tüm personel tarafından gerçekleştirilen bir süreçtir. Bu hedefler aşağıdaki gibi özetlenebilir (Saltık, 2007:58):

♦ Faaliyetlerin düzenli, ekonomik, etkin ve etkili biçimde yürütülmesi,

♦ Varlık ve kaynakların, hatalardan, yolsuzluktan ve yetersiz yönetimden kaynaklanan kayıplara karşı korunması,

♦ Yasalara, yönetmeliklere ve yönetimin direktiflerine uyulması,

♦ Güvenilir mali ve idari verilerin hazırlanması, saklanması ve uygun zamanlı raporlarda tam ve doğru olarak açıklanmasıdır.

İç kontrol söz konusu hedeflere ulaşılması için bir araçtır. Ancak kesin bir güvence değil sadece makul bir güvence sağlar. İç kontrol tek bir olay gibi düşünülmemeli, yönetimin faaliyetlerini yürütürken yararlandığı eylemler bütünü olarak algılanmalıdır. İç kontrol sistemi, kurum içinde ayrı bir sistem değildir. Yönetim işleviyle iç içe geçmiştir ve mevcut sistemlerin ayrılmaz bir parçası niteliğindedir. İç kontrol, genel anlamda yönetim kontrolüdür, sadece yönetmelik ve yöntemlerden oluşmaz, kurumun her düzeyindeki personeli ile etkileşim içinde oluşturulur. Kurumun altyapısına yerleştirildiği ve kurumun bir parçası olduğu zaman en etkin durumdadır. Ne kadar ayrıntılı ve eksiksiz tasarlanmış olursa olsun hiç bir iç kontrol yapısı kurumun hedeflerine ulaşmasına kesin güvence veremez. (Saltık, 2007:58-59).

İşletme yönetimi kontrol temeline dayalı bir örgüt yapısı ile hedeflerine ulaşabilir. Bu hedeflere ulaşabilmek için işletme yönetimi, iyi bir örgüt planı ve raporlama sisteminin oluşturulması, görev, yetki ve sorumlulukların uygun bir biçimde belirlenmesi, yeterli sayıda ve kalitede personel varlığı, uygun çalışma ve yöntemlerin uygulanması gibi uygulamaları hayata geçirebilir. Bu uygulamaların tamamı iç kontrol sistemini oluşturur (Uzay, 1999:15).

İşletme yönetimi, kontrol ölçütlerini ve iç kontrol yapısını oluşturan unsurları seçer. Farklı ölçütler, farklı gereksinimlere sahip olabilir. Mesela, COSO’nun kontrol ortamı ölçütünde, yönetim kurulunda danışman ve müşavirlerin bulunması gereklidir. Eğer böyle değilse; denetçi, yönetimin iddiaların kendi görüşü üzerinde ne gibi bir etkiye sahip olacağını göz önünde bulundurmalıdır. Verilen herhangi bir kontrol amacı çeşitli kontrol prosedürlerine başvurularak karşılanabilir. Denetçi, iç kontrol yapısı politika ve prosedürleri hakkında bilgi edinmelidir (Tacaks, 1993:53).

İşletme yönetimi işletmesini amaçları yönünde yönlendirebilmek için yönetim fonksiyonlarını icra ederken, bazı sistemlerden yararlanır. Bu sistemler sayesinde işletme ne denli büyük olursa olsun, yönetme gücünü yitirmez, ona hükmedebilir, faaliyetlerinin sonuçlarını görebilir, gereken önlemleri alabilir. İşte bu sistemlerden birisi de iç kontrol sistemidir. İç kontrol sistemi işletme üst yönetimi tarafından kararların uygulamaya geçirilmesinde kullanılan temel ilkeler, yöntemler ve önlemlerden meydana gelen sistemdir (Kaval, 2005:121-122).

Başarılı bir yönetim için iç kontrol doğru anlaşılmalı, sağlıklı kurulmalı ve etkin uygulanmalıdır. Bir organizasyonun karşı karşıya kaldığı değişimlere sürekli bir biçimde uyum gösteren dinamik ve tamamlayıcı bir süreç olarak iç kontrol, örgütsel amaçların gerçekleştirilmesinde önemli bir rol oynamaktadır. Bu yüzden iç kontrolün doğru tanımlanması, sağlıklı kurulması ve etkin uygulanması süreçleri birbirini tamamlamalıdır (Akyel, 2010:83).

İç kontrol, bir organizasyonun karşı karşıya kaldığı değişmelere sürekli bir biçimde uyum gösteren dinamik ve tamamlayıcı bir süreçtir. Yönetim ve her düzeydeki personelin kurumun misyonunu ve genel hedeflerini başarması için riskleri karşılayan makul bir güvence sağlayan bu sürece müdahil olması gerekmektedir. İç kontrol tek bir olay ya da tek bir durum olmayıp bir kurumun faaliyetlerinin içine nüfuz eden bir dizi eylemdir. Bu eylemler bir kurumun faaliyetleri boyunca süreklilik temelinde meydana gelir. İç kontrol sistemi, kurumun faaliyetlerine sıkıca bağlanmış olup kurumun alt yapısı içine yerleştirildiğinde çok fazla etkilidir ve organizasyonun temelinin ayrılmaz bir parçasıdır. İç kontrol, faaliyetlere ek olarak tesis edilmek yerine, onların içine, ayrılmaz bir parçası olarak yerleştirilmelidir. İç kontrol organizasyonun bünyesine gömülü olarak inşa edilerek, planlama, uygulama ve izleme gibi temel yönetim süreçlerinin bir parçası olur ve bu süreçlerin tamamlayıcısı haline gelir (INTOSAI, 2006:6).

Etkin bir İç Kontrol Sisteminin varlığı, hedeflere ulaşma ve finansal raporlamaların güvenirliğinin temini yanında, belirlenen politikalara ve yasal/yönetsel düzenlemelere uygunluğunun sağlanması açısından büyük önem taşımaktadır. Bu nedenle, dış denetimin planlanması aşamasında, yapılacak denetim çalışmasının kapsamı, uygulanacak testlerin niteliği, niceliğinin saptanabilmesi vb. hususlarına yönelik olarak, müşteri işletmenin İKS’ nin incelenmesi gerekmektedir. Bu nedenle iç kontrol, genel kabul görmüş denetim standartları başta olmak üzere, çok çeşitli ulusal uluslararası standartlara ve düzenlemelere konu olmuştur (Aksoy, 2005:138)

Ayrıca, muhasebe sisteminin, muhasebe kayıtlarının güvenirliğini sağlamak için iç kontrol yordamlarına ihtiyaç vardır. Eğer işletmenin etkin bir iç kontrol sistemi yoksa işletmenin maddi varlıkları çalınabilir veya yanlış kullanılabilir, aynı şeyler defter ve belgeler içinde geçerlidir. İşletmelerin özellikle muhasebede bilgisayarlardan yararlanmaları, iç kontrolün önemini daha da arttırmıştır. Çünkü bilgi sistemleri dışarıdan müdahaleye açık sistemlerdir. Bunların güvenliğinin iç kontrol sistemi içinde sağlanması gerekir (Kırmızı, 2007:6).

A. İÇ KONTROL SİSTEMİNİN TANIMI VE KAPSAMI

İç kontrol sistemi, aşağıda belirtilen amaçlara ulaşmakla ilgili olarak kabul edilebilir bir güvence sağlamak için dizayn (düzenlenmiş) edilmiş bir süreç olarak tanımlanmaktadır. Bu amaçlar (Changchit, Holsapp2le ve Viator, 2001:275):

♦ Finansal raporlamada güvenirlik,

♦ Faaliyetlerin etkinliği ve verimliliği,

♦ Yürürlükteki yasalara ve düzenlemelere uygunluktur.

İç kontrol kavramı esas itibariyle özel sektörde iş etiği, iç kontrol ve yönetim ilkelerine dayalı olarak mali raporlamayı geliştirmek amacıyla 1985 yılında kurulan COSO (The Committee of Sponsoring Organizations of The Treadway Commission) tarafından geliştirilmiştir. İç kontrol sistemi genel olarak COSO modeli olarak da anılmaktadır (Gönülaçar, 2008:4).

COSO1, Amerikan menşeli beş kuruluşun iç kontrol konusunda güvence vermek üzere oluşturduğu bağımsız örgüttür (Koç, 2011:28). Bu örgütler şunlardır (Aksoy,2005:140):

♦♦♦ Amerikan Muhasebe Birliği (AAA- American Accounting Association),

♦♦♦ Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA- American

Institute Of Certified Public Accountants),

♦♦♦ Finans Yöneticileri Enstitüsü (FEI- Financial Executives Institute),

♦♦♦ Uluslararası İç Denetçiler Enstitüsü (IIA- Institute Of Internal Auditors),

♦♦♦ Yönetim Muhasebecileri Enstitüsü (IMA- Institute Of Management)

Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) tarafından da benimsenen COSO tarafından yapılan tanıma göre iç kontrol, mali tabloların güvenirliği, faaliyetlerin ve işlemlerin etkinliği ve verimliliği, faaliyetlerin yasa ve

1 COSO, http://www.coso.org

Şimdiki adıyla IMA, Yönetim Muhasebecileri Enstitüsü (Institute of Management Accountants).yönetmeliklere uygunluğunu sağlama konusunda sınırlı bir güvence vermek üzere, şirket üst yönetimi veya yönetim kurulu tarafından oluşturulan ve kontrol edilen bir yöntemler bütünüdür (Aksoy, 2005:140).

İşletme faaliyetlerini, işletme yönetimi dışında etkileyenler sadece ortaklar ve çevresi değildir. İşletmenin sosyal çevresi, kanunlar ve doğal koşullar gibi dış faktörlerde işletme faaliyetlerini yönlendirir ve etkiler. İşletme yönetimi, kanunların gerektirdiği koşullara ve sosyal çevrenin baskılarına uymak zorunda kalacağı için, işletme politikasını ve bu politikayı yürütmek için seçeceği usul ve yöntemleri bu faktörlere göre belirler. İşletme faaliyetlerini etkileyen ve yönlendiren bu faktörlere “dış kontrol” adı verilir. İşletme içinde mevcut kontrolleri işletme dışındaki kontrollerden ayırmak için “iç kontrol” (internal control) terimi kullanılmaktadır. İşletme yönetimi, işletmenin iç kontrol sistemini kurarken veya sistemde değişiklik yaparken, işletme dışındaki faktörleri de göz önünde bulundurmak zorunda olduğu için, iç kontrol ve dış kontrol arsında ayırımın yapılmasına ve dış kontrol kavramının kullanılmasına gerek kalmaz (Kepekçi, 2000:55-56).

İç kontrol nedir denildiğinde bunun cevabı, maddeler halinde şöyle sıralanabilir (Koç, 2011:27-28):

♦♦♦ İç kontrol bir süreçtir.

♦♦♦ İç kontrol bir amaç değil, idareyi hedeflerine ulaştırmayı amaçlayan bir yönetim aracıdır.

♦♦♦ İç kontrol kişiler tarafından uygulanır.

♦♦♦ İç kontrol sadece form, belge, el kitabı ve prosedür değil, bunların yanı sıra organizasyonu, personeli ve yönetim tarzını da kapsayan bir sistemdir.

İç kontrol bir işletmenin arzu ettiği yöne gitmesini, gitmek istemediği yollardan kaçınmasını sağlar. İç kontrol bağımsız denetçilerin en önemli çalışma alanıdır. Bu yüzden muhasebe mesleği ile ilgili pek çok kurum zaman zaman iç kontrol tanımları yapmıştır (Çömlekçi vd, 2009:5). Değişik kaynaklarca yapılmış olan bu tanımlamaları dikkatli bir şekilde incelediğimizde iç kontrol sistemiyle ilgili şu temel özellikleri sıralayabiliriz (Kertiş, 2005:16-17):

❖        Her işletme, kendine özgü şartlar içerisinde faaliyet gösterdiğinden, hepsinin ihtiyacını karşılayacak tek tip bir iç kontrol sisteminin geliştirilme olanağı yoktur. Bu sebeple her işletmenin kendine has nitelikleri olan bir iç kontrol sistemi vardır.

❖        İç kontrolden sadece makul (kabul edilebilir) bir güvence vermesi beklenebilir. Makul güven ifadesi ile anlatılmak istenen, hiç bir iç kontrol sisteminin mükemmel olmadığı ve iç kontrol usul ve yöntemlerinin maliyetinin kendisinden beklenen faydayı aşmaması gerektiğidir.

❖        İç kontrol sistemi insanlar (yönetim kurulu, yönetici ve diğer personel) tarafından gerçekleştirilen bir faaliyettir. Dolayısıyla, işletmede görevli her düzeydeki personel gerekli bilgi, tecrübe ve dürüstlüğe sahip olmadıkça iç kontrol sisteminin başarısız olması kaçınılmazdır.

❖        İşletme yöneticileri yolsuzlukları ve savurganlıkları en aza indirecek, verimliliği arttıracak, finansal bilgilerin zamanında ve güvenilir bir şekilde hazırlanmasını sağlayacak, işletmenin yapısına ve büyüklüğüne uygun bir iç kontrol sisteminin kurulmasında esas sorumluluğa sahiptir.

❖        İç kontrol bir süreçtir, bir olay veya döngü değildir. O bir işletmenin faaliyetlerini gerçekleştirme aşamasında kullanılan prosedürler dizisidir.

Uluslararası Muhasebe Uzmanları Federasyonu (International Fedaration of Accountant - IFAC)’ tarafından yapılan tanıma göre, iç kontrol sistemi (Kepekçi, 2000:56):

❖        İşletmenin varlıklarının korunması,

❖        Yanlışlıkların ve yolsuzlukların önlenmesi ve bulunması,

❖        Muhasebe bilgilerinin doğruluk ve güvenirliliğin sağlanması,

❖        Muhasebe bilgilerinin zamanında hazırlanması,

❖        İşletme faaliyetlerinin yönetim politikalarına uygunluğunun sağlanması amaçlarına ulaşmak için işletme faaliyetlerinin düzenli ve etkin bir şekilde yürütülmesini sağlamada yardımcı olan işletme yönetimi tarafından kabul edilmiş politikalar ve prosedürlerdir.

Bu tanıma göre iç kontrol sistemi, yönetsel kontroller ve muhasebe kontrolleri olmak üzere iki bölüme ayırabiliriz.

1.         Yönetsel Kontroller

İşletme faaliyetlerinin etkinliğini ve yönetim politikalarına bağlılığı artırma amaçları ile sıkı ilişkisi olan fakat finansal kayıtlar ile dolaylı ilgili bulunan tüm yöntem ve prosedürler ile organizasyon planını kapsar (Gürbüz, 1995:46).

Yönetim politikasına uyumu özendiren ve faaliyetlerin verimliliğini iyileştirmeyi hedef alan iç kontroller yönetsel kontrol olarak tanımlanır. Yönetsel kontroller, genel olarak istatistikî analizler, zaman ve hareket araştırmaları, başarı raporları, iş gören eğitim programları ve kalite kontrolleri gibi kontrolleri kapsar. Yönetsel kontrol, muhasebe kontrolünün kurulmasında hareket noktasını oluşturur (Demir Vd, 2008:63).

2.         Muhasebe Kontrolleri

Muhasebe kontrolü genel olarak yetkilendirme ve onaylama, kayıt tutma ve muhasebe raporlarının hazırlanması gibi görevler ile varlıkların korunması için yapılan varlıklar üzerindeki fiziki kontroller gibi faaliyetlerin sürdürülebilmesine yönelik iç kontrol faaliyetleridir (Biçer, 2006:13).

İşletme varlıklarının hata, hile veya hırsızlık gibi durumlara karşı korunması, mali tabloların zamanında ve doğru düzenlenebilmesi için alınan önlemler veya kurulan sistemler sayesinde yerine getirilir. İşletmede kurulan belge düzeni sayesinde her bir personelin sorumluluğunda olan varlıklar kolayca ortaya çıkarılabilir, hata veya hileler doğduğunda hatalı işlemi kimin yaptığı belirlenebilir ise ve kayıt yöntemi sayesinde tüm bilgiler zamanında muhasebeye intikal ediyorsa muhasebe kontrolü yapılmış olur (Kaval, 2003:89-90).

2.         İÇ KONTROL STANDARTLARI

İç kontrol standartları, iç kontrol sisteminin uygulama esnasında başvurduğu temel ilkelerdir. İç kontrol sisteminin işleyişine ve uygulanmasına yönelik detaylı açıklamalar içerdiğinden sistemin işleyişinin çalışanlar ve yöneticiler tarafından daha iyi anlaşılmasını sağlar. Standartlar, kontrol sürecinde en önemli faktördür. İç kontrol sisteminin belirlenmiş esaslara uyumlu olarak yürütülmesini sağlar ve uygulamada karşılaşılabilecek sorunlara yönelik öneriler içerir (Saltık,2007:59).

2.1.      COSO İç Kontrol Standartları

Bir işletmede iç kontrol sisteminin (İKS) yeterli ölçüde var olduğunun delili olacak göstergeler aynı zamanda iç kontrol sisteminin standartları (unsurları) olarak adlandırılmaktadır (Kaval, 2005:125).

COSO, tüm dünyada en çok kullanılan ve kabul gören iç kontrol sistemi değerlendirme modelidir (Acındı, 2007:22). COSO modelindeki iç kontrol; kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ve izleme (sistemin gözetimi) unsurlarından oluşmaktadır (Gönülaçar, 2008:4).

2.1.1.   Kontrol Ortamı

İlk unsur olan kontrol ortamı, diğer bütün kontrol unsurlarının temelini oluşturur (Klamm, Watson, 2009:3). Kontrol ortamı, iç kontrolün genel kalitesini etkileyen atmosferi yaratmanın yanı sıra, iç kontrol disiplinini sağlayıp iç kontrolün temelini oluşturur (Akyel, 2010:86). İç kontrol sistemi kapsamında, kontrol ortamı işletme üst yönetiminin işletmeyi kontrol etmede temel anlayışı, sorunlara bakışı, sorun çözmede yaklaşımı ve ahlaki değerlere verdiği önemle kendini gösterir. Kontrol ortamı dar anlamda, üst yönetimin işletmeyi ve işletmede çalışanları kontrol bilinci şeklinde algılanabilir. Başka bir bakış acısıyla “yönetimin felsefesidir”. Ancak kontrol ortamı sadece üst yönetimin tavrı olarak algılanmamalıdır. Bunun işletme personeli tarafından da benimsenmiş olması gerekir. Personelin kendisi bir kültür ortamında hissetmesi, bu ortamda herkesin işletmenin hedeflere ulaşmakta sorumluluğunun olduğunu bilmesi, kendi yetki alanında uzaklaştığında, sorumluluklarını yerine getirmediği veya getiremediği durumlarda işletme tarafından taşınamaz olduğunu hissetmesi gerekir (Kaval, 2005:126). Bu yönüyle iç kontrol ortamı, kısaca işletmenin iş görme biçimi olarak tanımlanmaktadır (Saltık, 2007:61). Bir organizasyonun kontrol çevresi aşağıdaki unsurları içermektedir(Yüksel, Demir, 2001:3):

♦          Dürüstlük ve ahlaki değerler,

♦          Kesin karar ile yetki kullanımı,

♦          Yönetim ve denetim kurulu,

♦          Yönetim felsefesi ve yönetimin tarzı,

♦          Organizasyon yapısı,

♦          Yetki ve sorumlulukların dağılımı,

♦♦♦ İnsan kaynakları politikaları ve uygulamaları.

Muhasebe sistemi ne kadar iyi dizayn edilmiş olursa olsun, o sistemi uygulayan personelin sorumlulukları doğru dağıtılmamışsa, personelin yetişmesi için gerekli bilgi ve eğitim sağlanamıyorsa, sistem bu personelin kalitesi kadar işleyecektir (Türedi, 2005:). Güçlü kontrol ortamı faaliyetlerin etkinliğini ve verimliliğini arttırarak yönetsel başarıya; hata ve hileleri önleyerek de işletme bilgilerinin doğruluğuna ve şeffaflığa katkı sağlamaktadır (Güner, 2009:188).

2.1.2.   Risk Değerlemesi

Risk değerlendirmesi, kurumun hedeflerini gerçekleştirmesini engelleyen önemli riskleri tespit ve analiz etme, bunlara uygun yanıtlar verilmesini belirleme sürecidir. Risk değerlendirmesi süreci, risk tespiti, risk ölçme, organizasyonun göğüsleyebileceği risk kapasitesini belirleme, risklere verilecek yanıtları üretme aşamalarından oluşur (Akyel, 2010:87). Risk değerlendirmenin ön koşulu kurum amaçlarının ve hedeflerinin açık, net ve tutarlı biçimde belirlenmiş olmasıdır (Demirbaş, 2005:169-170). İşletme üst yönetimi işletmeyi yakın veya uzak zamanda etkileyebilecek riskleri tespit etmek ve bu risklere karşı önlemler almak zorundadır. Burada sözü edilen risk iki türdedir. Birincisi iş veya işletme riskleri olup, işletmenin yaşamını, karlılık, büyüme, gelişme gibi hedeflerini etkileyen risklerdir. Bunlar işletmenin dış çevresinden kaynaklanan risklerdir. İkinci tip riskler ise işletme içi risklerdir. Özellikle personelin kasıtlı veya kasıtsız hareketleri ile yeterli düzeyde bilgi ve eğitim eksikliğinden kaynaklanırlar. Yani iç kontrol sisteminin yetersizliği nedeniyle, hata, hile, kaçak, kayıp gibi durumların olmasını önleyici tedbirlerin alınmamasından kaynaklanan riskler ile değişen çevre koşullarına uygun yeni ürünler üretememekten, uygun kalite ve fiyatlı ilk madde ve malzeme bulamamaktan kaynaklanan risklerdir. İyi bir kontrol sistemi olmadığı zaman bu tür verimsizliklerin olması kaçınılmaz olduğu gibi aynı zamanda finansal tablolarda hatalı veya yanlış gösterim, yanlış raporlama ve denetçi açısından da yanlış görüş verme riski artacaktır. İşte bu tür risklerin ne olduğu bilinmeli, risklere karşı önlemler alınmalı, işletme kurumsal bir şekle getirilmeli ve sistematik çalışan bir erken uyarı sistemi kurulmalıdır (Kaval, 2005:127).

2.1.3.   Kontrol Faaliyetleri

Kontrol faaliyetleri işletmenin risk yönetim faaliyetleri ile birlikte yönetimin emir ve talimatlarının yerine getirilmesine yardımcı olacak politika ve prosedürlerdir (Demirbaş, 2005:170). Risklere karşı yapılacak işlemlerde ve tavırlarda işletmenin amaçlarını gerçekleştirmesi noktasında bu prosedür ve politikaların önemi çok fazladır. Örgüt içerisinde firmaların her kademesinde ve her fonksiyonunda uygulanması gereken kontrol eylemlerinde onaylamalar, yetkilendirmeler, doğrulamalar, mutabakatlar, performansların gözden geçirilmesi ve görev ayrılıklarının sağlanması gibi unsurlar önemli rol oynamaktadır (Çalıktaş, Yurtsever, 2007:79-102)

Kontrol faaliyetleri işletmenin amaçlarına ulaşmasına yönelik risklerle başa çıkmak ve işletmenin hedeflerini gerçekleştirmek üzere uygulamaya konulan politikalar ve prosedürlerdir. Kontrol faaliyetleri işletmenin bütün süreçlerine ve faaliyetlerine yayılmalıdır (Güner, 2009:189).

Kontrol faaliyetleri üç aşamada gerçekleştirilir. İlk aşamada politikalar belirlenir, daha sonra belirlenen bu politikalara uygun yöntemlerin performansları değerlendirilir, son aşamada ise bu politikalara uyulup uyulmadığı doğrulanır (Elitaş, Özdemir, 2006:149).

Kontrol faaliyetleri, önleyici, saptayıcı, yönlendirici, tamamlayıcı faaliyetler olarak sınıflanabilir (Kaval, 2005:128-129-130):

a. Önleyici Kontroller: İstenmeyen durumların önlenmesini sağlamak için

alınan önlemlerdir. Örneğin;

S Görevlerin Ayrılığı İlkesi S Bölümsel Yetkilendirme İlkesi S Erişimin Sınırlandırılması İlkesi S Yetki Limitlerinin Belirlenmesi İlkesi S Kişisel Yetkilendirme İlkesi S Fiziksel Koruma Önlemlerinin Alınması S Genel Gözetimler

b. Saptayıcı Kontroller: Bunlar her bir personelin ne miktarda işletmenin varlıklarını zimmetinde tuttuğunu, işletmeye ne ölçüde borçlu veya alacaklı olduğunu saptamaya bunun sonucunda da yapılan bir hata veya hilenin nerede ve kim tarafından yapıldığını kolayca saptamaya yönelik önlemlerdir.

c. Yönlendirici Kontroller: Personelin belirli hedeflere yönlendirilmesi, üst yönetim isteklerinin alt kademelere iletilmesini sağlayıcı, onları güdüleyici önlemlerdir.

d. Telafi Edici (Tamamlayıcı) Kontroller: Bunlar aksayan veya stratejik konularda yönetimin bizzat işe karışması, ek örgüt birimleri kurulması gibi önlemlerdir.

2.1.4.   Bilgi Ve İletişim

İletişim; finansal raporlamanın üstünde iç kontrol politikaları ve prosedürlerinin daha açık ve anlaşılmasını sağlamakla ilgilidir. Onların nasıl çalıştığı, bu politika ve prosedürlerin organizasyondaki bireysel sorumlulukla ilişkilendirilmelidir. İletişim, politika kılavuzlarından, notlardan, sözlü iletişim gibi ekonomik kişiliğin organizasyon yapısı ve büyüklüğüne göre biçimlendirilebilir (Yüksel, Demir, 2001:4).

Bir kurumda bilgi ve iletişim sistemi şu özelliklere sahip olmalıdır (Koç, 2011:38);

♦♦♦ Bütün işleri açıklamalı ve kayıtlamalıdır.

♦♦♦ Zamanlamayı temel alarak, işler hakkında etkili ve detaylı bilgiyi finansal raporlama için uygun sınıflandırmaya fırsat vermelidir.

❖        İşlerde, onların uygun parasal değerle finansal durum tablolarında kayıtlanmasına izin vermelidir.

❖        Etkili bilgiyi sağlamak için uygun muhasebe periyodunda işlerin kayıtlanmasına izin vermelidir.

❖        Finansal tablolardaki ilgili açıklamaları ve işleri uygun olarak sunmalıdır.

İyi bir iç kontrol sisteminin temel unsurlarından biriside yatay ve dikey düzeyde bilgi alma yeteneğinin ve insanlar arasında iletişimin sağlanmasıdır. İç kontrol sistemi açısından muhasebe bilgi sisteminin ve bütçe sisteminin özel bir önemi vardır (Kaval, 2003:93-94). Muhasebe bilgi sistemi, muhasebe süreci sonunda en doğru ve yararlanılabilir bilgiyi üretmek üzere tasarlanır. Burada doğru bilginin üretilebilmesi ise sistemde bir dizi kontrolün ön görülmesi ile olanaklıdır. İç kontrolün etkinliği de bu kontrollerin ayrıntılı bir biçimde oluşturulmasına bağlıdır. Muhasebe bilgi sistemi, iç kontrol sistemini, yapısında yaşatmak zorundadır. Muhasebe fişleri, kayıtlar, defterler, mizanlar ve raporlar, birbiri ile bağlantılı ve birbirini doğrulayan kontrol noktalarını taşırlar; muhasebe bilgi sistemi bu kontrol noktalarıyla örülür (Yağcı, 2006:33).

Çalışanların sorumluluklarını yerine getirebilmeleri için iç kontrolle ilgili bilgiler anında kaydedilmeli, sınıflandırılmalı ve ilgililere duyurulmalıdır. İşletmenin planları, kontrol ananlı, riskleri, kontrol faaliyetleri ve performansı belirli şekillerde ve sürelerde duyurulmalı ve üst düzey yöneticilerle çalışanlar arasında düzgün bir iletişim sağlanmalıdır (Saltık, 2007:62). Bilgi akışı ve iletişim kanalları, sorunları kısa zamanda çözümleyebilecek ve organizasyonların kritik faaliyet noktalarına yönetsel karar yollarını açmak amacıyla düzenlenmelidir (Anameriç, 2005:32). Bundan dolayı iç kontrol uygulamalarından elde edilen bilgiler sınıflandırılmış bir şekilde, yatay ve dikey iletişim kanalları kullanılarak ilgililere raporlanmalıdır. Bunun için özellikle iç kontrol sisteminin tasarımı aşamasında, hangi bilgilerin, kime, hangi formatta ve ne sıklıkla raporlanacağı belirlenmiş olmalıdır (Güner, 2009:189)

2.1.5.Sistemin Gözetimi (İzleme)

Gözetim, etkin bir iç kontrol yapısının son temel bileşenidir. Bilgi ve iletişim ile yakından ilgilidir. İzleme, belirli bir zaman boyunca iç kontrol sisteminin performans ve kalitesini değerlendirme sürecidir (Perry veWarner, 2005:53). Sürekli gelişim ancak, izleme, değerlendirme ve iç kontrol sürecini yenileme ile sağlanabilir (Saltık, 2007:62). SAS NO.78’de de izleme şöyle açıklanmaktadır: izleme, iç kontrolün zaman içindeki performansının kalitesini değerleme sürecidir (Yağcı, 2006:33). Bir nevi işletmenin iç kontrol sisteminin kalitesi ve performansı değerlendirilmektedir (Memiş, 2006:73).

İç kontrol organizasyonu karşı karşıya kaldığı risklere ve değişikliklere sürekli biçimde uyum göstermesi gereken dinamik bir süreç olduğundan, iç kontrolün değişen hedeflere, ortama, kaynaklara ve risklere ayak uydurmasını sağlamak için iç kontrol sistemini izlemek gerekir. İç kontrol sistemleri dönem içindeki sistem performans kalitesini değerlendirmek amacıyla izlenmelidir (Akyel, 2010:88). İç kontrol sisteminin aksayan taraflarının ortaya çıkarılması, yeni gelişen teknolojilere uyum sağlaması, yeni bilgilerin ve gelişmelerin ışığı altında iç kontrol sisteminin devamlı yenilenmesi gerekir. Bu amaçları sağlamak üzere iç kontrol sisteminin devamlı gözlemlenmesi, iç kontrol sisteminden sapmaların ortaya çıkarılması gerekir. Bu ise işletmelerde teftiş birimi ile sağlanmaya çalışılır. Ancak teknik adıyla bu faaliyetler iç denetim birimince yerine getirilir (Kaval, 2003:95). İç denetim birimi ile ilgili bilgiler üçüncü kısımda detaylı olarak anlatılacaktır.

2.2. INTOSAI İç Kontrol Standartları

Uluslararası Sayıştaylar Birliği, 2004 yılında “Kamu Sektörü İçin İç Kontrol Standartları Kılavuzu” nu yayımlamıştır. İç kontrol, hedeflerin gerçekleştirilmesine makul güvence sağlayan bir yönetim aracı olduğundan yönetim, iç kontrol yapısının kurulması, gözden geçirilmesi, güncelleştirilmesi, yeterliliği ve etkinliğinden sorumludur. İç kontrol sistemi işletmelerin aşağıdaki hedeflere ulaşmasını sağlamak amacıyla geliştirilmiştir (Saltık, 2007:63):

♦          İşletmelerin işlevine uygun olarak, düzenli, ekonomik, verimli, etkin

faaliyetler yürütülmesi, kaliteli ürün ve hizmetler üretilmesi;

♦          Kaynakların savurganlıktan, suiistimalden, yetersiz yönetimden, hatalardan, yolsuzluktan ve diğer düzensizliklerden kaynaklanan kayıplara karşı korunması;

♦          Yasalara, yönetmeliklere ve yönetimin talimatlarına uyulması;

♦          Güvenilir mali ve idari verilerin hazırlanması ve saklanması ve bu verilerin uygun zamanlı raporlarda tam ve doğru olarak açıklanması.

INTOSAI’nin amacı, yüksek denetleme kurumları arasındaki ilişkileri geliştirerek güçlendirmek, özellikle kamu mali denetimi alanında bilgi ve görüş alış verişi ile deneyimlerin paylaşılmasını sağlamak, gereksinim duyulan alanlarda üyelerine destek vermektir (Yumuşak, 2007:26).

INTOSAI iç kontrol standartlarına göre organizasyon içimdeki herkesin iç kontrolle ilgili sorumlulukları bulunmaktadır (INTOSAI, 2006:38):

♦          Yöneticiler: İç kontrol sisteminin tasarlanması, uygulanması ve düzgün işlemesinin gözetilmesi dâhil, sürdürülmesi ve dökümante edilmesi ile ilgili faaliyetlerden doğrudan sorumludurlar.

♦♦♦ İç denetçiler: Değerlendirmeleri ve tavsiyeleri aracılığıyla iç kontrol sisteminin etkinliğini süreklilik temelinde inceleyip ona katkıda bulunurlar ve böylece, iç kontrolün etkinleşmesinde önemli rol oynarlar.

♦♦♦ Diğer Personel: İç kontrol herkesin açık ya da zımni biçimde görevinin bir parçasıdır. Personelin tümü kontrolün hayata geçirilmesinde rol oynar ve faaliyet sorunları, sosyal davranış kurallarına aykırılıklar ve politika ihlalleriyle ilgili raporlamadan sorumludur.

İşletme dışındaki gruplar da iç kontrol sürecinde önemli rol oynarlar. Bu gruplar organizasyonun hedeflerini gerçekleştirmesine katkıda bulunabilirler veya iç kontrolü hayat geçirmek için yararlı bilgiler sağlayabilirler. Ancak organizasyonun iç kontrol sisteminin tasarlanmasından, uygulanmasından, düzgün işlemesinden, sürdürülmesinden veya dökümante edilmesinden bu gruplar sorumlu tutulmazlar. Bu gruplar, Yüksek Denetim Kurumları (Sayıştaylar), Dış Denetçiler, Yasa Koyucular ve Düzenleyiciler, Diğer Gruplardır (INTOSAI, 2006:38-39).

Yukarıda sayılan bu amaçlara ulaşma yolunda kullanılacak iç kontrol standartları ikili bir ayrıma gidilerek; genel ve ayrıntılı standartlar olarak belirlenmiştir (Saltık, 2007:63):

2.2.1. Genel Standartlar

2.2.1.1. Makul Güvence

Makul güvence; belirli maliyet, fayda ve risk koşulları altında tatmin edici güvenilirlik derecesi anlamına gelir. İç kontrol sistemi temel hedeflerin gerçekleşeceğine dair makul bir güvence sağlamalıdır. İç kontrolün maliyeti, bundan sağlanan faydayı aşmamalıdır.

2.2.1.2. Destekleyici Tutum

Yöneticiler ve çalışanlar iç kontroller konusunda daima olumlu ve destekleyici bir tutum içinde bulunmalı ve bu tutumlarını açıkça göstermelidirler. Üst yönetimce takınılan tutum kurumun tüm faaliyetlerine yansıdığı için bunun çalışanlara hissettirilmesi son derece önemlidir.

2.2.1.3. Dürüstlük ve Yeterlilik

Yöneticiler ve çalışanlar kişisel ve mesleki açıdan dürüst olmalı ve iç kontrollerin hazırlanmasının, uygulanmasının ve sürdürülmesinin önemini kavramalıdır. Üst yönetimin ahlak kuralları çerçevesinde personele tavsiyelerde bulunması ve performans değerlendirmeleri önem taşımaktadır.

2.2.2.1.4. Kontrol Hedefleri

İşletmenin faaliyetleri için özel kontrol hedefleri belirlenmelidir. Bu hedefler kontrollere uygun, eksiksiz ve makul olmalı ve bütün amaçlarla bir bütünlük içinde bulunmalıdır. Özel kontrol hedeflerinin hazırlanması için öncelikle bütün faaliyetler kurumun teşkilat yapısındaki sorumluluk dağılımına uygun olarak sınıflandırılmalıdır. Sonra, her sınıf için ayrıntılı incelemeyi sağlayacak faaliyetler belirlenmelidir.

2.2.1.5. Kontrollerin Gözetimi

Yöneticiler çalışmalarını sürekli olarak gözden geçirmeli, düzenli, etkin ve etkili olmayan bulgularla karşılaştıklarında gerekli önlemleri almalıdırlar.

2.2.2.   Ayrıntılı Standartlar

Ayrıntılı standartlar kontrol hedeflerinin gerçekleşmesine yardım eden usullerdir. Beş başlık altında özetlenen bu standartlar sayılanlarla sınırlı değildir. İşletmeye özgü çeşitli planlar, örneğin güvenlik ve yangın alarm sistemleri gibi fiziki düzenlemeler ayrıntılı standartlar arasında sayılabilir.

2.2.2.1. Belgeleme

İş ve işlemleri ilgilendiren belgeler tam ve doğru olmalı, ilgili personel ve denetçilerce kolaylıkla ulaşılabilir ve işlemin her aşamasında incelenebilir durumda bulunmalıdır.

2.2.2.2. İşlemlerin Anında ve Uygun Kaydı

İşlemler anında kaydedilmeli ve uygun biçimde tasnif edilmelidir. Usulüne uygun tasniften kast edilen; raporlar, planlar ve mali tablolar hazırlamak üzere, bilginin düzenlenmesi ve formüle edilmesidir. Bu sayede karar alıcıların anlamlı bilgiler elde etmesi ve yönetimin güvenilir bilgiye sahip olması sağlanır.

2.2.2.3. İşlemlerin Onaydan Geçirilmesi ve Görevlerin Ayrılması

İşlemler yetkili kişilerin onayından geçirilmeli ve yetkili kişilerce uygulanmalıdır. Onay, işlemlerin yönetimce öngörüldüğü biçimde başlatılmasının sağlanmasında önemli bir araçtır. Onaya tabi işlemler çalışanlara açıkça bildirilmelidir. Hata veya kötüye kullanma risklerini azaltmak için, işlemlerin onaylanması, uygulanması, kaydedilmesi ve gözden geçirilmesi aşamalarının farklı kişilerce gerçekleştirilmesi suretiyle kontrol sorumluluğu birçok kişi arasında dağıtılmalıdır.

2.2.2.4. Gözetim

İç kontrol amaçlarının gerçekleşmesini güvence altına almak amacıyla yeterli bir gözetim sağlanmalıdır. Yönetimin, personelin yaptığı çalışmaları gözden geçirmesini sağlamak üzere her bir görevlinin sorumlulukları ile yetki alanlarını açıkça belirtilmeli, sistematik biçimde gözden geçirilmeli ve önemli aşamalarda onaylanmalıdır. Bu sayede, hataların, yanlış anlamaların ve usulsüz uygulamaların ortaya çıkarılması ve giderilmesi, kural ihlallerinin önlenmesi ve çalışmalardaki verimlilik ve etkinliğin kontrolü sağlanır.

2.2.2.5. Kaynaklara ve Kayıtlara Ulaşma Ve Sorumluluk

Kaynaklara ve kayıtlara ulaşma, bunların saklanmasından veyakullanılmasından sorumlu olan yetkili kişilerle sınırlandırılmalıdır. Hesap verme yükümlülüğünü sağlamak üzere kayıtlı miktarlarla kaynaklar periyodik olarak karşılaştırılmalıdır. Kaynaklara ulaşmanın sınırlandırılması; bunların yetkisiz olarak kullanılma ve kaybedilme riskini azaltır. Tüm belgelere numara verilmesi, hassas varlıkların kilitli tutulması ve saklanmasından sorumlu kişinin hesap verme yükümlülüğü usulsüz kullanım riskini azaltmaya yardımcı olur.

2.3. Avrupa Birliği İç Kontrol Standartları

Avrupa Birliği İç Kontrol Standartları, COSO iç kontrol modelinin beş unsuru olan kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ve gözetim ana başlıkları altında yirmi dört adet standarttan oluşmaktadır. Bu standartları inceleyecek olursak (Saltık, 2007:66-67-68):

2.3.1.   Ahlak Kuralları ve Dürüstlük

Her genel müdürlük, personelin, yolsuzluk ve usulsüzlüğü önlemeye ve bildirmeye ilişkin kurallardan haberdar olmasını sağlamalıdır. Bu amaçla, personelin ahlak kuralları ve dürüstlükle ilgili bilgilendirilmesini sağlamak üzere gerekli yöntemleri (e-mail, intranet, bilgi notu vb.) kurmalıdır.

2.3.2. Misyon Rol ve Görevler

Tüm bölümler, personeli ile güncel ve yazılı olarak iletişim kurmalıdır. Tüm personel için görev tanımları hazırlanmalı ve kurumun misyonu açık bir şekilde tüm personele iletilmelidir. Hedefler ve ulaşılması beklenen sonuçlar, tüm tarafların onayından sonra oluşturulmalı ve güncellenmelidir.

2.3.3. Personel Yetkinliği

İşletme yönetimi devamlı olarak personel yetkinliği ile görevleri arasında uyum sağlamalıdır. Eğitim çalışmalarına yeterli süre ayrılmalı, yönetimin ihtiyaçlarına cevap veren eğitim çerçevesi oluşturulmalı ve tüm personelin en azından zorunlu nitelikteki eğitimlere katılımı teşvik edilmelidir.

2.3.4. Personel Performansı

İşletme yönetimi en azından yılda bir kez tüm personelinin performansını gözden geçirmelidir.

2.3.5. Hassas  Görevler

İşletme yönetimi hassas görevlerin listesini oluşturmalı ve uygun rotasyon politikası belirlemelidir. Hassas görevler tanımlanırken işletmenin mali çıkarlarını olumsuz etkileyebilecek faaliyetler risk analizi yapılarak belirlenmelidir.

2.3.6. Yetki Verme

Sorumluluklar ve yetki sınırları açıkça tanımlanmalı, görevler kişiler arasında dağıtılmalı ve ilgililere yazılı olarak bildirilmelidir.

2.3.7. Hedef Belirleme

İşletme yönetimi, politika alanı ve faaliyet bazında yönetim tarafından tespit edilen genel hedefleri ve ulaşılması istenen sonuçları personeline bildirmelidir.

2.3.8. Çok Yıllı Programlama

İşletme yönetimi, bir karar veya faaliyet gerçekleştirilmeden önce, faaliyetin her aşamasındaki işlemler için gereken ve önemli kilometre taşlarını içeren kritik yolu belirlemelidir.

2.3.9. Yıllık Yönetim Planı

İşletmenin her bir bölümü, hedefler, göstergeler ve bunlara ulaşmak için gereken kaynakları içeren yıllık yönetim planı hazırlamalıdır.

2.3.10. Hedeflere İlişkin Performansın İzlenmesi

Her faaliyet için ana performans göstergeleri belirlenmeli ve izlenmelidir. Yönetim, düzenli olarak hedeflerle birlikte çıktıları ve etkilerini karşılaştıran raporları kıyaslamalı, tespit edilen eksikliklere karşı gerekli tedbirleri almalıdır.

2.3.11. Risk Analizi ve Yönetimi

İşletmenin her bir bölümü, ana faaliyetleriyle ilgili riskleri en azından senede bir defa analiz etmeli, bunları tespit etmek için faaliyet planları geliştirmeli ve bu planları uygulamak için sorumlu personeli görevlendirmelidir.

2.3.12. Yeterli Yönetim Bilgisi

Yöneticiler ve tüm personel bütçe uygulamasına, kaynakların kullanımına ve yönetim planlarının gelişimine ilişkin düzenli ve güvenilir bilgilere kolayca ulaşabilmelidir.

2.3.13. Evrak Kayıt ve Dosyalama Sistemleri

İşletmenin her bölümü, gelen ve giden evrakı sistematik olarak kaydetmeli ve ilgililerin ulaşabileceği anlaşılır ve güncel bir dosyalama sistemi oluşturmalıdır.

2.3.14. Hataları Raporlama

İşletmenin her bir bölümü, olası hata veya usulsüzlüklerin hiyerarşik üste doğrudan bildirilmesinin yanı sıra dolaylı olarak bildirilmesini sağlayacak prosedürleri belirlemeli ve personele bildirmelidir.

2.3.15. Yöntemlerin Belgelendirilmesi

Tüm bölümlerdeki temel süreçler için kullanılan prosedürler tamamen belgelendirilmeli, güncellenmeli ve ilgili personel için hazır bulunmalıdır.

2.3.16. Görevler Ayrılığı

Her işlemin operasyonel ve mali yönü birbirinden bağımsız iki kişi tarafından kontrol edilmelidir. Her işlemin başlama ve onaylama fonksiyonları ayrı tutulmalıdır. Bu amaçla; bir işlemin işlem öncesi ve sonrası kontrolünde görevli olacak kişiler, bunların başlatılmasında görev alan kişilerden farklı olmalı veya bu kişilerin astları olmamalıdır.

2.3.17. Gözetim

Her bölüm, yönetimin belirlediği prosedürlerin etkili biçimde yürütülmesini sağlamak için gerekli hallerde, işlem sonrası kontrolü de kapsayacak şekilde uygun gözetim düzenlemeleri yapmalıdır.

2.3.18. İstisnaları Kaydetme

İşletme yönetimi, belirlenen politikalardan ve yöntemlerden özel durumların ortaya çıkması nedeniyle sapma olduğunda gerekli düzenlemeleri yapmalıdır.

2.3.19. Faaliyetlerin Sürekliliği

Üst yönetim, tüm faaliyetlerin ve özelikle mali işlemlerin sürekliliğini sağlamaya yönelik düzenlemeler yapmalıdır.

2.3.20. İç Kontrole İlişkin Zayıf Yönlerin Kaydedilmesi ve Düzeltilmesi

İç kontrol zayıflıklarının uygun biçimde raporlaması ve düzeltilmesine ilişkin yöntem açıkça tanımlanmalıdır. Söz konusu yöntem, süreci açıklamalı ve muhtemel iç kontrol zayıflıklarının veya uygun olmayan durumların bildirilmesi gereken kişiyi tanımlamalıdır.

2.3.21. Denetim Raporları

Tüm bölümler ve iç denetim birimi kendisine sunulan raporları her yıl gözden geçirmelidir. Ayrıca zayıflıkları çözmek için uygun eylem planlarını belirlemeli ve bu planların yürütülmesini izlemelidir.

2.3.22. İç Denetim Yeterliliği

İşletme yönetimi, risk yönetimi esaslı yıllık çalışma programıyla birlikte yeterli ve nitelikli personele sahip iç denetim birimlerini kurmalıdır.

2.3.23. Değerlendirme

İşletmenin her bir bölümü, tüm faaliyetlerinin işlem öncesi ve işlem sonrası değerlendirmesini yapmak veya yaptırmak üzere yeterli personele sahip bir değerlendirme fonksiyonu kurmalıdır.

2.3.24. İç Kontrolün Yıllık Gözden Geçirilmesi

İşletmenin her bir bölümü, yıllık faaliyet raporunda yer alan iç kontrol beyanına esas olmak üzere iç kontrol düzenlemelerini yıllık olarak gözden geçirmelidir.

Yukarıda sayılan bu standartların ilk altı tanesi kontrol ortamı standardının alt standardıdır. Sonraki beş standart ise, risk değerlemesi standardının alt basamaklarını oluşturmaktadır. Sonraki sekiz standart ise, bilgi ve iletişim standardının alt standardıdır. En son beş standart ise gözetim ve değerlendirmenin alt standartlarını oluşturmaktadır.

2.4.Sarbanes Oxley

Amerika Birleşik Devletleri’nde yaşanan Enron, Xerox, Worldcom skandallarından sonra zarar gören sermaye piyasasının korunmasını sağlamak için halka açık kurumlarda finansal raporlama ve şirket faaliyetlerinin kalitesini arttırarak kurumsal yönetiminin etkinliğini sağlamak ve yatırımcıya doğru, zamanında, güvenilir ve anlaşılabilir finansal bilgi sağlamak amacıyla Halka Açık Şirketler Muhasebe Reformu ve Yatırımcıyı Koruma Yasası veya diğer adıyla Sarbanes-Oxley yasası, Amerika Birleşik Devletleri’ndeki borsalarda işlem gören halka açık şirketlerin tamamını kapsayacak şekilde 30 Temmuz 2002’de imzalanmıştır. Sarbanes-Oxley (SOX), şirket kurumsal yönetim süreci ile muhasebe ve denetim uygulamaları üzerinde çok köklü değişiklikler ve sorumluluklar getirmektedir (Yumuşak, 2007:28).

SOX’ un amacı işletmenin denetim komitesi, denetim meslek üyeleri ve kurumsal yöneticilerinin bu skandalların oluşma riskini azaltmak için birlikte çalışmalarını sağlamaktır (Byington, Christian, 2005:35).

SOX, şirket yöneticilerinin sorumlulukları, kamuya açıklanan finansal tabloların kapsamının genişletilmesi, bu konudaki yönetim, denetim ve gözetim sorumluluklarının arttırılması, şirket denetim kurullarının bağımsızlığı ve işlevlerinin daha etkin hale getirilmesi, şirket yöneticileri ve çalışanları için öngörülen cezai yaptırımlar ve Amerikan Menkul Kıymetler ve Takas Komisyonu’nun (SEC-Security Exchange Commission) yetkilerinin genişletilmesi, muhasebe ve denetim uygulamalarının düzenlenmesi gibi yönetim, denetim ve gözetime ilişkin çok çeşitli konuları kapsamaktadır. Bu kapsamda finansal raporlamanın etkinliğinin arttırılabilmesi için kilit noktalara konulan iç kontroller önem kazanmaktadır. Şirket yönetimleri bu yasa ile iç kontrol sisteminin etkinliğini arttırmak için özellikle finansal raporlamaya yönelik iç kontrol prosedürlerine önem vermekte ve iç kontrollerin yeterliliğini sağlamakla yükümlüdür. Yöneticiler ve bağımsız dış denetçiler iç kontrol raporlarını inceleyerek sonuçları güncel olarak değerlendirmelidir. Böylelikle ortaya çıkabilecek hata ve hileleri baştan engelleyebilirler (Yumuşak, 2007:28). Ayrıca, iç denetçilerin üst yönetim ve denetim komitesinin Sarbanes Oxley yasasında belirtilen sorumluluklarını yerine getirmelerinde yardımcı olmaları dolayısı ile yasanın iç denetçilere de önemli etkileri vardır (Aldhızer, 2003:3).

05.08.2022

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)

GÜNDEM