İç Kontrol Sisteminin Etkinliğinin Sağlanması II. Uluslararası Türkiye Muhasebe Denetimi Sempozyumu VIII. Türkiye Muhasebe Denetimi Sempozyumu Gökhan Alpman 26 Nisan 2007 Antalya

İç Kontrol Nedir? İç Kontrol, organizasyonların yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, aşağıdaki hedeflerin elde edilmesinde gereken makul güvenceyi sağlamak için tasarlanan bir süreçtir. Operasyonların Etkinliği ve Verimliliği Mali Raporlama Sisteminin Güvenilirliği Yasa ve Düzenlemelere Uygunluk İç Kontrol bir sistemdir ve Şirket’ in iş akışlarının içerisine yerleştirilmelidir.

İç Kontrol Neden Önemlidir? Operasyonlar Standartlaşmış süreçler yardımıyla operasyonların etkinliğini ve verimliliğini arttırır. Kontrol faaliyetleri aracılığıyla varlıkların korunmasını sağlar. Finansal Ticari kararlarda kullanılan verinin doğruluğunu arttırır. Yolsuzluğun önlenmesine ve tespitine yardımcı olur ve denetim için kanıt oluşturur. Uygunluk Periyodik kontroller sayesinde kanunlar ve düzenlemelerle ilgili uygunluğun sağlanmasına yardımcı olur.

İç Kontrol Eksikliğinin Olası Sonuçları Varlıkların Kaybı (Para-Mal) Hatalı Kararlar Suiistimal – Dolandırıcılık Gelir Kaybı Amaçlara Ulaşamama

Tarihçe 1970’lerin ortalarında SEC (ABD Sermaye Piyasası Kurulu) ve Watergate Savcısı iç kontrol konusuna dikkat çektiler Kurumlar hükümet yetkililerine yardım ve rüşvet niteliğinde yasal olmayan ödemeler yapıyorlardı. SEC ve Watergate araştırmalarının sonucu 1977 Foreign Corrupt Practices Act (FCPA – Yabancı Yolsuzluk Kanunu) olmuştur. Bu kanunun üzerinde durduğu ana tema, güçlü bir iç kontrolün yasal olmayan ödemeleri caydırıcı bir etkiye sahip olduğudur. Bu 1980’lerin başlarında kontrol çevresi ve iç kontrol süreci üzerindeki artan dikkatin temelini oluşturmuştur. Treadway Komisyonu olarak bilinen Hileli Finansal Raporlama ile ilgili Ulusal Komisyon, 1985 yılında kuruldu. Hileli finansal raporlamanın nedenlerinin belirlenmesi Tekrarların azaltılması için gerekli önerilerin yapılması

Tarihçe Treadway Komisyonu Hileli Finansal Raporlama konusunda bir rapor yayımladı. Kontrol çevrelerini, davranış ve yetki standartlarını vurgulamış ve denetim komitelerine dikkat çekmiştir. Çeşitli kavramları bütünleştirmek ve ortak referans noktaları geliştirmek amacıyla destekleyici kurumları çağırması sonucunda Committee Of Sponsoring Organizations or COSO (Destekleyici Kurumlar Komitesi) oluşmuştur. COSO iç kontrol ve etkinliğin değerlendirilmesi için yaygın olarak kabul edilmiş ve pratik kriterler geliştirmiştir. Ortak kontrol kriterleri ve model kontrol çevresi – “ Internal Kontrol – Integrated Framework (İç Kontrol – Birleştirilmiş Çerçeve) – belirlenmiş. Yönetimin rolleri ve sorumlulukları oluşturulmuş İç Kontrol konusunda izleme, değerlendirme ve raporlama araçları oluşturulmuş.

Tarihçe Federal Ceza Tüzüğü iç kontrolle ilgili uygunluk aracılığıyla kurumlardaki beyaz-yaka suçları azaltmaya yönelik hukuk sistemi tarafından kullanılır. Blue Ribbon Komisyonu Denetim komitelerinin bağımsızlığını güçlendirmek, sorumluluklarının belirlenmesi ve etkinliğinin arttırılması konularının üzerinde durdu. 1999’da denetim komiteleri için on tavsiye ve gerekliliği belirleyen bir rapor yayımladı. Kurallar SEC, NASD, NYSE, AICPA tarafından yürütülmektedir. İç Denetim için Uygunluk Çerçevesi (Competency Framework for Internal Auditing - CFIA) İç Denetçiler Enstitüsü tarafından çıkarıldı (Institute for Internal Auditors). Geleceğin iç denetim departmanının katma değer rolünü belirledi İç denetim risklerin ve kontrol stratejilerinin belirlenmesi konusunda güvence sağlayacaktır. Sarbanes-Oxley Yasası SONUÇ: Organizasyonlardaki iç kontrol ve risk yönetimi standartlarının sürekli olarak artması sağlanmıştır.

COSO nedir? COSO; iş etiği, etkili iç kontroller ve kurumsal yönetişim aracılığıyla mali raporlamaların kalitesini arttırmaya yönelik çalışmalar yapan gönüllü bir organizasyondur. COSO, 1985 yılında Hileli Finansal Raporlar ile ilgili Ulusal Komisyon’u desteklemek için kurulmuştur. Hileli Finansal Raporlama ile ilgili Ulusal Komisyon hileli finansal raporlamaya sebep olan unsurların üzerinde çalışan ve halka açık şirketlere, onların bağımsız denetçilerine, SEC’e (Sermaye piyasası kurumu), diğer düzenleyici kurumlara ve akademik kuruluşlara önerilerde bulunan bağımsız özel bir girişimdir.

İç kontrol – Birleştirilmiş Çerçeve nedir ? COSO iç kontrolü birbiriyle ilişkili beş unsurla tanımlayan bütünleştirilmiş bir çerçeve sunar : Kontrol Çevresi Risk Değerlendirmesi Kontrol Faaliyetleri Bilgi ve İletişim İzleme

Kontrol Çevresi Kontrol Çevresi organizasyonun kontrol bilincidir; çalışanların işle ilgili faaliyetlerini yürüttükleri ve kontrol zorunluluklarını karşıladıkları bir çevredir. Kontrol çevresi maddi ve maddi olmayan unsurlara sahiptir : Bütünlük ve etik değerler Uzmanlık taahhüdü Yönetişim ve organizasyon yapısı Yönetim felsefesi ve işletme stili Yetkinin ve sorumluluğun verilmesi İnsan kaynakları politikaları ve uygulamaları Etkili bir kontrol çevresi çalışanların kendi sorumluluklarını ve yetkilerini anladıkları ve etik davranmayı üstlendikleri zaman oluşabilmektedir. Yönetim, organizasyonun kontrol çevresini standartlar, çalışmalar ve etkili şekilde paylaşılmış yazılı politikalar ve prosedürler, etik değerler ve davranış standartları aracılığıyla etkiler.

Risk Değerlendirmesi Risk Değerlendirmesi, organizasyonun her seviyesine ait iş hedefleriyle ilgili risklerin belirlenmesiyle başlar. Kurum çapında Etkili bir kontrol için dönüm noktası olan kurum çapında hedefler kurumun ulaşmak istedikleri için öncülük yapar. Bütçeyle, strateji ve işle ilgili planlarla uyumlu olmalıdır. Faaliyet bazında Kurum çapında hedeflerle paralellik göstermesine rağmen kendine özgü hedefler ve teslim tarihlerine ilişkin amaçlarla direk ilgisi nedeniyle farklılaşır. Yönetimin odaklarına rehberlik eder Risk değerlendirmesi, iç ve dış faktörlerin, bunların operasyonlar, mali raporlamalar ve uygunluk üzerindeki etkilerinin değerlendirilmesini gerektirir. Risk belirleme, değerlendirme ve yönetimi ile ilgili teknikler kullanır.

Kontrol Faaliyetleri Kontrol Faaliyetleri, riskleri yöneten faaliyetlerin doğru şekilde ve zamanda işlediğinden emin olmaya yarayan politikalar ve prosedürlerdir. Kontrol faaliyetleri operasyonla içiçe olmalıdır ve riskleri kabul edilebilir düzeylerde yönetmek için kullanılmalıdır. Önleme, Tespit Etme ve Düzeltmeye odaklanır. Kontrol faaliyetlerinin çeşitleri: Onaylar, yetkiler ve doğrulamalar (örneğin: yetki dağılımı) Direk uygulamalar veya faaliyet yönetimi (örneğin: mutabakatlar) Performans göstergelerinin gözden geçirilmesi Varlıkların güvenliği (fiziksel kontrol v.b.) Yetkiler ayrılığı (muhafaza - yetki – kayıt v.b.) Bilgi teknolojileri kontrolleri (güvenlik girişleri v.b.) Disiplinle ilgili faaliyetler oluşturulmalı, tartışılmalı ve uygunsuzluklar düzenli olarak takip edilmelidir.

Bilgi ve İletişim Bilgi ve iletişim ilişkili iç ve dış bilgilerin belirlenmesi, yakalanması, işlenmesi ve organizasyon içinde zamanında iletilmesini gerektirir. Resmi ve gayri-resmi araçlar sayesinde sağlanır. Sözel iletişim (toplantılar, geribildirim v.b.) Yazılı iletişim (politikalar, prosedürler, iş tanımları v.b.) Faaliyetler aracılığıyla gösterilen (yönetimin verdiği örnekler) Bilginin kalitesinin bütünlüğü işle ilgili kararlar vermek için zorunludur. Bilginin uygun, güncel, yerinde, eksiksiz ve ulaşılabilir olması için gerekli makul güvenceyi sağlayan iç kontrol mekanizmaları olmalıdır. Yönetimin sorumlulukları: Çalışanlara görevleri ve sorumlulukları iletilmelidir. Organizasyon içindeki iletişim alt-üst ve yatay seviyelerde rahatça hareket edebilir olmalıdır Müşterilerle, tedarikçilerle ve diğer üçüncü şahıslarla iletişim açık olmalıdır

İzleme İzleme’nin amacı iç kontrolün doğru bir şekilde tasarlandığının, yönetildiğinin, etkili ve uygun olup olmadığının belirlenmesidir. İç kontrolün performansı operasyonların sürekli izlenmesi ve periyodik değerlendirmeler aracılığıyla zaman içinde takip edilmelidir. İzleme faaliyetlerinin kapsamı ve sıklığı kontrol edilen risklerin ciddiyeti ve riskleri azaltan kontrollerin önemine bağlı olarak değişir. İzleme faaliyetleri organizasyonun normal ve tekrarlanan faaliyetleriyle ilgili olarak oluşturulmalıdır. Bulunan aksaklıklar raporlama, takip etme ve düzeltici önlemlerin sorumluluğu açısından iyi belirlenmelidir.

İç Kontrol/Risk Yönetimi İlişkisi Organizasyonun hedeflerine ulaşmasını engellemeye neden olacak olayların gerçekleşme olasılığıdır. RİSK YÖNETİMİ Organizasyonun hedeflerine ulaşmasını güçleştiren engellerin belirlenmesi, önceliklendirilmesi ve üstesinden gelinmesi konusundaki yeteneklerin güvenilirliğini arttırma sürecidir. İÇ KONTROL İşle ilgili amaçlara ulaşılmasına ilişkin kabul edilebilir güvence sağlamaya yarayan süreçtir. Operasyonların etkinliği ve verimliliği Finansal raporlamanın güvenilirliği Yürürlükteki kanunlar ve tüzüklere uygunluk

Etkin İç Kontrol Sistemi 1- Proje Tasarımı ETKİN İÇ KONTROL SİSTEMİ 4. Kontrol Merkezinin Oluşturulması 2- Kontrol Ortamının Değerlendirilmesi 5. Testlerin Yapılması 3. Kapsamın Belirlenmesi 6. Gözlem

Proje Tasarımı Proje hedefleri, proje çıktıları, kapsam, maliyet ve yaklaşım, Kaynak taahhüdü, Dış kaynak gereksinimi, İlerlemenin karşılaştırılabileceği bir proje zaman planı, Proje yönetimi için kullanılacak yöntem ve işlemler.

Kontrol Ortamının Değerlendirilmesi İç kontrolün öneminin belirtilmesi ve duyurulması, Etik Davranışlar ve Uyum Programını desteklemek, Üst yönetimden başlayarak olabilecek en uygun tutumu takınmak, Eğitim programlarıyla birlikte bilinci geliştiren programlar düzenlemek, Açık iletişim için kanallar oluşturmak.

Kapsamın Belirlenmesi Şirketin ticari faaliyet hedeflerine ulaşmasını engelleyecek olan riskler, Mali tablo ve dipnotlarla ilgili riskler: Önemli iş süreç ve sistemleri, sistematik olmayan riskler ve işlemler, önemli muhasebe standartları, sektör düzenlemeleri, şirket politikaları ve kurallarıyla uyum içinde olmayan durumlar, önemli bilgi sistemleri ve teknolojileri, Üst yönetiminin kontrollerin üzerine çıkabileceği durumlar. Riskin şirket için göreceli önemi, mali tablolar için önemi ve meydana gelme olasılığı.

Kontrol Merkezinin Oluşturulması önemli kontrol hedeflerinin tanımlanması, mevcut kontrol hedefleriyle kontrol faaliyetlerinin eşleştirilmesi, gerekli kontrollerin olmadığı ve bu kontrollerin yapılmasının gerekli olduğu alanların belirlenmesi.

Süreç / İş Akışı ve Kontroller Süreçler Alt süreçler Riskler Faaliyetler Kontrol Hedefleri/ Gereklilikleri Kontrol Faaliyetleri Kontrol testleri

Örnek Süreç / İş Akışı ve Kontroller Satış Süreci Satış Sipariş Emri İptal edilen/değiştirilen satış sipariş emirlerinin işleme alınmaması Satış sipariş emirlerindeki iptal/ değişiklikler Doğru ve uygun sipariş emirleri eksiksiz işleme alınmaktadır Uygulamada olan satış sipariş emirlerine yönelik bir değişiklik/ iptal prosedürün var olması Değişiklik/iptal satış emirlerinin prosedürlere uygun bir şekilde yapıldığının örnekleme yolu ile test edilmesi

Testlerin Yapılması kontrol faaliyetlerinin düzgün bir şekilde işlevlerini yerine getirmelerinin sağlanması, iç kontrole dair eksikliklerin yapılan testlerle ortaya çıkmaları durumunda, eksiklikleri önlemek ve düzeltmek için bilgi sağlanması, şirket yönetiminin değerlendirmelerine yardımcı olmak için tutarlı testlerin yapılabilmesi için bir program geliştirilmesi.

Gözlem testlerin doğru, tam ve zamanında yapıldığına dair teyit, kontrol faaliyetlerini değerlendiren kişilerin bu değerlendirmeyi uygun bir şekilde ve zamanında yaptığına dair onay ile bu tür onayın sonuçlarının tam olarak anlaşılması, doğru ve tam bir belgelemenin yapıldığına dair onay.

Sonuç Şirketler, daha çok çaba isteyen ve daha fazla mali sorumluluk gerektiren yeni bir yatırım ve düzenleyici otorite ortamında faaliyet göstermektedirler, Şirket içindeki iç kontrol anlayışının geliştirilmesi gereklidir, burada özün önceliği ön plana çıkmalıdır, İç kontrol bir sistemdir, bir seferlik bir maliyet değildir, maliyet hesaplamaları buna göre yapılmalıdır.