RİSK DEĞERLENDİRMESİ VE İÇ KONTROL

Transkript

1 RİSK DEĞERLENDİRMESİ VE İÇ KONTROL HAZIRLAYANLAR Prof. Dr. Nuran CÖMERT Prof. Dr. Şaban UZAY Doç. Dr. Süleyman UYAR

2 1.5. RİSK DEĞERLENDİRMESİ VE İÇ KONTROL Müşteri işletmenin iç kontrol sisteminin bağımsız denetçi tarafından tanınması ve etkinliğinin değerlendirilmesinin, bağımsız denetimin amacına ulaşmasına, işletmenin risklerinin değerlendirilmesine ve risklere verilecek karşılıkların belirlenmesine yararı vardır. Konu ile ilgili UDS ler şunlardır: UDS 315, Müşteri İşletmenin ve Ortamının Tanınmasında Önemli Yanlışlık Risklerinin Saptanması ve Değerlendirilmesi 1 UDS 330, Değerlenmiş Risklere Denetçinin Karşılık Vermesi 2 UDS 610, (Gözden Geçirilmiş) İç Denetçilerin Çalışmalarından Yararlanma 3 UDS 260, Yönetişimden Sorumlu Kişilerle İletişim 4 UDS 265, İç Kontrol Eksikliklerin Üst Yönetime Bildirilmesi İç Kontrolün Tanımı ve Amaçları UDS 315, denetçinin denetimle ilgili iç kontrolü (iç kontrol sistemini) anlaması gerektiğini belirtmektedir. Denetçilerin, tüm denetim görevlerinde iç kontrolü anlamalarını gerekli görülmektedir. Denetçinin odak noktası, önemli yanlış beyanların ortaya çıkma olasılığının yüksek olduğu iç kontrol faaliyetlerinin tanımlanması ve anlaşılmasıdır. Kontrol kavramı, bağımsız denetimden farklı olarak, olaylara, faaliyetlere ve kişilere etki edebilme gücüne sahip olma anlamında kullanılmaktadır. Kontrol, yönetsel işin bir parçası olup, kontrolü denetim kavramından ayıran başlıca farklılıklar şunlardır: Kontrol denetimden önce gelen daha geniş kapsamlı olarak düşünülmesi gereken bir husustur. Kontrol devamlı bir faaliyettir, denetim belirlenen periyotta yapılır. Kontrol eş anlı olarak yürütülür, denetim geçmişe dönüktür. Kontrolde mekanik araçlar kullanılabilir, denetim insan tarafından gerçekleştirilir. Kontrolde işletmeden bağımsız olmak gerekmez, denetimde bağımsızlık şarttır. İç kontrol ile ilgili açıklamalar İç Kontrol Bütünleşik Çerçeve COSO 6 raporunda yer almaktadır. İç kontrol işletmenin yönetim kurulu, yöneticileri ve diğer personeli tarafından 1 ISA 315, Identifying and Assessing The Risks of Materail Misstatement Through Understanding The Entitiy and Its Environment 2 ISA 330, The Auditor s Responses to Assessed Risks. 3 ISA 610 (Revised), Using The Work of Internal Auditors 4 ISA 260, Communication with Those Charged with Governance 5 ISA 265, Communicating Deficiencies in Internal Control to Those Charged with Governance and Management 6 İç kontrolün bugün evrensel düzeyde kabul gören tanımı ABD de ilk kez 1987 yılından hileli finansal raporlamaya karsı önlem almak amacıyla kurulmuş bir komite olan COSO Komite(Committee Of Sponsoring Organizations) tarafından yapılmıştır. İlk kez 1985 yılında Hileli Finansal Raporlama Ulusal Komisyonuna destek sağlamak amacıyla kurulmuş COSO (Committee Of Sponsoring Organizations) aşağıda belirtilen beş mesleki sivil toplum örgütü (Bu beş mesleki örgüt şunlardır: AICPA: Amerikan Yetki Belgeli Kamu 1

3 etkilenen aşağıda sınıflandırılmış olarak belirtilen işletme amaçlarını başarmak üzere makul bir güvence sağlamak için tasarlanan bir süreçtir; Faaliyetlerin etkililiği ve verimliliği, Finansal raporlamanın güvenilirliği ve İlgili yasalara ve düzenlemelere uygunluk Maliye Bakanlığı tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu na dayalı olarak yayımlamış olduğu İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslara İlişkin Yönetmelik te iç kontrolü aşağıdaki gibi tanımlamıştır: İç kontrol, İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem, süreç ile iç denetimi kapsayan malî ve diğer kontroller bütünüdür 7. İç kontrole ilişkin yukarıda verilen tanımları özetlersek; İç kontrol bir süreçtir (Kendi içinde bir sonu bulunmamaktadır) İç kontrol insanlardan etkilenir (İç kontrol sadece dokuman veya form olmayıp, örgütte her düzeydeki çalışandan etkilenir) İç kontrol, işletmenin yönetimine makul güvence verir. İç kontrol ayrı fakat birbirleriyle örtüşen gruplarda hedeflerin başarılmasıyla ilgilenir. İç kontrol, bağımsız denetimde olduğu gibi makul güvence sunar. Makul güvencenin başlıca nedenleri: a) Karar vermede insan yargısı kullanılması hataya yol açabilir, yanlışlıklar meydana gelebilir. b) İki veya daha çok kişi birleşerek kontrolleri engelleyebilir. c) Yönetim kontrolleri dikkate almayabilir. d) İç kontroller oluşturulurken maliyet-fayda yaklaşımına dikkat edilir. İç kontrol sistemini oluşturmak ve etkin bir şekilde sürdürmek yönetimin işi gibi gözükmekle birlikte işletmede çalışan herkesi ortak etmek gerekir. Bir işletmenin kontrolsüz Muhasebecileri Örgütü, AAA: Amerikan Muhasebe Derneği, FEI: Finansal Yöneticiler Enstitüsü, IIA: Uluslararası İç Denetçiler Enstitüsü, IMA: Yönetim Muhasebecileri Enstitüsü) tarafından desteklenmekte olup komite, bu kurumlardan tamamıyla bağımsız endüstriden, kamu muhasebesinden, yatırım firmalarından ve New York Borsasından gelen temsilcilerinden oluşmaktadır. Bugünkü misyonunu işletmelerde kurumsal yönetimi ve örgütsel basariyi geliştirmek ve hileyi azaltmak amacına yönelik olarak işletmelere bu konularda rehberlik edecek kapsamlı çerçeveler sağlayan düşünce lideri olmak şeklinde açıklamıştır. COSO, 1992 yılında İç Kontrol Bütünleşik Çerçeve Raporu nu (Internal Control-Integrated Framework, Executive Summarry) yayınlamış, daha sonra 2011 yılında söz konusu raporu gözden geçirerek yayınlamıştır. Fazla bilgi için bakınız; için internet erişimi ; 7 İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslar Yönetmeliği, Resmi Gazete Tarih / No: / 26040, m.3. 2

4 veya zayıf bir İKS ye sahip olmasının muhtemel sonuçları; müşteri memnuniyetsizliğinden tutun iflas ya da işlerin durma noktasına gelmesine, itibar kaybına kadar farklı sonuçlar doğurabilir. COSO raporu dışında iç kontrolle ilgili bir başka önemli çerçeve olan Turnbull Raporuna (2006) göre bir işletmenin İKS si aşağıdaki hususları kapsayacak şekilde politikalar, süreçler ve davranışlar içeriyorsa güçlüdür. Bunlar: İşletmenin hedeflerine ulaşması için önemli işletme, faaliyet, finansal, uygunluk ve diğer risklere uygun karşılık vermeye imkan sağlaması, Kaliteli iç ve dış raporlamaya yardımcı olması, İşletmede yönetimin direktiflerine ve uyulması gereken yasa ve kurallara uygunluğa yardımcı olmasıdır. İç kontrolün amaçlarından biri, işletmede güvenilir finansal raporların oluşturulmasıdır. Güvenilir finansal raporlamadan kastedilen; finansal tabloların önemlilik kavramı gözetilerek genel kabul görmüş muhasebe prensiplerine ve dış amaçlar için oluşturulan yasal düzenlemelere uygun hazırlanmasıdır. Doğru sunuşu destekleyen temel finansal tablo iddiaları; a) var olma veya meydana gelme, b) tamlık, c) haklar ve yükümlülükler, d) değerleme ve dağıtım, e) sunuş ve açıklamadır. İşletmenin söz konusu iddialara ilişkin makul bir güvence sağlaması için örgüt düzeyinde ve faaliyet düzeyinde spesifik kontroller oluşturması gerekmektedir (IIA, 2009:6-27) Yönetimin ve Denetçinin İç Kontrollere İlişkin Sorumluluğu Bir işletmede iç kontroller çok değişik kesimlerden ve olaylardan etkilenir. Aşağıdaki şekilde bu husus gösterilmektedir. Ancak konumuzla ilgili olarak iç kontrolle yakından ilgili iki kesim bulunmaktadır. Bunlar; müşteri işletme yönetimi ve bağımsız denetçidir. Şekil: İç Kontrolleri Etkileyen Unsurlar (Kaynak: Deloitte Academy, 2010:10) 3

5 İşletme Yönetimi - İç Kontrol İlişkisi İç kontrol ile işletme yönetiminin başlıca görevlerinden biri olan risk yönetimi arasında yakın bir ilişki bulunmaktadır. İşletmeler, faaliyet alanlarıyla ilgili çok sayıda iç ve dış risklerle karşı karşıyadır. Riskler çeşitli açılardan sınıflandırılabilmektedir. Bunlar: finansal risk, finansal olmayan risk, stratejik risk, operasyonel risk, itibar riski, yasal risk, bilgi riski 8 gibi. İşletmenin faaliyet alanına, hacmine, uluslararası açıklık derecesine, faaliyetlerinin karmaşıklığı gibi bir çok özellikli duruma göre yeterli bir risk kültürünü ve risklerini etkin şekilde yönetecek düzenlemeleri geliştirmeleri gerekir. Bu konuda asıl sorumluluk yönetim kuruluna aittir. İşletmelerin karşılaşacağı bazı riskler (çevre, insan hakları vb.) toplumu da yakından ilgilendirir. Bu tür riskler için, yetkili otoritelerin gözetimi ve sektöre özgü kurallar bulunmaktadır. İşletmelerin karşılaşacakları risklerin farklılığından dolayı, ortak bir risk yönetim modeli geliştirmek imkansızdır. Ancak yönetim kurulu, risk yönetim süreçlerinin uygun bir şekilde gözetimini yapmalıdır. Yönetim kurulu, işletme risk yönetim düzenlemelerini işletmenin risk profiline uygun ve etkin bir şekilde gerçekleştirmelidir 9. Bir işletmenin risk profili yönetim kurulu tarafından tespit edildikten sonra uygulama yönetimin sorumluluğundadır. Yönetimin bu işlevi yerine getirmesinin bir unsuru da süreçlere ilişkin operasyonel riskleri asgaride tutmaktır. İç kontrolün en önemli fonksiyonlarından biri budur. İşletmede dikkat edilmesi gereken konulardan biri iş yapma ile yapılan işin kontrolü arasında sağlıklı bir dengeyi kurmak olmalıdır 10. Yönetsel bir işlev olarak bir iş, bir faaliyet ya da bir örgütsel birimde planlama yapılırken, o işi yapacak olan örgütsel unsurlar düzenlenirken, iş yürütülürken ve bütün örgütsel unsurlar arasında eşgüdüm sağlanırken amaca uygun kontroller de tasarlanır ve gerçekleştirilir. İşletmede öyle bir risk yönetim ve kontrol yapısı oluşturulmalıdır ki; önemsiz riskler gereğinden fazla kaynak ayrılmamalı ve süreçlerde gereğinden fazla kontrol gerçekleştirip maliyetleri artırarak verimliliğin azalmasına yol açılmamalıdır. İşletmede aşırı risk almak kadar, aşırı iç kontrollerin bulunması sakıncalıdır. Aşağıdaki şekilde risk iç kontrol dengesi açıklanmaya çalışılmaktadır. 8 Bilgi riski; işletmelerin sahip olduğu verilerin, bilginin, istihbaratın iş süreçleriyle ilgili, güvenilir ve zamanlı olup olmaması ile ilişkili risk olarak tanımlanabilir. İşletmenin bilişim sistemlerinin güvenli olmaması da bilgi riskidir. 9 EU, Green Paper, The EU Corporate Governance Framework, Brussels, , s Ercan Kumcu, Bankalarda İç Kontrol İşlevi ve Üst Yönetim, TİDE Kongresi, 4

6 Şekil : Risk - Kontrol Dengesi (Kaynak: IIA, 2009:6-20). Günümüzde geçerli olan risk yönetim anlayışına Kurumsal Risk Yönetimi (KRY) adı verilmektedir. KRY; örgütlerin karşı karşıya oldukları risklerin geleneksel risk yönteminde olduğu gibi tek tek değil, bir portföy içerisinde ele alan bütüncül bir risk yönetimi yaklaşımı olup, risk felsefesinin örgütün tüm kademelerinde benimsetilmesini, risklerden tüm çalışanların sorumlu olmasını, risklerin azaltılmasını değil optimize edilmesini içeren bir sistemdir 11. Türkiye de ilk defa bir kanuna (Yeni TTK sayılı Kanun) risk yönetimi hakkında bir hüküm girmiştir 12. Yeni TTK da, sermaye piyasası mevzuatına benzer şekilde; muhasebe, finans denetimi 13 ve şirketin yönetiminin gerektirdiği ölçüde, finansal planlama için gerekli düzenin kurulması yönetim kurulunun görevleri arasında sayılmıştır (Md.375). Yönetim kurulu, işlerin gidişini izlemek, kendisine sunulacak konularda rapor hazırlamak, kararlarını uygulatmak veya iç denetim amacıyla içlerinde yönetim kurulu üyelerinin de bulunabileceği komiteler ve komisyonlar kurabilir (Md. 366/2). 11 Yapılan araştırmaların sonuçlarına göre işletmeleri risk yönetimine iten faktörler arasında öne çıkanlar; yasal düzenlemeler, düzenleyici kurumlar, yönetim kurulu/üst yönetim ve rekabetçi iş çevresi olduğu ortaya çıkmıştır (Çıtak, 2009:12). 12 TÜSİAD, Yönetim Kurulları İçin Kurumsal Yönetim Prensipleri, Seminer Deşifre Metni, 2 Temmuz Yeni TTK nın hazırlanmasında ilgili komisyonun başkanlığını yürüten Prof. Dr. Ünal Tekinalp; finans denetimi teriminin kaynak İsviçre Borçlar Kanunu nun gerekçesinde açıkca bir iç kontrol mekanizması olarak adlandırıldığı, söz konusu terimin bir yandan finans yönetimine ilişkin görevlerin ve yetkilerin denetimini ifade ederken diğer taraftan da finans kavramı bağlamında şirketin iç denetimine vurgu yaptığını belirtmiştir (PWC, 2011:39). 5

7 Doğal Riskler Bağımsız Denetçi İç Kontrol İlişkisi Denetimin planlanması aşamasında müşteri işletmenin etkin bir iç kontrol yapısına sahip bulunması veya bulunmaması planlanan kanıt sayısını etkileyecektir. Denetim risk modelinde yer alan KR düzeyini değerlemek için denetçi, müşteri işletmenin iç kontrollerini tanıma yanında etkinliğini de saptayacaktır. Söz konusu çalışmalar, denetçinin planlayacağı destekleyici testlerin kapsamını belirlerken kullanılacak bilgi kaynağı olacaktır. Bağımsız denetçi işletmeyi tanırken yapacağı değerlendirmelerde işletmenin aşağıdaki şekilde özetlenen iç kontrollerini tanıması ve uygulanışını değerlendirmesi gerekecektir. Spesifik Yaygın Gelir Süreci İşletmenin Hedefleri Finansal Tablolar & İddialar (Beyanlar) Kur. Yönetim Liderlik/Yönetim Bilgi Sistemleri Satınalma Süreci Bordrolama Süreci Diğer Süreçler Yaygın (İşletme Düzeyi) Spesifik Kontroller İşlemler Şekil: Risk Değerlendirmeleri ve İç Kontroller (Kaynak: Mazars, 2012:IFAC 2011) Bağımsız denetçi bir işletmenin üst yönetiminin, işletmenin dış finansal raporlama ve diğer hedeflerini başarmasına katkı sağlayabilecek objektif risk yönetim perspektifine sahip olup olmadığını değerleyecektir. Denetçi işletmenin finansal tablolarındaki özellikle hata ve hileden kaynaklanan önemli yanlışlıkların bulunması riskini değerlendirirken işletmenin iç kontrollerinin yapısı ve işleyişi ile ilgili olarak edindiği bilgilerden yararlanır. Denetçi işletmenin finansal bilgilerinin güvenilirlik amacının başarılmasına yönelik bir güvence ve danışmanlık hizmeti yapmakla birlikte sadece finansal kontrollerin etkililiği ile ilgilenmez. Diğer amaçların başarılmasına yönelik kontroller de finansal raporlamayı önemli ölçüde etkiler. Dolayısıyla denetçi, işletmenin tüm kontrollerinin etkililiğini değerlendirerek kontrollerin etkisizliği ya da eksikliğinden kaynaklanabilecek önemli yanlışlık riskini tespit etmeye çalışır. 6

8 Bazı kontrol tipleri normalde ilave denetim değerlendirmesinin kapsamının dışında bulunabilir. Bunlar; - Finansal raporlara temel teşkil etmeyen kontrollerdir ( örneğin, faaliyetlerle ilgili veya düzenlemelere uyum konusuna yönelik kontroller kontroller gibi), - Finansal tablolarda bir yanlış beyanla sonuçlanma olasılığı az olan kontrollerdir. Bağımsız denetçinin asıl amacı, finansal raporlamayla ilgili iç kontroller olmakla birlikte diğer süreçlerle ilgili olan ve etkin bir şekilde uygulanan kontrollerin finansal raporlara etkisi olacağı açıktır. Örneğin, işletmede analitik inceleme yaparken çalışan sayısı, üretim miktarları, pazarlama istatistikleri gibi finansal olmayan verilerin kullanılması, iç amaçlar (bütçe, performans verileri gibi) için finansal veriler geliştirilmesi gibi. İşletmede düzenlenen finansal raporlar iş süreçlerinin sonucunda ulaşılan bir çıktıdır. İş süreçleri etkin bir şeklide tasarlanmış, kontroller işleri aksatmayacak şeklide monte edilmiş ve uygulanıyorsa, sonuçta hazırlanan finansal raporlarda gerçeği yansıtacaktır. Varlıkları korumaya yardımcı olacak kontrollerin dışında etkinlik, verimlilik sağlamaya yönelik kontroller, denetçinin finansal tabloların denetimiyle ilgili olmadığı için dikkate alınmaz. Denetçi ayrıca işletmenin kontrol yapısının finansal tablolardaki kalemlere, raporların sunum ve açıklanmasına olan etkisini de öğrenmeye çalışır. Denetçinin özellikle finansal raporlamaya yönelik hileleri ortaya çıkarma sorumluluğu da bulunmaktadır. Etkin iç kontroller hilelerin engellenmesine ve ortaya çıkartılmasına yardımcı olur. ABD de finansal skandallara tepki yasası olarak yayınlanan SOA (Sarbanes Oxley Act) ile birlikte Sermaye Piyasası Kuruluna kayıtlı şirketlerde üst yönetimin (özelikle genel müdür ve mali işlerden sorumlu müdür) Finansal Raporlama ile ilgili İç Kontrolün Güvenilirliği Raporu (Internal Control Over Financial Reporting ICFR) düzenlemesi, yıllık faaliyet raporunun ve finansal tabloların eki olarak kamuoyuna açıklanması zorunluluğu getirilmiştir. Ayrıca söz konusu ICFR raporunun bağımsız denetime tabi olması da şarttır İç Kontrol Yaklaşımları ve İç Kontrol Bileşenleri ISA 315 de 15 iç kontrollerin unsurları COSO raporuna paralel olarak sıralanmıştır. ABD de en yaygın şekilde kullanılan ve dünyada kullanılan diğer iç kontrol modellerineörneğin İngiltere de Turn Bull Raporunda öngörülen kontrol modeli, Kanada da CoCo diye bilinen model, Japonya da JSOX gibi - rehberlik eden iç kontrol modeli COSO kontrol modelidir. Diğer kontrol modelleri ülkelerin kendi koşullarını dikkate alarak geliştirdikleri yaklaşımlar olmakla birlikte büyük ölçüde COSO modeline benzemektedir. Bir işletmenin iç kontrol bileşenleri (yapısı), Aşağıdaki şekilde gösterildiği gibi COSO Piramidi olarak 14 ABD de uygulanan finansal raporlama ile ilgili iç kontrolün güvenilirliği raporu hakkında geniş bilgi için bakınız; Şaban Uzay ve Seçkin Gönen, Yeni TTK ile Getirilen Yıllık Faaliyet Raporu Denetiminin ICFR (Finansal Raporlama ile İlgili Kontrollerin) Denetimi ile Benzerlikleri, I. Türk Coğrafyasında Uluslararası Finansal Raporlama Standartları Sempozyumu, Ekim 2011, Sinop, Bildiriler Kitabı, ss ISA 315, Identifying and Assessing The Risks of Materail Misstatement Through Understanding The Entitiy and Its Environment. 7

9 adlandırılır ve bir biriyle ilişkili şu beş bileşenden oluşur: Kontrol ortamı Müşteri işletmenin risk değerleme süreci (Risk değerlendirme) Finansal raporlamayla ilgili işletme süreçlerini içeren bilgi sistemi ve iletişim Kontrol faaliyetleri (Eylemleri) Kontrolleri izlemek (Gözlemleme) dir. Şekil: İç Kontrol Piramidi İç kontrolün beş bileşeni yönetimin işletmeyi çalıştırma/işletme tarzından çıkarılır. Şekil 4 de görüleceği üzere kontrol ortamı diğer unsurlar için temel oluşturur. İşletmenin başarmak istediği üç temel amaç ile bu amaçlara erişmek için gerekli olanları temsil eden beş bileşen arasında doğrudan bir ilişki vardır. Bu ilişki üç boyutlu bir matris (COSO Kontrol Küpü) ile Şekil 5 deki gibi gösterilebilir. Matriste kontrolün beş bileşeni satırlarda, örgütün amaçları ise sütunlarda yer almaktadır. İşletmenin amaçları ile beş bileşen arasında doğrudan bir ilişki vardır. İç kontrolün ilgili olduğu işletme birimleri ve faaliyetler ise matrisin üçüncü boyutunda gösterilmiştir. Aşağıdaki şekilde görüleceği üzere iç kontrolün her bir bileşen satırı bütün amaçlarla kesişmektedir. (A) faaliyet birimini işletmenin satış birimlerinden biri olarak varsayarsak bu satış noktasında işletmenin yürüttüğü faaliyetlerin etkili ve verimli olması, bu birimde işlerin yasalara ve diğer düzenlemelere uygun şekilde yürütülmesi ve bu birimde üretilen bilgilerin güvenilir olması için risk temelli iç kontroller oluşturmak gerekir. Bu kontrollerin etkin bir şekilde işletilmesinde işletmede yukarıdan aşağıya ve aşağıdan yukarıya doğru etkili bir bilgi akışı ve iletişimin olması ve kontrollerin değişen koşullara sürekli uyarlanması gerekir. 8

10 Şekil: Kontrol Küpü Kontrol modelinin bileşenleri aşağıda başlıklar halinde özlü bir şekilde açıklanmıştır. (1) Kontrol Ortamı: Kontroller işletmenin içinde bulunduğu ortamdan/çevreden etkilenir. İç kontrol ortamı denilince çalışanların faaliyetlerini ve sorumluluklarını yerine getirebilecekleri ortam anlaşılır. Bu ortam kontrolün diğer unsurları için de bir temel teşkil eder. Denetçi kontrol ortamını tanırken, yönetimin kontrollere verdiği önemi, tutumu, bu konudaki farkındalığını öğrenmeye çalışır. Örneğin işletmede etkin bir bütçeleme sistemi bulunması ve uygulanması denetçi açısından önemli bir göstergedir. Kontrol ortamı kendisini belirleyen aşağıdaki unsurlardan oluşur. Denetçinin bu unsurları kavraması gerekir. Bunlar: a) Dürüstlük ve etik değerler b) Çalışanların yetkinliği c) Yönetim kurulu ve denetim komitesi d) Yönetimin felsefesi ve çalışma tarzı e) Örgütsel yapı f) Yetki ve sorumlukların dağılımı g) İnsan kaynakları politikaları ve yönetimi h) İç denetim i) Bilgi teknolojisi kullanımı Dürüstlük ve Etik Değerler: Bir işletmede iç kontrollerin tasarımında, yürütülmesinde ve gözlemlenmesinde dürüstlük ve etik değerler çok önemlidir. Dürüstlük ve etik değerler açıkça tanımlanmış ya da tanımlanmamış olsun her çalışan, her birim ve her faaliyet için geçerlidir. Pek çok işletme dürüstlük ve etik değerlerle ilgili yazılı davranış kurallarına sahiptir. Ancak yazılı davranış kurallarının varlığı, çalışanların anladığının kanıtı olsa bile uygulanacağını garanti etmez. Bilerek ya da bilmeyerek bazı işletmeler yüksek performansa bağlı ödüllendirme, kardan prim verme, kısa sürede gerçekçi olmayan performans hedefleri gibi uygulamalarla çalışanlarına baskı ortamı yaratarak onları hile yapmaya itmektedir. İşletmede 9

11 davranış kurallarını ihlal edenlere verilen cezalar, şüpheli halleri raporlayanları cesaretlendirecek mekanizmalar, ihlalleri raporlamada başarısız olan çalışanların eğitimi gibi konular da kontrol ortamını etkileyen önemli hususlardır. Yetkinlik: Kontrol ortamının bir diğer unsuru çalışanların görevlerini yapabilme yetenekleridir. Görev amacına uygun, o işi verimli bir şekilde başaracak olan kişilerin işe alınması kontrol ortamını etkiler. İnsanlar görev tanımları kapsamındaki işlemleri yapabilecek yetkinlikte olmalıdır. Bir işletmede ne gibi görevlerin yapılacağı, kurumun amaçları ve bu amaçları gerçekleştirmek amacıyla yönetim tarafından belirlenen stratejiler, planlar ve yönetsel kararlarla belirlenir. Yönetim Kurulu ve Denetim Komitesinin Oluşumu: Bir işletmede kontrol ortamı ve üst yönetimin tavrı o işletmenin yönetim kurulu ve denetim komitesi tarafından önemli şekilde etkilenmektedir. Yönetim kurulu ve denetim komitesi üyelerinin icradan bağımsız olması, üyelerin deneyimleri ve kişilikleri kontrol ortamını etkileyen etkenlerdir. Bir işletmenin yönetim kurulunda, yönetimin faaliyetlerini incelemek ve sorgulamaya hazır olmak, alternatif görüşler sunmak, belirgin yanlışlar karşısında hareket etme cesareti gösterebilmek için icra faaliyetlerden bağımsız yöneticiler bulunması gereklidir. İyi yönetişim ilkeleri diye tanımladığımız kurumsal yönetim ilkeleri yönetim kurulu içinde finansal raporlama, iç kontrol, risk yönetimi ve denetim konularında ihtisas sahibi bağımsız yönetim kurulu üyelerinden oluşan denetim komitesi bulunmasını öngörmektedir. Ülkemizde bankalar ve halka açık şirketlerde denetim komitesi bulunması yasa gereğidir. Yönetimin Felsefesi ve Çalışma Tarzı: Yönetim felsefesi ve çalışma tarzı, işletmenin risk kabulünü ve yönetim şeklini etkiler. Belirli riskler almada başarılı olan bir işletmenin iç kontrole bakış açısı, tehlikeli işlere atılarak ekonomik zorluklarla karşılaşan bir işletmeden farklı olabilir. Özellikle yöneticilerin risk iştahı ve yönetim biçimi, finansal raporlamaya karşı tutumu, mevcut seçenekli muhasebe yöntemlerinden yalnızca kendi lehine olanlarını seçmesi, dürüstlüğü, geliştirilen muhasebe tahminleri konusundaki tutuculuğu, veri işlemeye karşı tutumu, muhasebe ve personel konularındaki tavrı kontrol ortamını önemli ölçüde etkiler. Yönetimin çalışma tarzı ve felsefesini yansıtan bütün bu uygulamalara denetçinin dikkat etmesi gerekir. Örneğin işletmede konulan başarı hedefleri ne kadar gerçekçidir? İşletmede bir ya da bir kaç kişinin mi sözü geçiyor? Raporlama ilişkisi fazla bürokratik mi? gibi sorulara alacağı yanıtlar, denetçiye işletmenin yöneticilerinin kontrollere karşı tutumları hakkında önemli bilgi sağlayacaktır. Denetçi, ayrıca yönetimin performans incelemeleri (Örneğin; yönetimin alacakların yaşlandırılması, bütçeler, geçmiş dönemlerle karşılaştırmalar vb.) çalışmalarını da analiz etmelidir. Örgütsel Yapı: İşletmenin örgütsel yapısı, amaçların başarılması için gerçekleştirilen faaliyetlerin kontrol edilmesini ve gözlemlenmesini sağlar. Uygun bir örgütsel yapı oluşturmanın önemli unsurlarını, amaçlara uygun işlevlerin belirlenmesi, yetki ve sorumluluk ilişkileri ile etkili bir raporlama sisteminin kurulması oluşturur. İşletmenin örgütsel yapısı, 10

12 amaçların başarılması için gerçekleştirilen faaliyetlerin (sipariş, satın alma, üretim, pazarlama ve satış, insan kaynakları, teknolojik destek birimlerinin faaliyetleri gibi) kontrol edilmesini ve gözlemlenmesini sağlar (Deloitte Academy, 2010:38). Yetki ve Sorumlulukların Dağıtılması: İşletme faaliyetlerinin etkili ve verimli bir şekilde yürütülmesinde yetki ve sorumlulukların uygun şekilde dağıtılması, raporlama ilişkilerini de kapsayacak şekilde yetkilendirmeyle ilgili protokollerin yapılması önemli bir rol oynar. Kontrol ortamı insanların hesap verme sorumluluklarını ne derece bildiklerinden büyük ölçüde etkilenir. Özellikle yazılı görev tanımları denetçinin bu konuda fikir sahibi olmasına yarayan en önemli iç kontrol araçlarıdır. İnsan Kaynakları Politikaları ve Uygulamaları: İşe alma, eğitim, değerlendirme, terfi ettirme ücret ve tazminat gibi insan kaynakları politika ve uygulamaları şirketin dürüst, yetenekli ve güvenilir insanlarla çalışma yaklaşımları konusunda önemli bilgiler verir. En iyi şekilde tasarlanmış kontrollerin, dürüst olmayan ya da yeteneksiz personel tarafından uygulanması bu kontrolleri tamamen etkisiz kılabilir. Dürüst ve yetenekli dahi olsa dikkatsiz, yorgun, ağır koşullarda düşük ücretle çalıştırılan, işinden memnun olmayan, sadakat duygusu düşük bir personelin de kontrolleri etkisiz kılma ihtimali her zaman yüksektir. İç Denetim: İşletmede iç denetim fonksiyonunun / biriminin oluşturulması iç kontrol ortamını güçlendirir. Ancak iç denetimin etkin olması için iç denetçilerin yeterli niteliklere, görevini bağımsız şekilde yapabilecek dürüstlüğe ve yeterli kaynaklara sahip olması ile yönetim kurulu, denetim komitesi ve bağımsız denetçilere erişiminin engellenmemesi gerekir. Bilgi Teknolojisi (BT): İşletmede kullanılan bilgi teknolojisi, işletmenin hacmi ve karmaşıklığına uygun olmalıdır. Kontrol eylemlerinde açıklanacağı gibi BT ile ilgili genel kontroller ve uygulama kontrolleri gerçekleştirilmelidir. Denetçi müşteri işletmenin iç kontrol ortamını tanırken, aşağıdaki tablodaki gibi bu amaçla hazırlanmış anket formlarından yararlanabilir. Tablo: Kontrol Ortamını Anlamaya Yönelik (Kısmi) Anket (Soru) Formu İşletmenin Adı: Mars Ltd. Şti. Hazırlayan: E.K. Tarih: Sorular / Hayır Yorumlar Bilanço Tarihi: Kontrol Eden: Ş.U. Tarih: Dürüstlük ve etik değerler: 1. Yönetim dürüstlük etik konulara hassasiyetini güçlü bir şekilde hem sözleriyle hem de icraatlarıyla gösteriyor mu? 2. Uygun iletişim, saptanmış yürütme kuralları, çıkar çatışması, kabul edilebilir işletme uygulamaları hakkında uygun politikalar saptanmış mı? Yönetim örnek teşkil ettiğinin farkında. Ancak işletmenin yazılı etik kodları bulunmamakta. Çalışanların beklentilerini de içeren bir politika el kitabı bütün çalışanlara dağıtılmıştır. 11

13 3. Etik olmayan davranışları yol açacak teşvikler veya baskılar azaltılmış mı? Kar paylaşım planı denetim komitesi tarafından izlenmektedir. Yönetim kurulu ve denetim komitesi: 1. Yönetim kurulu düzenli olarak toplanmakta mıdır? Yönetim kurulu 9 kişiden oluşmakta olup, aralarında 3 kişi denetim komitesinde hizmet vermektedir. Dışarından 3 üyenin daha atanması düşünülmektedir. 2.Kurul üyeleri yeterli bilgi, tecrübe ve etkin tarzda hizmet verecek zamana sahip midir? 3. Denetim komitesinde dışarıdan (bağımsız) yöneticiler Hayır yer almakta mıdır? Yönetim felsefesi ve faaliyet tarzı: 1. İşletme risklerine önem veriliyor mu? Riskler yeterince izleniyor mu? 2.Yönetimin muhasebe tahminleri ve muhasebe prensipleri seçimi, objektif ve doğru raporlamaya yönelik mi? 3. Finansal tablolarda önemli yanlışlıklara rastlanması durumunda, yönetim bunları düzeltmeye istekli mi? İnsan kaynakları politikalar ve uygulamalar: 1.Mevcut insan kaynakları politika ve prosedürleri, etkin iç kontrol sistemine de destek olacak güvenilir ve yeterli istihdama yardımcı oluyor mu? 2.Personel işi ile ilgili olarak yapacağı görevleri ve prosedürleri biliyor mu? 3. Anahtar konumdaki personel devir hızı yeterli düzeyde mi? Kaynak: Cosserat ve Rodda, 2009:235. Yönetim işletme riskleri ile yakından ilgileniyor. Yönetim önceki denetimlerde teklif edilen her türlü düzeltme kaydını gerçekleştirmiştir. Bütün iş konumları için resmi iş tanımları yapılmıştır. Personel devir hızı normal düzeyde. (2) Risk Değerlendirme: Denetçi ne kadar kanıt toplayacağına karar vermek için işletmenin risklerini değerlendirir. Eğer denetçi işletme yönetiminin, riskleri etkili bir şekilde değerlendirerek bu riskleri karşılayan etkili kontroller oluşturduğu kanaatine varırsa daha az kanıt toplayacaktır. Denetçi işletmenin risk değerlendirme süreci hakkında yöneticilerle görüşerek ve iç kontrol soru formları kullanarak bilgi sahibi olabilir. COSO kontrol modeline göre yönetimin risk değerlendirme süreci; amaçların belirlenmesi bu amaçların başarılmasının önünde ne gibi tehlikeler var, bu tehlikelerin tanılanması ve tanısı konulan tehlikelerin (risklerin) çözümlenerek etkisinin olabilecek en düşük seviyeye indirilmesini sağlayacak kontrollerin belirlenmesinden oluşan üç aşamalı bir süreçtir. Bu süreç Şekil 6 da gösterilmiştir. Yönetim tanımlanmış riskleri çözümlerken riskin önemini, gerçekleşme olasılığını ve etkisini tespit eder ve bu etkiyi (şiddetini) dikkate alarak riski kabul edilebilir bir seviyede tutabilecek kontrol eylemleri oluşturur. Riskleri değerlendirmede Aşağıdaki şekilde gösterildiği gibi riskin meydana gelme olasılığı ve etkisi birlikte dikkate alınarak anlamlı riskler saptanır ve yönetim anlamlı risklere karşı kontrol geliştirmelidir. 12

14 Riskin Hasar Derecesi Şekil: İç Kontrol Modelinde Risk Değerlendirme Süreci Açık hedeflerin saptanması, riskleri tanımak, değerlendirmek ve riske karşılık vermek için şarttır. Hedefler setini oluşturmak oldukça biçimsel yapılabildiği gibi informel de olabilir. Hedefler, şirketin güçlü ve zayıf yönleri, riskleri ve fırsatları birlikte değerlendirerek, bir örgüt stratejisi bağlamında oluşturulmalıdır. Bir değerlendirme sürecinde her bir ticari faaliyet hedefi, en üst düzeyde (örneğin; kar eden bir işletme yönetmek ) en alt düzeye kadar (örneğin; nakdi muhafaza etmek ) belgelenir ve daha sonra hedefe ulaşmayı tehlikeye düşüren ya da engelleyene her bir risk tanımlanarak, önem sırasına göre düzenlenir (Alpman, 2007). Yüksek Etki Düşük Olasılık Yüksek Etki Yüksek Olasılık Düşük Etki Düşük Olasılık Düşük Etki Yüksek Olasılık Riskin Meydana Gelme Olasılığı Ta Şekil: Anlamlı Risklerin Saptanması (Risklerin Önceliklendirilmesi) (Kaynak: TÜSİAD, 2008:58) İç kontroller işletmede belirlenen hedeflere ulaşmada riskleri azaltmaya yardımcı olur, ancak risklerin tamamını ortadan kaldırmaz (kalıntı risk). Bağımsız denetçi, yönetimin özellikle finansal raporlamaya yönelik riskleri nasıl değerlediğine ilişkin olarak, anket yöntemi ve görüşmeler yoluyla bilgi toplar. Güvenilir finansal tablolar hem yatırımcıları çekmek ve kredi bulabilmek için hem de belli sözleşmeler yapılması veya belli tedarikçilerle çalışılması 13

15 açısından çok önemlidir. İşletmenin pay ve menfaat sahipleri genelde yönetimin başarısını değerlendirmek ve diğer firmalar ve diğer yatırımlarla karşılaştırmak için güvenilir finansal tablolar isterler. Güvenilir finansal tablo ise ilgili finansal çerçeveye uygun düzenlenmiş ve sunulmuş finansal raporlama anlamına gelir. Uygun sunum şu şekilde tanımlanır: Seçilen ve uygulanan muhasebe ilkeleri genel kabul görmüş olmalı, Koşullara uygun muhasebe ilkeleri olmalı, Finansal tablolar bunların kullanılmasını, anlaşılmasını ve yorumlanmasını etkileyebilecek konular hakkında bilgilendirici olmalı, Sunulan bilgiler mantıklı biçimde sınıflandırılmalı ve özetlenmeli, Ayrıntılı ve karmaşık olmamalı, Finansal tablolar ilgili işlem ve olayları, finansal durumu, faaliyet sonuçlarını ve kabul edilebilir sınırlar dahilindeki finansal tablolara koyacak kadar önemli ve sınırlar içindeki nakit akımlarını yansıtmalıdır. (3) Kontrol Eylemleri (Faaliyetleri): Kontrol eylemleri alınan riskleri tanımlayan, yönetim kararlarının uygulandığını garanti eden politikalar ve bu politikaları uygulayanlar tarafından geliştirilen prosedürlerden oluşur. Kontroller esasen örgütsel amaçların başarılmasına yönelik olarak bir işin bir kerede ve her defasında en doğru şekilde yapılmasını tarif eder. Kontroller, işletmede risk azaltım (riske karşılık verme) stratejilerinin yürütülmesini sağlar. Bazı kontroller sadece tek alanla ilgili olsa da genelde birbiriyle çakışır 16. COSO yaklaşımı işletmenin kontrol eylemlerini işletmenin üç temel amacına göre sınıflandırır. Faaliyetlerle ilgili kontroller, Finansal raporlamayla ilgili kontroller, Uygunlukla ilgili kontroller. Kontrolleri çeşitli açılardan sınıflandırmak mümkündür. Örnek olarak; telafi edici kontroller, önleyici kontroller vb. Standartların öne çıkardığı kontrol türleri ise; Yaygın kontroller, Yaygın olmayan kontrollerdir. Şayet bir kontrol, işletme düzeyinde yani genel nitelikte ise yaygın, işlem ya da süreç düzeyinde ise yaygın olmayan kontroller olarak nitelendirilmektedir. Yaygın kontrollerin ve işlem düzeyindeki kontrollerin özellikleri ve denetçinin bunları tanımasına yönelik dikkate edeceği hususlar aşağıdaki tabloda özetlenmiştir. 16 Örneğin; Yedek parça dağıtımından sorumlu bir satış müdürü bazı ürünlerin satışını ve coğrafik dağılımını aynı seviyede tutmak için her bölge sorumlusundan günlük rapor alır. Satış müdür bu bilgiyi muhasebe sisteminden aldığı satış kayıtları ve satış personelinin komisyonları ile karşılaştırdığı için bu kontrol eylemi, hem finansal raporlama hem de faaliyetle ilgili amaçlara yöneliktir (Deloitte Academy, 2010:50). 14

16 Tablo: Yaygın ve Yaygın Olmayan Kontroller Tanım Yaygın (İşletme düzeyinde) kontroller Özel (işlem düzeyinde) kontroller Yaygın kontroller üst yönetimi (kurumsal ve genel yönetimi) gösterir ve genel kontrol ortamı veya üst düzeye hizmet eder. Tipik kontrol süreci; insan kaynakları, hile, risk değerlendirme, genel BT (bilgi teknolojileri) yönetimi, finansal bilginin hazırlanması (finansal tabloları ve altta yatan tahminler vb. içeren) ve sürekli izleme faaliyetlerini içerir. Küçük işletmelerde bu kontroller yönetimin bütünlük ve kontrole karşı tutumuna atıf yapar. İşlemsel (iş süreci) kontrolleri, aşağıdakileri sağlamak için tasarlanan özel süreçler/kontrollerdir: İşlemler finansal tabloların hazırlanması için uygun olarak kaydedilmiştir. Muhasebe kayıtları varlıkların tüm işlemleri ve elden çıkarılmaları doğru ve gerçeğe uygun olarak yansıtmak için detaylı bir şekilde korunur. Tahsilatlar ve harcamalar yönetimin izni ile uyumlu yapılır; ve Yetkilendirilmemiş satın alma, varlık kullanımı ya da varlıkların elden çıkarılması önlenmiş ya da bir zamanlama esasına bağlanmıştır (Örneğin hurdaya ayırma prosedürü gibi). İşlemlere ilişkin kontrol süreçleri rutin işlemleri (gelirler, satınalmalar ve bordrolama gibi) ve alışılmadık işlemleri (ekipman alınması ya da yeni bir iş koluna girmeyle ilgili maliyetler) içerir. (Kaynak: Mazars 2012; IFAC 2011) Söz konusu kontroller ayrı kontroller şeklinde olabileceği gibi birbiriyle ilişkili kontroller de olabilir. Kontroller çoğunlukla birden fazla faaliyeti ilgilendiren çoklu riskleri azalatmak için tasarlanabilir. Elle ya da otomatize sekilde tasarlanarak isletilen başlıca kontrol eylemleri aşağıda sıralanmıştır. İki işletmenin işletme stratejileri benzer olsa bile iç kontrolleri kesinlikle aynı olmaz. Ancak ortak kontroller şunlardır: Görevlerin uygun şekilde ayrılması Faaliyetler ve işlemlerle ilgili uygun yetkilendirmeler Yeterli biçimde belgelendirme ve kaydetme Varlıklar ve kayıtların fiziksel olarak kontrol edilmesi Bilgi teknolojisi uygulama (girdi, süreç, çıktı) kontrol faaliyetleri Yapılan işlerin bağımsız kişiler tarafından kontrol edilmesi (bağımsız mutabakat) Görevlerin Uygun Şekilde Ayrılması: İşletme görevlerinin uygun şekilde ayrılmış olması hata ve hileleri önleyici en önemli kontrol araçlarından biridir. Özellikle parasal tutar ve işlemlerle ilgili olarak fiziki sorumluluklarla, kaydi sorumlukların uygun şekilde ayrılması gerekir. Örneğin veznedara hem kasaya giren-çıkan nakdin sorumluluğu hem de kasa hesabına kayıt yapma sorumluluğu verilmemelidir. Ayrıca işlemlere ilişkin yetkilendirmelerde varlığı korumakla yükümlü olan kişiye ayni zamanda o varlıkla ilgili tasarruf yetkisi de verilmemelidir. Örneğin bir alış faturasını onaylayan kişi ile satıcıya ödenecek çeki imzalayan kişi aynı kişi olmamalıdır. Görevlerin ayrılığı ilkesinin uygulanmasında diğer önemli nokta kayıt tutma sorumluluğu ile raporlama sorumluluğunu birbirinden ayırmaktır. Özellikle performans raporlamasında satış bölümüne hem satış 15

17 kayıtlarının sorumluluğunu vermek hem de satış raporlaması yaptırmak kendini daha başarılı göstermek isteyen satış yöneticilerini hileli raporlamaya itebilir. Faaliyetler ve işlemlerle ilgili uygun yetkilendirmeler: İşletmede etkili iç kontroller sağlamak açısından her bir işlem için uygun yetkilendirmelerin yapılmış olması gereklidir. Örneğin işletmede bir varlığın hem edinimi hem de o varlığın kullanımı ya da harcama yetkisi aynı kişiye verilirse varlığın o kişi tarafından suiistimal edilmesi ihtimali yüksektir. Yetkilendirmeler genel ve özel yetkilendirmeler şeklinde olabilir. Genel yetkilendirmede işletme yönetimi politikaları belirler. Bu politikalarla oluşturulan sınırlar dahilinde genel yetkilendirmeleri yürütmek üzere bütün işlemleri onaylayacak alt talimatlar oluşturulur. Örneğin ürün satışlarına ilişkin sabit fiyat listelerinin yayınlanması, müşteri kredi limitlerinin belirlenmesi, yeni siparişler için sabit satış noktalarının belirlenmesi genel yetkilendirmelere örnek verilebilir. Özel yetkilendirmeler ise belli işlemler için yönetim tarafından yapılan yetkilendirmelerdir. Bu yetkilendirmeler her bir işlem için yapılır. Örneğin gayrimenkul ticareti yapan bir işletmede her daire satışı için satış müdürünün yetkilendirilmiş olması özel bir yetkilendirmedir. Yetkilendirmeyle onaylama arasındaki ayırım da önemlidir. Yetkilendirme genel ya da özel sınıfa giren bir işlem için bir politika kararıdır. Onaylama ise yönetimin genel yetkilendirme kararının yürütülmesidir. Örneğin; stokta bulunan malların bir aylık ihtiyacı karşılayacak bir seviyeye düşmesini takiben yeni siparişinin verilmesi konusunda yetkilendirme yönetimin oluşturduğu genel yetkilendirme kararıdır. Bu politika gereği sürekli envantere göre malların kaydını tutan bir personelin bu siparişi onaylaması ise kararın yetkilendirme dâhilinde yürütülmesidir. Kayıtlara göre 1 aylık ihtiyaçtan daha fazla stok bulunması halinde bu personel yeni siparişi onaylayamaz. Yeterli Biçimde Belgelendirme ve Kaydetme : İşlemleri doğru kaydetmek ve varlıklar üzerinde kontroller oluşturabilmek için belgelendirmenin yeterli olması hayati önem taşır. Belge ve kayıt denilince alış ve satış faturaları, makbuzlar, dekontlar, bordrolar, satın alma emirleri, isçilik zaman kartları gibi belgelerle muhasebe fişleri, yardımcı defterler ve resmi defter kayıtları anlaşılır. Ülkemiz uygulamasında işletmeyle iş yaptığı tarafların karşılıklı finansal işlemlerine ilişkin belgelerin önemli kısmi Vergi Usul Kanunu ve diğer vergi kanunları ile Ticaret Kanunu ve Sermaye Piyasası Kanunu gibi kanunlarla düzenlenmiştir. İşletme içinde gerçekleştirilen işlemlere ilişkin belgeler ise işletmeden işletmeye farklılık gösterir ve bu belgeler iç kontrollerin etkililiğini gösteren çok önemli kanıtlardır. Belgeler elektronik ortamda düzenlenebildiği gibi elle de düzenlenebilir. İster yasal gereklerle ister işletme içi ihtiyaçlar için olsun belge ve kayıtların iç kontroller açısından taşıması gereken genel niteliksel özellikler şunlardır: Seri ve sıra numarası taşıması ve belgelerin bu numaralarla izlenmesi, İşlem gerçekleştiği anda ya da en kısa sürede düzenlenmesi, Çok sayıda farklı belge yerine mümkün olduğu yerde çoklu kullanıma imkan veren belge oluşturulması, Belgenin en doğru düzenlemeye imkan verecek şekilde tasarlaması. Özellikle belgenin kendi içinde kontrol mekanizmaları olmalıdır. Örneğin belgenin hangi departmanlara 16

18 gönderileceğinin belge üzerinde işaretlenmesi, imzaya yetkili olanları belirten kutucuklar, sayısal bilgi ve açıklama sütunları gibi tasarımsal özellikler bu belgelerin kontrollerini kolaylaştırır. İşlemle ilgili veri çevrimiçi olarak bilgisayara girildiğinde girdi ekranının veri girişini kolaylaştıran ve hatayı minimize eden nitelikte olması önemlidir. Varlıkların ve Kayıtların Fiziki Kontrolleri: Varlıklar ve kayıtlar uygun şekilde korunmadıkları takdirde çalınabilirler, işletme amaçları dışında kullanılabilirler, zarar görebilirler veya kaybolabilirler. İster elle tutulsun ister elektronik ortamda bütün kayıt ve belgelerin kopyaları dahil uygun şekilde korunması ve korumayla ilgili azami önlemlerin alınması gerekir. Yapılan İşlerin Bağımsız Kişiler Tarafından Kontrol Edilmesi: Yukarıda açıkladığımız kontrol eylemleri çalışanlar tarafından yerine getirilir ve çalışanların unutkanlıkları, dalgınlıkları ya da yorgunlukları vb. gibi durumların kontrolleri etkisiz kılma ihtimali her zaman vardır. Bazen kontroller zaman içinde etkililiklerini de kaybedebilirler ya da ihtiyaca uygun olmayabilirler. Bu nedenle işletme yönetiminin kontrolleri tasarlarken bunları doğrulayacak ya da bağımsız kişilerce kontrol edecek içsel mekanizmaları da oluşturması gerekir. Örneğin banka hesaplarının banka ile mutabakatının kayıtlardan ve nakittin fiziki takibinden sorumlu kişiler dışında biri tarafından yapılması önemli bir kontrol aracıdır. Bilgi Teknolojisine Özgü iç Kontroller: İşletmelerin BT kaynaklı risklerine karşı, bunlara özel BT kontrolleri geliştirmeleri gerekmektedir. BT ile ilgili kontroller iki grupta toplanmaktadır. Bunlar: Genel kontroller ve uygulama kontrolleridir. Genel kontroller: BT fonksiyonunu bütün yönleriyle (BT yönetimi, BT fonksiyonunda görevlerin ayrımı, sistem geliştirme, donanım, yazılım ve ilgili veri dosyasına erişime yönelik fiziksel ve online güvenlik, yedekleme ve acil eylem planı gibi) ilgilidir. Genel kontrol, işletme düzeyine yöneliktir. Uygulama kontrolleri süreçlerde yer alan kontrollerdir. Genel kontrollerin etkin olması, uygulama kontrollerinin de etkin olmasına olanak sağlar. Uygulama kontrolleri denetim hedefleri gözetilerek oluşturulur. Uygulama kontrolleri, süreç uygulamalarını kontrol etmek için tasarlanan; işleme tabi tutma, yetkilendirme ve geçerlilik işlemlerinin doğruluğu ve tamlığını sağlamaya yöneliktir. Uygulama kontrolleri elle ya da otomatik olarak uygulanabilir. BT kontrollerinin etkin olması denetçinin KR değerlemesini dolayısıyla denetimde uygulayacağı destekleyici testlerin kapsamını belirlerken yardımcı olacaktır. (4)Bilgi ve İletişim: İKS nin merkezi sinir sistemidir. Kontroller ne kadar iyi tasarlanırsa tasarlansın eğer işletmede yukarıdan aşağı ve aşağıdan yukarı bilgi akışının sağlandığı sağlam bir bilgi ve iletişim sistemi yok ise o işletmede iç kontrollerin etkili olması beklenemez. Her işletme, finansal veya finansal olmayan işletme içi ve dışı olay ve eylemleri ilgilendiren geçerli bilgiyi elde edecek sistemler kurmalı ve işletmelidir. Bilgi, işin idaresi ile bağlantılı olarak yönetim tarafından belirlenmelidir. Bu bilgi, kontrol sorumluluklarının ve diğer 17

19 sorumlulukların yürütülmesinin sağlanması için belli bir düzende ve zaman diliminde ihtiyaç duyan kesimlere sunulmalıdır. Sadece faaliyetleri gerçekleştirmek değil, beklenti içinde olanlar, sorumlu olanlar da bilgilendirilmelidir. Örgüt kültürü ve paylaşılan bilginin özelliği en iyi iletişim yolunun belirlenmesine yardımcı olur. Etkin bir İKS için şirket içi raporlama çok önemlidir. Yönetimin eylemleri, sözlerinden daha etkilidir. Şeffaflığı ve dürüstlüğü kültürlerine yerleştiren işletmeler, örgütsel iletişimde zorluk çekmezler. İşletme içinde biçimsel anlamda oluşturulan tek bilgi sistemi muhasebe bilgi sistemidir. Muhasebe bilgi sistemi finansal işlemleri kaydeden sınıflayan ve raporlayan bir süreç olup aynı zamanda varlıklar üzerinde koruyuculuk ve hesap verebilirlik görevi üstlenmiştir. Etkin bir bilgi sistemi şunları sağlamalıdır: Bütün geçerli işlemler tanımlanmalı ve kaydedilmeli, İşlemleri finansal raporlama için uygun sınıflandırmaya izin verecek ayrıntıda ve zamanlılık esasına göre tanımlamalı, İşlemlerin finansal tabloda uygun parasal değerde kaydedilmesini sağlamalı, İşlemlerin meydana geldiği zaman dilimini saptamalı ve ilgili döneme kaydedilmesini sağlamalı, Finansal tablolarla ilgili açıklamalar ve işlemlerin doğru sunulmasını sağlamalıdır. (5) Gözlemleme (İzleme): İç kontrol sistemleri ve kontrollerin uygulanma yöntemleri zaman içinde değişir. Bir zamanlar etkili olan yöntemler daha az etkili ya da tamamen geçersiz hale gelebilir. Yeni çalışanların işe alınması, eğitimi ve denetimin etkililiğinin değişmesi, zaman ve kaynak sınırlamaları veya diğer baskılar nedeniyle de bu olabilir. Ayrıca, iç kontrol sistemlerinin ilk olarak tasarlandığı durumlar değişebilir. Bütün bunlara bağlı olarak yönetimin iç kontrollerin uygun olup olmadığını ve yeni riskleri belirlemeye devam edip etmediğini izlemesi gerekir. Gözlemleme olarak ifade edeceğimiz bu sürekli izleme işlevi iç kontrollerin sürekli bir şekilde iyileştirilmesini sağlar. Bu süreç iç kontrollerin uygun personel tarafından tasarımını, kontrol eylemlerinin zamanındalığını ve gerekli önlemlerin alınmasının değerlendirilmesini içerir. Gözlem sürekli izleme ve ayrı değerlendirmeler olarak iki şekilde yapılabilir. İç kontrol sistemleri genellikle kendilerini sürekli olarak belli bir dereceye kadar izlemek üzere yapılandırılmışlardır. Sürekli izlemenin derecesi ve etkililiği ne kadar büyükse ayrı değerlendirmeye o kadar az gereksinim duyulur. Sürekli ve ayrı değerlendirmeler; kontrol öz değerlendirmeleri, iç denetim, istisna raporları, çeşitli otoritelerin yapmış olduğu dış denetimlere ilişkin raporlar, müşteriler ve satıcılardan gelen şikâyetler vb. yöntemlerle yapılır. İzleme faaliyetleri iç kontrolün her bir kısmı için söz konusudur. İç denetim birimi ya da fonksiyonu önemli bir izleme aracıdır. Üst düzey tarafından gerçekleştirilen kontroller yine üst düzeyce izlenmelidir. İşletme yönetiminin atladığı riskler, yönetim kurulunca izlenmelidir. Kısaca güvenilirliği sağlamak için İKS izlenmek zorundadır. 18

20 İzlemede katmerli (çok katlı) yaklaşımın gerçekleştirilmesi önerilir. Buna göre; İlk katta, belirli bir alanda yönetimin gerçekleştirdiği günlük faaliyetler yer alır. İkinci katta, önceden belirlenmiş eksikliklerin olup olmadığını saptamak için düzenli olarak yönetim tarafından gerçekleştirilen söz konusu alandaki iç kontrollerin değerlendirilmesidir. Üçüncü katta ise bir fonksiyon veya alanda yönetimin kendi değerlemesinin sonuçlarının geçerliliği denetlenir Küçük ve Orta Ölçekli İşletmelerde İç Kontrol Küçük işletmelerde kontrol ortamının (yönetimin etik değerler, ehliyet konusundaki görevi, kontrole yönelik tavrı ve günlük eylemleri) değerlendirilmesi önemli olacaktır. Bu, yönetimin davranışının, tavırlarının ve eylemlerinin değerlendirilmesini içerecektir. Büyük ölçekli işletmelerin iç kontrol çerçevelerine başarı ile uyum sağlamaları beklenmekle birlikte, küçük ölçekli işletmelerin gerek katlanılması gereken maliyetler gerekse küçük ve orta ölçekli işletme (KOBİ) 17 olmalarından kaynaklanan aşağıda özelliklerinden dolayı bir takım zorluklarla mücadele etmeleri beklenir. Bunlar (IIA, 2009:6-5): - Görevlerin ayrımını başarılı bir şekilde yapma konusunda kaynak yetersizliği, - Yönetimin kontrolü veya iş sürecini atlaması, - Finansal raporlama konusunda uzman kişileri işe almada ve bunları işletmede tutmada yaşanan eksiklikler, - Muhasebe ve finansal raporlama üzerinde yeterince yoğunlaşmaktan ziyade günlük işlerle meşgul olunması, - Sınırlı teknik kaynaklara sahip olunması ve bilgi teknolojileriyle kontrolde yaşanan sıkıntılar. Şayet işletmede, etik değerlere, dürüstlük ve yeterliliğe dayalı bir kültür geliştirilmişse söz konusu eksiklikler giderilebilir. Çalışanların birbirini tanıması, yöneticilerin daha kısa iletişim kanallarına sahip olması, yöneticilerin kritik süreçlere anında müdahale edebilmesi KOBİ lerin avantajları olarak sayılabilir. 17 COSO raporunda belirtilen küçük ölçekli şirketlerin ortak özellikleri şunlardır: - Az sayıda işletme hattı ve bu hatlarda az sayıda mamul üretimi. - Pazarlama faaliyetlerine yoğunlaşma - Patronun aynı zamanda yönetici olması - Az sayıda yönetim seviyesi, dolayısıyla kontrollerin daha geniş bir alana yayılması - Az sayıda karmaşık işlem süreçleri ve protokolleri - Az sayıda personel, dolayısıyla görev alanlarının daha geniş olması - Destekleyici personel pozisyonlarını (hukuk, insan kaynakları, muhasebe, iç denetim gibi) sağlamanın ve korumanın güç olması. 19

21 KOBİ niteliğindeki halka açık şirketlerde yaşanan zorluklar nedeniyle COSO, orijinal COSO çerçevesine ek olarak 2006 yılı Temmuz ayında Küçük Halka Açık Şirketler için Rehber (Internal Control Over Financial Reporting Guidance for Smaller Public Companies) yayınlamıştır 18. Rehberde COSO ile getirilen çerçeve gözetilerek 20 temel prensip oluşturulmuş olup, bunlar Tablo 2 de özetlenmiştir: Tablo 2: Küçük Ölçekli İşletmelerde Finansal Raporlama Üzerinde Etkin İç Kontrolü Başarmak İçin 20 Temel Prensip Kontrol Ortamı 1. Dürüstlük ve Etik Değerler Özellikle üst yönetimce finansal raporlama standardı olarak güçlü dürüstlük ve etik değerler oluşturmalı, geliştirmeli ve uygulamalıdır. 2. Yönetim Kurulu Kurul üyeleri, iç kontrol ve finansal raporlamaya ilişkin gözetim sorumluluğunu bilmeli ve uygulamalıdır. 3. Yönetim Felsefesi ve Faaliyet Tarzı Yönetim felsefesi ve faaliyet tarzı, finansal raporlama üzerindeki etkin iç kontrolün başarılmasını desteklemelidir. 4. Örgütsel Yapı Şirketin örgütsel yapısı, finansal raporlama üzerindeki etkin iç kontrolü desteklemelidir. 5. Finansal Raporlama Yetkinlikleri Şirkette finansal raporlama ve gözetim rolünü üstlenen çalışanlar olmalıdır. 6. Yetki ve Sorumluluk Finansal raporlama üzerindeki etkin iç kontrolü kolaylaştırmak için uygun düzeyde yetki ve sorumluluğa yönetim ve çalışanlar olmalıdır. 7. İnsan Kaynakları Finansal raporlama üzerindeki etkin iç kontrolü kolaylaştırmak için insan kaynakları politikaları tasarlanmalı ve uygulanmalıdır. Risk Değerleme 8. Finansal Raporlama Hedefleri Yönetim güvenilir finansal raporlama için riskleri tanımayı mümkün kılacak kriter ve yeterli açıklık için finansal raporlama hedeflerini belirlemelidir. 9. Finansal Raporlama Riskleri Şirket, risklerin nasıl yönetilebileceğini belirlemeyi esas alan finansla raporlamanın başarılması için riskleri tanımlamalı ve değerlendirmelidir. 10. Hile Riski Finansal raporlama hedeflerine ulaşmak için risklerin değerlendirilmesinde, hile dolayısıyla önemli yanlışlık olasılığı açıkça dikkate alınmalıdır. Kontrol Faaliyetleri 11. Risk Değerlemesiyle Bütünleşme Finansal raporlama hedeflerine ulaşmak için risklere yönelik eylemler gerçekleştirme. 12. Kontrol Faaliyetleri Seçimi ve Geliştirilmesi Finansal raporlama hedeflerine ulaşmak için risklerin azaltılmasında, maliyet ve olası etkenleri dikkate alarak kontrol faaliyetleri seçilmeli ve geliştirilmelidir. 13. Politikalar ve Prosedürler Güvenilir finansal raporlama politikaları ile üst yönetimin direktiflerinin yerine getirilmesine yönelik prosedürler oluşturulmalı ve tüm işletmeye 18 COSO, ayrıca küçük ölçekli halka açık şirketlerin iç kontrol süreçlerini nasıl ayrıntılı olarak izleyeceklerine ilişkin bir rehberi de (Guidance on Monitoring Internal Control Systems) 2009 yılında yayınlamıştır. 20

22 duyurulmalıdır. 14. Bilgi Teknolojisi Şayet uygunsa, finansal raporlama hedeflerine ulaşılmasını destekleyecek bilgi teknolojisi kontrolleri tasarlanmalı ve gerçekleştirilmelidir. Bilgi ve İletişim 15. Finansal Raporlama Bilgisi Şirkette her seviyede kullanılan ilgili bilgi tanımlanmalı ve finansal raporlama hedeflerine ulaşılmasını destekleyecek şekil ve zaman diliminde dağıtımı yapılmalıdır. 16. İç Kontrol Bilgisi Diğer kontrol unsurlarının gerçekleştirilmesinde kullanılan bilgi tanımlanmalı, diğer kontrol sorumlularının işine yarayacak şekilde bir form ve zaman dahilinde dağıtılmalıdır. 17. İç Haberleşme Örgüt içindeki iletişim, örgütün bütün düzeylerde bireysel sorumluluklar dahil, iç kontrol hedefleri, süreçlerin icrasını ve anlaşılmasını etkinleştirmeli ve desteklemelidir. 18. Dış Haberleşme Finansal raporlama hedeflerine ulaşılmasını etkileyecek durumlar üçüncü kişilere bildirilmelidir. İzleme 19. Sürekli ve Müstakil (Ayrı) Değerlendirmeler Finansal raporlamaya ilgili iç kontrolün mevcut ve fonksiyonel olup olmadığının belirlemek için sürekli ve ayrı değerlendirmeler yapılmalıdır. 20. Eksiklikleri Raporlama İç kontrole ilişkin eksiklikler tanımlanmalı ve zamanında düzeltici önlemi almaktan sorumlu kişiler ile ayrıca uygun düzeydeki yönetim ve kurul üyelerine bildirilmelidir. Kaynak: IIA, 2009:6-6. Türkiye de etkin iç kontrol sistemine ve onun gözetimini yapan iç denetim birimine sahip işletme sayısı, kurumsallaşma anlayışının yaygınlaşmasıyla birlikte gün geçtikçe artmaktadır. Banka, aracı kurum gibi finans kesimindeki işletmeler yasal zorunluluklar nedeniyle etkin bir İKS ve iç denetim birimi oluşturmak durumundadır. Reel kesimde ise; yabancı ortaklı şirketlerde, halka açık şirketlerde ve belirli büyüklüğe ulaşmış holding şirketlerinde söz konusu yapılara rastlanmaktadır. Özellikle kurumsal yönetimi ön plana çıkaran Yeni TTK (6102 sayılı Kanun) ile birlikte risk yönetimi, iç kontrol gibi konuların daha da önem kazanması beklenmektedir. Türkiye de özellikle KOBİ lerde gelişmiş bir iç kontrol sistemi henüz hayata geçirilebilmiş değildir. İç kontrol konusunda karşılaşılan başlıca eksiklikler şunlardır (Öksüz, 2009:320): - Kurumsallaşma - Risk yönetimi - Yazılı politika ve prosedürler (İş süreçleri) - Performans ölçümü (Ağırlıklı finansal kriterler) - Görevlerin ayrılığı ilkesi ve yetkilendirme - UFRS yetkinliği 21

23 - Periyodik kontrol faaliyetleri (düzenli stok sayımı gibi) - Bilgi güvenliği - İç denetim fonksiyonu / birimi - Raporlama ve bütçeleme sistemindeki bazı eksiklikler, - Bilgi işlem sistemlerindeki yetersizliklerdir İç Kontrol İşleyişinin Anlaşılması ve Belgelendirilmesi İç kontrolün anlaşılmasının amacı, etkin kontroller tesis ederek, işletmenin iş ve hile risklerine uygun şekilde cevap verip vermediğini değerlendirmektir. Bu, aşağıdaki kalemleri içerecektir: Önemli hesapların ve açıklamaların ve finansal tablolarda bulunan ilgili iddiaların başlatılması, yetkilendirilmesi, işlenmesi ve rapor edilmesine ilişkin kontroller, Muhasebe politikalarının seçilmesi ve uygulanmasına ilişkin kontroller, Hileyi önleme programları ve kontrolleri, Bilişim teknolojisi genel iç kontrolleri de dahil olmak üzere diğer kontrollerin bağımlı olduğu kontroller, Yargıları ve tahminleri içeren hesaplar gibi rutin olmayan ve sistematik olmayan önemli işlemler üzerindeki kontroller, Yıl sonu finansal raporlama prosesi üzerindeki kontroller, İşlem toplamlarının defteri kebire girilmesi için kullanılan prosedürler üzerindeki kontroller, Defteri kebirdeki yevmiye defterlerinin başlatılması, yetkilendirilmesi, kaydedilmesi ve işlenmesi üzerindeki kontroller, Finansal tablolardaki mükerrer ve mükerrer olmayan ayarlamaları kaydetmeye yönelik kontrollerdir. Gerekli denetim kanıtı elde etme konusunda alternatif bir yol olmadığı sürece (örneğin son derece otomatik ve kağıtsız bir sistemde) UDS lerde kontrollerin faaliyet etkinliğini test etme şartı bulunmamaktadır. Bu yüzden, kontrollerin faaliyet etkinliğini test etme kararı, bir profesyonel yargı konusu olup, ileriki bölümlerde açıklanacaktır. İç kontrolün anlaşılması, tasarım ve uygulama ile sınırlıdır. Bu, işletme personelinin sorgulamaları, spesifik kontrollerin uygulanışını gözlenmesi, belgelerin ve raporların denetlenmesi, ve bilgi sisteminde sadece bir veya iki işlemin izlenmesi gibi risk değerlendirme prosedürleri yoluyla tesis edilir. UDS 315 e göre denetçinin, finansal tablolarda hata ve hilelerden kaynaklanan önemli yanlışlık riskini değerlenmesi ve bu çerçevede yeterli ek denetim tekniklerini tasarlayarak uygulayabilmesi için iç kontrol sistemi de dahil olmak üzere işletmeyi, faaliyet koşullarını ve çevresiyle olan ilişkilerini kavraması gereklidir. İşletmenin finansal raporlama ile ilgili iç 22

24 kontrolleri zayıf ise finansal bilgilerin genel kabul görmüş muhasebe ilke ve standartlarına uygun olma ihtimali de zayıftır. Bağımsız denetçi kontrol ortamı ve bilgi sistemini tanıma ve belgeleme sorumluluğunu yerine getirmek için şu prosedürlerden yararlanır: İşletme ile ilgili geçmişteki tecrübelerini gözden geçirir, Uygun düzeyde yönetim, denetim ve işletme çalışanı ile görüşür, Belge ve kayıtları inceler, İşletme faaliyetlerini ve süreçleri gözlemler. Denetçi bir önceki yıl çalışma kâğıtlarından özellikle saptadığı eksiklikleri not alır ve bunlara karşı yönetimin düzeltici eylemlerde bulunup bulunmadığını sorgular. Denetçi yapacağı görüşmeler için anket formları geliştirir. Belge ve kayıt incelemesinde ise, işletmenin hesap planı, resmi muhasebe defterleri, karar defterleri, kaynak belgeleri incelenir. Söz konusu incelemeler, denetçiyi özel kontroller ve durumlardaki değişiklikler hakkında ilave araştırmalara yönlendirir İç Kontrol Sistemini Tanıma (İç Kontrollerin Anlaşılması) Bağımsız denetçi müşteri işletmenin İKS sini tanırken, genel kontroller yanında başlıca iş süreçlerini, bu süreçlerde risklere karşı alınmış olan kontrolleri tanımaya çalışır. Bir işletmede karşılaşılabilecek başlıca iş süreçleri şöyledir: Satın alma ve ödeme süreci Satış ve tahsilat süreci Üretim ve stok yönetim süreci Maddi duran varlık yönetim süreci İnsan kaynakları yönetim süreci Finansal raporlama sürecidir. Denetçi hesap bakiyelerinden çok işlem sınıfları üzerindeki kontrollerle ilgilenmelidir. Çünkü işlem sınıflarındaki kontrollerin eksikliği ya da etkisizliği birden fazla hesapta hata ya da hileye işaret eder. Örneğin bir satış işlemiyle ilgili olarak sevk edilen malların birimlerde ya da satış fiyatında hata yapılıyor olması hem satışlar hesabının hem de ticari alacak hesaplarının yanlış olması sonucunu doğurur İç Kontrol Sistemini Tanıma Çalışmalarını Belgeleme Bağımsız denetçi topladığı bilgileri üç şekilde belgelendirir. Denetimlerde en fazla tercih edilen yaklaşım, aşağıda belirtilen üç belgelendirme yönteminin bir arada kullanılmasıdır. Bunlar: a) Hikaye Etme (Not Alma) Yöntemi: Denetçinin özel kontrol politika ve prosedürlerine ilişkin anladığı bilgilerin özetlenmesi yoluyla belgelenmesidir. Küçük işletmelerde denetçinin iç kontrolü anlamasına yardımcı olan başlıca belgedir. Bu yöntemde denetçi, sistemdeki belge 23

25 ve kayıtların kaynağını, işlemlerin nasıl gerçekleştiğini, kullanılan belge ve kayıtların şekli ile kontrol faaliyetlerine ilişkin bilgileri not alır. b) Akış Şeması: Bir iç kontrol akış şeması, işletmede işlemlerin ve belgelerin işleyişinin sistematik olarak ve sembollerle gösterilmesidir. Akış şemaları, genellikle satış, tahsilat, satın alma, ödeme, imalat gibi süreçlerde işlerin nasıl gerçekleştiğini çeşitli sembollerle çizerek gösterilmesini sağlar. Akış şemalarında ilgili süreçte işlerin nasıl gerçekleştiği, görevlerin dağılımının kapsamı, sürecin içerdiği belgeler, raporlar ve kayıtların neler olduğu ve akış yönü yer alır. Bağımsız denetimde, müşteri işletmenin sistemini tanımada varsa eksiklikleri saptamada çok yararlı olur. Şekil 8 de akış şeması örneği sunulmuştur. c) İç kontrol Anket Formu: Anket formu (soru formu), akış şemasının sunduğu genel bakış açısını veremese de uygulanması kolaydır ve yararlıdır. Aşağıdaki tabloda bir iç kontrol anket formu örneği sunulmuştur. Anket formları özellikle denetçiye, finansal tablolardaki önemli yanlışları önleyecek kontroller hakkında bilgi sunar. Birçok denetçi tarafından standart hale getirilmiş anketler kullanılmaktadır 19. Bazı denetim firmaları, belirli sektörlerde büyük ve küçük ölçekli firmalar için farklı anket formları kullanabilmektedir. Bazı denetim firmaları anket formlarını otomatik olarak elde etmekte, yazılım yoluyla analiz etmekte ve KR düzeyini değerlemektedir. Özellikle üst düzey yöneticilere uygulanacak anketlerin bu konuda tecrübeli ve yetişmiş denetçilerle gerçekleştirilmesinde yarar bulunmaktadır. Çünkü söz konusu görüşmelerde edinilen bazı ipuçları (kritik bilgiler) denetçinin işletmeyi daha yakından tanımasına olanak sağlar. Müşteri işletme yönetiminin iç kontrol ilişkin dokümanları (akış şemaları, anket formları, notlar vb. gibi) denetçi açısından da önemli bir kaynaktır. Yönetim iç kontrolleri büyük ölçüde politika rehberleri, yazılı talimatlar, görev tanımları ve iş analizleri, akış şemaları ve soru formları gibi yazılı ve /veya elektronik belgeler şeklinde oluşturur. Denetçi incelemelerinde sistemde mevcut bütün belge ve kayıtların kaynağı, nereden ve nasıl elde edildiği, nasıl işleme tabi tutulduğu, nasıl düzenlendiği, yetkilendirmeler dâhilinde onaylanıp onaylanmadığı ve uygun şekilde gözden geçirilip geçirilmediği hususlarını tespit etmelidir. İyi düzenlenmiş akış şemaları denetçiye sayfalarca hazırlanmış bir belgeden daha çok şey söyler. Özellikle akış şemaları ile anket formları birlikte KR değerlemesinde denetçiye yardımcı olur. Denetim amaçlarını kapsayacak şekilde düzenlenmiş iç kontrol soru formları, evet veya hayır ile yanıtı ya da uygulaması yok şeklinde yanıt alınacak sorular içerir. İç kontrol soru formları sistemin bütünü hakkında bilgi sağlamaktan uzak olduğu için bunları akış şemaları ile birlikte kullanmak çok daha yararlı olur. Tablo 3 de kasa mevcudu ile tahsilat ve ödemelere ilişkin iç kontroller hakkında bilgi edinmek amacıyla düzenlenmiş bir iç kontrol soru formu örneği verilmiştir. Sorular hiç kuşkusuz bu örnektekilerle sınırlı değildir. 19 İşletmenin çeşitli süreçlerini ve kontrolleri tanımada anket formları örnekleri hakkında daha fazla bilgi için bakınız; Burcu Adiloğlu, İç Denetim Süreci ve Kontrol Prosedürleri, Türkmen Kitabevi, İstanbul,

26 Tablo: İç Kontrol Soru Formu Örneği MÜŞTERİ İŞLETME:..ABC A.S. KASA İÇ KONTROL SORU FORMU I.KASA MEVCUDU 1) Kasadaki nakit ve nakit benzeri varlıklar uygun şekilde korunuyor mu? 2) Para sayma makinesi kullanılıyor mu? DENETÇİ: DD TARİHİ: GÖZDEN GEÇİREN:..NC. TARİHİ: YANITLAR EVET HAYIR UYG. YOK AÇIKLAMA 3) Kasanın açılması ve kapatılması ve anahtarların saklanmasına ilişkin düzenleme var mi? 4)Nakdin saklanması, tahsilat ve ödemeler ve bunların limitlerine ilişkin yazılı yönerge ya da talimatlar mevcut mu? 5)Kasanın fiziki takip sorumluluğu verilen personele kayıt tutma ve mutabakatlarla ilgili sorumluklar da verilmiş mi? 6)Kasa sorumlusu resmi defterlere girişi yapılacak kasa tahsil ve ödeme fişlerini düzenliyor mu? 7)Kasa mevcudu fiziki ve kaydı takip sorumluluğu taşımayan bir yönetici nezaretinde her aksam sayılıyor mu? Sayım sonuçları ile resmi kayıtlar karşılaştırılıyor mu? 8)Kasanın kayıtlardan ve fiziki takipten sorumlular dışında ani sayımları yapılıyor mu? 9)Kasa da nakit yerine makbuzlar örneğin avans makbuzları bulunuyor mu? 10)Küçük kasa fonu uygulaması var mi? 11)Noksanlık ve fazlalıklar için önemlilik tutarı belirlenmiş mi? 12)Kasanın bakiyesi günlük olarak banka hesaplarına yatırılıyor mu? 13)Noksanlıklar ve fazlalıklar ile ilgili düzeltme kayıtları hemen yapılıyor mu? 14)Sebebi hemen bulunamayan önemli sinirin üzerindeki noksanlıklar ve fazlalıklar ile ilgili iç denetim ya da diğer birimlere raporlanıyor mu? 15)Yabancı para cinsinden işlemlerle ilgili düzenleme mevcut mu? II.TAHSİLATLAR 1)Tahsilatlar uygun bir finans yöneticisinin bilgisi dahilinde beklenen nakit girişleri listesi veya benzeri bir talimat ya da politika çevresinde mi yapılıyor? 2)Kasa tahsilatları; nakit ve çek girişleriyle ilgili yetkilendirmeler var mi? 3)Kasaya giren paralar seri ve sıra numarası dahilinde düzenlenmiş makbuzlara dayalı olarak mi yapılıyor?3) 4)Bu makbuzların koçanları veznedara bir finansal yönetici tarafından biçimsel olarak düzenlenen bir tutanakla mi teslim ediliyor? 5)Kesilen makbuzların nüshaları iptal edilenler de dahil olmak üzere muhasebe departmanında sorumlu yöneticiye yine tutanakla mi teslim ediliyor? 25

27 6)Çekle yapılan tahsilatlarda çeklerin şirket tarafından tahsil edilebilmesine yönelik düzenlemenin uygunluğu bir finansal yönetici tarafından kontrol ediliyor mu? 7)Posta ile gelen çekler de postaları açma yetkisi kasa sorumlusu dışında bir yetkiliye mi verilmiş? 8)Alınan çekler bir çek giriş bordrosuna dökülerek ayrıca listeleniyor ve listenin nüshaları resmi kayıtları tutan, banka mutabakatları yapan ve alacakları takip eden sorumlulara gönderiliyor mu III.ÖDEMELER 1)Kasadan mal ve hizmet sağlayıcılara yapılan ödemeler, avans ve ücret ödemeleri ile ilgili düzenlenmiş ayrı yönergeler bulunuyor mu? 2)Mal ve hizmet sağlayıcılara çek ve nakit ödemelerle ilgili sınırlamalar mevcut mu? 3)Ödemeler bir finans yöneticisinin onayı ile mi yapılıyor? 4)Ödemeler için seri ve sıra numarası dahilinde düzenlenmiş makbuzlar kullanılıyor mu? 5)Boş Ödeme makbuzları koçanları bir finansal yöneticiden tutanakla teslim alınıyor mu? 6)Kullanılan makbuzlar iptal edilenler de dahil uygun şekilde muhasebe sorumlusuna teslim ediliyor mu? 7)Gerçekleşen ödemelerin listesi resmi defter kayıtlarından sorumlu personel ile banka ve satıcılarla mutabakattan sorumlu personele gönderiliyor mu? 8)Belirlenmiş ödeme yetkilisi dışında ödeme yetkilisinin daha ustu konumda bulunan bir yetkili ya da başka bir yetkilinin talimatıyla kasadan ödeme yapılıyor mu? 9)Kasadan muhasebe yetkilisi ya da başka yetkililere geçici makbuz ya da belgelerle ödünç para veriliyor mu? İşletmenin satın alma sürecinin bir alt süreci olan talep alma sürecine ilişkin akış şeması örneği aşağıdaki şekilde sunulmuştur. 26

28 Satınalma Talep Süreci 11 October 2004 Monday /PRP-01 İhtiyaç Stok Kodlumu? Hayır Hayır Yıllık Satınalma? Bakım/Uretim Md. lükleri Yıllık Satınalma ihtiyaçları için Talep Yaratır. Hayır Min/Max Çalışması Oracle Ortamında her 10 günde bir çalışarak TALEP otomatik oluşur Hayır İlgili Departman Satınalma İhtiyacı İçin Talep Oluşturur. Departman Onayı Departman Md. Onaylar Hayır Satınalma ; Talepleri Kontrol Eder? Talep İPTAL Hayır FabrikaMd. Onaylar Hayır FabrikaMd. Onaylar Hayır Fabrika Satınalma /KONTROL Fabrika Satınalmaya Gönder Merkez Sayınalmaya Gönder. Merkez Satınalma Hayır 1 1 Şekil: Satın Alma Talep Süreci Akış Şeması 27

29 Kontrol Riskinin Değerlendirilmesi Denetçi, planlama aşamasında gerçekleştirdiği başlangıç kontrol riski değerlemesi, daha sonra devamında gerçekleştireceği kontrol testleri ile kontrol riski (KR) nin nihai değerlemesini yapması, planlayacağı destekleyici testlerin kapsamının (zamanı, yapısı gibi) belirlenmesine yardımcı olacaktır. İKS yi tanıma ve KR değerleme işletmeden işletmeye farklılıklar gösterebilmektedir. Bununla birlikte denetçinin kullandığı en yaygın yaklaşım şöyledir: a) Kontrol ortamını, risk değerlendirme prosedürlerini, muhasebe bilgi ve iletişim sistemini, izleme yöntemlerini mümkün olduğu kadar ayrıntılı öğrenmek, b) KR yi azaltan özellikli kontrolleri tanımak, c) Kontrollerin etkinliğini test etmektir. Bağımsız denetçi ancak üçüncü aşamadan, yani kontrollerin etkinliğini test ettikten sonra müşteri işletmenin KR düşüktür sonucuna varabilir. Denetçinin KR ye ilişkin ilk değerlendirmeyi yapabilmesi için aşağıda belirtilen özel değerlemeleri yapması gerekmektedir. Bunlar: Finansal tabloların denetlenebilir olup olmadığını değerlemesi. Muhasebe kayıtlarının yeterliliği ve yönetimin dürüstlüğü bu kararda etkili olur. Toplanan bilgilerden yararlanarak başlangıç KR değerlemesinin yapılması. İlk değerlendirme genellikle kontrol ortamı göz önüne alınarak yapılır. Küçük ölçekli işletmelerde denetçi başlangıç KR değerlemesini yapmayıp, KR düzeyini maksimum (%100) olarak dikkate alabilir. Bilgi paylaşımının elektronik ortama taşındığı işletmelerde denetçinin KR düzeyini düşük belirlemesi gerekebilir. Daha düşük KR değerlemesinin mümkün olup olmayacağının belirlenmesidir. Denetçi, müşteri işletmenin finansal tablolarda önemli yanlışlıkları bulma veya önlemede iç kontrolünün tasarlanma ve işleyiş etkinliğini saptadıktan sonra nihai KR değerlemesi yapar. Denetçi işletmede kontrollerin iyi tasarlanmış olduğunu saptadıktan sonra, elde ettiği bilgi, denetim stratejisine uygun olarak denetim programlarının oluşturmasına yardımcı olacaktır İç Kontrol Tasarımının ve Uygulanışının Değerlendirilmesi (Kontrol Riskinin Başlangıç Değerlemesi) Denetçi kontrollerin tasarım etkinliğini saptarken, ilk bakacağı hususlar; müşteri işletmenin kontrol ortamı ve risk yönetim anlayışıdır. Denetçi süreçlerdeki kontrolleri değerlemeden önce, işletme düzeyinde yani kontrol ortamına yönelik genel değerlendirmeyi yapar. Daha sonra süreçler ve başlıca alt süreçlerdeki kontrolleri tanır ve etkinliğini değerler. Söz konusu değerleme çalışmalarını yaparken denetimin amaçlarını (Gerçekleşme, tamlık, değerleme, haklar ve yükümlülükler, sunuş ve açıklama gibi) göz önünde bulundurur. Denetçinin bütün gayreti, süreçlere yerleştirilmiş kontrollerin hesap kalemleri, finansal 28

30 tabloların sunum ve açıklamalarına yapacağı etkiyi değerlemektir. Kontrollerin işleyiş etkinliğini saptamak için denetçinin kontrol testlerini yapması gerekir. Aşağıdaki şekilde süreçlerin incelenmesi, kontrol riski ve kontrol testleri arasındaki ilişki özetlenmiştir. Süreçlerdeki risklerin belirlenmesi Risklere ilişkin iç kontrollerin belirlenmesi Kontrollerin etkinliğinin denetlenmesi Maddi doğruluk testlerinin planlanması limitli İşleyen iç kontroller Kontrollerin işleyişinin test edilmesi Etkin iç kontroller İşlemeyen iç kontroller kapsamlı Etkin olmayan iç kontroller Şekil: Süreçlerin İncelenmesi ve Kontrol Testleri (Kaynak: Kavut vd, 2009:139). İç kontrol, finansal raporlamanın güvenilirliği gibi hedeflere ulaşılmasını tehdit eden tanımlanan iş risklerine hitap edecek şekilde tasarlanmakta ve uygulanmaktadır. En temel düzeyinde, iş kontrol tasarımı, iç kontrollerle eşleşen risk faktörlerinin bir listesinden oluşmaktadır (UDS 315 Paragraf 42 ye bakınız). Bir kontrolün tasarımının değerlendirilmesi, kontrolün, bireysel olarak veya diğer kontrollerle birlikte, yanlış beyanları etkin bir şekilde önleme, tespit etme ve düzeltme kapasitesine sahip olup olmadığının değerlendirilmesini içermektedir. Kontrol tasarımının değerlendirilmesi şunları içermektedir: İlgili risk faktörlerinin tanımlanması (bir önemli yanlış beyanla sonuçlanabilecekler), İç kontrolün risk faktörlerinin haritalandırılması ve yanlış beyanların meydana gelişinin önlenmesi ve meydana geldikten sonra yanlış beyanların tespit edilerek düzeltilmesi, Kontrolün, bireysel olarak veya diğer kontrollerle birlikte, önemli yanlış beyanları etkin bir şekilde önleme, veya tespit etme ve düzeltme kapasitesine sahip olup olmadığının tespit edilmesidir. 29

31 ZAYIFLIK KONTROLLER Meydana Gelme Tam Olma Doğruluk Aktarma ve Özetleme Sınıflandırma Hesap Kesimi (Zamanlılık) Denetçi süreçlere ilişkin başlangıç kontrol riskini değerlerken Kontrol Risk Matrisi (KRM) hazırlayabilir. Matriste her bir kontrol, en azından bir veya daha fazla denetim amacı ile yakından ilgilidir. Aşağıdaki tabloda satışlar sürecine ilişkin KRM örneği gösterilmiştir. İÇ KONTROL Tablo: Kontrol Risk Matrisi Satışlar SATIŞ SÜRECİ İLE İLGİLİ DENETİM AMAÇLARI Belirlenmiş kredi limitleri için bilgisayar yardımıyla otomatik karşılaştırma yapılması ve alacağın onaylanması (K1) Kayıtlı satışlar, onaylı müşteri sipariş formları ve taşıma belgeleri ile desteklenir (K2) Kasa tahsilatı, satışların kaydedilmesi ve faturalama görevleri ayrı kişilerce yürütülmektedir (K3) Taşıma belgeleri faturalama için günlük gönderilir, faturalama ertesi gün yapılır (K4) Taşıma belgeleri sıra numaralıdır ve haftalık olarak sayılır (K5) Fatura genel toplamı ile teslimat genel toplamları karşılaştırılır (K6). Faturalarda onaylanmış satış fiyatları kullanılır (K7) Satış işlemlerinin iç mutabakatı yapılır (K8). G G G G G G G G G G G G G G G Müşterilere aylık hesap özeti gönderilir (K9). G G G Büyük defter ve yardımcı defter kayıtları otomatik olarak gerçekleşir (K10). Alacak hesapları yardımcı defter ile büyük defter aylık olarak karşılaştırılır (K11) Satış faturasının birden fazla kaydedilme riskine karşılık iç doğrulama eksikliği vardır (Z1) Z G G Z Kayıtların zamanında yapılıp yapılmadığın test eden bir kontrol bulunmamaktadır (Z2) Değerlenmiş Kontrol Riski Orta Düşük Düşük Düşük Düşük Orta G = Güçlü; Z= Zayıf (Kaynak: Arens vd, 2012:329). Denetçi KRM yi iç kontrolleri tanırken elde ettiği anket formlarından ve akış şemalarından yararlanarak oluşturur. Matriste denetçi özellikle anahtar kontroller adı verilen görevlerin ayrımı, yetkilendirme, belge düzeni, fiziksel kontroller ve bağımsız doğrulama gibi kontrollerin bulunup bulunmadığına bakar. Denetçi KRM yardımıyla denetim amaçlarına göre işletmedeki iç kontrol zayıflıklarını saptadıktan sonra bunun finansal tablo kalemlerine, finansal tablonun sunum ve açıklamasına etkisi aşağıdaki tabloda olduğu gibi belgelendirir. 30

32 Tablo: İç Kontrol Zayıflıkları Müşteri: Mars A.Ş. İç Kontrol Zayıflıkları Döngü: Satışlar ve Tahsilat Referans: G-1 Hazırlayan: ŞU Dönemi: 30/06/2012 Zayıflık Telafi Edici Kontrol Olası Yanlışlık Önemlilik Denetim Kanıtına Etkisi Yok Satışları mükerrer Önemli kaydetme 1. Sıra numaralı faturaların muhasebeleştirilmesi 2. Günlük teslimatları ile kayıtların bağımsız doğrulaması yapılmamaktadır. (Kaynak: Arens vd, 2012:331). Kaydedilmemiş teslimatlar haftalık olarak incelenmektedir. a) Denetim yazılımı kullanılarak mükerrer kaydedilmiş satış faturası numaraları incelenecek. b) Satışlar ve brüt kar marjı karşılaştırması yapılacak. c) İç kontrolün denetiminde etkisi dikkate alınacak. N/A N/A N/A KRM de belirlenen KR değerlemesi, nihai değerleme değildir. Kontrol testleri ve destekleyici testler yapılmadan nihai değerleme yapılamaz. Kontrollerin Uygulanışı: İç kontrolün tasarımı ve uygulanışı konusunda denetim kanıtı elde etmek için risk değerlendirme prosedürleri gerekmektedir. Bu prosedürler, şunları içerecektir: - İşletme personelinin sorgulanması, - Spesifik kontrollerin uygulanışının gözlemlenmesi, - Belgelerin ve raporların incelenmesi, - Finansal raporlama ile ilgili bilişim sistemi içindeki işlemlerin izlenmesidir. Dört Adım İşlemi: İç kontrolün anlaşılmasında ve daha sonra iç kontrol tasarımı ve uygulanışının değerlendirmesinde dahil olan dört önemli adım vardır. Bunlar aşağıdaki şekilde belirtilmiştir: 31

33 Bir Risk Değerlendirme Prosedürü: Hangi risklerin azaltma gerektirdiğini belirleyin İç Kontrolleri Tanıma: İlgili iç kontrolleri belgelendirin Bir Risk Değerlendirme Prosedürü: İç kontrollerin uygulanışını değerlendirin (Kaynak: IFAC, 2007) Risklerle Kontrolleri Eşleştirin: İç kontrol tasarımını değerlendirin Şekil: İç Kontrolü Tanımada 4 Adım yaklaşımı Birinci adım, finansal tablolarda bir önemli yanlış beyanı önlemek için hangi risklerin hafifletilmesi gerektiğini belirlemektir. Risk faktörleri genellikle spesifik bir iç kontrol hedefine ulaşılamaması durumunda "neyin yanlış gideceği" olarak tanımlanır. Adım 2 ve 3 genellikle aynı zamanda tamamlanabilir. 2. Adımın amacı, Adım 1 de listelenmiş olan risk faktörlerini hafifleten iç kontrolün mevcudiyetini belirlemektir. Yine de şunu hatırlayın ki denetimle ilgili olmayan iç kontrollerin belgelenmesi ve değerlendirilmesi için herhangi bir zorunluluk yoktur. Kontrolleri belgelerken, her zaman diğer kontroller üzerinde yaygın bir etkisi olan kontrollerle başlayın. Bu kontroller aşağıda örneği verilen soru formları kullanılarak tanımlanabilir: Yönetimle kimin sorumlu olduğu, bunların vasıfları, bağımsızlıkları ve işlevlerini nasıl gerçekleştirdikleri, Yönetimin göz ardı edişine hitap eden mevcut hile önleme kontrolleri (varsa), Yevmiye defterleri üzerindeki iç kontrol, Muhasebe politikalarının seçimi, İç kontrole yönelik yönetim tavrı ve bunun günlük operasyonlarla nasıl kanıtlandığı, Çalışanları, finansal sonuçları manipüle etme konusunda motive eden teşvik planları, İşletmenin elinde bulunan değerler ve bunların çalışanlara nasıl etkin bir şekilde iletilebileceği. Genç çalışanlara işletmenin değerleri ve mevcut davranış kuralları konusunda bilgileri olup olmadığı sorulabilir. Anahtar personelin ehliyeti ve iş tanımlarının uygunluğu, Yönetimin politikalarda ve prosedürler yaptığı istisnalar (varsa), Yıl içindeki sorunların veya sistem çatışmalarının nasıl ele alındığı, 32

34 Çalışanlardan, yönetim tarafından herhangi bir kontrolü göz ardı etmeleri talep edilip edilmediği, Herhangi bir yasa dışı faaliyet veya potansiyel hile konusunda bilinçtir. Adım 3 Kontrolün Uygulanışının Değerlendirilmesi olup; sadece denetimle ilgili iç kontrolün uygun şekilde tasarlanıp uygulandığı tespit edildikten sonra şunlar değerlendirilebilir: Kontrollerin işleyiş etkinliğinin hangi testleri (varsa) diğer bağımsız testlere duyulan ihtiyacı azaltacaktır, Bağımsız olarak test edilememeleri nedeniyle hangi kontroller testi gerektirmektedir. Adım 4 İç Kontrol Tasarımının Değerlendirilmesi olup; elde edilen tüm bilgileri bir araya toplamak ve belirlenen (ve uygulanan) kontrolleri risk faktörleri ile haritalandırmaktır. Bu durumda belirlenen kontrollerin, bireysel olarak veya diğer kontrollerle birlikte, önemli yanlış beyanları etkin bir şekilde önleme veya bunları tespit edip düzeltme kapasitesine sahip olup olmadığını tespit etmek bir profesyonel yargı konusudur. Yukarıdaki dört adımın tamamlanması üzerine, denetçi iç kontroldeki önemli zayıflıkları ele almalıdır. UDS 315 e göre denetçi, yönetim veya idareden sorumlu olanları, mümkün olduğu zaman, ve uygun bir sorumluluk düzeyinde, denetçinin dikkatini çekmiş olan iç kontrolün tasarım ve uygulanışındaki önemli zayıflıklar konusunda bilgilendirmelidir. Denetçinin kontrolleri tanımada kullandığı 4 adım yaklaşımı aşağıdaki akış şemasında ayrıca gösterilmiştir. 33

35 Adım 1 Risk Belirleme Finansal tablolarda önemli yanlış beyanla sonuçlanacak (iç kontrolle azaltılmamış) riskler neler? Adım 2 Kontrol Tasarımını Değerle Adım 1 de belirlenen önemli yanlış beyanların etkin olarak önlenmesi veya tespit edilip düzeltilmesi için kontroller var mı? Hayır Adım 3&4 Kontrol Uygulamasını Değerlendir ve Belgele Kontroller mevcut mu ve işletme bunları kullanıyor mu? Hayır Yönetim & yönetimden sorumlu olanlara kontroldeki önemli eksiklikleri raporla Ulaşılan sonuçları ve yorumları belgele (Kaynak: Mazars, 2012; IFAC,2011) Şekil: 4 Adım Yaklaşımı Kontrol Riskinin Nihai Değerlemesi Denetçi önemli yanlışlık riskini değerlendirme işinin bir parçası olarak yukarıda açıkladığımız şekilde iç kontrollerin tasarımı ve uygulamasına ilişkin bilgi toplar ve bu bilgiler ışığında başlangıç kontrol riskini değerlendirir. Risk değerlendirmede önceki ünitelerde anlatılan çeşitli yöntem ve teknikler kullanılır. Denetçinin başlangıçta belirlemiş olduğu kontrol riski düzeyi her bir önemli işlem sınıfının denetim işinin planlanmasında kullanılır. Denetçi eğer başlangıçta işletmenin finansal bilgi sistemi üzerindeki iç kontrollerin çok zayıf olduğunu düşünüyorsa finansal tabloların denetimini uygun bulmayabilir. Bu nedenle denetçinin bu aşamada finansal tabloları denetleyip denetlemeyeceğine karar vermesi gerekir. Bu kararı verirken yönetimin dürüstlüğü ve muhasebe kayıtlarının yeterliliği ile ilgili 34