YENİ TTK İLE GETİRİLEN YILLIK FAALİYET RAPORU DENETİMİNİN FİNANSAL RAPORLAMA İLE İLGİLİ İÇ KONTROL RAPORU DENETİMİ İLE BENZERLİKLERİ

Transkript

1 YENİ TTK İLE GETİRİLEN YILLIK FAALİYET RAPORU DENETİMİNİN FİNANSAL RAPORLAMA İLE İLGİLİ İÇ KONTROL RAPORU DENETİMİ İLE BENZERLİKLERİ Prof. Dr. Şaban UZAY Doç. Dr. Seçkin GÖNEN ÖZET Yeni TTK (6102 sayılı Türk Ticaret Kanunu), kurumsal yönetim ilkelerine yönelik bir çok yenilik yanında, Türkiye de sermaye şirketlerinin denetimi alanında da önemli değişiklikler meydana getirmiş ve sadece finansal tabloların değil, faaliyet raporlarının da bağımsız denetimini öngörmüştür. Kanun metni ve gerekçelerinden, yıllık faaliyet raporu denetiminin uluslararası denetim standartları bağlamında muhasebe iç denetimleri olduğu anlaşılmaktadır. Yıllık faaliyet raporu denetimi, ABD, Japonya gibi ülkelerde uygulanan Finansal Raporlama ile ilgili İç Kontrol Raporu (ICFR) ve denetimi ile benzerlikler taşımakla birlikte aynısı değildir. Türkiye de SPK nın gerek bağımsız denetimle gerekse kurumsal yönetim ilkeleri çerçevesinde var olan düzenlemeleri de ICFR ve denetimini tam manasıyla karşılamamaktadır. Dolayısıyla TTK ile ilgili ikincil düzenlemeler yapılırken halka açık şirketlerde ve/veya İMKB de işlem gören şirketlerde şirket üst yönetiminin ICFR yi düzenli olarak yayınlaması ve bu raporların bağımsız denetime tabi olması gerekliliği, hazırlanan finansal tabloların güvenilirliğini artıracağı gibi düzenleyen şirketlerin iç finansal raporlama ve iç kontrol zayıflıklarını da ortadan kaldıracaktır. Anahtar Kelimeler: İç Kontrol, Denetim, Finansal İç Kontrollerin Denetimi 1. GİRİŞ Güvenilir finansal raporlamadan kastedilen; finansal tabloların önemlilik kavramı gözetilerek genel kabul görmüş muhasebe prensiplerine ve dış amaçlar için oluşturulan yasal düzenlemelere uygun hazırlanmasıdır. Doğru sunuşu destekleyen temel finansal tablo iddiaları; a) var olma veya meydana gelme, b) tamlık, c) haklar ve yükümlülükler, d) değerleme ve dağıtım, e) sunuş ve açıklamadır. İşletmenin söz konusu iddialara ilişkin makul bir güvence sağlaması için örgüt düzeyinde ve faaliyet düzeyinde spesifik kontroller oluşturması gerekmektedir (IIA, 2009:6-27). İç kontrolün amaçlarından biri, işletmede güvenilir finansal raporların oluşturulmasıdır. ABD de SOA (Sarbanes Oxley Act) ile birlikte Sermaye Piyasası Kuruluna kayıtlı şirketlerde Bu çalışma, I. Türk Coğrafyasında Uluslararası Finansal Raporlama Standartları Sempozyumunda sunulmuş olup, daha sonra geliştirilmiştir. Erciyes Üniversitesi, İ.İ.B.F., İşletme Bölümü, E Posta: suzay@erciyes.edu.tr Dokuz Eylül Üniversitesi İ.İ.B.F. İşletme Bölümü, E Posta: seckin.gonen@deu.edu.tr 1

2 üst yönetimin (özelikle genel müdür ve mali işlerden sorumlu müdür) Finansal Raporlama ile ilgili İç Kontrolün Güvenilirliği Raporu (Internal Control Over Financial Reporting ICFR) düzenlemesi, yıllık faaliyet raporunun ve finansal tabloların eki olarak kamuoyuna açıklanması zorunluluğu getirilmiştir. Ayrıca söz konusu ICFR raporunun bağımsız denetimden geçirilmesi de şarttır. Bağımsız denetim firmaları ICFR ile ilgili yapmış oldukları denetimlerde özellikle finansal raporlama ile ilgili kontrollere (finansal kontrollere) yoğunlaşmaktadırlar. ABD de denetçilerin denetimi amacıyla oluşturulan Kamu Gözetim Kurulu (Public Company Accounting Oversight Board -PCAOB) söz konusu denetimlerle ilgili 2007 yılında 5 nolu standardı ve ilave açıklamaları yayınlamıştır 1. Ayrıca iç kontrolle ilgili komisyon (COSO) ise KOBİ niteliğindeki halka açık şirketlerde iç kontrol denetimlerinde maliyet tasarrufu sağlamak için Temmuz 2006 da bir rehber yayınlamıştır. Türkiye de ise, sadece borsa şirketlerini değil tüm özel ve kamu işletmelerini etkilemeye başlayan kurumsal yönetim ilkelerine ulaşmayı hedefleyen Yeni Türk Ticaret Kanunu (6102 Sayılı Kanun), anonim şirketlerde denetimin düzenlendiği ilgili maddelerde denetimin tanımı yapılırken Md. 397/1 ile yıllık finansal tabloların denetimi yanında yönetim kurulunun yıllık faaliyet raporu içinde yer alan finansal bilgilerin, denetlenen finansal tablolar ile tutarlı olup olmadığı ve gerçeği yansıtıp yansıtmadığı da denetimin kapsamı içine almıştır. Söz konusu maddenin gerekçesinde ise denetlenecek olanın şirketin finansal tabloları ile yıllık raporları ve bunlar bağlamında tüm şirket muhasebesi olduğu açıklanmıştır. Diğer yandan denetimin kapsamının belirlendiği 398/2 maddenin gerekçesinde ise yönetim kurulunun yıllık faaliyet raporunun, envanterin, uluslararası denetim standartları bağlamında muhasebe iç denetimlerinin şeklinde açıklanmıştır. Denetim raporu ile ilgili 402/2. maddede ise; denetçinin ayrı bir rapor halinde, yönetim kurulunun şirketin veya topluluğun durumu hakkındaki yıllık faaliyet raporunda yer alan irdelemeleri, denetçi tarafından, finansal tablolar ile tutarlılığı ve gerçeğe uygunluğu açısından değerlendirilir maddesinin gerekçesinde; faaliyet raporunu bütünüyle denetlenip değerlendirilmesine uygun herhangi bir mekanizmanın anonim şirket yapısı içinde bulunmadığı, bunun bir eksiklik olduğu, halka açık şirketlerde iç denetim komitesinin bu boşluğu doldurabildiği, kapalı veya aile şirketi niteliğini taşıyan şirketlerde ise böyle bir mekanizmaya gereksinim duyulmadığı açıklanmıştır. Yukarıda yapılan açıklamalar Yeni TTK ile getirilen ve denetçiden düzenlenmesi istenen yıllık faaliyet raporu denetiminin, SOA ile ABD de oluşturulan ICFR raporlaması ve denetimi ile benzerlikler taşıdığını bizlere göstermektedir. Türkiye uygulamasında çok iyi bilinmeyen 1 Auditing Standart No:5, An Audit of Internal Control Over Financial Reporting That is Integrated with an Audit of Financial Statemenets, IIA Resarch Foundation, Internal Auditing: Assurance and Consulting Services, Second Edition, 2009, p

3 ICFR nin hazırlanması ve denetiminin önemi ve özelliklerinin tanıtılması ve yeni TTK nın bu açıdan değerlendirilmesi bu çalışmanın amacını oluşturmaktadır. 2. SOA ve BENZERİ YASALARDA ICFR DÜZENLEME VE BAĞIMSIZ DENETİM GEREKLİLİĞİ Enron skandalından sonra 2002 yılında yürürlüğe giren SOA nın amacı, yatırımcıların sermaye piyasalarına olan güvenini yeniden kazandırmayı içeren bir reformu başlatmaktı. Bu amaçla, SOA, Kamu Gözetim Kurulu (PCAOB) u kurarak, bu kurula denetleme, kalite kontrol, etik ve bağımsızlık standartlarını uygulama, bu standartlara uygunluğu sağlama ve SOA ya tabi olan her kayıtlı denetim firmasını inceleme yetkisini ve SOA ya uygunluk ile ilgili olarak Amerikan Sermaye Piyasası Kurulu (SEC) e yıllık olarak bir rapor sunma görevini verdi. Böylece SEC e kayıtlı şirketlerde, finansal raporlama üzerindeki iç kontrollerin güvenilirliğini değerlendirecek bir iç kontrol sistemi oluşturmaları öngörülmüştür (Agami, 2006). Ekte uluslararası bir şirketin 2010 yılı faaliyet raporunda sunulan SOA ya uygun yönetimin ICFR raporu ve ilgili bağımsız denetim raporu sunulmuştur. Finansal raporlama ile ilgili iç kontrollere ilişkin ilk standart SOA kapsamında denetçilerin denetimi amacıyla oluşturulan PCAOB tarafından yayımlanan 2 No lu denetim standardıdır. Standardın yürürlük tarihi SEC e tabi ABD şirketleri için 15 Kasım 2004, SEC e tabi uluslararası şirketleri için 15 Temmuz 2005 olarak belirlenmiştir. Ayrıca SOA nın ICFR ye ilişkin bölümleri 404 ve 103 ve 302 nolu bölümlerdir. Bölüm 404 ile şirket yönetimlerine şirketin finansal raporlamasına yönelik iç kontrollerinin yeterliliğini değerlendirme zorunluluğu getirilmiştir. Bölüm 103 ile şirketin bağımsız denetimini gerçekleştiren firmanın, yönetim raporunu değerlendirmesi gerekmektedir. Bölüm 404 e göre, SEC e kayıtlı bir şirketin yıllık raporunda (PricewaterhouseCoopers, 2004:8-9); Yönetimin şirketin finansal raporlamaya yönelik yeterli iç kontrolleri kurma ve muhafaza etme sorumluluğunu, Yönetimin finansal raporlamaya yönelik iç kontrollerin etkilerini değerlendirmek için kullandığı çerçeveyi, Yönetimin raporlanan dönem itibariyle yaptığı değerlendirmenin sonucunu açıklaması gerekmektedir. Ayrıca, mali tabloları denetleyen kuruluşun yönetimin yaptığı bu değerlendirme ile ilgili bir görüş beyan etmesi gerekmektedir (Attestation Report). ICFR, ile ilgili SOA 302 numaralı bölümde; şirket yönetimi kapsamında iki gereksinim sunar. Bunlardan ilki, yöneticilerin açıklama kontrol ve prosedürlerinin etkiliğini değerlendirmesi ve bulgularının şirketin denetleme komitesine özel olarak açıklanmış olduğu gerçeğini kanıtlaması gerektiğidir. İkincisi, yöneticilerin iç kontrol kapsamında yer alan 3

4 önemli zayıflık ve değişiklikleri açık bir şekilde belirtmeleridir. Bölüm 404 ise yönetimin şirketin iç kontrol sisteminin güvenirliğini kanıtlaması gerektiği ya da ilgili her türlü zayıflığı açıklamak zorunda olduğu yıllık bir rapor verme gerekliliğini ortaya koymakta ve 404 numaralı Bölüm kapsamında, denetçinin şirket kapsamındaki iç kontroller ile ilgili yönetim raporuna yönelik ayrı bir görüş sunması gerekmektedir (Beneish vd. 2008: 6-7, Agbejule ve Jokipii, 2009:501) yılında SOA nedeniyle zorunlu olarak gerçekleştirilmesi gereken iç kontrol incelemelerinin yüksek maliyetli olduğuna yönelik şikayetlere yanıt olarak, PCAOB, 5 No lu Denetim Standardını ve ilave açıklamaları yayınlamıştır. 5 No lu denetim standardı, denetçinin yönetimin değerlendirilmesine yönelik görüş bildirmesi gerekliliğini ortadan kaldırarak önceki standardı düzenlemiştir (Zolnor, 2009:54). PCAOB a göre, finansal raporlama ile ilgili iç kontrollerin güvenirliği raporu, finansal raporlamanın güvenirliliğine ve finansal tabloların genel kabul görmüş muhasebe ilkelerine (GAAP) uygun hazırlanışına makul güvence vermek için tasarlanmış bir süreç olup, aşağıda belirtilen prosedürleri içermektedir (Auditing Standart No:5;2007:35-36): Şirket varlıkları üzerinde gerçekleştirilen işlemleri ve düzenlemeleri tam, ayrıntılı ve adil bir şekilde yansıtmak için kayıtların muhafaza edilmesi, Finansal tabloların Genel Kabul Görmüş Muhasebe İlkeleri ne uygun hazırlanması için gerekli tüm işlemlerin kaydedildiğine ve şirketin gelir ve harcamalarının şirket yönetimi tarafından onaylandığına yönelik makul güvencenin verilebilmesi, Şirketin finansal tablolara önemli derecede etki edebilecek varlıklarının onaylanmadan alımının, kullanımının veya elden çıkarımının önlendiğine veya zamanında tespit edildiğine yönelik makul güvencenin verilebilmesidir. ICFR nin denetimini yapacak denetçinin amacı, ICFR nin etkinliği üzerine görüş bildirmektir. Çünkü etkin bir ICFR, finansal tabloların güvenilirliği konusunda makul bir güvence sağlamaktadır. Ancak bir ya da birden fazla önemli zayıflık (material weaknesses) söz konusu ise, raporun etkinliği sona ermektedir. Dolayısıyla, denetçi makul güvenceleri elde etmek için gerekli kanıtları toplayarak denetimi planlamalı ve gerçekleştirmelidir (Auditing Standart No:5, 2007:4). ICFR ile ilgili 5 No lu standart, finansal raporlama üzerindeki iç kontrol kapsamında yer alan önemli zayıflık kavramının da üstünde durmakta ve hem yönetimin hem de bağımsız denetçinin açık bir şekilde yıl sonu itibariyle mevcut olan finansal raporlama üzerindeki iç kontrol kapsamındaki her türlü önemli zayıflığı açık bir şekilde raporlaması zorunluluğunu 4

5 getirmektedir. Önemli zayıflık, şirketin yıllık ya da ara dönem finansal tabloları kapsamında yer alan önemli bir yanlış beyanın engellenememesi ya da zamanında tespit edilememesi olasılığı gibi finansal raporlama üzerinde iç kontrol kapsamında yer alan bir eksiklik ya da eksiklikler bütünüdür. Tek bir önemli zayıflığın mevcut olması yönetim ve bağımsız denetçinin finansal raporlama üzerindeki iç kontrolün güvenilir olmadığına karar vermesini gerektirir. En olası raporlama senaryoları Tablo 1 kapsamında belirtilmektedir (Shelton and Whittington, 2008: ). Bunlar: Tablo 1: İç Kontrol Raporları Hiçbir önemli zayıflık belirlenemedi Yönetim ve denetçi tarafından önemli zayıflık belirlendi Denetçi tarafından önemli zayıflık bulundu ancak yönetim tarafından kabul edilmedi Yönetimin Raporu Etkin Etkin değil Etkin Denetçinin ICF nin Etkiliğine Yönelik Verdiği Rapor Olumlu Olumsuz Olumsuz Kaynak: Shelton and Whittington, 2008:143 ICFR ve finansal tabloların birlikte denetimi kapsamında, denetçinin her iki denetimin hedeflerini eş zamanlı olarak gerçekleştirebilmeleri için kendi kontrollerini tasarlaması gerekmektedir. Dolayısıyla denetçi (Auditing Standart No:5, 2007:5-6); Yıl sonu itibariyle ICFR ye yönelik görüşünü destekleyecek yeterli kanıt elde etmek, Finansal tabloların denetiminde kontrol risk değerlendirmelerini destekleyecek kanıt elde etmek durumundadır. PCAOB un 5 nolu standardı aynı zamanda küçük ölçekli halka açık şirketlerde finansal tablo denetimi ile iç kontrolün denetimini entegre olabileceğini açıklamıştır. Söz konu yaklaşıma ise Entegre Denetim Yaklaşımı (The Integrated Audit Approach) adı verilmektedir (PCAOB, 2009). Japonya da sermaye piyasasına kayıtlı halka açık şirketlerin, SOA nın Japonya versiyonu olan J-SOX a göre; SOA da öngörüldüğü gibi ICFR raporu düzenlemesi ve bu raporların bağımsız denetimini zorunluluğu Nisan 2008 den itibaren getirilmiştir. Söz konusu zorunluluk sadece sayıları ü bulan listedeki şirketler için değil onların bütün dünyaya 5

6 yayılmış iştirakleri için de geçerlidir. Dolayısıyla düzenlemeye tabi şirketler ICFR için risk temelli bir yaklaşımla bir iç kontrol yapısı oluşturmaya, kontrolleri dokümante etmeye başlamışlardır. Japonya Finansal Hizmet Ajansı (Japanese Financial Service Agency FSA, bu konuda rehber yayınlamıştır ( Avrupa Birliği (The European Union - EU) da ise kurumsal yönetim ilkelerinin yeterli olduğuna atıf yapılarak, EU düzeyinde şirketlerde iç kontrollerin etkinliğini onaylamak için herhangi bir yasal düzenlemeye ihtiyaç bulunmadığı görüşü hakimdir ( Sonuç olarak, SOA ile gelen ICFR zorunluluğu, iç kontrolün önemini artırmış ve iç kontrolün, işletmelerde satış, pazarlama, karlılık, sermaye yeterliliği gibi konuların önüne geçmesine yol açmıştır (IIA, 2009:6-8). PCAOB yönetim kurulu üyesi Niemer 2006 yılında yaptığı bir konuşmada; ABD de ICFR uygulamasının 2. yılında benzer sonuçlarla karşılaşıldığı, işletmelerin iç kontrol zayıflıklarını giderdiklerini belirtmiştir ( Niemer, 2006). 3. FİNANSAL RAPORLAMA İLE İLGİLİ İÇ KONTROL İç kontrol sisteminin oluşturulması ve etkinliğinin değerlendirilmesinde ilgililere yardımcı olan uluslar arası nitelikte üç çerçeve (rehber) bulunmaktadır. Bunlar: COSO (Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commissions, United States, 1992), CoCo (Guidance on Control, Canadian Istitute of Chartared Accountants, Canada, 1995), Turnbul ( Internal Control:Revised Guide for Directors on the Combined Code, Financial reporting Council, 2005), Söz konusu üç rehbere ilave olarak bilgi teknolojileri iç kontrol çerçevesi ile ilgili olarak da COBIT (COBIT 4.1, IT Governance Institute, United States, 2007) yayınlanmıştır. Her üç iç kontrol çerçevesinde geçen tanımlar benzer olup, iç kontrol; faaliyetlerin etken ve etkinliği, raporlamanın güvenilirliği ve uygunluk olmak üzere üç spesifik kategoride, bir örgütün işletme hedeflerini başarması için makul bir güvence sağlayan bir süreçtir (IIA, 2009:6-3). İç kontroller doğaları gereği üç kısımdan oluşur. Bunlar: Ortaya çıkarıcı kontroller, Önleyici kontroller ve Koruyucu kontrollerdir. Yapıları gereği kontroller ise üç başlık altında incelenebilir (Bozkurt, 2011: 52-55): Yaygın kontroller: İşletme düzeyinde kontroller olup, yapıları gereği yaygındır ve geniş bir kesim tarafından kullanılır. Kontrol ortamına ilişkin kontrollerdir. 6

7 Yönetimin kuralları çiğnememesine yönelik kontroller, dönem sonunda finansal raporlama süreci üzerindeki kontroller, önemli iş kontrolü ve risk yönetimi uygulamalarına yönelik politikalar gibi. Spesifik kontroller: İşlem kontrolleri olup, özellikle yanlışları önlemek ve varsa ortaya çıkarmak üzere tasarlanmış belirli işlemlere (satın alma, satış gibi) ilişkin kontrollerdir. Yaygın kontroller spesifik kontrollerin üzerine kurulduğu temel görevi görür. Hile karşıtı kontroller: Organizasyonda olumsuz davranışlar olmadan engellemek için oluşturulmuş olan kontrollerdir. Özellikle finansal raporlamaya ilişkin tepe yönetimi yaklaşımı en etkin hile karşıtı kontroldür. SOA ya uyum sağlama için Amerika Sermaye Piyasası Kurulu (SEC), ICFR ve ICFR de önemli değişiklikleri içeren raporun 3 ayda bir düzenlenmesini istemektedir. SEC, yapmış olduğu açıklamada; şirket üst yönetimlerinin yıllık iç kontrol değerlemesinde gerek COSO gerekse Turnbull raporlarında referans verilen iç kontrol çerçevesinden yararlanılabileceğini belirtmiştir (IIA, 2009:6-5). Yönetimin kontrol hedeflerine ulaşmasında makul güvenceyi sağlamak amacıyla oluşturduğu kontroller başlıca beş kısımda incelenmektedir. Bunlar: Kontrol ortamı, Risk değerleme, Kontrol faaliyetleri, Bilgi ve iletişim, İzlemedir. İç kontrolün beş unsurundan birincisi olan kontrol ortamının diğer dört kısım üzerinde bir çeşit şemsiye fonksiyonu bulunmaktadır. Çünkü etkin bir kontrol ortamının olmaması, diğer unsurları da olumsuz etkiler. İç kontrol unsurlarının her biri çok sayıda kontrolü içermekle birlikte, bağımsız denetçinin asıl ilgilendiği kontroller, finansal tabloların güvenilirliğini artırmaya yönelik olarak tasarlanmış olanlardır (Uzay, 2010: 94). COSO Raporunda belirtilen iç kontrolün unsurları Şekil 1 de gösterilmiştir. 7

8 Şekil 1: Bir Örgütün İç Kontrol Modeli Kontrol ortamı, iç kontrolün diğer unsurlarının temelini oluştur ve işletmedeki iç kontrollerin başarılı olmasında çok etkindir. İç denetim, kontrol ortamının önemli bir unsurudur. Risk değerlendirme, işletme amaçlarının başarılmasında ortaya çıkabilecek hata türlerinin tanımlanması ve analizidir. Kontrol faaliyetleri ya da kısaca kontroller ise; işletmenin amaçlarına ulaşabilmek için yürütülen faaliyetlerde, güvenilirliği sağlayabilmek için yönetim tarafından oluşturulan çeşitli politika ve prosedürlerdir. Bilgi sistemleri esas olarak çeşitli kontrol faaliyetlerini yürütmek için gerekli olan bilgileri toplar. İletişim ise, finansal raporlamanın ötesinde, iç kontrol politika ve prosedürlerle ilgili olan personelin nasıl çalıştığı ve sorumlulukları ile ilgilidir. İzleme veya gözlemleme ise, bir sistemin başarısının niteliğini değerlendirme sürecidir (Uzay, 2010: 95). Büyük ölçekli halka açık şirketlerin SOA 404 e uyumlu olarak söz konusu iç kontrol çerçevelerini başarı ile uygulayabilecekleri beklenmekle birlikte, küçük ölçekli halka açık şirketlerin gerek katlanılması gereken maliyetler gerekse küçük ve orta ölçekli işletme (KOBİ) olmalarından kaynaklanan aşağıda sıralanan özelliklerinden dolayı bir takım zorluklarla mücadele edecekleri açıktır. Çünkü KOBİ lerde; - Görevlerin ayrımını başarılı bir şekilde yapma konusunda kaynak yetersizliği, - Yönetimin kontrolü veya iş sürecini atlaması, - Finansal raporlama konusunda uzman kişileri işe almada ve bunları işletmede tutmada yaşanan eksiklikler, - Muhasebe ve finansal raporlama üzerinde yeterince yoğunlaşmaktan ziyade günlük işlerle meşgul olunması, - Sınırlı teknik kaynaklara sahip olunması ve bilişim teknolojilerinin kontrolünde karşılaşılan zorluklar söz konusudur (IIA, 2009:6-5). 8

9 KOBİ 2 niteliğindeki halka açık şirketlerde yaşanan zorluklar nedeniyle COSO, orijinal COSO çerçevesine ek olarak 2006 yılı Temmuz ayında Küçük Halka Açık Şirketler için Rehber (Internal Control Over Financial Reporting Guidance for Smaller Public Companies) yayınlamıştır. Böylece bu tür şirketler daha düşük maliyetle ICFR hazırlayabilecektir. COSO bu rehber ile yönetim ve yönetim kurulunun gerekli olan kontrol türleri ve kuruluşun hedeflerine ulaşmak için gerekli kontrollerin seviyesi ile ilgili olarak daha rasyonel kararlar verebilmesine olanak sağlayacağına inanmaktadır. Bu kararlar bir şirketin işlemlerinin karmaşık yapısı, çalışmalarının dağılımı ve bilgisayar uygulamalarının çok yönlülüğünün yanı sıra şirketin karmaşık yapısını da göz önünde bulunduracaktır. Bir kere uygulandığında rehber bir organizasyonun önemli kontrolleri belirlemesine, bu kontrolleri etkili bir şekilde değerlendirmesine ve bunların etkinlikleri doğrultusunda bir beyanda bulunabilmesine olanak sağlayacaktır. Yalnızca küçük bir halka açık şirket için ölçeklendirilmiş bu önemli kontroller tasarlanarak ve izlenerek, yönetimin gereksiz ya da mükerrer kontrolleri ve testleri engelleyebileceği beklenmektedir (Internal Control Over Financial Reporting-Guidance for Smaller Public Companies, 2006:12). Genel olarak küçük ve orta ölçekli işletmeler için önem taşıyan iç kontrollerin üç adet ikincil-etkeni üzerinde durulmaktadırlar. Bunlar (Michelman ve Waldrup, 2008:32): Ürün fiyatlandırması, sermaye yatırımı ve kaynak aktarımı gibi konular üzerinde yönetimin karar verme mekanizmasını destekleyen güvenilir ve zamanında bilgi, Kuruluş kapsamında, işlemlerin başlatıldığı ve bitirildiği hızı, bağlantılı kayıt tutmaya yönelik güvenirliği ve devam eden verilerin bütünlüğünü artıran, işlemlerin uygulanmasına yönelik sağlam mekanizmalar ve İş ortakları ve müşteriler ile işletme performansının doğru bir şekilde görüşülmesini sağlayan imkan ve güvence. COSO ile getirilen çerçeve gözetilerek oluşturulan 20 temel prensip Tablo 2 de özetlenmiştir: 2 COSO raporunda belirtilen küçük ölçekli şirketlerin ortak özellikleri şunlardır: - Az sayıda işletme hattı ve bu hatlarda az sayıda mamul üretimi. - Pazarlama faaliyetlerine yoğunlaşma - Patronun aynı zamanda yönetici olması - Az sayıda yönetim seviyesi, dolayısıyla kontrollerin daha geniş bir alana yayılması - Az sayıda karmaşık işlem süreçleri ve protokolleri - Az sayıda personel, dolayısıyla görev alanlarının daha geniş olması - Destekleyici personel pozisyonlarını (hukuku, insan kaynakları, muhasebe, iç denetim gibi) sağlamanın ve korumanın güç olması. 9

10 Tablo 2: Finansal Raporlama Üzerinde Etkin İç Kontrolü Başarmak İçin 20 Temel Prensip Kontrol Ortamı 1. Dürüstlük ve Etik Değerler Özellikle üst yönetimce finansal raporlama standardı olarak güçlü dürüstlük ve etik değerler oluşturmalı, geliştirmeli ve uygulamalıdır. 2. Yönetim Kurulu Kurul üyeleri, iç kontrol ve finansal raporlamaya ilişkin gözetim sorumluluğunu bilmeli ve uygulamalıdır. 3. Yönetim Felsefesi ve Faaliyet Tarzı Yönetim felsefesi ve faaliyet tarzı, finansal raporlama üzerindeki etkin iç kontrolün başarılmasını desteklemelidir. 4. Örgütsel Yapı Şirketin örgütsel yapısı, finansal raporlama üzerindeki etkin iç kontrolü desteklemelidir. 5. Finansal Raporlama Yetkinlikleri Şirkette finansal raporlama ve gözetim rolünü üstlenen çalışanlar olmalıdır. 6. Yetki ve Sorumluluk Finansal raporlama üzerindeki etkin iç kontrolü kolaylaştırmak için uygun düzeyde yetki ve sorumluluğa yönetim ve çalışanlar olmalıdır. 7. İnsan Kaynakları Finansal raporlama üzerindeki etkin iç kontrolü kolaylaştırmak için insan kaynakları politikaları tasarlanmalı ve uygulanmalıdır. Risk Değerleme 8. Finansal Raporlama Hedefleri Yönetim güvenilir finansal raporlama için riskleri tanımayı mümkün kılacak kriter ve yeterli açıklık için finansal raporlama hedeflerini belirlemelidir. 9. Finansal Raporlama Riskleri Şirket, risklerin nasıl yönetilebileceğini belirlemeyi esas alan finansla raporlamanın başarılması için riskleri tanımlamalı ve değerlendirmelidir. 10. Hile Riski Finansal raporlama hedeflerine ulaşmak için risklerin değerlendirilmesinde, hile dolayısıyla önemli yanlışlık olasılığı açıkça dikkate alınmalıdır. Kontrol Faaliyetleri 11. Risk Değerlemesiyle Bütünleşme Finansal raporlama hedeflerine ulaşmak için risklere yönelik eylemler gerçekleştirme. 12. Kontrol Faaliyetleri Seçimi ve Geliştirilmesi Finansal raporlama hedeflerine ulaşmak için risklerin azaltılmasında, maliyet ve olası etkenleri dikkate alarak kontrol faaliyetleri seçilmeli ve geliştirilmelidir. 13. Politikalar ve Prosedürler Güvenilir finansal raporlama politikaları ile üst yönetimin direktiflerinin yerine getirilmesine yönelik prosedürler oluşturulmalı ve tüm işletmeye duyurulmalıdır. 14. Bilişim Teknolojisi Şayet uygunsa, finansal raporlama hedeflerine ulaşılmasını destekleyecek bilişim teknolojisi kontrolleri tasarlanmalı ve gerçekleştirilmelidir. Bilgi ve İletişim 15. Finansal Raporlama Bilgisi Şirkette her seviyede kullanılan ilgili bilgi tanımlanmalı ve finansal raporlama hedeflerine ulaşılmasını destekleyecek şekil ve zaman diliminde dağıtımı yapılmalıdır. 16. İç Kontrol Bilgisi Diğer kontrol unsurlarının gerçekleştirilmesinde kullanılan bilgi tanımlanmalı, diğer kontrol sorumlularının işine yarayacak şekilde bir form ve zaman dahilinde dağıtılmalıdır. 10

11 17. İç Haberleşme Örgüt içindeki iletişim, örgütün bütün düzeylerde bireysel sorumluluklar dahil, iç kontrol hedefleri, süreçlerin icrasını ve anlaşılmasını etkinleştirmeli ve desteklemelidir. 18. Dış Haberleşme Finansal raporlama hedeflerine ulaşılmasını etkileyecek durumlar üçüncü kişilere bildirilmelidir. İzleme 19. Sürekli ve Müstakil Değerlemeler Finansal raporlamaya ilgili iç kontrolün mevcut ve fonksiyonel olup olmadığının belirlemek için sürekli ve müstakil değerlendirmeler yapılmalıdır. 20. Eksiklikleri Raporlama İç kontrole ilişkin eksiklikler tanımlanmalı ve zamanında düzeltici önlemi almaktan sorumlu kişiler ile ayrıca uygun düzeydeki yönetim ve kurul üyelerine bildirilmelidir. Kaynak: IIA, 2009:6-6. COSO, ayrıca küçük ölçekli halka açık şirketlerin iç kontrol süreçlerini nasıl ayrıntılı olarak izleyeceklerine ilişkin bir rehberi de (Guidance on Monitoring Internal Control Systems) 2009 yılında yayınlamıştır. 4. SPK VE YENİ TTK DÜZENLEMELERİNDE FİNANSAL RAPORLAMA İLE İLGİLİ İÇ KONTROL SPK nın uluslararası denetim standartları paralelinde oluşturduğu ilgili düzenlemelerinde finansal kontrollerle ile rastlanılan hususlar özetle aşağıdaki gibidir: Bağımsız denetçi, denetim çalışmalarında iç kontrol sistemi (İKS) de dahil olmak üzere işletme, faaliyet koşulları ve çevre ile olan ilişkileri hakkında bilgi toplar. Bu amaçla; görüşmeler yapar, analitik inceleme, inceleme ve gözlem tekniklerini uygular. Bu kapsamda bağımsız denetim ekibi finansal tablolara etki edebilecek önemli yanlışlıkları bir araya gelerek tartışmak zorundadır. Söz konusu görüşmelerde ekip üyeleri, önemli yanlışlıklar hakkında finansal tablolardan nasıl nerede şüphelenileceği hususu ile işletmenin iş riski hakkında karşılıklı bilgi alış verişinde bulunurlar, (X/22 10 Kısım Md.4 ve 5). Bağımsız denetçinin finansal raporlama ile ilgili iş süreçlerini ve iletişimi de kapsayan bilgi sistemini yakından tanımalıdır (X/22 Tebliğ, Onuncu Kısım, Md.18). Bağımsız denetçi işletmenin bütün kontrolleri ile ilgilenmez. Bağımsız denetçiyi ilgilendiren kontroller, finansal tablo riskleri ile ilgili olanlardır, yani finansal kontrollerdir. Kontrollerin yararlı olup olmadığını belirlemek bağımsız denetçinin takdirindedir (X/22 10 Kısım Md.12). Bağımsız denetçinin müşteri işletmenin finansal raporlama ile ilgili koşullarını tanırken gözlemlemesi gereken hususlar aşağıdaki gibi sıralanmıştır: - Finansal raporlama standartları ve sektöre özel uygulamalar, - Gelir tahakkukuna ilişkin uygulamalar, - Makul değer muhasebesi, 11

12 - Stoklar (yer ve miktar itibariyle) - Yabancı para, varlık, yükümlülük ve işlemleri, - Sektöre özgü önemli koşullar, - Karmaşık işlemlerin muhasebeleştirilmesi, - Finansal tabloların sunumu ve kamuyu aydınlatmadır. Finansal raporlamayla ilgili bilgi sistemi ise; işlemlerin başlatılması, kaydedilmesi, işleme tabi tutulması ve raporlanması ile varlık, yükümlülük ve öz sermayenin korunması için oluşturulan yöntemleri ve kayıtları içerir. İşlemler, programlanmış yöntemler vasıtasıyla manüel olarak veya otomasyonla başlatılabilir. Kaydetme; işlemler ve olaylarla ilgili bilginin belirlenmesi ve işleme tabi tutulmasıdır. Raporlama; işletmenin finansal performansının değerlendirilmesi ve gözden geçirilmesi ile diğer amaçlarla kullanılan finansal raporlarla ilgili bilginin elektronik formda veya yazılı doküman olarak hazırlanması ile ilgilidir. Bir bilgi sistemi; a) Tüm geçerli işlemleri tanımlayan ve kaydeden, b) Finansal raporlama açısından işlemlerin uygun sınıflanmasına imkan verecek detayda işlemleri tarih esasına göre tanımlayan, c) İşlemlerin değerini, finansal tablolarda uygun parasal değerlerine göre kaydedilmesine imkan verecek şekilde belirleyen, ç) İşlemlerin uygun muhasebe döneminde kaydedilmesine imkan verecek şekilde gerçekleştiği dönemi belirleyen, d) işlemleri ve ilgili açıklamaları finansal tablolarda uygun biçimde sunan yöntemleri ve kayıtları kapsar (SPK, Seri X, No:22 Tebliğ, Ek 9). Hileli finansal raporlama genellikle üst yönetimin etkin olarak işletilmesi gereken kontrolleri ihmal etmesinden kaynaklanır. Bu kapsamda hile ve usulsüzlük; - Faaliyet sonuçlarını değiştirmek için özellikle hesap dönemi sonuna yakın bir tarihte (veya ertesi dönemin başında) fiktif yevmiye kayıtları yapmak, - Muhasebe tahminlerinin yapılmasında kullanılan varsayımları uygun olmayan biçimde oluşturmak ve kanaatleri değiştirmek, - Raporlama döneminde meydana gelen işlem ve olayları finansal tablolara yansıtmamak, zamanından önce yansıtmak veya ertelemek, - Finansal tablolarda yer alan tutarları etkileyebilecek bilgileri gizlemek veya açıklamamak, - İşletmenin finansal durumunu yanlış sunmak amacıyla karmaşık işlemlere girişmek, 12

13 - Önemli ve olağandışı işlemlere ilişkin kayıtları ve koşulları değiştirmek suretiyle gerçekleştirilir (Seri X, No 22 Tebliğ, Altıncı Kısım, Madde 4.) İşletme yönetimleri çalıştırdıkları personele, işlemleri yanlış kaydetmeleri veya gizlemelerine yönelik talimat vermek suretiyle, hile ve usulsüzlüklerin önlenmesine yönelik kontrolleri aşabilirler. Sermaye piyasası mevzuatı gereğince; yıllık ve ara dönem finansa tablolar ile yıllık raporların; işletmenin üst yönetimince (genel müdür, ilgili bölüm başkanı, ilgili yönetim kurulu üyesi) imzalanması ve kamuya açıklanması öngörülmüştür. Ayrıca imza yükümlüsü görevliler; gerek işletmenin iç kontrol sistemiyle gerekse kendilerinin bilgiye ulaşma sistemiyle ilgili eleştiri ve önerilerini işletme yönetim kuruluna, denetimden sorumlu komiteye, işlemenin bağımsız denetimini yapmakta olan bağımsız denetim kuruluşuna bildirmekle ve yıllık raporu incelemeleri sırasında kullandıkları iç kontrol sistemi hakkında bilgi vermekle yükümlüdürler (SPK Seri X, No 22 Tebliğ, İkinci Kısım, Md.26). SPK nın tarih ve 48/1588 sayılı toplantı kararı gereğince İMKB de işlem gören şirketlerin 2004 yılına ilişkin faaliyet raporlarından başlama üzere, faaliyet raporlarında ve varsa internet sitelerinde kurumsal yönetim İlkelerine uyumuyla ilgili beyanlarına yer vermeleri uygun görülmüştür. Bu kapsamda İMKB de işlem gören şirketlerin raporlarında Risk Yönetim ve İç Kontrol Mekanizması başlığı altında iç kontrol sistemiyle ilgili özet bilgi sunulmaktadır 3. Yeni TTK (6102 sayılı Kanun) da, sermaye piyasası mevzuatına benzer şekilde; muhasebe, finans denetimi ve şirketin yönetiminin gerektirdiği ölçüde, finansal planlama için gerekli düzenin kurulmasının yönetim kurulunun görevleri arasında saymıştır (Md.375). Ayrıca Yeni TTK da ele alınan en önemli iki konudan birincisi; kapalı tipteki aile şirketlerindeki yapının ortadan kaldırılması ve kurumsal yönetimin benimsenmesi zorunluluğu, ikincisi ise, tüm şirketlerin şeffaflık ilkesine göre hareket etmesini yaptırımları ile birlikte düzenlenmesi ve bağımsız denetim zorunluluğudur (Hacırüstemoğlu ve Demir, 2011: 160). Yeni TTK ya göre denetimin konusu ve kapsamı şöyledir; öncelikle şirketin (anonim, limited ve sermayesi paylara bölünmüş komandit şirket) ve topluluğun finansal tabloları (bilanço, gelir tablosu, nakit akış tablosu, öz kaynak değişik tablosu, dipnotlar), yönetim kurulunun yıllık faaliyet raporları, envanterler, yeni TTK nın 378. maddesinde düzenlenen riskin erken teşhisi ve yönetimi komitesi raporları denetimin başlıca konularını oluşturmaktadır. Denetime tabi olan anonim şirketlerin ve şirketler topluluğunun finansal tabloları denetçi tarafından, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunca yayımlanan uluslararası denetim standartlarıyla uyumlu Türkiye Denetim Standartlarına göre denetlenmesi ve Yönetim kurulunun yıllık faaliyet raporu içinde yer alan finansal bilgilerin, 3 Örnek bir açıklama için bakınız; Arçelik A.Ş., 2010 yılı Faaliyet Raporu, ss

14 denetlenen finansal tablolar ile tutarlı olup olmadığı ve gerçeği yansıtıp yansıtmadığı da denetim kapsamı içinde yer almaktadır 4. Şirketin ve topluluğun finansal tablolarının ve yönetim kurulu faaliyet raporlarının denetimi Türkiye Muhasebe Standartlarına uygunluğu ile kanuna ve esas sözleşmeye uygunluğunu da kapsar. Finansal tablolar ile yönetim kurulunun yıllık faaliyet raporunun denetçinin denetiminden geçmemiş olmasının yaptırımı bunların düzenlenmemiş hükmünde sayılmasıdır (Md.397 ve 398). Yeni TTK nın hazırlanmasında ilgili komisyonun başkanlığını yürüten Prof. Dr. Ünal Tekinalp; finans denetimi teriminin kaynak İsviçre Borçlar Kanunu nun gerekçesinde açıkca bir iç kontrol mekanizması olarak adlandırıldığı, söz konusu terimin bir yandan finans yönetimine ilişkin görevlerin ve yetkilerin denetimini ifade ederken diğer taraftan da finans kavramı bağlamında şirketin iç denetimine vurgu yaptığını belirtmiştir (PWC, 2011:39). Türkiye de finansal raporlama ile ilgili iç kontrol güvence açıklamasına (güvence beyanına) kamu kesiminde de rastlanmaktadır. Kamu kurumlarında, idarelerde üst yönetici, harcama yetkilileri ve strateji geliştirme başkanı (Mali Hizmetler Birim Başkanı) İç Kontrol Güvence Beyanı verir. Mahalli İdareler Harcama Birimleri Görev ve yetki alanları çerçevesinde; her yıl, iş ve işlemlerini amaçlara, iyi mali yönetim ilkelerine, kontrol düzenlemelerine ve mevzuata uygun bir şekilde gerçekleştirildiğini içeren iç kontrol güvence beyanını düzenler ve birim faaliyet raporlarına eklerler (İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslar, Md.8). Kamuda bir iç kontrol güvence beyanı örneği Tablo 3 de sunulmuştur. Tablo 3: Kamuda İç Kontrol Güvence Beyanı - Örnek Harcama Yetkilisi olarak yetkim dahilinde; İÇ KONTROL GÜVENCE BEYANI Bu raporda yer alan bilgilerin güvenilir, tam ve doğru olduğunu beyan ederim. Bu raporda açıklanan faaliyetler için bütçe ile tahsis edilmiş kaynakların, planlanmış amaçlar doğrultusunda ve iyi mali yönetim ilkelerine uygun olarak kullanıldığını ve iç kontrol sisteminin işlemlerin yasallık ve düzenliliğine ilişkin yeterli güvenceyi sağladığını bildiririm. Bu güvence, üst yönetici olarak sahip olduğum bilgi ve değerlendirmeler, iç kontroller, iç denetçi raporları ile Sayıştay raporları gibi bilgim dâhilindeki hususlara dayanmaktadır. Burada raporlanmayan, idarenin menfaatlerine zarar veren herhangi bir husus hakkında bilgim olmadığını beyan ederim. (ANKARA -../../2011) İmza 4 Türk Ticaret Kanunu İle Türk Ticaret Kanununun Yürürlüğü ve Uygulama Şekli Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun, Resmi Gazete, Tarih: 30 Haziran 2012, Sayı:

15 Kaynak: Rıza Yılmaz, Belediye, İl Özel İdareleri ve 5018 Sayılı Kanuna Tabi Olan Mahalli İdare Birliklerinde İç Kontrol Sistemini Kurmanın Önemi ve İçişleri Bakanlığının Konuya Yaklaşımı, ( Erişim Tarihi: ) Yukarıdaki açıklamaları özetlersek; Mevcut SPK düzenlemeleri kapsamında gerek bağımsız denetim gerekse kurumsal yönetim ilkeleri kapsamında halka açık şirketlerden istenenler, ICFR ve denetiminden uzaktır. Diğer yandan Yeni TTK ile getirilen faaliyet raporunun ve denetiminin ICFR ve denetimiyle bazı benzerlikler taşımakla birlikte aynısıdır demek güçtür. TTK ile ilgili beklenilen ikincil düzenlemeler sonucu yıllık faaliyet raporu ve denetimi konusundaki belirsizlikler de açığa kavuşmuş olacaktır. 5. SONUÇ VE DEĞERLENDİRME Sonuç olarak, Sermaye Piyasası Mevzuatı yönetim kurulu dahil üst yönetime faaliyet raporlarıyla ilgili imza ve açıklama zorunluluğu getirmiştir. Bağımsız denetçilere de ayrıca denetimleri sırasında müşteri işletmenin iç kontrol sisteminin değerlendirmesi gerektiğini belirtmiştir. Nitekim, SPK X/22 Tebliğde olumlu rapor örneği verilirken; Risk değerlendirilmesinde işletmenin iç kontrol sistemi göz önünde bulundurulmuştur. Ancak, amacımız iç kontrol sisteminin etkinliği hakkında görüş vermek değil, bağımsız denetim tekniklerini koşullara uygun olarak tasarlamak amacıyla, işletme yönetimi tarafından hazırlanan finansal tablolar ile iç kontrol sistemi arasındaki ilişkiyi ortaya koymaktır. (X/22 Tebliğ, EK.15/A.1) şeklinde bunu açıkça ifade etmektedir. SPK düzenlemelerinde, finansal raporlama ve ilgili iç kontrollere ilişkin yararlı isteklerde bulunulmakla birlikte ICFR ve denetimini öngörmemektedir. Yeni TTK nın, finansal tablo denetimi yanında faaliyet raporu denetimini de getirmesi Türkiye de bağımsız denetimin geldiği aşama açısından sevindirici bir durumdur. Ancak Yeni TTK da ve Kanun Hükmünde Kararname ile kurulan Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu düzenlemelerinde, SOA ve J-SOX da öngörüldüğü gibi halka açık şirketlerin ICFR hazırlamaları ve bu raporların denetimi henüz düzenlenmemiştir. Türkiye de TTK nın ikincil düzenlemeleri kapsamında özellikle halka açık şirketlerin ve/veya İMKB de işlem gören şirketlerin düzenli olarak (3 ayda bir) ICFR düzenlemesi ve bunların bağımsız denetimden geçirilmesi sorumluluğu getirilmelidir. Böylece halka açık şirketlerin ortakları ve yatırımcıları daha güvenilir finansal tablolara kavuşacak ve şirketlerin finansal raporlama ve iç kontrol sistemleri daha etkin hale gelecektir. 15

16 KAYNAKLAR Internal Control Over Financial Reporting Guidance for Smaller Public Companies, Frequently Asked Questions, COSO, 2006, ss J-SOX: Standards and Practice Standards for Managemenet Assesment and Audit of Internal CVontrol Over Financial Reporting An Overview, 2007, ( Statement of the European Corporate Governance Forum on Risk Management and Internal Control, ( Türk Ticaret Kanunu İle Türk Ticaret Kanununun Yürürlüğü Ve Uygulama Şekli Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun 30 Haziran 2012 Tarihli Resmi Gazete Sayı: sayılı Türk Ticaret Kanunu, Resmi Gazete, Sayı:27486, Tarih: Adebayo Agbejule ve Annukka Jokipii., Strategy Control Activities, Monitoring and Effectiveness, Managerial Auditing Journal, Vol.27, No.6, 2009, ss Agami M. Abdel, Internal Control Over Financial Reporting, The CPA Journal, (Erişim: ) Auditing Standart No:5, An Audit of Internal Control Over Financial Reporting That is Integrated with an Audit of Financial Statemenets, Public Company Accounting Oversight, 2007, ss Beneish Daniel Messod, Bilings Brooke Mary, Hodder Davis Leslie., Internal Control Weaknesses and Information Uncertainty, Accounting Review, Vol.83, 2008, ss Bozkurt, Nejat, (2011), TÜRMOB Bağımsız Denetim Eğitimi Ders Notları, TÜRMOB, Ankara. Hacırüstemoğlu Rüstem ve Demir Volkan, Yeni TTK nın KOBİ lerin Finansal Bilgi Sistemine Yansımaları, 7. KOBİ ler ve Verimlilik Kongresi, Ekim KPMG, Assessing Internal Control Over Financial Reporting, 2005, ss Michelman, E. Jeffrey ve Waldrup, E. Bobby., Improving Internal Control Over Financial Reporting, The CPA Journal, 2008, ss: NIEMER, Charles D., Speech Text: Confronting the Challanges of Change in the World of Financial Reporting, ( Erişim Tarihi:

17 PricewaterhouseCoopers, Finansal Raporlamaya Yönelik İç Kontroller, PPT Sunumu, 2004, ss PWC, Yeni Türk Ticaret Kanunu Geleceği Hazırlayan Bir Düzenleme, Sermaye Piyasası Kurulu, Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ, Seri X, No:22, Resmi Gazete, Sayı:26196, Tarih: Shelton Sandra Waller ve Whittington O. Ray, The Influence of The Auditor s Report on Investors evaluations after The Sarbanes Oxley Act, Managerial Auditing Journal, Vol.23, No.2, 2008, ss The Institute of Internal Auditors (IIA) Resarch Foundation, Internal Auditing: Assurance and Consulting Services, Second Edition, Uzay Şaban, Bölüm 4: Denetim Süreci ve Aşamaları, Muhasebe Denetimi, 3. Baskı, Yazarlar: Şaban Uzay, Seval Kardeş Selimoğlu, Mehmet Özbirecikli, Ganite Kurt, Serap Yanık, Ankara, Yılmaz Rıza, Belediye, İl Özel İdareleri ve 5018 Sayılı Kanuna Tabi Olan Mahalli İdare Birliklerinde İç Kontrol Sistemini Kurmanın Önemi ve İçişleri Bakanlığının Konuya Yaklaşımı, ( Erişim Tarihi: ) Zolnor Matthew A., Internal Control reporting regulation: A Law and Economics Perspective, Journal Of Investment Compliance, Vol.10, No.2, 2009, s

18 EK: Finansal Raporlama ile İlgili Yönetimin Kontrol Raporu ve Bağımsız Denetim Raporu - Örnek KONU 15: KONTROLLER VE PROSEDÜRLER AÇIKLAMA/İFŞA ETME İLE İLGİLİ KONTROLLER VE PROSEDÜRLER 30 Eylül 2010 tarihi itibariyle Siemens, uygulamakta olduğu açıklama/ifşa etme ile ilgili kontrol ve prosedürlerinin tasarlanması ve yürütülmesinin etkinliğine yönelik bir değerlendirme gerçekleştirdi. Söz konusu bu değerlendirme, şirket üst düzey yönetiminin ve her iş sektöründen üst düzey yönetimin katılımda bulunduğu, İcra Yürütme Kurulu Başkanı (CEO-Chief Executive Officer) olan Sayın Peter Lo scher ve Mali İşlerden Sorumlu Daire Başkanı (CFO-Chief Financial Officer) Sayın Joe Kaeser in başkanlığı altında gerçekleştirildi. Şirketin açıklama/ifşa etme kontrol ve prosedürleri, Sermaye Piyasası Kanunu kapsamında dosyalanan ya da sunulan raporlar kapsamında açıklanması gereken bilgilerin zamanında kaydedilmesi, işlenmesi, özetlenmesi ve raporlanması ve bir araya getirilerek, ilgili açıklama ile ilgili kararların zamanında alınabilmesine olanak sağlamak için CEO ve CFO'da dahil olmak üzere yönetime iletilmesine yönelik gerçeğe uygun bir güvence sağlamak için tasarlanmaktadır. CEO ve CFO da dahil olmak üzere Şirket yönetimi, 30 Eylül 2010 tarihi itibariyle Siemens'in açıklama/ifşa etme kontrol ve prosedürlerinin etkili olduğu yönünde karara varmıştır. YÖNETİMİN YILLIK FİNANSAL RAPORLAMA İLE İLGİLİ İÇ KONTROLLERİN GÜVENİLİRLİĞİ RAPORU Siemens yönetimi, finansal raporlama üzerinde uygun ve yeterli bir iç kontrol oluşturmak ve muhafaza etmekten sorumludur. Finansal raporlama ile iç kontrollerin güvenilirliği raporu, finansal raporlamanın güvenirliği ve geçerli muhasebe prensipleri doğrultusunda kuruluş dışı amaçlar için finansal tabloların hazırlanması ile ilgili gerçeğe uygun güvence sağlamak için tasarlanmıştır ve aşağıda yer alan politika ve prosedürleri içerir: Şirket varlıkları üzerinde gerçekleştirilen işlemleri ve düzenlemeleri yeterli detaya sahip, doğru ve adil bir şekilde yansıtmak için kayıtların muhafaza edilmesi, Genel kabul edilmiş muhasebe ilkelerine göre finansal tabloların hazırlanmasına izin vermek için gerekli işlemlerin kaydedilmesi, şirketin alım ve harcamalarının yalnızca yönetim ve şirket yöneticilerinin izinlerine göre yapılmasının sağlanması için makul güvencelerin sunulması ve Finansal tablolar üzerinde önemli bir etkiye sahip olacak şekilde şirket varlıklarının yetkisiz olarak alınması ya da düzenlenmesini engellemek ya da bu durumları zamanında teslim etmek ile ilgili makul güvencelerin sunulması. Etkin olarak belirlenen de dahil olmak üzere, finansal raporlama ile iç kontrollerin güvenilirliği raporuna yönelik hiçbir sistem, tüm yanlış beyanları engelleyemez ya da tespit edemez. Bu sistem yalnızca, finansal tabloların hazırlanması ve sunulması ile ilgili makul bir güvence sağlayabilir. Aynı zamanda, gelecek dönemler kapsamında finansal raporlama ile iç kontrollerin güvenilirliği raporunun etkinliğinin değerlendirilmesine yönelik sonuçların yansıttıkları, söz konusu bu kontrollerin meydana gelen olaylar kapsamındaki değişikliklere bağlı olarak yetersiz hale gelebileceği veya bu kontrollerin temelinde yatan politika ve prosedürlere uygunluk seviyesinin zaman içerisinde bozulabileceği gibi yapısından kaynaklanan riskler ile karşı karşıya kalır. Siemens yönetimi, şirketin ICFR etkinliğini 30 Eylül 2010 tarihi itibariyle değerlendirmeye almıştır. Bu değerlendirmeyi gerçekleştirirken, Treadway Komisyonu Sponsor Örgütler Komitesinin (COSO) Kuruluş İçi Kontrol Entegre Yapı adlı yayınında belirtilen kriterler kullanılmıştır. Bu değerlendirmenin sonucu olarak, 30 Eylül 2010 tarihi itibariyle yönetim Şirketin ICFR sinin etkili olduğu kararına varmıştır. Söz konusu bu etkinlik, bağımsız ve tescilli bir mali müşavirlik firması olan Ernst & Young GmbH Wirtschaftspru fungsgesellschaft (EY) tarafından denetlenmiştir ve bu denetlemeye ilişkin sundukları rapor aşağıda yer almaktadır. BAĞIMSIZ DENETİM RAPORU Siemens Aktiengellesschaft ın Denetim Komitesinin Dikkatine: Siemens in 30 Eylül 2010 tarihi itibariyle finansal raporlama ile iç kontrollerin güvenilirliği raporunun etkinliğini Treadway Komisyonu Sponsor Örgütler Komitesi (COSO kriterleri) tarafından 18

19 hazırlanan Kuruluş İçi Kontrol Entegre Yapı yayınına dayalı olarak oluşturulan kriterler üzerinden denetledik. Siemens Aktiengesellschaft in yönetimi finansal raporlama ile iç kontrollerin güvenilirliği raporunu muhafaza etmekten sorumludur ve yönetimin finansal raporlama ile iç kontrollerin güvenilirliği raporunu muhafaza edip etmediğine yönelik değerlendirmesi ekte yer alan Yönetimin Finansal Raporlama ile İç Kontrollerin Güvenilirliği Raporu kapsamında yer almaktadır. Burada, tarafımızın sorumluluğu, denetlememize dayalı olarak şirketin finansal raporlama ile iç kontrollerin güvenilirliği raporu ile ilgili görüşlerimiz bildirilmektedir. Denetleme sürecini, Kamu Gözetim Kurulu (Amerika Birleşik Devletleri) standartları doğrultusunda gerçekleştirdik. Bu standartlar, tüm önemli konular kapsamında finansal raporlama ile iç kontrollerin güvenilirliği raporunda etkinliğin sağlanıp sağlanmadığı hakkında gerçeğe uygun güvence edinmek için bu denetlemeyi planlamamızı ve gerçekleştirmemizi gerektirmektedir. Söz konusu bu denetleme, finansal raporlama ile iç kontrollerin güvenilirliği raporunun işleyişinin anlaşılmasını, önemli bir zayıflığın söz konusu olması durumundaki risklerin değerlendirilmesini, değerlendirmeye tabi tutulan riske dayalı olarak kuruluş içi kontrolün tasarım ve yürütme etkinliklerinin test edilmesi ve değerlendirilmesi ve belirli durumlar kapsamında tarafımızca gerekli görülecek bunlara benzer diğer prosedürlerin gerçekleştirilmesini kapsamaktaydı. İnanıyoruz ki, gerçekleştirdiğimiz denetleme görüşlerimize yönelik gerçeğe yakın bir temel teşkil eder. Bir şirketin finansal raporlama ile iç kontrollerin güvenilirliği raporu, genel kabul görmüş muhasebe ilkeleri doğrultusunda, finansal raporlamanın güvenilirliği ve şirket dışı uygulama amaçlı finansal tabloların hazırlanması ile ilgili gerçeğe yakın bir güvence sağlamaktır. Bir şirketin finansal raporlama ile iç kontrollerin güvenilirliği raporu (1) şirketin işlemlerini ve elden çıkardığı varlıkları yeterli miktarda detay içeren, doğru ve adil bir şekilde yansıtan kayıtların muhafaza edilmesine mahsus olan, (2) genel kabul görmüş muhasebe ilkeleri doğrultusunda finansal tabloların hazırlanmasına olanak vermek için gerekli işlemlerin kaydedildiğine ve şirketin alım ve harcamalarının yalnızca yönetim ve şirket müdürlerinin onayları doğrultusunda yapıldığına yönelik makul güvencenin sağlanması ve (3) finansal tablolar üzerinde önemli bir etkiye sahip olacak, yetkisiz alımların, şirket varlıklarının yetkisiz bir şekilde kullanılması veya elden çıkarılmasının engellenmesi ya da zamanında tespit edilmesine ilişkin yerinde güvencenin sağlanmasına yönelik politika ve prosedürleri kapsamaktadır. Yapısı gereği barındırdığı sınırlara bağlı olarak, finansal raporlama ile iç kontrollerin güvenilirliği raporu söz konusu yanlış beyanları engelleyemeyebilir veya tespit edemeyebilir. Aynı zamanda, gelecekteki dönemlerin etkinliklerine yönelik her hangi bir değerlendirme öngörüsü, kontrollerin koşullar kapsamında meydana gelebilecek değişikliklere bağlı olarak yetersiz bir hale gelebilmesi ya da politika ve prosedürlere uygunluk derecesinin bozulabilmesine bağlı olarak yetersiz/uygun olmayan bir hale gelebilmeleri riski ile karşı karşıyadır. Bizim görüşümüz, Siemens Aktiengesellschaft ın tüm önemli konular kapsamında, 30 Eylül 2010 tarihi itibariyle ve COSO kriterleri doğrultusunda, finansal raporlama ile iç kontrollerin güvenilirliği raporunu etkin bir şekilde muhafaza ettiği yönündedir. Aynı zamanda firmamız, Kamu Gözetim Kurulu (Amerika Birleşik Devletleri) standartları doğrultusunda, 30 Eylül 2010 ve 2009 tarihleri itibariyle Siemens Aktiengesellschaft ve bağlı kuruluşların finansal durumlarına ilişkin konsolide finansal tablolarını ve ilgili konsolide gelir tablolarını, bilançolarını, kapsamlı gelir tablolarını, nakit akışlarını ve 30 Eylül 2010 tarihi itibariyle sona eren bir zaman zarfı kapsamında iki yıllık bir süre için her yıl öz kaynaklarda meydana gelen değişiklikleri de denetledik ve 25 Ekim 2010 tarihli raporumuz, tüm bu belirtilen hususlara ilişkin firmamızın tarafsız/koşulsuz bir görüşünü belirtmiştir. /s/ Ernst & Young GmbH Wirtschaftspru fungsgesellschaft Münih, Almanya, 25 Ekim 2010 FİNANSAL RAPORLAMA İLE İÇ KONTROLLERİN GÜVENİLİRLİĞİ RAPORU KAPSAMINDA MEYDANA GELEN DEĞİŞİKLİKLER Şirketin finansal raporlama ile iç kontrollerin güvenilirliği raporu kapsamında, 2010 mali yılı içerisinde, finansal raporlama ile iç kontrollerin güvenilirliği raporunu önemli bir biçimde etkileyen ya da muhtemel olarak etkilemesi beklenen her hangi bir değişiklik söz konusu olmamıştır. 19

20 Kaynak: Siemens, Annual Report, 2010 ( 20