MAKALE:06.07.2020/02
İÇ KONTROL NEDİR?
İç kontrol, kurumun, yönetimi ve personeli tarafından hayata geçirilen, belirlenmiş hedeflere ulaşmasında ve misyonunu gerçekleştirmesinde makul bir güvence sağlamak üzere tasarlanmış ve kurumun genelini etkileyen bütünleşmiş bir süreçtir. İç kontrol sadece finansal işlemler ve raporlama ile ilgili değil; yönetimi, süreçleri, stratejiyi ve kurumun diğer faaliyet ve operasyonlarını da kapsayan, uyum ve performans ölçeğinde uygulanan tüm kontrolleri ifade eder.
İÇ KONTROLÜN AMACI NEDİR?
İç kontrol; işletme organizasyonunda yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, faaliyetlerin etkinliği ve verimliliğini, mali raporlama sisteminin güvenilirliğini, yasal düzenlemelere uygunluğunu sağlamayı amaçlayan ve bu konuda makul güvence sağlamak için tasarlanmış ve iş süreçleri içinde yer almasından ötürü bir sistem olarak nitelendirilen bir kavramdır.
İç kontrol sisteminin üç temel amacı vardır:
- Finansal raporlamanın güvenilirliğini sağlamak,
- Faaliyetlerin etkinliğini ve verimliliğini artırmak,
- Yasa ve düzenlemelere uygunluk.
İÇ KONTROL NE İŞE YARAR?
Kurumlar hedeflerini gerçekleştirmek için iç kontrol sistemini kullanırlar. İç kontrol sisteminin etkili bir biçimde uygulanabilmesi için iç kontrol bir yük olarak değil, beklenmeyen olaylar ortaya çıktığında oluşacak kayıpları önlemek ve fırsatları değerlendirmek ile ilgili bir araç olarak görülmelidir. İdareciler iç kontrol sisteminin etkili bir biçimde işlediğinin güvencesini verebilmek için uygun politikalar oluşturmalı ve güvence sağlamalıdırlar. İç kontrol uygulanırken, hedeflere ulaşılmasını etkileyecek belirsizlikler öngörülmeli ve önlemler alınmalıdır. İçkontrol; kurumsal amaçlara ve hedeflere ulaşılması için faydalanılan bir araç ve bütün faaliyetler ile süreçlerin üzerinde yer alan bir yönetim modelidir.
İÇ KONTROLE NEDEN İHTİYAÇ DUYARIZ?
Kontrol tanımından anlaşılanın sadece mali kontroller olması ve mali kontrollerin tek başına yetersiz kalması iç kontrol ihtiyacını ortaya çıkartmıştır. Gerek kamu gerekse de özel sektörde gerçekleştirilen işlemler üzerindeki kontrol gücünün ve etkinin artırılması amacıyla mali kontrollerin de ötesinde tüm süreçlere temas eden kontrollerin tanımlanması gerekmiştir. Bunun yanında kurum kaynaklarının belirlenen stratejik amaç ve hedeflere uygun bir şekilde etkin, etkili ve ekonomik bir şekilde gerçekleştirilmesi, faaliyetlerde esneklik ve hesap verebilirliğin artırılması bir bütün halinde iç kontrollerin kurgulanması ve işletmeler için önem ve gerekliliğin ön plana çıkmasına neden olmuştur.
BAZI İÇ KONTROL KABUL VE GERÇEKLERİ NELERDİR?
Kabul : İç kontrol, yazılı politika ve prosedürler ile başlar.
Gerçek : İç kontrol, gerçek bir iç kontrol ortamı ile başlar.
Kabul : Yönetim; İç Kontrolü İç Denetçiler tarafından yapılması gereken bir iş olarak kabul eder.
Gerçek : Yönetim, iç kontrol sisteminin sahibidir.
Kabul : İç Kontrol genelde negatiftir. Yapılmaması gerekenleri söyler.
Gerçek : İç Kontrol, doğruların ilk anda ve her zaman yapılmasını söyler.
Kabul : İç kontroller zaman kaybıdır. Üretim, satış, müşteri hizmeti gibi asıl faaliyetlerden zaman çalar.
Gerçek : İç Kontroller, iş süreçlerinin “içerisine” yerleştirilmelidir, “üzerine” değil.
Kabul : Eğer İç Kontrol yeterince kuvvetli ise suiistimal ve dolandırıcılık olmayacağından ve mali tabloların doğru olduğundan emin olabiliriz.
Gerçek : İç Kontrol Sistemi kurum hedeflerinin elde edilebilmesi için makul ancak kesin olmayan bir güvence sağlar.
Kabul : İç Kontrol sadece mali bir konudur.
Gerçek : İç Kontrol, iş süreçlerinin her aşamasının içerisine yerleşiktir.
Kabul : İç Kontrol tek seferlik bir işlem ya da çalışmadır.
Gerçek : İç Kontrol, tüm iş süreçlerini kapsayan bir sistemler bütünü olup canlı ve döngüsel bir yapıdadır.
Kabul : İç Kontrol bir amaçtır.
Gerçek : İç Kontrol, şirket veya kurumun amaçlarını ve hedeflerini gerçekleştirmeye fayda sağlayan bir araçtır.
İÇ KONTROL KONUSUNDA SORULMASI GEREKEN TEMEL SORULAR NELERDİR?
- Bu kurum bir bütün olarak, tüm alanlarda karşı karşıya olduğu riskleri iyi biliyor mu?
- Bu riskleri yönetmek için neler yapılıyor (iç kontroller gibi)?
- Bu riskleri yönetmek için alınan tedbirler etkin mi (iç kontroller etkin çalışıyor mu)?
COSO (Committee of Sponsoring Organisations) NEDİR? HANGİ BİLEŞENLERDEN OLUŞMAKTADIR?
“Committee of Sponsoring Organizations of Treadway Commission” olarak ifade edilen ve 1985 yılında kurulan Sahte Mali Raporlama Ulusal Komisyonu’nun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmaktı. Komisyonun himayesinde iç kontrol literatürünün yeniden gözden geçirilmesi için bir çalışma grubu oluşturulmuş, sponsor kurumların iç kontrol sisteminin kurulması ve etkinliğinin değerlendirilmesi için genel kabul görecek standartlar belirleyen bir projeyi üstlenmesi kararlaştırılmıştır. Bu amaçla Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi “İç Kontrol Bütünleşik Çerçeve” raporunu 1992’de yayımlamıştır. Söz konusu rapor, günümüzde COSO iç kontrol modeli olarak bilinmektedir. COSO bileşenleri aşağıdakilerden oluşmaktadır:
- Kontrol ortamı
- Risk değerlendirme
- Bilgi sistemi
- Kontrol faaliyetleri
- Gözetim (İzleme)
İÇ KONTROL FAALİYET TÜRLERİ NELERDİR?
Soft Kontroller
COSO modelinin kontrol ortamı ile açıklanmaya çalışılan, doğrudan bir kontrol faaliyetini işaret etmeyen, daha çok iş ve işlemler ile hard kontrollerin içerisinde faaliyette bulunduğu ortamı tanımlayan ve bu çalışma ortamı ile bu ortamın oluşmasına yardımı olan veya etkileyen kontrol veya uygulamalardır.
- Kurum Kültürü, Etik Değerler, Mesleki Yeterlilik vb.
Hard Kontroller
- Üst düzey gözden geçirmeler
- Birim veya fonksiyon yöneticilerinin doğrudan gerçekleştirdikleri faaliyetler
- Bilişim teknolojileri süreçleri
- Fiziksel kontroller
- Performans göstergeleri
- Görevlerin ayrılığı ilkesi
- Yetkilendirme ve onaylama prosedürleri
Kurum Çapında/ Faaliyet Bazında Kontroller
İstisnaları olmakla birlikte, soft kontrollerin büyük çoğunluğunun kurum çapındaki kontrolleri, hard kontrollerin ise büyük çoğunluğunun faaliyet bazlı kontrollerini oluşturduğunu söylemek çok da yanlış olmayacaktır.
- Önleyici Kontroller (Görevler Ayrılığı İlkesi, Teknolojik Sistemler)
- Tespit Edici Kontroller (Bütçe, KPI)
- Doğrulayıcı Kontroller (Yetki Tanımlamaları)
- Azaltıcı/ Telafi Edici Kontroller (IT Yedekleme, Sistem Uyarıları)
Yönetsel Kontroller
Yönetsel kontroller gerçekte birer kontrol faaliyeti olmamakla birlikte; üst düzey yöneticilerin firma operasyonlarını ve faaliyetlerini "kontrol altında" tutabilmeleri için birer araç teşkil etmektedirler.
- Organizasyon (Sorumluluk, yetki, hedef, yapı)
- Politikalar (Açık ve net, uyumlu, periyodik gözden geçirme)
- Prosedürler (Koordineli, yalın, basit, maliyet odaklı, çelişkisiz)
- Personel (Yetkin, performans değerlendirme, dürüst, güvenilir)
- Muhasebe (İhtiyaçlarla uyumlu, birim faaliyetleriyle paralel)
- Bütçeleme (Ölçülebilen hedef, karşılaştırmalı)
- Raporlama (Zamanlı, Gelişime Açık, İhtiyaca Uygun)
Bilgi Teknolojisi Kontrolleri
Genel kontroller; BT sistemlerinin altyapısına yönelik kontrollerdir.
- Yazılım kontrolleri
- Donanım kontrolleri
- Bilişim Teknolojileri Operasyonel Kontrolleri
- Veri Güvenliği Kontrolleri
- Uygulamaya Geçiş Kontrolleri
- Yönetsel Kontroller
Uygulama kontrolleri; sistem tarafından otomatik olarak veya kullanıcılar tarafından manuel olarak gerçekleştirilen ve bilişim yazılımlarının veri işleme süreçlerine yönelik sadece uygun görülen verinin uygun görüldüğü şekilde işlenmesini sağlayan kontrolleri kapsamaktadır.
- Kontrol Toplamları (Girdi ve Veri İşleme Kontrolü)
- Girdi Kontrolleri (Girdi Kontrolü)
- Bilgisayar Eşleştirmesi (Girdi, Veri İşleme Kontrolü)
- Kontrol Toplanılan (Veri İşleme, Çıktı Kontrolleri)
- Dağıtım Kayıtlarının Raporlanması (Çıktı kontrolü)
İÇ KONTROL VE İÇ DENETİM İLİŞKİSİ NEDİR?
İç kontrol; farklı sorumluluklar taşımakla birlikte tüm kurum personelinin içinde yer aldığı, sadece belli bir zamana ilişkin bir politika ya da uygulama değil kurumun her seviyesinde süreklilik gösteren bir yapı, süreç ve sistemdir. Kontrollerin işlemlerin yapıldığı süreçte ve aynı anda gerçekleştirilmesi, büyük önem taşımaktadır. Ancak bu şekilde, etkin ve kendi kendine işleyen bir iç kontrol sisteminden bahsetmek mümkün olacaktır.
İç kontrol, makul ölçüde güvenilirlik sağlar. Bu özellikleri ile iç kontrol, işletme yönetiminin sorumluluğundadır. Etkinliğinin ve yerindeliğinin değerlendirilmesi için iç denetim faaliyetine ihtiyaç gösterir. Bu nedenle iç kontrol ve iç denetim birbirinden farklı, ancak birbirini tamamlayan iki kavram olarak değerlendirilmelidir. Hata, hile ve suiistimallerin, gelir ve varlık kayıplarının önlenmesinde iç kontrol sistemi ve iç denetim faaliyetinin etkinliği önemli rol oynamaktadır.
İÇ KONTROL SİSTEMİ NASIL KURULUR? KİMLERİ ETKİLER?
İç kontrol, yeni bir yönetim modeli olmayıp, aksine bilinen ve zaten uygulanan bir çok iş ve işlemin sistemleştirilmiş ve standartlara bağlanmış halidir. Normal şartlarda olgunluk seviyeleri değişmekle birlikte hemen hemen her işletmede bir kontrol sistemi bulunmaktadır. Bazen tüm işlemlerin Şirket sahibi tarafından bilfiil onaylandığı şekilde uygulama alanı bulduğu gibi en iyi örneklerinde ise ERP sistemleri ile entegre ve tüm kontrol adımlarının tanımladığı versiyonlar yer almaktadır. İç kontrol, özü itibariyle bizzat günlük idare faaliyetleriyle birlikte değerlendirilmesi gereken bir alt yapı ve sistemler bütünüdür.
İç Kontrol sisteminin; tüm iş süreçlerini ve personeli kapsayacağı, faaliyetlerle eş zamanlı olarak yürütülebileceği, ek iş yükü getirmeyeceği aksine iş yükünü azaltacağı, yine rutin iş süreçleri ile birlikte uygulanacağı için ilave mali kaynak 9. gerektirmeyeceği, işlerliğinin sağlanması durumunda ürün ve çıktılarla kaliteyi artıracağı, standartlaşmayı tesis edeceği ve kurumsal amaçlara ve hedeflere ulaşılmasına yardımcı olacağı düşünüldüğünde, iç kontrol sisteminin bir “yönetim modeli” olduğu rahatlıkla ifade edilebilecektir.
İç kontrol sistemi kurulumu ifadesinden anlamamız gereken de makine gibi işleyen otomatize bir yapı değildir. Tüm faaliyet alanlarına ilişkin iş süreçlerini ve bu süreçlerde görevli olan en alt kademe çalışandan en üst yöneticilere kadar herkesi kapsayacak, etkileyecek bir sistem olup bir bütün halinde tüm kurum süreçlerine temas edecek şekilde kurulması önemlidir. Söz konusu sistemi bütün unsurlarıyla işler ve uygulanabilir kılmak ise kısa vadeli bir hedef olmamalıdır. Canlı bir sistem olduğu da göz önünde bulundurularak organizasyonun gelişimi ile paralel sistem de kendini güncellemelidir. İç kontrolün tasarım ve kurgu aşamasından başlanarak, sistem içerisinde sürekli olarak değerlendirme, iyileştirme ve geliştirme (iç denetim aracılığıyla) faaliyetlerine yer verilmeli ve mevcut planlamalar bu doğrultuda güncellenmelidir.