YÖNETİCİ ÖZETİ. İşte bu rapor, yönetimin ve diğerlerinin gereksinim ve beklentilerini ele alıyor ve iç kontrolü şu amaçlarla tanımlayıp, tarif ediyor:

YÖNETİCİ ÖZETİ Üst düzey yöneticilerin, işletmelerde kontrol mekanizmasını iyileştirmek için long sought yöntemleri vardır. İç kontrol mekanizması, şirketlerin karlılık hedeflerinden şaşmamaları, görevlerini başarıyla yerine getirebilmeleri ve yol boyunca karşılaşabilecekleri sürprizleri minimize edebilmeleri için vardır. Bunlar, yönetimin, hızla değişen iktisadi ve rekabetçi ortam, değişken müşteri talep ve öncelikleri ve gelecekteki büyüme için gerekli olan yeniden yapılanma ile başedebilmesini sağlar. İç kontrol mekanizmaları, etkinliği iyileştirir,varlık kaybı riskini düşürür ve mali raporların güvenilirliği ile yasa ve düzenlemelerle uyumun sağlanmasına yardım eder. İç kontrol, çok sayıda önemli amaca hizmet ettiğinden, daha iyi kontrol sistemlerine ve bunlar üzerine yazılacak raporlara talep, giderek artmaktadır. İç kontrol, giderek artan ölçüde, çeşitli potansiyel sorunlar için bir çözüm olarak görülüyor. İç Kontrol Nedir? İç kontrol, farklı kişilere farklı şeyler ifade ediyor. Bu da; işadamları, yasa koyucular, düzenleyiciler ve diğerleri arasında anlaşmazlığa yol açıyor. Aksak iletişim ve farklı beklentiler, kurum içerisinde sorunlara neden oluyor. Bir de, bu kavram açık bir biçimde tanımlanmadan ; yasa, düzenleme ya da kurallarda yer alacak olursa, sorunlar daha da büyüyor. İşte bu rapor, yönetimin ve diğerlerinin gereksinim ve beklentilerini ele alıyor ve iç kontrolü şu amaçlarla tanımlayıp, tarif ediyor: Farklı bölümlerin her birinin gereksinimlerine hizmet edecek ortak bir tanım oluşturmak Tüm kurumların (büyük ya da küçük, özel sektör ya da kamu sektöründe, kar amaçlı ya da değil) kendi kontrol sistemlerini değerlendirebilecekleri ve onları nasıl geliştirebileceklerini saptayabilecekleri bir standart geliştirmek İç kontrol, genellikle, kurumun yönetim kurulu ve diğer personelince belirlenen ve aşağıdaki kategorilerde sıralanan hedeflere ulaşılmasını sağlayan güvencenin sağlanması için dizayn edilen bir süreç olarak tanımlanır: İşlemlerin etkililiği ve verimliliği Mali raporlamanın güvenilirliği Tabi olunan kanun ve düzenlemelerle uyum İlk kategori, bir kurumun performans ve karlılık hedefleri ile kaynaklarını koruma amaçlarını içeren temel hedeflerine ilişkindir. İkinci, geçici ve özet mali raporlar ile bunlardan türetilmiş mali verileri içeren ve kamuoyuna duyurulan güvenilir mali belgelerin hazırlanmasına ilişkindir. Üçüncü ise kurumun tabi olduğu yasa ve düzenlemelere uyulmasını ele alır. Bu birbirinden ayrı fakat aynı zamanda çakışık 1

kategoriler farklı ihtiyaçlara hitap eder ve farklı gereksinimlerin karşılanmasına odaklanılmasını mümkün kılar. İç kontrol sistemleri, etkililiğin farklı seviyelerinde işlem görür. Eğer yönetim kurulu ve idare aşağıda sıralananlara ilişkin makul bir güvenceye sahip ise, iç kontrol, üç kategorinin her biri için etkili bir biçimde sorgulanabilir: Kurumun faaliyet hedeflerine ulaşılması Yayımlanan mali raporların güvenilir bir biçimde hazırlanması Tâbi olunan kanun ve düzenlemelere uyulması İç kontrol bir süreçken; iç kontrolün etkililiği, bu sürecin zaman içerisinde bir ya da birkaç noktadaki durumudur. İç kontrol beş tane birbiri ile ilişkili unsurdan oluşur. Bunlar, kurumun idare ediliş şeklinden türetilir ve yönetim süreci ile birleştirilir. Bu unsurlar tüm kurumlara uygundur fakat küçük ya da orta ölçekli şirketler, bu unsurları, büyük ölçekli işletmelere kıyasla daha farklı bir biçimde uygulayabilirler, böylece kontrol sistemleri daha az resmi ve daha az yapısal olabilir. Unsurlar şunlardır: Kontrol Ortamı: Kontrol ortamı çalışanların kontrol bilincini etkileyerek organizasyonun tarz ını (tone of the organization) belirler. Bu, iç kontrolün tüm diğer unsurları için bir temeldir, ki bu da disiplini ve yapıyı temin eder. Kontrol ortamının unsurları, kurum çalışanlarının bütünlüğü, etik değerleri ve yeterlilikleri; idarenin felsefesi ve işleme stili; idarenin otoriteyi ve sorumluluğu dağıtma ve çalışanlarını organize etme ve geliştirme şekli ve yönetim kurulunca gösterilen özen ve sağlanan yönetimdir. Risk Değerlendirmesi: Her kurum, mutlaka değerlendirilmesi gereken dışsal ve ya içsel kaynaklı bir dizi riskle karşı karşıya kalır. Risk değerlendirmesinin bir ön koşulu, farklı kademelere ait ve içsel olarak tutarlı olan hedeflerin belirlenmesidir. Risk değerlendirmesi, hedeflere ulaşılması ile ilgili risklerin tanımlanması ve analizidir, bu da risklerin nasıl yönetilmesi gerektiği ile ilgili bir temel oluşturur. İktisadi, endüstriyel, düzenleyici koşullar ve işleme koşulları değişmeye devam edeceğinden, değişimin getireceği riskleri tanımlamak ve onlarla başa çıkmak için mekanizmalara ihtiyaç vardır. Kontrol Faaliyetleri: Kontrol faaliyetleri idarenin direktiflerinin yerine getirildiğinden emin olmaya yardım eden politika ve prosedürlerdir. Bunlar kurumun hedeflerine ulaşılması ile ilgili risklerin yönetimi için gerekli olan önlemlerin alındığını garanti etmeye yardımcı olur. Kontrol faaliyetleri organizasyonun her kademe ve fonksiyonunda meydana gelir. Bunlar; onaylar, yetkilendirmeler, teyidler, mutabakatlar, işlem performansının gözden geçirilmesi, varlıkların güvenliği ve görev ayrımı gibi çeşitli bir diziyi kapsar. Bilgi ve İletişim: Gerekli bilgi, çalışanların sorumluluklarını yerine getirmelerini sağlayacak şekil ve süre içerisinde; tanımlanmalı, elde edilmeli ve iletilmelidir. Bilgi sistemleri, işin yürütülmesi ve kontrol edilmesini mümkün kılan; 2

operasyonel, mali ve uyum bağlantılı bilgiyi içeren raporları üretir. Sadece içeride üretilmiş bilgiyle değil, aynı zamanda, karar alma ve dışsal raporlama için gerekli olan dışsal olay, aktivite ve koşullar ile ilgili bilgiyle de ilgilenirler. Etkili bir iletişim geniş anlamda olandır; yani organizasyon içinde tüm kademeler arasında olmalıdır. Tüm personel üst yöneticiden, sorumlulukların ciddiye alınması gerektiği mesajını almalıdır. Herkes, kendisi dışındaki çalışanların işlerinin kendi bireysel aktiviteleri ile ilişkisinin yanısıra, iç kontrol sistemi içindeki rolünü de anlamalıdır. Her çalışanın anlamlı bilgi akışını sağlayacak araçlara ihtiyacı vardır. Tabi bir de müşteriler, tedarikçiler, düzenleyiciler ve hissedarlar gibi organizasyonun dışındaki taraflarla da etkili iletişime ihtiyaç vardır. İzleme: İç kontrol sistemlerinin izlenmeye ihtiyacı vardır- bu, sistemin zaman içerisindeki performansını değerlendiren bir süreçtir. Süreç, devamlı izleme faaliyetleri ile, tekil değerlendirmelerle ya da bu iki yöntemin bir kombinasyonu ile yerine getirilir. Devamlı izleme, işlem sırasında meydana gelir. Bu, olağan yönetim ve teftiş faaliyetleri ile personelin işini yaparken aldığı diğer önlemleri kapsar. Tekil değerlendirmelerin ölçeği ve sıklığı, en başta, risk ölçümüne ve devamlı izleme prosedürünün etkililiğine bağlıdır. İç kontrol sistemindeki aksaklıklar üst yönetim ve kurula rapor edilmelidir. Tüm bu unsurlar arasında birliktelik ve bağlantı vardır, ki bu da değişen koşullara dinamik bir cevap veren bir entegre sistem meydana getirir. Kontrol mekanizmaları, kurumun alt yapısına inşa edildiğinde ve kurumun özünün bir parçası olduğunda, iç kontrol en etkili halini alır. Gömme kontrol sistemleri kalite ve yetkilendirme insiyatiflerini destekler, gereksiz maliyetlerden kaçınır ve değişen koşullara çabuk cevap vermeyi mümkün kılar. Kurumun ulaşmaya çalıştığı üç kategoriden oluşan hedefleri ile hedeflere ulaşmada gerekli olanları temsil eden unsurlar arasında doğrudan bir ilişki vardır. Tüm unsurlar her bir hedef kategorisi ile ilişkilidir. Herhangi bir kategoriye bakıldığında- sözgelimi işlemlerin etkililiği ve verimliliğine- beş unsur da, güncel ve iç kontrolün etkin işlediğini gösterecek şekilde etkili işliyor olmalıdır. İç kontrolün tanımı, hedeflerin kategorizasyonu, etkililiğin unsurları ve kriterleri ve ilgili tartışmalar ile birlikte, bu iç kontrol çerçevesini oluşturur. İç Kontrol Neler Yapabilir? İç kontrol kurumun performans ve karlılık hedeflerine ulaşmasını sağlayıp, onu kaynak kaybından koruyabilir. Güvenilir bir mali raporlama sistemi oluşturmasına yardım edebilir. Kurumun ününe ve diğer önemli unsurlarına bir zarar getirmeden yasa ve düzenlemelere bağlı kalmasına yardım edebilir. Sonuç olarak, kurumun gitmek istediği yere gidip, yol boyunca karşılaşabileceği tehlikelerden korunmasını sağlayabilir. İç Kontrol Ne Yapamaz? Maalesef bazı insanlar daha büyük ve gerçek dışı beklentilere sahip. Onlar aşağıda sıralananlara inanarak mükemmeli arıyorlar: 3

İç kontrol kurumun başarısını garanti edebilir.- yani, temel hedeflerine ulaşmasını ya da en azından hayatta kalmasını garanti edebilir. Etkin bir iç kontrol sistemi bile, kurumun bu hedeflere ulaşmasına sadece yardım edebilir. Kurumun ilerlemesi ya da tam tersi bir durum hakkındaki yönetim bilgisini sağlayabilir. Fakat iç kontrol yeteneksiz bir yöneticiyi, değiştirip iyi bir yönetici yapamaz. Ve hükümet politika ve programlarındaki, rakiplerin eylemlerindeki ve ya iktisadi koşullardaki oynamalar, yönetimin kontrolünün dışındadır. İç kontrol başarıyı ya da hayatta kalmayı bile garanti edemez. İç kontrol mali raporlamanın güvenilirliğini ve yasa ve düzenlemelerle uyumu garanti edebilir. Bu inanış da yine yersizdir. Ne kadar iyi işlediği önemli olmaksızın bir iç kontrol sistemi, hedeflere ulaşılmasına ilişkin olarak yönetime ve kurula sadece makul bir - mutlak değil- güvence verebilir. Başarı olasılığı, her kontrol sistemindeki yapısal sınırlardan etkilenir. Bunlar, karar almada yapılabilecek hatalar ya da basit hatalardan doğabilecek aksaklıklar gibi gerçeklikleri içerir. Sonuç olarak, kontroller iki ya da daha fazla insanın hileleri ile başarısızlığa uğratılabilir, ama idarenin de sistemi yeniden yapılandırma imkanı vardır. Diğer bir sınırlayıcı etken, bir iç kontrol sistemi tasarımının kaynak kısıtlarının varlığını yansıtmak zorunda oluşu ve kontrollerin faydaları ile maliyetlerinin birlikte düşünülmek zorunda oluşudur. Sonuçta, sistem kurumun hedeflerine ulaşmasına yardım edebilir; ancak her derde deva değildir. Rol ve Sorumluluklar Bir organizasyondaki herkesin iç kontrolle ilgili sorumluluğu vardır: Yönetim: Üst yönetici nihai sorumludur ve sistemin sahiplenicisi olmalıdır. Olumlu bir kontrol ortamının bütünlüğünü, etiğini ve diğer etmenlerini etkileyen, yönetimin tarzı nı (tone at the top), diğer tüm çalışanlardan daha çok tepe yönetici belirler. Büyük bir şirkette, tepe yönetici, bu görevi, diğer üst yöneticilere liderlik ve yönlendirme sağlayarak ve kontrol biçimlerini gözden geçirerek yerine getirir. Bu üst yöneticiler ise daha spesifik iç kontrol politikaları ve prosedürlerinin tesisi için sorumluluğu, sırayla, birimlerinin fonksiyonlarından sorumlu olan personele paylaştırırlar. Daha küçük bir kurumda ise tepe yöneticinin etkisi genellikle daha doğrudandır. Zaten bir yönetici kendi sorumluluk küresinin baş yöneticisidir. Özellikle önemli olanlar, kontrol faaliyetleri tüm organizasyonu dikey, yatay ve çapraz olarak etkileyen mali görevlilerdir. Yönetim Kurulu: İdare, yönetim kuruluna karşı sorumludur ve bu da yönetişim, rehberlik ve gözetimi sağlar. Etkili kurul üyeleri tarafsız, yetenekli ve meraklıdır. Ayrıca kurumun faaliyetleri ve ortamı hakkında bilgiye sahiptirler ve kurulun getirdiği sorumlulukları yerine getirebilmek için gerekli olan zamanı ayırırlar. İdare, kontrolleri geçersiz kılan ve alt kademelerden gelen bilgileri göz ardı eden ya da bastıran bir tavır içerisinde olabilir, bu da hilelerini saklamak için sonuçları olduğundan farklı gösteren, dürüst olmayan bir idare demektir. Güçlü ve aktif bir kurul, özellikle de etkin iletişim kanallarına sahip ve de finansal açıdan yetenekli ise, böyle bir sorunu rahatlıkla tanımlayıp, üstesinden gelebilir. 4

İç Denetçiler: İç denetçiler, kontrol sistemlerinin etkililiği değerlendirmesinde önemli bir rol üstlenirler ve süreklilik gösteren bir etkililiğe destek verirler. Organizasyonel pozisyonu ve kurum içerisindeki otoritesi sebebiyle, iç denetçinin işlevi, önemli bir izleme rolüdür. Diğer Personel: İç kontrol, belli bir dereceye kadar, organizasyon içindeki her çalışanın sorumluluğudur ve bu nedenle herkesin iş tanımının açık yahut örtük bir parçası olmalıdır. Fiilen, tüm çalışanlar, iç kontrol sistemi içerisinde kullanılan herhangi bir bilgiyi üretirler ya da kontrolü etkileyen başka birtakım eylemler içerisinde yer alırlar. Ayrıca, tüm personel, faaliyetlerdeki bilgi akışı sorunlarından, kanunlarla uyumsuzluktan ya da diğer yasadışı eylemlerden sorumludur. Bir grup dış kesim, sıklıkla, kurumun hedeflerine ulaşmasına katkıda bulunur. Dış denetçiler, bağımsız ve tarafsız bir bakış açısı getirerek, doğrudan mali rapor denetimine ve dolaylı olarak da idare ve kurula sorumluluklarını yerine getirirken faydalı olacak bilgiyi temin ederek destek verirler. Kurum için iç kontrolü etkilemede faydalı olacak bilgiyi temin eden diğerleri ise yasa koyucular ve düzenleyiciler, müşteriler ile işletme ile iş yapan diğerleri, mali analistler, bond raters ve basın yayın organlarıdır. Bu arada belirtmek gerekir ki dış birimler, kurumun iç kontrol sisteminin bir parçası olmadıkları gibi, sorumlusu da değillerdir. Bu Raporun Organizasyonu Bu rapor dört bölümden oluşmaktadır*. İlki, Yönetici Özeti, baş yöneticiler ile diğer üst yöneticiler, kurul üyeleri, yasa koyucular ve düzenleyicilere yönelik olan iç kontrol çerçevesinin genel bir açıklamasıdır. İkinci bölüm, Çerçeve, iç kontrolü tanımlar, unsurlarını tarif eder, yöneticilerin, kurulların ve diğerlerinin iç kontrol sistemlerini değerlendirebileceği bir ölçüt sunar. Üçüncü bölüm, Dış Birimlere Raporlama, iç kontrol üzerine kamuoyuna raporlama yapan birimlere rehberlik sağlayan bütünleyici bir dökümandır. Dördüncü Bölüm, Değerleme Araçları, bir iç kontrol sisteminin değerlemesini yürütmede faydalı olabilen materyaller sunar. (*bu dört bölümden ilk üçü bu kitapta ele alınırken, son bölüm, ikinci bir kitapta yayımlanmıştır.) Yapılacaklar Bu raporun bir sonucu olarak alınacak önlemler, aşağıda sıralanan her bir kesimin rolüne ve konumuna göre değişir: Üst Yönetim: Bu çalışmaya destek veren çok sayıda üst düzey yönetici, organizasyonlarının kontrol altında olduğuna inanıyorlar. Aynı zamanda,birçoğu, işletmelerinde kontrolün daha ilk aşamalarında olduğu ya da iyileştirmeye ihtiyaç duyulan alanlar olduğunu söylüyor. Sürprizleri sevmiyorlar. Bu çalışma baş yöneticinin kontrol sisteminde kendi kendine işleyen bir değerlemeyi başlatmasını öneriyor. Bir CEO (tepe yönetici), bu çerçeveyi kullanarak, faaliyet yöneticileri ve mali yöneticilerle birlikte, özen gerektiren alanlara odaklanabilir. Bir yaklaşıma 5

göre baş yönetici, kontrolün bir başlangıç değerlemesini yapmak üzere, birimlerin başlarını ve fonksiyonel personeli bir araya getirebilir. Bu raporun getirdiği kavramları yöneticileri ile beraber tartışmaları ve bir başlangıç değerlemesi sunup, kararları rapor edebilmeleri için bu kişilere talimatlar verilebilir. Diğer bir yaklaşım ise birimlerin politikalarının bir ilk gözden geçirmesini ve içsel denetim programlarını içerebilir. Ama biçimi her ne olursa olsun, bir başlangıç değerlemesi, nelere ihtiyaç olduğunu ve nasıl ilerleneceğini belirlemelidir. Aynı zamanda devamlılık gösteren izleme süreçlerinin de işler durumda olduğunu garanti altına almalıdır. İç kontrolü değerlemeye yönelik harcanan zaman, yüksek getirili bir yatırımı temsil eder. Kurul Üyeleri: Yönetim kurulu üyeleri, kurumun iç kontrol sisteminin durumunu üst düzey yöneticilerle tartışmalı ve ihtiyaç duyulan gözetimi sağlamalı. İç ve dış denetçilerden girdi talep etmelidirler. Diğer Personel: Yöneticiler ve diğer personel kontrol sorumluluklarının bu çerçeve ışığında nasıl ele alındığına dikkat etmeli ve kontrol mekanizmasını kuvvetlendirmek için neler yapılabileceğini üst düzey yöneticilerle görüşmelidirler. İç denetçiler iç kontrol sistemi üzerindeki yetkilerinin önemini dikkate almalı ve değerlendirme araçları ile materyallerini karşılaştırmalılar. Yasa Koyucular ve Düzenleyiciler: Yasaları yazan ya da yürürlüğe koyan hükümet yetkilileri herhangi bir konu hakkında yanlış kavramların ya da farklı beklentilerin olabileceğinin farkında olmalıdırlar. İç kontrole dair beklentiler iki yönde çeşitlenmektedir. İlk olarak kontrol sistemlerinin neler başarabileceği ile ilgili olarak farklılaşırlar. Daha önce de bahsedildiği gibi bazı gözlemciler, kontrol sistemlerinin iktisadi kaybı engelleyebileceğine ya da en azından firmaları iflas etmekten koruyabileceğine inanıyorlar. İkinci olarak ise, iç kontrol sistemlerinin neler yapabileceği ve makul güvence kavramının geçerliliği hakkında bir görüş birliği olduğunda bile bu kavramın ne anlama geldiği ve nasıl uygulanacağı konusunda birbirinden farklı görüşler vardır. Şirket yöneticileri bir kontrol sistemi başarısızlığının ardından makul güvenceyi beyan eden kamusal raporların düzenleyicilerce nasıl yorumlanabileceği ile ilgili endişelerini dile getirirler. İç kontrol üzerine yönetim raporlamasını ele alan yasa ve düzenlemeler çıkarılmadan önce, iç kontrolün sınırlarını da içeren ortak bir iç kontrol çerçevesi üzerinde bir görüş birliğine varılmalı. Ve bu görüş birliğine varmada bu çerçeve yaralı olmalı. Profesyonel Organizasyonlar: Mali raporlama, denetim ve ilişkili diğer konularda kural koyan ve rehberlik sağlayan organizasyonlar, standart ve rehberliklerini bu çerçevenin ışığı altında belirlemelidirler. Eğitimciler: İyileştirmelerin ne zaman yapılabileceğini görebilmek için bu araştırma akademik araştırma ve analizlere konu olmalıdır. Bu çerçevenin konuyu anlamada ortak kabul gören bir rapor haline geleceği varsayımıyla, içerdiği kavramlar yollarına üniversite ortamında devam etmelidirler. Bu raporun çok sayıda fayda sunduğuna inanıyoruz. Böyle bir temelle, tüm kesimler ortak bir dille konuşup daha etkili bir biçimde iletişim kurabilecek. Şirket yöneticileri kontrol sistemlerini değerlendirmede başarılı olup sistemlerini kuvvetlendirebilecek ve işletmelerini gelecek hedeflere yönlendirebilecekler. Gelecekteki araştırmalar, bu kurulu düzene dayalı olarak sürdürülebilir. Yasa koyucular, düzenleyiciler iç kontrolü, yararlarını ve sınırlarını daha iyi anlayabilecek. Tüm kesimlerin ortak bir iç kontrol çerçevesi kullanması ile bu yararlar hayat bulacak. 6

ÇERÇEVE 7

TANIM Bölüm Özeti: İç kontrol, kurumun çalışanlarınca yapılandırılan ve hedeflere ulaşmak için tasarlanan bir süreç olarak tanımlandı. Kontrol sürecinin tüm yönlerini içeren bu tanım kapsamlıdır ve hedeflere odaklanmayı kolaylaştırır. İç kontrol, idarenin işletmeyi yönetmesinde var olan ve birbiri ile ilişkili beş unsurdan oluşur.bu unsurlar birbirleri ile bağlantılıdır ve sistemin etkili olup olmadığını belirlemede bir ölçüt sunar. Bu çalışmanın temel hedefi, yönetimin ve diğer tüm birimlerin faaliyetlerin kontrolünü iyileştirmelerini sağlamaktır. Fakat iç kontrol farklı kişilere göre farklı şeyler ifade etmektedir. Ve bu anlam çeşitliliği de ortak bir iç kontrol kavrayışını engellemektedir. Bu durumda yapılması gereken şey, ortak bir tanımın tesis edildiği ve kontrolün unsurlarının tanımlandığı bir çerçeve içinde, bu birbirinden farklı iç kontrol tanımlarını birleştirmektir. Bu çerçeve farklı görüşleri barındırmak ve birimlerin iç kontrol değerlendirmesi, kural koyucuların insiyatifleri ve eğitim için bir başlangıç noktası sağlamak için tasarlanmıştır. İç Kontrol İç kontrol aşağıdaki gibi tanımlanır: İç kontrol, tüm birimlerce belirlenen ve aşağıda sıralanmış hedeflere ulaşılmasına ilişkin makul bir güvence sağlamak için tasarlanmış bir süreçtir: Faaliyetlerin etkililiği ve verimliliği Mali raporlamanın güvenilirliği Yürürlükteki yasa ve düzenlemelere uyum Bu tanımlama bazı kesin, açık kavramları yansıtıyor: İç kontrol bir süreçtir. Bu cümle, iç kontrolün bir amaca ulaşmak için kullanılan bir vasıta olduğu, bir son nokta olmadığı anlamına gelir. İç kontrol çalışanlardan etkilenir. Yani, iç kontrol, bir organizasyonun tüm kademelerindeki tüm çalışanları ilgilendirir. İç kontrolden, kuruluşun yönetimine ve kuruluna mutlak bir güvence değil, sadece makul bir güvence sunması beklenebilir. İç kontrol, bir ya da daha fazla farklı fakat birbiri ile çakışan kategoriler aracılığıyla, başarıya götürür. Bu tanım geniş bir tanımdır ve bunun da iki nedeni var. Birincisi, bunun, görüşülen birçok üst yöneticinin iç kontrolü izleme biçimi olmasıdır. Ve sıklıkla kontrol ya da kontrolde olmak kavramlarını kullanırlar. İkincisi ise, iç kontrolün alt kümelerini barındırmasıdır: mali raporlama kontrolleri, yasalarla uyumlulukla ilişkili kontroller ya da her bir birim ya da faaliyetin kontrolü gibi. Bu tanımlama, bölüm içinde daha sonra tartışılacağı gibi, iç kontrolün etkililiğini tanımlama açısından da bir temel sunar. Yukarıda sözü edilen bu temel kavramlar izleyen paragraflarda ele alınmaktadır. 8

Bir Süreç İç kontrol tek bir olay ya da durum değil, kurumun faaliyetlerinin içine nüfuz etmiş bir eylemler serisidir. Bu eylemler yayılmıştır ve idarenin yönetimi içinde yer almaktadır. İş süreçleri, temel yönetim süreçleri olan planlama, yürütme ve izleme süreçleridir. İç kontrol ise bu süreçleri bir parçasıdır ve diğer parçalarla bir bütündür. Diğer süreçlerin işlev görmesini mümkün kılar ve gidişatları ile işe yararlılıklarını izler. İç kontrol idarenin bir aracıdır. İç kontrolün bu kavramsallaştırması, iç kontrolü kurumun faaliyetlerine eklenmiş yeni bir faaliyet olarak ya da bir yük olarak gören ve kural koyucular ile bürokratlardan etkilenmiş gözlemcilerin perspektifinden çok farklıdır. İç kontrol sistemi kurumun faaliyetleri ile iç içedir ve çok temel sebepler dolayısıyla mevcuttur. İç kontrol sistemi kurumun altyapısına inşa edildiğinde ve işletmenin özünün bir parçası olduğunda en etkili halini alır. İç kontrol sistemi eklenti değil, gömme olmalıdır. Gömme kontrol sistemleri kurumun hedeflerine ulaşabilme yeteneğini doğrudan etkileyebilir ve iş kalitesini destekler. Kalite araştırması işlerin nasıl yürütülüp, nasıl kontrol edildiği ile doğrudan bağlantılıdır. Kalite öncelikleri, aşağıda sıralananların da gösterdiği gibi, işletmenin yapısının bir parçası haline gelir: Kalite değerlerinin işlerin yürütülme sürecine monte edildiğini garanti eden üst düzey yönetici liderliği Kurumun bilgi birikimi, analizleri ve diğer süreçleri ile bağlantılı olan kalite değerleri oluşturmak Sürekli bir kalite iyileştirmesi yaratabilmek için rekabetçi uygulamalardan ve müşteri beklentilerinden faydalanmak Bu kalite faktörleri etkili bir iç kontrol sistemindekilerle paralellik gösterir. Aslında iç kontrol sadece kalite programları ile birleşmiş değildir ama bu başarısında kritik bir öneme sahiptir. Bunların yanı sıra, iç kontrol sistemlerinin birtakım maliyetleri de vardır: Birçok işletme yüksek derecede rekabetçi pazarlar ve bazı maliyetlerle yüz yüzedir. Varolanlardan ayrı yeni prosedürler getirmek de yeni maliyetler getirir.ve işletmeler, varolan işlemlere ve onların iç kontrol sistemine katkılarına odaklanarak ve kontrolleri temel faaliyetler için tesis ederek gereksiz prosedür ve faaliyetlerden kaçınabilirler. Kontrolleri işletmenin temeline kurmak, yeni faaliyetler için gerekli olan yeni kontrollerin gelişimini tetiklemeye yardımcı olur. Böyle otomatik tepkiler de daha çevik ve rekabetçi yapar. 9

Çalışanlar İç kontrol sistemi, kurumdaki yönetim kurulu, yönetim ve diğer personelce üretilir. Yani organizasyonun çalışanlarınca, onların söyledikleri ve yaptıklarıyla oluşturulur. Çalışanlar kurumun hedeflerini oluşturur ve kontrol mekanizmalarını yerleştirir. Benzer şekilde, iç kontrol de çalışanların eylemlerini belirler. İç kontrol, çalışanların her zaman anlamadığının, iletişim kurmadığının ya da istikrarlı bir biçimde performans göstermediğinin farkındadır. Her bir birey iş yerine tek, eşsiz bir altyapı ve teknik kabiliyetle gelir ve her birinin farklı ihtiyaç ve öncelikleri vardır. Tüm bu gerçekler iç kontrolü belirler ve iç kontrolce belirlenir. Çalışanlar kendi sorumluluklarının ve otoritenin sınırlarının farkında olmalıdırlar. Çalışanların görevleri ile, bunları yerine getirme şekilleri arasında, kurumun hedeflerinin yanı sıra, açık ve yakın bir bağlantı olmalıdır. Bir organizasyonun çalışanları, yönetim ve diğer personelin yanı sıra yönetim kuruludur. Yöneticiler ilk bakışta gözetimi sağlayanlar olarak görülse de, aynı zamanda yönlendirmeyi sağlarlar ve işlem ve politikaları onaylarlar. Aynı şekilde yönetim kurulu da iç kontrolün önemli bir unsurudur. Makul Güvence İç kontrol, ne kadar iyi tasarlanmış ve işletiliyor olursa olsun, idareye ve yönetim kuruluna, kurumun hedeflerine ulaşmasına ilişkin olarak, sadece makul bir güvence sunabilir. Başarıya ulaşma olasılığını iç kontrolün doğasında barındırdığı sınırları etkiler. Bunlar ise karar almada beşeri hatalar, kontrol mekanizmasını kurmakla sorumlu kişilerin göreli maliyet ve faydaları düşünmek zorunda oluşu ve basit hatalar gibi gerçeklerdir. O halde diyebiliriz ki kontroller bir ya da daha fazla kişi nedeniyle aksayabilir. Ama idarenin kontrol sistemini yeniden kurma kabiliyetinin olduğunu da unutmamak gerekir. Hedefler Her kurum, ulaşmak istediği hedeflerini ve ulaşabilmek için gerekli olan stratejilerini oluşturarak göreve başlar. Hedefler her bir faaliyet için ayrıntılı olarak belirlenmiş olabilir. Çok sayıda hedef net bir biçimde belirlense de, sadece bazıları yaygın bir biçimde paylaşılır.örneğin, her bir kurum, güvenilir mali raporlama sunarak ve yasa ve düzenlemelerle uyum içinde çalışarak, iş ve müşteri çevresinde olumlu bir ünü sürdürür. Bu çalışmaya göre hedefler üç kategoriye ayrılır: Kurumun kaynaklarının etkili ve verimli kullanımı Güvenilir mali raporlama Yürürlükteki yasa ve düzenlemelerle uyum 10

Bu sınıflama, iç kontrolün farklı yönlerine odaklanma imkanı sağlar.bu birbirinden farklı fakat çakışan ( bir tane alt hedef birden fazla kategorinin kapsamında yer alabilir anlamında) kategoriler, farklı ihtiyaçlara işaret ediyor ve farklı yöneticilerin sorumluluğundadırlar. Bu sınıflama aynı zamanda, iç kontrol sisteminden neler beklenebileceğinin ayrımına varılmasını da sağlıyor. Bir iç kontrol sisteminden, güvenilir mali raporlama ve yasalarla uyum içinde çalışma ile ilişkili olarak, hedeflere ulaşmada makul bir güvence sağlaması beklenebilir. Kurum dışı kesimlerin empoze ettiği standartlar üzerine kurulmuş hedeflere ulaşılması kurumun kontrol faaliyetlerinin nasıl yerine getirildiğine bağlıdır. Ancak iç kontrolün içinde yer almayan, yatırımların getirileri, Pazar payı ya da yeni üretim hatlarına giriş gibi, hedefler de vardır. Ayrıca iç kontrol, kötü karaları ya da başarısızlığa yol açabilecek dışsal olayları engelleyemez. Bu tür hedeflerde, iç kontrol anacak, yönetim zamanında haberdar edildiğinde, başarı gösterebilir. Unsurlar İç kontrol birbiriyle ilişkili beş unsurdan oluşur. Bunlar iş sürecinden türetilir ve bu süreçle bir bütündürler.bu unsurlar şunlardır: Kontrol Ortamı: Herhangi bir işin özü o işin çalışanları- çalışanların,bütünlüğü, etik değerleri ve yeterliliği içeren bireysel nitelikleri-ve iş ortamıdır. Onlar işi yöneten motor ve her şeyin üzerine kurulduğu temeldirler. Risk Değerlendirmesi: Kurum karşılaşacağı ve başetmek zorunda olduğu risklerin farkında olmalıdır. Satışlar, üretim, pazarlama, mali faaliyetler ve diğer faaliyetlerle bir bütün olan hedeflerini oluşturmalı ki uyum içinde işleyebilsin. Bunun yanı sıra ilişkili riskleri tanımlayıp, analiz edip, yönetebilmesini sağlayacak mekanizmalar kurmalıdır. Kontrol Faaliyetleri: Kontrol politikaları ve prosedürleri, yönetimce riskleri yönetebilmek için gerekli olduğu belirlenen faaliyetlerin, etkili bir biçimde yerine getirildiğini garanti etmeye yardım edecek şekilde kurulup yönetilmeli. Bilgi ve İletişim: Bilgi ve iletişim sistemleri, birimlerin çalışanlarına, eylemlerini yürütebilmek, yönetebilmek ve kontrol edebilmek için gerekli olan bilgiyi elde etme ve değiştirme olanağı sunar. İzleme: Tüm süreç izlenmelidir. Böylece sistem, değişen koşullara dinamik bir biçimde tepki verebilir. Bu iç kontrol unsurları ve bunların bağlantıları Resim 1 in gösterdiği model içinde gösterilmiştir. Model iç kontrol sisteminin dinamizmini resmediyor. Örneğin risk değerlendirmesi yalnızca kontrol faaliyetlerini etkilemez, bilgi ve iletişim ya da izleme faaliyetlerine ihtiyacı gösterebilir. Böylece görüyoruz ki iç kontrol, bir unsurun sadece bir sonrakini etkilediği bir dizisel sistem değil. Neredeyse her bir unsurun bir diğerini etkileyebileceği ve etkileyeceği, çok yönlü ve tekrarlanan bir süreç. Hiçbir iki kurum aynı iç kontrol sistemine sahip olmayacak ya da olmamalıdır. Şirketler ve kontrol ihtiyaçları endüstri ölçeğine, kültüre ve yönetim felsefesine göre çarpıcı bir biçimde farklılık gösterir. Bu nedenle tüm kurumlar faaliyetleri üzerinde kontrolü tesis etmek için unsurların her birine ihtiyaç duyduğu halde her birinin kontrol sistemi birbirinden farklı görünecektir. 11

EXHİBİT 1 12

Hedef ve Unsurların İlişkisi Kurumun ulaşmaya çalıştığı hedefleri ve hedeflere ulaşmak için nelere gereksinim olduğunu gösteren unsurlar arasında doğrudan bir ilişki vardır. Bu ilişki ise Resim 2 deki üç boyutlu matriks ile resmedilebilir: üç hedef kategorisi- eylemler, mali raporlama ve uyum- dikey sütunlarla gösterilmiş. beş unsur yatay satırlarla, ve iç kontrolün ilişkili olduğu, kurumun birim ve faaliyetleri, matriksin üçüncü boyutunda resmediliyor. Her bir unsur satırı, üç hedef kategorisiyle de çakışıyor ve üçüne de uygulanıyor. Sol altta ayrı bir biçimde gösterilen bir örnek var: örneğe göre, iç ya da dış kaynaklardan elde edilen ve bilgi ve iletişim unsurunun bir parçası olan, mali ve mali olmayan veriler, eylemleri etkili bir biçimde yönetmek, güvenilir mali raporlar hazırlamak ve yasalarla uyumlu çalışmayı sağlamak için gereklidir. Bir diğer örnek de (resimde ayrıca gösterilmemiş), kontrol faaliyetlerini temsil eden, yönetimin plan, program ve diğer faaliyetlerinin yerine getirildiğini güvence altına alan kontrol politikası ve prosedürlerinin kurulum ve yönetiminin de üç hedefle ilişkili olduğunu gösterir. Benzer şekilde, hedef kategorilerine bakıldığında, her bir beş unsur da birbiriyle ilişkili. Örneğin işlemlerin etkililiği ve verimliliği hedefini ele alalım, beş unsur da bu hedefe ulaşılabilmesi için gereklidir. Bu örnek ise sağ altta ayrı bir biçimde resmedilmiştir. İç kontrol ya tüm kurumla ya da onun bir bölümüyle ilişkilidir. Bu ilişki ise yan kuruluşları, departmanları ve diğer iş birimlerini ve ya satın alma, üretim ve pazarlama gibi fonksiyonel ve ya diğer faaliyetleri temsil eden üçüncü boyut tarafından resmediliyor. Buna göre biri matriksin hücrelerinden herhangibirine odaklanabilir. Söz gelimi, 13

Exhibit 2 14

Etkililik Farklı kurumların iç kontrol sistemleri farklı etkililik seviyelerinde işler. Benzer şekilde, özel bir sistem farklı zamanlarda farklı farklı biçimlerde işler. Bir iç kontrol sistemi aşağıdaki standartları karşıladığında etkili olduğu farzedilir. Aşağıda sıralananlar için yönetim kurulu ve yönetimin makul bir güvencesi varsa eğer, o zaman iç kontrol sistemi her üç kategoride de etkili olarak nitelendirilir: İşletmenin hedeflerine ulaşmada ne kadar başarılı olduğunun farkında oldukları Finansal raporların güvenilir bir biçimde hazırlandığı Yürürlükteki yasalara uyulduğu İç kontrol bir süreç iken, onun etkililiği sürecin, zaman içerisindeki belli bir andaki durumudur. Bir kontrol sisteminin etkili olup olmadığını tespit etmek, söz konusu beş unsurun etkili işleyip işlemediğinin değerlendirmesinden kaynaklanan öznel bir yargıdır. Bu unsurların etkili işlemesi hedeflerin bir ya da daha fazlasının başarıldığına ilişkin makul bir güvence sağlar. Dolayısıyla bu unsurlar, aynı zamanda etkililik için birer ölçüttür. Beş ölçüt de iyi seviyelerde olmalıdır; ancak bu hepsinin farklı birimler için aynı seviyelerde olması gerektiği anlamına gelmez. Bu unsurlar arasında değiş tokuşlar meydana gelebilir.kontroller çeşitli amaçlara hizmet edebileceğinden, bir unsurdaki bir kontrol, aslında başka bir unsurda yer alan bir kontrolün amacına hizmet edebilir. Ek olarak, her biri özel bir riske yönelmiş kontroller derecede farklılaşabilir, o nedenle kontroller ancak bir bütün olarak, tatmin edici olabilir. Bu unsurlar ve ölçütler, tüm iç kontrol sistemini ve ya bir ya da daha fazla hedefi ilgilendirir. Herhangi bir kategoriye bakıldığında- örneğin, mali raporlama hakkındaki kontroller- mali raporlama üzerindeki iç kontrolün etkili olduğunu söyleyebilmek için beş ölçüt de tatmin edici olmalıdır. Aşağıdaki ifadeler, bir iç kontrol sisteminin etkili olup olmadığı belirlenirken dikkate alınmalı: İç kontrol, yönetim sürecinin bir parçası olduğundan; unsurlar, yönetimin işletmeyi yönetirken neler yaptığına göre ele alınır.tabi bu arada yönetimin yaptığı her şey, iç kontrolün bir elemanı değildir. Hedeflerin belirlenmesi, örneğin, önemli bir yönetimsel sorumluluk iken, iç kontrol için de bir ön koşuldur. Benzer şekilde, yönetimce yapılan çok sayıda eylem ve alınan çok sayıda karar da iç kontrolü temsil etmez. Resim 3, yaygın yönetim eylemlerini listeliyor ve hangilerinin iç kontrolün unsurları olduğunu gösteriyor. (bu listeleme ne her şeyi kapsıyor, ne de yönetim eylemlerini tanımlamanın tek bir yolunu sunuyor.) Ele alınan tüm ilkeler, ölçeğine bakılmaksızın tüm kurumlara hitap ediyor. Bazı küçük ve orta ölçekli kurumlar bazılarını, büyük ölçeklilere göre farklı uyguladığı halde, yine de etkili bir iç kontrol sistemine sahipler. Her bir ayrı bölümün, bu tür durumları resimleyen kısımları vardır. 15

Resim 3 İÇ KONTROL VE YÖNETİM SÜRECİ Yönetim Faaliyetleri İç Kontrol Her bir ayrı bölüm, değerlemede düşünülmesi gereken faktörlerle birlikte bir değerleme kısmı içeriyor. Bu faktörlerden her şeyi kapsamaları beklenmemelidir. Sadece daha kapsamlı ve daha oturmuş bir değerleme programı için resimlemeler sağlar. 16

KONTROL ORTAMI Bölüm Özeti: Kontrol ortamı, çalışanların kontrol bilincini etkileyerek, kuruluşun tarzını belirler. Kontrol ortamı, disiplin ve yapıyı sunarak, iç kontrolün diğer unsurları için bir temel hazırlar. Kontrol ortamı faktörleri, çalışanların bütünlüğü, etik değerleri, yeterliliği; yönetimin felsefesi, yönetim biçimi; yönetimin otorite ve sorumluluğu tahsis şekli, çalışanları organize edişi ve geliştirişi ve yönetim kurulunca sunulan özen ve yönlendirmedir. Kontrol ortamı, faaliyetlerin yapılandırıldığı, hedeflerin kurulduğu ve riskin değerlendirildiği yolda yaygın bir etkiye sahip. Tabi ayrıca kontrol faaliyetlerini, bilgi ve iletişim sistemlerini ve izleme faaliyetlerini etkiler. Kontrol ortamı ise onların tabi bu sadece bu faaliyetlerin tasarımları ile alakalı değildir, günden güne çalışmaları ile de ilgilidir. Kontrol ortamı kurumun tarihi ve kültüründen etkilenir. Bu da çalışanlarının kontrol bilincini etkiler. Etkili bir biçimde kontrol edilen kurumlar, yetkin çalışanlara sahip olmaya çalışır bütünlüğü, kontrol bilincini ve telkin ederler. Ve bu kurumlar paylaşılan değerleri ve takım çalışmasını besleyen, sıklıkla yönetimin yazılı bir şifresini de içeren uygun politika ve prosedürleri de tesis ederler. Kontrol Ortamı Faktörleri Kontrol ortamı aşağıda ele alınan faktörleri kapsar.herbiri önemlidir; fakat hangisinin üzerinde daha çok durulacağı kurumdan kuruma farklılaşır. Örneğin bir üst yönetici küçük bir iş gücü ve merkezileşmiş işlemlerle resmi sorumluluk hatları ve detaylı işlem politikaları oluşturmayabilir; ancak uygun bir kontrol ortamı yaratabilir. Bütünlük ve Etik Değerler Bir kurumun hedefleri ve onlara ulaşma şekli, tercihler, değer yargıları ve yönetim biçimleri üzerine kurulur. Davranış standartlarına dönüştürülen bu tercihler ve değer yargıları, yönetimin bütünlüğü ve etik değerler taahhüdüdür. Kurumun olumlu ünü çok değerli olduğu için davranış standardı sadece yasalarla uyumun ötesine geçmelidir. En iyi şirketleri ödüllendirme durumunda, toplum, bundan fazlasının bekler. İç kontrolün etkililiği, onları yaratan, yöneten ve izleyen çalışanların, bütünlüğü ve etik değerlerinin üstüne çıkamaz. Bütünlük ve etik değerler; tasarımı, yönetimi ve diğer iç kontrol unsurlarının izlemeyi etkileyen çok önemli unsurlardır. Bütünlük, bir işletmenin faaliyetlerinin tüm yönlerinde etik davranış için bir önkoşuldur. Treadway Komisyonu nun belirttiği gibi, Her seviyede güçlü bir tüzel etik ortam, kurumun iyiliği, seçmenleri ve geniş anlamda da tüm toplum için çok önemlidir. Böyle bir ortam, şirket politikalarının ve kontrol sisteminin etkililiğini önemli ölçüde destekler ve en iyi kontrol sistemlerinde bile olmayan davranışı oluşturmaya yardım eder. Herbir bölümün sorunlarını düşünmeyi gerektirdiğinden, etik değerler oluşturmak zor bir iştir. Üst yönetimin değerleri; çalışanları, tedarikçileri, müşterileri, rakipleri ve 17

toplumu dengelemelidir. Bu meseleleri dengelemek, karmaşık ve asap bozucu bir çaba gerektirebilir; çünkü ilgi daima avantajlar üzerindedir. Örneğin, çok gerekli bir ürünü sunmak ( petrol, kereste ya da yiyecek), bazı çevresel sorunlara yol açabilir. İyi işleyen kurumların yöneticileri, giderek artan bir biçimde, etik davranış iyidir anlamına gelen ethics pays anlayışını benimsiyorlar. Bunun olumlu ve olumsuz örnekleri, oldukça fazla. Örneğin, en önemli ürünlerinden biri ile ilgili bir kriz yaşayan bir eczacılık şirketinin, bu krizle başarılı bir biçimde başaçıkabilmesi, hem sağlam bir etik hem de sağlam bir iş sayesindeydi. Ve yavaş yayılan, kar düşüşleri ya da yasa dışı uygulamalar gibi kötü haberlerin, müşteri ve stok fiyatları üzerine etkisi, açıklamaların mümkün olduğunca çabuk yapıldığı duruma göre çok daha fazladır. Sadece kısa dönemli sonuçlar üzerine odaklanmak, kısa dönemde bile can yakabilir. Satışlar ya da karlılık gibi ana noktalara konsantre olmak ise beklenmeyen olay ya da tepkilere yol açabilir. Örneğin, yüksek baskılı satış taktikleri, üstü kapalı rüşvet teklifleri, uzun süreli olmanın yanısıra ani de olan tepkilere yol açabilir. Etik davranış ve yönetim bütünlüğü şirket kültürünün ürünüdür. Şirket kültürü etik ve davranışsal standartlar, bunların nasıl aktarıldığını ve pratikte ne kadar takviye edildiğini içerir. Resmi politikalar, yönetimin ne olmasını istediğini belirler. Şirket kültürü, gerçekte ne olduğunu, hangi kurallara uyulduğunu hangilerinin çiğnendiğini belirler. CEO ile başlayan üst yönetim, şirket kültürünü belirlemede anahtar bir rol oynar. CEO bir kurumda genellikle baskın kişiliktir ve sıklıkla bireysel olarak etik tonu belirler. İyi ve Kötü Teşvikler: Birkaç yıl önce bir çalışma, bazı katı kurumsal faktörlerin, hileli ve şüpheli mali raporlama uygulamaları olasılığını etkileyebileceğini öne sürdü. Aynı faktörler etik davranışı da etkileyebilir. Bireyler dürüst olmayan, yasadışı ve ahlaki olmayan davranışlarda kolaylıkla bulunabilirler, çünkü kurumları onlara bunları yapmalarına neden olabilecek teşvikler sunabilir. Sonuçlara yapılan vurgu, özellikle kısa dönemde, başarısızlığın bedelinin ağır olduğu bir ortam yaratabilir. Hileli ya da şüpheli mali raporlama gibi ahlaki olmayan davranışlara davet eden teşvikler şunlardır: Özellikle kısa dönem için koyulan gerçekçi olmayan kısa dönem hedeflerinin elde edilmesi konusunda baskı Yüksek performansa bağlı ödüllendirme İkramiyelerde kesintiler Söz konusu çalışma, çalışanların uygun olmayan davranışlarda bulunmalarına yol açacak teşvikleri de sıralıyor: Görevlerin duyarlı alanlarda başarısız dağıtımı gibi kötü performansı gizlemeye yol açan var olmayan ya da etkili olmayan kontroller Üst yönetimin alt kademelerde alınan kararlardan habersiz kalmasına yol açan ve yakalama şansını azaltan yüksek ademi merkeziyet 18

Uygunsuz davranışları tespit edip raporlama yeteneğinden yoksun etkililiği olmayan bir iç denetim fonksiyonu Çok önemi olmayan uygunsuz davranışlar için kullanılan ve dolayısıyla caydırıcı olma özelliklerini yitiren cezalar. Bu tür teşvikleri ortadan kaldırmak ve ya azaltmak, istenmeyen davranışları azaltmada yol katedilmesini sağlar. Bu da faydalı iş uygulamaları takip edilerek başarılabilir. Örneğin, uygun kontrollerin eşlik ettiği performans teşvikleri performans teşvikleri gerçekçi olduğu sürece faydalı bir yönetim tekniği olabilir. Gerçekçi performans hedefleri konulması faydalı bir motivasyonel uygulamadır. Bu, gerçekçi olmayan hedeflerin yarattığı hileli mali raporlamaya teşviğin yanısıra amaca zararı dokunan vurguyu da azaltır. Benzer şekilde iyi kontrol edilen bir raporlama sistemi, performansı yanlış raporlamaya karşı bir kalkan görevi görür. Ahlaki Rehberliği Sunmak ve İletmek Az önce tartışılan olumlu ve olumsuz teşviklere ek olarak, söz konusu çalışma, şüpheli ve hileli mali raporlama uygulamalarının üçüncü bir nedenini bulmuştur: farkında olmama. Çalışmanın tespit ettiği bir başka şey de şu: aldatıcı mali raporlama örneklerini yaşamış şirketlerin çoğunda, çalışanlar yaptıklarında neyin yanlış olduğunu bilmiyordu ve kurumun çıkarına çalıştıklarını zannediyorlardı. Bu farkında olmama ise, bir aldatma maksadından çok, genellikle başarısız ahlaki altyapı ya da rehberlikten kaynaklanıyor. Bu nedenle neyin yanlış neyin doğru olduğunu belirten bir ahlaki rehberlik sunulmalıdır. Kurum içinde en etkili ahlaki davranış mesajı iletisi, örnek olmadır. Çalışanlar, liderlerini taklit ederler. Çalışanlar neyin yanlış neyin doğru olduğu ve iç kontrol konusunda, üst yönetimin gösterdiği davranışların aynısı geliştirme eğilimi içindedirler. CEO nun zor bir kararla karşılaştığında doğru olanı yaptığının düşünülmesi, kurumun tüm kademelerine güçlü bir mesaj iletir. Yalnız iyi bir örnek oluşturmak da yeterli değildir. Üst yönetim kurumun değerlerini ve davranışsal standartları çalışanlara sözlü olarak iletmelidir. Birkaç yıl önceki bir çalışma, bir şirketin davranış resmi kodunun, çalışanlara işletmenin görev ve bütünlüğünü iletmede geniş bir kullanım alanı bulduğunu söylüyor. Kodlar, bütünlük ve etik, çıkar anlaşmazlıkları, yasadışı ve ya başka uygunsuz ödemeler rekabetçi olmayan planlar gibi çeşitli davranışsal konulara işaret ediyor. Savunma sanayisindeki skandalların açığa çıkması ile son yıllarda birçok şirket, iletişim kanalları ve izlemenin yanısıra böyle kodlar benimsedi. Davranış kodları yardımcıdırlar fakat, kurumun etik değerlerini çalışanlara, tedarikçilere ve müşterilere aktarmanın tek yolu değildir. Yazılı bir davranış kodunun ya da çalışanlara ulaşan ve anladıkları bir dökümantasyonun varlığı bile bunların takip edildiğini garanti etmez. Yazılı olsun olmasın etik değerlerle uyum, en iyi, üst yönetimin eylemleri ve örneklerince garanti edilir. En önemli sonucu, ihlalleri rapor etmekte başarısız olan çalışanlara karşı, beklenen ihlalleri ve disiplin eylemlerini raporlayan çalışanları cesaretlendirmek için var olan kod ve mekanizmaları çiğneyenleri cezalandırmasıdır. Bu tür durumlarda yönetimin eylemleri ile gönderdiği mesaj, işletme kültüründe çabucak şekillenir. 19

Yetkinlik Taahhüdü Yetki, bireylerin işlerini tanımlayan görevlerin başarılması için ihtiyaç duyulan bilgi ve becerileri yansıtmalıdır. Bu görevlerin ne kadar iyi başarılması gerektiği, kurumun hedefleri ve hedeflere ulaşma için gerekli olan yönetim strateji ve planları düşünülerek alınması gereken bir yönetim kararıdır. Ve sıklıkla yetki ve maliyet arasında bir değiş tokuş vardır- örneğin bir ampulün değiştirilmesi için bir elektrik mühendisi kiralamaya ihtiyaç yoktur. Yönetim, farklı görevlerin yetki seviyelerini belirtmeli ve bu seviyeleri uygun bilgi ve becerilere dönüştürmelidir. Gerekli bilgi ve beceriler, bireylerin, sırasıyla, zeka, eğitim ve tecrübelerine bağlıdır. Bilgi birikimi ve beceri seviyelerini geliştirme içerisinde düşünülen, çok sayıda faktör arasında, belirli bir işe uygulanacak sorgulamanın doğası ve derecesi yer alır. Ve genellikle, teftişin boyutu ve bireyin gerekli yetki seviyesi arasında bir değiş tokuş vardır. Yönetim Kurulu ve Denetim Komitesi Kontrol ortamı ve en üstteki ton, kurumun yönetim kurulu ve denetim komitesince önemli ölçüde etkilenir. Faktörler, yönetim ve denetim komitesinin yönetimden bağımsızlığını, üyelerinin tecrübe ve durumunu, izleme faaliyetlerinin boyutunu ve faaliyetlerinin uygunluğunu içerir. Bir diğer faktör ise, plan ve performansa ilişkin olarak yönetimle oluşan ve takip edilen zor soruların derecesidir. Kurulun ya da denetim komitesinin iç ve dış denetçilerle etkileşimi de kontrol ortamının etkileyen bir diğer faktördür. Taşıdığı önemden ötürü aktif ve ilgili bir yönetim kurulu, bir vekiller kurulu ya da benzer bir kurul- zorunlu yönetim, rehberlik ve sorumlulukları yerine getirmesini sağlayacak zorunlu bir yapı ve aklın eşlik ettiği uygun bir yönetimsel, teknik ve diğer tür uzmanlığa sahip olan- etkili bir iç kontrol için kritik bir öneme sahiptir. Bir kurul yönetimin faaliyetlerini inceleme ve soruşturmaya, güncel gözden geçirmelere hazırlıklı olmak zorunda olduğundan ve yanlışların karşısında durma cesaretine sahip olduğundan, kurulun dış denetçilere ihtiyacı vardır. Kesinlikle, yönetici ve personel sıklıkla, çok etkili ve önemli kurul üyeleridir. Ancak, bunda bir denge olmalıdır. Küçük ve orta ölçekli işletmeler için, dış denetçilere sahip olmak maliyetli olsa dageniş ölçekliler için değildir- kurulun en azından küçük bir dış denetçi kadrosu olmalıdır. Tabi, sayı kurumun koşullarına uygun olmalıdır, ancak, gerekli bir dengeye sahip olacak bir kurulun birden fazla sayıda dış denetçiye ihtiyacı vardır. Bu ihtiyaç, yönetim kurulunun sorumlulukları ve denetim komiteleri, aşağıda Küçük ve Orta Ölçekli Kurumlara Uygulama da ve Bölüm 8 de ele alınıyor. Yönetimin Felsefesi ve İşletme Biçimi Yönetimin felsefesi ve işletme biçimi, işletmenin idare ediliş biçimini etkiler ve bu da kabul edilen iş risklerini içerir. Önemli riskler almada başarılı olmuş bir kurum, tehlikeli alanlarda girişimde bulunmanın bir sonucu olarak, kötü iktisadi ve düzenleyici sonuçlarla karşılaşmış birine kıyasla, iç kontrole farklı bir bakış açısına sahiptir. Çok resmi bir ortamı olmayan bir şirket, işlemleri, büyük ölçüde, kilit yöneticiler aracılığıyla, yüz yüze görüşmelerle kontrol edebilir. Daha resmi bir biçimde yönetilen 20