SUGGESTIONS ON THE EVALUATION OF THE EFFECTIVENESS OF INTERNAL CONTROL SYSTEMS Prof. Dr. M. Banu Durukan Doç. Dr. Serdar Özkan Araş. Gör. Gürol Durak DOKUZ EYLÜL ÜNİVERSİTESİ İŞLETME FAKÜLTESİ DOKUZ EYLUL UNIVERSITY FACULTY OF BUSINESS İÇ KONTROL SİSTEMİNİN ETKİNLİĞİNİN DEĞERLENDİRİLMESİ ÜZERİNE ÖNERİLER Antalya

DURUKAN - ÖZKAN - DURAK2 AMAÇ AIM Güncel gelişmeler ışığında iç kontrol sisteminin etkinliğini tartışmak ve iç kontrolün etkinliğinin değerlendirilmesi konusunda bir bakış açısı sağlamaktır. To discuss the effectiveness of internal control systems within the current developments current developments and provide insights to the assessment of the assessment of effectiveness of internal control. effectiveness of internal control.

DURUKAN - ÖZKAN - DURAK3 İÇERİK OUTLINE I. İç Kontrol 1.1 İç Kontrol Tanımı 1.2 İç Kontrolun Etkinliği II. İç Kontrol Etkinliğinini Değerlendirilmesi III. İç Kontrol Etkinliğinin Değerlendirilmesine Yönelik Öneriler 3.1 Farkındalık 3.2 Bilgi Teknolojisi ve Uzman Sistemlerin Kullanımı IV. Sonuç I. Internal Control 1.1 Definition of Internal Control 1.1 Definition of Internal Control 1.2 Effectivenes of Internal Control 1.2 Effectivenes of Internal Control II. Assessment of Internal Control Effectiveness Effectiveness III. Suggestions for Internal Control Effectiveness Assessment Effectiveness Assessment 3.1 Awareness 3.1 Awareness 3.2 Information Technology and 3.2 Information Technology and the Use of Expert Systems the Use of Expert Systems IV. Conclusion

DURUKAN - ÖZKAN - DURAK4 I.İÇ KONTROL I. INTERNAL CONTROL İç Kontrolun Önemi (Liu, 2005, 94) Importance of Internal Control (Liu, 2005, 94) Hata ve hilenin önüne geçmek. Discouraging error and fraudulence. Yasa dışı davranışın önüne geçmek. Decreasing illegal conduct. İşletmede disiplinsizliği azaltma. Decreasing the failing of company discipline. İşletmenin rekabetçiliğini geliştirmek. Improving the competitiveness of the business entity.

DURUKAN - ÖZKAN - DURAK5 “Bir kurumun yönetim kurulundan, yönetimden ya da diğer personel tarafından etkilenen ve aşağıdaki kategorilerde belirtilen hedeflere ulaşılması yönünde makul derecede güvence sağlanması için tasarımlanan bir süreç olarak tanımlamaktadır:  Faaliyetlerin etkinliği ve verimliliği,  Finansal raporlamanın güvenilirliği,  Uygulamadaki kural ve kanunlara uygunluk (COSO, 1992, 9)”. 1.1 İÇ KONTROLUN TANIMI 1.1 DEFINITION OF INTERNAL CONTROL “process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:  Effectiveness and efficiency of operations  Reliability of financial reporting  Compliance  Compliance with applicable laws and regulations (COSO, 1992, 9) ”

DURUKAN - ÖZKAN - DURAK6 Bir iç kontrol sisteminin etkinliği kurumların iç kontrol tanımlarında belirtilen iç kontrol hedeflerine ulaşabilme yeteneğidir. 1.1 İÇ KONTROLUN ETKİNLİĞİ 1.1 EFFECTIVENESS OF INTERNAL CONTROL The effectiveness of an internal control system is the ability of the entity to meet the internal control objectives given in the definition of internal control.

DURUKAN - ÖZKAN - DURAK7 Internal Control Over Financial Reporting- Guidance for Smaller Public Companies, Volume 1, Committee of Sponsoring Organizations of the Treadway Commission, June 2006 Şekil 1: COSO Öğelerinin Süreç Bakış Açısı Figure 1: Process Perspective of COSO Components

DURUKAN - ÖZKAN - DURAK8 Kontrol Çevresi Risk Değerlemesi Kontrol Faaliyetleri Bilgi ve İletişim Gözlem Finansal Raporlama Uygunluk Faaliyetler Birim B Faaliyet 1 Birim A Şekil 2: COSO Çerçevesi Figure 2: COSO Framework Internal Control Over Financial Reporting- Guidance for Smaller Public Companies, Sayı 1, Committee of Sponsoring Organizations of the Treadway Commission, Haziran 2006.

DURUKAN - ÖZKAN - DURAK9 Tablo 1: COSO Öğeleriyle Bağlantılı Temel Kavramlar ve İlkeler Table 1: Basic Principles Representing the Fundamental Concepts Associated with Interrelated Components Kontrol Çevresi Dürüstlük ve Etik Değerler Yüksek derecede dürüstlük ve etik değerler, özellikle üst yönetim için, geliştirilmekte, anlaşılmakta ve finansal raporlama için davranış kuralları oluşturmaktadır. Yönetim Kurulu Yönetim kurulu finansal raporlama ve ilişkili iç kontrollere yönelik gözetim sorumluluğunu anlamakta ve uygulamaktadır. Yönetimin Felsefesi ve Çalışma Şekli Yönetimin felsefesi ve çalışma şekli finansal raporlama üzerinde etkin bir iç kontrol sistemine ulaşılmasına yardımcı olmaktadır. Örgüt Yapısı İşletmenin örgüt yapısı finansal raporlama üzerinde etkin bir iç kontrol sistemine ulaşılmasına yardımcı olmaktadır. Finansal Raporlama Yetkinlikleri İşletme bireyleri finansal raporlama ve ilgili gözetim rolleri konularında yetkin kılmaktadır. Yetki ve Sorumluluk Yönetime ve çalışanlara finansal raporlama üzerinde etkin iç kontrol sağlamak üzere yeterli derecede yetki ve sorumluluk verilmektedir. İnsan Kaymnakları İnsan kaynakları politikaları ve uygulamaları finansal raporlama üzerinde etkin iç kontrol sağlamak üzere tasarlanmakta ve uygulanmaktadır.

DURUKAN - ÖZKAN - DURAK10 Risk Değerlendirme Finansal Raporlama Hedefleri Yönetim finansal raporlama hedeflerini ve güvenilir finansal raporlamaya ilişkin risklerin tanımlanması yönünde kriterleri açıkça belirlemektedir. Finansal Raporlama Riskleri İşletme risklerin nasıl yönetileceğine ilişkin bir temel olarak finansal raporlama hedeflerine ulaşma yolundaki riskleri tanımlamakta ve analiz etmektedir. Hile Riski Hileden kaynaklanan önemli derecede yanlış açıklama ihtimali finansal raporlama hedeflerine ulaşma yolundaki riskleri değerlendirmede göz önüne alınmaktadır. Kontrol Faaliyetleri Risk Yönetimi ile Bütünleşme Finansal raporlama hedeflerine ulaşma yolundaki riskleri belirlemek üzere faaliyetler gerçekleştirilmektedir. Kontrol Faaliyetlerinin Seçimi ve Geliştirilmesi Kontrol faaliyetleri, maliyetleri ve finansal raporlama hedeflerine ulaşma yolundaki riskleri azaltmadaki etkinlikleri göz önünde bulundurularak seçilmekte ve geliştirilmektedir. Politikalar ve Prosedürler Yöneticilerin direktiflerinin yerine getirilmesini sağlayan prosedürler ile birlikte güvenilir finansal raporlamaya ilişkin politikalar oluşturulmakta ve işletmeye iletilmektedir. Bilgi Teknolojileri Bilgi teknolojisi kontrolleri finansal raporlama hedeflerine ulaşılmasına destek olmak üzere tasarlanmakta ve uygulanmaktadır. Tablo 1: COSO Öğeleriyle Bağlantılı Temel Kavramlar ve İlkeler Table 1: Basic Principles Representing the Fundamental Concepts Associated with Interrelated Components

DURUKAN - ÖZKAN - DURAK11 Tablo 1: COSO Öğeleriyle Bağlantılı Temel Kavramlar ve İlkeler Table 1: Basic Principles Representing the Fundamental Concepts Associated with Interrelated Components Bilgi ve İletişim Finansal Raporlama Bilgisi İlgili bilgiler tanımlanmakta, elde edilmekte, işletmede her seviyede kullanılmakta ve finansal raporlama hedeflerine ulaşılmasını destekleyecek şekilde ve zamanda dağıtılmaktadır. İç Kontrol Bilgisi Diğer kontrol öğelerinin yürütülmesi için kullanılan bilgiler tanımlanmakta, elde edilmekte ve personelin iç kontrol sorumluluklarını yerine getirmelerini sağlayacak şekilde ve zamanda dağıtılmaktadır. İçsel İletişim İletişim iç kontrol hedeflerinin, süreçlerinin ve işletmenin her seviyesinde bireysel sorumlulukların anlaşılmasını ve uygulanmasını sağlamakta ve desteklemektedir. Dışsal İletişim Finansal raporlama hedeflerine ulaşılmasını etkileyen konular işletme dışı taraflara iletilmektedir. Gözlem Sürekli ve Ayrı Değerlendirmeler Sürekli ve ayrı değerlendirmeler yönetimin finansal raporlama üzerinde iç kontrolün varlığını ve çalıştığını belirlemesini sağlamaktadır. Raporlama Aksaklıkları İç kontrol aksaklıkları zamanında belirlenmekte ve düzeltici faaliyetleri gerçekleştirmek ile sorumlu taraflara, yönetime ve yönetim kuruluna iletilmektedir.

DURUKAN - ÖZKAN - DURAK12 II. İç Kontrol Etkinliğinin Değerlendirilmesi II. Assessment of Internal Control Effectiveness İç kontrol sistemlerinin etkinliği üzerinde etkisi olan unsurları inceleyerek çözüm arayan araştırmalar iç kontrol sisteminin aksaklıklarının belirlenmesini iç kontrol sisteminin etkinliğinin bir göstergesi olarak kabul etmektedirler. One line of research examines the factors influencing the effectiveness of internal control systems. These studies accept internal control deficiency disclosure (ICD) as a proxy for internal control effectiveness.

DURUKAN - ÖZKAN - DURAK13 SORU: İç kontrol aksaklıklarının ortaya çıkması durumunda bunların yönetim ve denetçiler tarafından nasıl belirlenir? II. İç Kontrol Etkinliğinin Değerlendirilmesi II. Assessment of Internal Control Effectiveness QUESTION: How are the internal control deficiencies detected by the management and auditors in the case of their existence?

DURUKAN - ÖZKAN - DURAK14 Güvenilirlik Modeli (Ramos, 2004) 1.Neye göre etkin? 2.Etkinlik nasıl ölçülmektedir? II. İç Kontrol Etkinliğinin Değerlendirilmesi II. Assessment of Internal Control Effectiveness Reliability Model (Ramos, 2004) 1. Effective compared to what? 2. Effective measured how?

DURUKAN - ÖZKAN - DURAK15 Şekil 4: Etkinliğin Evrimi Figure 4: Evolution of Effectiveness + Sürekli Gelişim + Bağlılık + Standartlar ve Tutarlılık + Disiplin SEVİYE 5 OPTİMAL DÜZEY SEVİYE 4 BÜTÜNLEŞİK SEVİYE 3 SİSTEMATİK SEVİYE 2 RESMİ OLMAYAN SEVİYE 1 BAŞLANGIÇ Ramos, M., How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John-Wiley and Sons Incorp, 2004, s.162.

DURUKAN - ÖZKAN - DURAK16 Tablo 2: İç Kontrol Güvenilirlik Modeli’nin Özeti Table 2: Summary of Internal Control Reliability Model Ramos, M., How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John-Wiley and Sons Incorp, 2004, p.163.

DURUKAN - ÖZKAN - DURAK17 1. Kontroller etkin sayılmaları için ne kadar güvenilir olmalıdırlar? 2. İşletme seviyesindeki kontroller etkin sayılmak için en yüksek güvenilirlik seviyesine ulaşmak zorunda mıdır? 3. Kontrollerin etkinliği üzerine son değerlendirme nasıl yapılmalıdır? II. İç Kontrol Etkinliğinin Değerlendirilmesi II. Assessment of Internal Control Effectiveness 1.How reliable do controls need to be before they are considered effective? 2.Do entity-level controls have to reach the highest level of reliability in order to be effective? 3.How should you make you make your final assessment of the effectiveness of controls?

DURUKAN - ÖZKAN - DURAK18 “Kanıt gerçeklerin toplanmasından daha fazlasıdır. Denetçinin öğrendiği herşeyin entegrasyonudur. Kanıt düzgün bir sıra ile gelmez... doğrusal değildir. Parça parça gelir ve bu nedenle yönetilmeli, sıralanmalı ve birleştirilmelidir. Bir bölümü nesnel olarak elde edilebilecek somut gerçeklerdir. Ancak çoğu görülen, duyulan ya da hissedilenlerden edindiğiniz izlenimlere dayanmaktadır. İşletme içindeki insanların tutum ve niyetlerini, örgüt kültürünü ve etik anlayışını içermektedir. Bilerek ya da bilmeden bütün bu unsurları hesaba katmaktasınız…bir sonuç çıkarırken onları kanıt olarak kullanırsınız...” Kanada Mali Müşavirler Enstitüsü (Ramos, 2004, ) II. İç Kontrol Etkinliğinin Değerlendirilmesi II. Assessment of Internal Control Effectiveness

DURUKAN - ÖZKAN - DURAK19 III. İç Kontrolün Etkinliğinin Değerlendirilmesine Yönelik Öneriler III. Suggestions for Internal Control Effectiveness Assessment   Farkındalık   Bilgi Teknolojisi ve Uzman Sistemlerin Kullanımı  Awareness  Information Technology and the Use of Expert Systems

DURUKAN - ÖZKAN - DURAK Farkındalık 3.1 Awareness İç kontrol işletme faaliyetlerine sistematik bir yaklaşım gerektirmektedir. İç kontrol sisteminin kurulumu ve denetlenmesi yönetimin sorumluluğundadır. Internal control requires a systems approach to business operations. Along these lines, establishment and supervision of internal control systems are the responsibility of management.

DURUKAN - ÖZKAN - DURAK Bilgi Teknolojileri ve Uzman Sistemler 3.1 Information Technology and Expert Systems İş dünyasındaki teknolojik gelişmeler iç kontrol etkinliğinin değerlendirilmesinde kullanılan araçların yanısıra iç kontrol sistemlerinde kullanılan araçların da bilgi teknolojilerine adapte olmaları gerekmektedir. Due to the technological advancements in the business world, the tools used in internal control systems as well as the tools used to assess their effectiveness needs to incorporate information technology.

DURUKAN - ÖZKAN - DURAK Bilgi Teknolojileri ve Uzman Sistemler 3.1 Information Technology and Expert Systems Uzman denetçilere karar vermede yardımcı araç ve bilgili bir asistan Uzmanlaşmamış yöneticilere veya tecrübesiz denetçilere eğitimde yardımcı eğitim aracı Decision aids and knowledgeable assistants to experts Tools to be used as supplemental training tools for non-experts, managers who lack the expertise to evaluate internal controls or inexperienced auditors

DURUKAN - ÖZKAN - DURAK23 IV. Sonuç IV. Conclusion İç kontrolü değerlendirmek için farklı yollar bulunmaktadır. Hangi yöntem kullanılırsa kullanılsın, sonuçların yorumlanması önemlidir. Eğitimli bir bakış açısı ile değerlendirebilmek üzere yöneticilerin işletme faaliyetlerine sistematik bir yaklaşıma olan ihtiyacın farkında olmaları ve bilgi teknolojileri ve uzman sistemleri kullanabilmeleri gerekmektedir. Yöneticiler bu gerçeğin farkında olmalı ve bilgi eksiklikleri bulunan alanlarda kendilerini eğitmelidirler. There are different ways to assess internal control. Whatever method is used, the interpretation of the results is important. To make an educated evaluation, the managers should be aware of the need of a systematic approach to business operations and be able to utilize information technology and expert systems. Managers should be aware of this fact and educate themselves in the areas they lack knowledge.