IConGFE&SR. 2nd INTERNATIONAL CONFERENCE ON GOVERNANCE, FRAUD, ETHICS & SOCIAL RESPONSIBILITY

IConGFE&SR 2nd INTERNATIONAL CONFERENCE ON GOVERNANCE, FRAUD, ETHICS & SOCIAL RESPONSIBILITY "scientific meeting point of studies on accounting, finance, auditing, taxation and related law" June 9-14, 2010 UKYYEveSSK 2.ULUSAL KURUMSAL YÖNETİM, YOLSUZLUK, ETİK ve SOSYAL SORUMLULUK KONFERANSI muhasebe, maliye, denetim, vergi ve ilgili mevzuat çalışmaların bilimsel buluşması 9 14 Haziran 2010 ISConGFE&SR 2nd INTERNATIONAL STUDENT CONFERENCE ON GOVERNANCE, FRAUD, ETHICS & SOCIAL RESPONSIBILITY "scientific meeting point of studies on accounting, finance, auditing, taxation and related law" June 9-14, 2010 TRAKYA UNIVERSITY HAVSA VOCATIONAL COLLEGE ANADOLU KULUBU BUYUKADA ISTANBUL www.icongfesr2010.org Mail: icongfsr1@yahoo.com veya kiymetcaliyurtconference@yahoo.com 1

KONFERANS ORGANİZASYONU / CONFERENCE ORGANISERS TRAKYA ÜNİVERSİTESİ MUHASEBE VE FİNANSMAN ÖĞRENCİ ARAŞTIRMA TOPLULUĞU Trakya University Accounting and Finance Research Student Club ACFE ULUSLAR ARASI YOLSUZLUK İNCELEME UZMANLARI BİRLİĞİ TRAKYA ÜNİVERSİTESİ ÖĞRENCİ TOPLULUĞU / Association of Certified Fraud Examiners Trakya University Student Chapter TRAKYA ÜNİVERSİTESİ DENETİM TOPLULUĞU (TÜRKİYE İÇ DENETİM ENSTİTÜSÜ) Trakya University Auditing Club (Founded and Directed by Institute of Internal Auditors Turkiye) http://www.mufito.org/ 2

SCIENTIFIC PROGRAMME / BİLİMSEL PROGRAM Organising Committee has right to make changes in the programme. / Organizasyon Komitesi programda değişiklik yapma hakkında sahiptir. Turkish English and English Turkish simultaneously translation will be provided during the keynote speeches in the main hall. / Konferansımızda anasalonda Türkçeden İngilizceye, İngilizceden Türkçeye simültane çeviri olacaktır. ATTENTION FOR CFEs / YOLSUZLUK INCELEME UZMANI OLANLARIN DİKKATİNE: * National International and Student Conferences has been accredited by Association of Certified Fraud Examiners for Certified Fraud Examiners (ACFE). If you attend fraud related presentations in Keynote Speeches(*), Panels(*) And Parallel Sessions(*), please do not forget to take your CPE Certification. / * Ulusal Uluslar arası ve Öğrenci Konferansları, Uluslar arası Yolsuzluk İnceleme Uzmanları Derneği tarafından akredite edilmiştir. Yolsuzluk başlığı ile ilgili Konferans Konuşmalarında (*), Panellerde (*) ve Paralel Oturumlarda (*) CPE sertifikanızı istemeyi unutmayınız. FULL REGISTRATION CPE FOR CFEs: 21 CREDITS 3

June 9 th, 2010 Wednesday / 9 Haziran 2010 ÇARŞAMBA OPENING SPEECHES FOR NATIONAL AND INTERNATIONAL CONFERENCE Opening Ceremony will sart at 09:30 a.m. / Açılış töreni başlama saati 09:30 ULUSAL VE ULUSLARARASI KONFERANS İÇİN AÇILIŞ KONUŞMALARI Manager Social Graduate School Trakya University, Conference President Assoc.Prof.Kıymet Tunca ÇALIYURT / Trakya Universitesi Sosyal Bilimler Enstitüsü Müdürü, Konferans Başkanı Doç.Dr.Kıymet Tunca ÇALIYURT (*) CPE for CFEs President of Transparency International Turkiye Oya ÇETİNKAYA / Şeffaflık Örgütü Başkanı Türkiye Oya ÇETİNKAYA (*) CPE for CFEs President of Accounting Academician Colloboration Foundation Prof.Dr.Ömer LALİK / Muhasebe Öğretim Üyeleri Bilim ve Dayanışma Vakfı Başkanı Prof.Dr.Ömer LALİK (*) CPE for CFEs President of Expert Accontants Association of Turkiye Prof.Dr.Cemal İBİŞ / Türkiye Muhasebe Uzmanları Derneği Başkanı Prof.Dr.Cemal İBİŞ (*) CPE for CFEs President of Turkish Certified Public Accountant and Tax Sworn Accountant Chamber Masum TURKER Ph.D. / Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odası Başkanı Dr.Masum TÜRKER (*) CPE for CFEs Member of Bank Assembly Central Bank of Republic of Turkiye Prof.Dr.Necdet ŞENSOY / Türkiye Cumhuriyeti Merkez Bankası Banka Meclisi Üyesi Prof.Dr.Necdet ŞENSOY (*) CPE for CFEs Manager of Havsa Vocational School Trakya University Assist.Prof.Ayhan AYTAÇ / Trakya Üniversitesi Havsa Meslek Yüksekokulu Müdürü Yrd.Doç.Dr.Ayhan AYTAÇ Dean of Faculty of Economics and Business Administration Trakya University Prof.Dr.Derman KÜÇÜKALTAN / Trakya Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dekanı Prof.Dr.Derman KÜÇÜKALTAN Manager of Applied Vocational School - Trakya University Prof.Dr.Sadi UZUNOĞLU / Trakya Üniversitesi Uygulamalı Bilimler Meslek Yüksekokulu Müdürü Prof.Dr.Sadi UZUNOĞLU Rector of Trakya University Prof.Dr.Enver DURAN / Trakya Universitesi Rektörü Prof.Dr.Enver DURAN Mayor of Prince Islands Dr.Mustafa FARSAKOGLU / Adalar Belediye Başkanı Dr.Mustafa FARSAKOĞLU 5

(11:00 11:30) (11:30 13:00) HALL 1 / SALON 1 HALL 2 / SALON 2 HALL 3 / SALON 3 MAIN HALL HALL 4 / SALON 4 International Conference / Uluslararası Konferans International Conference / Uluslararası Konferans International Conference / Uluslararası Konferans International Conference / Uluslararası Konferans ULUSAL KONFERANS / NATIONAL CONFERENCE CORPORATE GOVERNANCE / KURUMSAL YÖNETİM Moderator: Assoc.Prof.Zorica BOZINOVAKA (Doçent Dr.) ETHICS / ETİK Moderator: Assoc.Prof.Dimiter DINEV SOCIAL RESPONSIBILITY / SOSYAL SORUMLULUK Moderator: Assoc.Prof.Khosro Jahdi (Doçent Dr.) SOCIAL RESPONSIBILITY & ETHICS / SOSYAL SORUMLULUK & ETİK Moderator: Prof.Dr.Sudi APAK CORPORATE GOVERNANCE & ETHICS KURUMSAL YÖNETİM & ETİK Moderator: Doç.Dr.Aslı YÜKSEL Functions of Independent Directors and their role in establishing meaningful Corporate Governance Dr. Harpreet Kaur INDIA A Study on Determination of Business Ethics of University Students: Example Of Trakya University Faculty Of Economics And Administrative Sciences Doç.Dr.A.Sinan ÜNSAR How Unfair Business Practices Affect Customer Intentions? An Experimental Study in The Banking Industry Lecturer Volkan ÖZBEK Ümit ALNIAÇIK An Overview Of Corporate Social And Environmental Reporting (Cser) In Developing Countries Assist.Prof.Mohammad Badrul Haider JAPAN Kamuda Etik Prof. Dr. Halil İbrahim Ülker Fatih KOÇ 10

Can Downsizing Be Lean Rather Than Mean? Some Critical Success Factors For Managing Effectively in Downsized Organizations Assist.Prof.Dr. Susan Zeidan DUBAI Board evaluation; Conformance or performance? Janicke Rasmussen Ph.D. NORWAY An Ethical Dilemma in Business Life: Whistle-Blowing Nur Yeliz Gülcan An investigation of the role of ethical behavior in the development of social security Hamid Nakhaie IRAN Asma Esmaeil zadeh IRAN Integrating CSR in the core business activity: The case of the Mauritian Banking Sector Nicolas Ragodoo MARITIUS Media Ethics, Popular Business Magazines Contents and Capital Markets: Evidence From Turkey Yrd.Doç.Dr.Halil İbrahim Bulut Yrd.Doç.Dr.Fikret Çankaya Corporate Social Responsibility and Cooperatives in Slovenia Dolores Modic SLOVENIA Assoc.Prof.Franci Avsec SLOVENIA Comparision of Ethical Codes of Public and Private Organizastions in Banking Sector Assoc.Prof.Turhan ERKMEN Assist.Prof. Sule CERİK Res.Assist.Serdar BOZKURT Res.Assist.Emel ÖZARSLAN İç Denetim Ve Coso Erm Yaklaşımı Doç. Dr. Mehmet Erkan Arş. Gör. Mehtap Karakoç Öğr. Gör. Serkan Özdemir Sosyal Sorumluluk Kavramının Değerlendirilmesi Ve Türkiye deki Sosyal Sorumluluk Uygulama Örnekleri Araş. Gör. Nihan ÖZGÜVEN The effect of the application of fair value accounting on the presence of manipulation in the financial statement in Jordan Strengthening Citizen participation for Sustainable Development: The Mauritian Context Dr Azhar B Abdul Rahman MALAYSIA Ayman Ahmad Abu haija MALAYSIA Lecturer Roshni Deepa Gokulsing MARITIUS (13:00 14:00) 11

İÇ DENETİM VE COSO ERM YAKLAŞIMI Doç. Dr. Mehmet Erkan Afyon Kocatepe Üniversitesi Arş. Gör. Mehtap Karakoç Uşak Üniversitesi Öğr. Gör. Serkan Özdemir Pamukkale Üniversitesi

Özet Son yıllarda dünyayı etkileyen uluslararası finansal skandallar, tüm dikkatlerin denetim faaliyetlerine çevrilmesine neden olmuştur. Yaşanan skandalların açtığı güven eksikliğini gidermek amacıyla iç denetime verilen önem artmaya başlamıştır. İç denetimin en temel işlevi olan iç kontrol mekanizmalarının sağlıklı işlemesi adına bazı iç kontrol modelleri oluşturulmuştur. Bu modellerden en bilinenleri; COSO (Committee of Sponsoring Organizations), Kanada nın CoCo (Criteria of Control), İngiltere nin Turnbull Report, Almanya nın Kontrag, Avustralya/Yeni Zelanda Risk Yönetim Standardı (AS/NZS 4360), Güney Afrika nın King Report tır. Bu çalışmada iç kontrol modellerinden en çok kabul gören COSO yaklaşımını ele alınacaktır. Çalışmanın amacı; COSO ERM (Enterprise Risk Management) yaklaşımının iç denetimdeki rolünü ve iç denetime etkilerini ortaya koymaktır. Anahtar Kelimeler: iç denetim, kurumsal risk yönetimi (erm), coso erm

İç Denetim ve COSO Yaklaşımı İç denetim, bir kurumun faaliyetlerini geliştirmek ve kuruma değer katmak amacıyla bağımsız ve objektif bir güvence ve danışmanlık faaliyeti olarak tanımlanmaktadır. Kurumun risk yönetimi, iç kontrol ve kurumsal yönetim süreçlerinin etkin şekilde işlemesini sağlamak amacıyla sistemli bir yaklaşım oluşturarak kurumun hedeflerine ulaşmasına yardımcı olur (Aykaç, 2005). İç denetim iç kontrolün farklı bir boyutunu oluşturmaktadır. İç denetim yönetime yönelik bir hizmettir ve örgütün iç kontrol sisteminin bir parçasıdır (Korkmaz, 2007). İç denetimin en temel işlevi işletmedeki iç kontrol mekanizmalarının sağlıklı bir şekilde işlemesini sağlamaktır (Yılancı, 2006). Bu kontrol mekanizmalarının doğru işlemesi için bazı iç kontrol modelleri oluşturulmuştur. Bu modellerden en bilinenleri şunlardır; COSO (Treadway Komisyonu-Committee of Sponsoring Organizations), Kanada nın CoCo (Kontrol Kriterleri-Criteria of Control), İngiltere nin Turnbull Report, Almanya nın Kontrag, Avustralya/Yeni Zelanda Risk Yönetim Standardı (AS/NZS 4360), Güney Afrika nın King Report (Moeller, 2005; Pickett, 2003). Biz çalışmamızda bu modellerden en bilineni COSO yaklaşımını ele alacağız. COSO, tüm dünyada örgütsel yönetim, iş etiği, iç kontrol, kurumsal risk yönetimi (ERM), hile ve finansal raporlama gibi kritik konularda rehberlik hizmeti sağlayan bağımsız bir kuruluştur (www.coso.org). Komitenin kurucu başkanı James C. Treadway olması dolayısıyla popüler ismi Treadway Komisyonu dur. 1985 yılında Hileli Mali Raporlama Üzerine Ulusal Komisyonu (National Commission on Fraudulent Financial Reporting) destelemek için kurulan COSO, hileli mali raporlamaya sebep olan geçici faktörleri saptamaya çalışan bağımsız bir özel sektör girişimidir. Aynı zamanda bağımsız denetçileri, devlet kurumları, SEC ve diğer düzenleyiciler ile eğitim kurumları için tavsiyeler oluşturmaktadır (http://www.coso.org/aboutus.htm). Ulusal komisyon 5 ana kuruluş tarafından desteklenmektedir. Bunlar; Amerikan Muhasebeciler Birliği (American Accounting Association-AAA) Amerikan Sertifikalı Muhasebeciler Kurumu (American Institute of Certified Public Accountants-AICPA) Finansal Yöneticiler Kurumu (Financial Executives International FEI) İç Denetçiler Enstitüsü (The Institute of Internal Auditors-IIA) Ulusal Muhasebeciler Birliği (National Association of Accountants) (yeni adıyla Yönetim Muhasebecileri Enstitüsü-The Institute of Management Accountants-IMA) Tamamıyla bağımsız olan bu kurumların yanında Komisyon sektörden, devlet muhasiplerinden, yatırım şirketlerinden ve New York Borsasından (NYSE) temsilciler içermektedir. COSO modeli iç kontrol sisteminin temelini teşkil etmektedir. COSO iç kontrolü; Politika el kitapları ve formları tarafından yapılmasındansa örgütün her seviyesindeki insanın katılımıyla oluşturulan, Bir kuruluşun yönetimine sınırsız güvence değil sadece akılcı güvence sağlayan, Bir veya daha fazla ayrık, ancak örtüşen kademelerde hedefleri başarmaya çalışan bir başlangıcı ve sonu olan bir süreç olarak tanımlamaktadır (www.coso.org). COSO nun 1992 yılında yayımladığı Internal Control-Integrated Framework adlı rapor yayınlandığı tarihten itibaren işletmelere iç kontrol sistemini değerlendirme hususunda yardımcı olmuştur. Bu çerçeve zaman içinde devlet, kurallar, düzenlemeler ile bütünleşerek, işletmelerin daha iyi bir şekilde iç kontrol çalışmalarını sürdürmeleri ve saptadıkları hedefleri başarmaları konusunda onlara rehber olmuştur. Ancak geçen yıllar risk yönetimi konusunun önemini arttırmıştır. Riski etkili bir şekilde saptamak, değerlendirmek ve yönetmek için sağlam bir çerçeve ihtiyacı doğmuştur. Bunun için COSO, 2001 yılında PricewaterhouseCoopers ile bu ihtiyacı karşılamak için bir proje başlatmıştır. Bu süreç devam ederken kamuoyu tarafından tanınan büyük şirketlerin

skandal ve başarısızlıkları gündeme gelmiştir. 2002 yılında ABD de Sarbanes-Oxley Yasası 1 yürürlüğe girerken, diğer ülkelerde de benzer kanunlar yasalaşmıştır (COSO ERM, 2004). Yaşanan bu gelişmeler sağlam bir risk yönetimi çerçevesi ihtiyacını kaçınılmaz kılmıştır. Çalışmaların sonucunda Komisyon 2004 yılının Eylül ayında Enterprise Risk Management- Integrated Framework (ERM-Kurumsal Risk Yönetimi) yayımlamıştır. Her ne kadar COSO ERM 1992 yılındaki raporun genişletilmiş şekli olarak görülse de, ERM COSO I olarak bilinen Internal Control-Integrated Framework raporun yerini almamaktadır. COSO ERM risk yönetimi ile iç kontrolü birleştirmektedir. İç kontrolü genişleterek risk yönetimi konusunda daha sağlam ve kapsamlı bir odak oluşturmaya çalışmaktadır. COSO ERM, şirketlerin hem iç kontrol ihtiyaçlarını tatmin etmeleri, hem de daha kapsamlı bir risk yönetimi sürecini yaşamaları için gereklidir (COSO ERM, 2004). COSO ERM; bir işletmenin yöneticileri, yönetimi ve diğer personeli tarafından strateji oluşturmak için uygulanan, işletmeyi etkileyebilecek muhtemel olayları tanımlamak için oluşturulmuş, riski yöneten, işletmenin amaçlarını başarmak için akılcı güven sağlayan bir süreçtir. COSO ERM, düzenlemelere ve hukuka uygun ve etkili raporlamayı sağlayarak, işletmenin saygınlığına zarar vermekten kaçınır. İşletmeleri faaliyetleri süresince karşılaşacakları sürprizlerden koruyarak, yapmak istedikleri konusunda onlara yardımcı olmaya çalışır (COSO ERM, 2004). Kısacası COSO ERM (Pickett, 2005); Bir süreçtir, İnsanlar tarafından uygulanır, Strateji oluşturmaya çalışır, Bir işletme üzerine uygulanır, Potansiyel olayları saptamak için oluşturulur, Riski yönetir, böylece risk iştahının yerini alır, Sadece akılcı güvence sağlar, Anahtar hedeflerin kazanımını destekler. Şekil 1: COSO Küpü Kaynak: COSO ERM 2004 1 30 Temmuz 2002 de Amerika da Senatör Paul D. Sarbanes ve Michael G. Oxley tarafından yatırımcının Amerika daki finans piyasalarına, kurumsal yönetime ve finansal raporlamaya duyduğu güvenin onarmak için çıkarılan yasadır.

COSO ERM modelinin 3 kısmı bir küp üzerinde açıklandığı için COSO Küpü olarak anılmaktadır. Birinci kısım küpün yatay boyutunda yönetim hedeflerini içeren 4 kategoriden oluşmaktadır. Bunlar; a. Strateji: Yüksek seviyede hedefler, misyonunu ile uyuşması ve misyonunu desteklenmesi b. Faaliyetler: Kaynaklarının etkili kullanılması c. Raporlama: Raporlara güven duyulması d. Uyum: Uygulanabilir kural ve düzenlemelere uygunluk Bu hedefler COSO ERM nin 8 temel bileşeni ile uygunluk gösterir. Bunlar işletmenin yönetim şeklinden kaynaklanmakta olup, yönetim süreci ile bütünleşmiştir (COSO ERM, 2004). 1. İç ortam: İç ortam bir kurumun atmosferidir. Risklerin kurumda çalışan kişiler tarafından nasıl görüntüleneceği ve yönlendirileceği konusunda bir temel oluşturur. İç ortam risk yönetimi felsefesi, risk kapasitesi, dürüstlük, etik değerler ve faaliyet gösterilen çevre gibi kavramları içerir. 2. Hedef oluşturma: Hedeflerin, yönetimin başarılarını etkileyecek potansiyel olayları belirlemeden evvel var olması gerekmektedir. Kurumsal risk yönetimi kurumun vizyonu ve misyonu ile uyumlu olan ve bu iki unsuru destekleyen strateji ve hedeflerin belirlenmesine yardımcı olmak için tasarlanmış bir süreçtir. 3. Olay tanımlama: İşletmenin hedeflerini gerçekleştirmesinde etkili iç ve dış olayları tanımlanması gerekmektedir. Olayları tanımlarken riskler ve fırsatlar ayrılmalıdır. Fırsatlar, hedef belirleme süreci veya yönetim stratejilerinden bilgi almalıdır. 4. Risk değerlendirme: Risk değerlendirmede risklerin olasılıkları ve etkileri göz önüne alınarak analiz edilir. Riskler doğal risk ve artık risk şeklinde değerlendirilirler. 5. Riske karşılık verme: Yönetim riskten kaçınma, kabul etme, riski azaltma veya riski paylaşma gibi riske karşılık verme şekillerinden birisini seçer. Riskler tanımlanıp değerlendirildikten sonra, bu risk yığınının kurumun risk kapasitesi ve risk toleransı içinde olup olmadığı belirlenir. 6. Kontrol faaliyetleri: Riske verilecek karşılıklar belirlendikten sonra kontrol faaliyetlerine geçilir. Kontrol faaliyetleri aşamasında politikalar ve prosedürler oluşturulup uygulamaya konulur. Böylece riske verilecek karşılıkların etkili olması sağlamaya çalışılır. 7. Bilgi ve iletişim: Kişilerin sorumluluklarını yerine getirmesi için, ilgili bilgi belli bir şekilde ve belli zaman aralıkları ile tanımlanır, ele geçirilir ve iletilir. Etkili iletişim işletmeyi yatay, dikey ve çapraz biçimde etkileyerek, kapsamlı bir şekilde oluşur. 8. İzleme-Gözlemleme: Son aşamada kurumsal risk yönetiminin tamamı izlenir. İzlemesi devam eden yönetim faaliyetleri ya ayrı ayrı olaylar bazında ya da her iki şekilde de yapılabilir. Dikey kısımda bulunan bu 8 bileşen üçüncü boyutta 4 kısım ile kesişmektedir. Bunlar: İşletme-kurum seviyesi Bölüm seviyesi İş birimi seviyesi Şube seviyesi (Pickett, 2005; COSO ERM, 2004)

COSO ERM, işletmenin sahip olduğu değer yaratma kapasitesini arttırmaya çalışmaktadır. Değer, yönetim bir hedef ve strateji belirlediği ve büyüme, getiriler, riskler ve kaynakların etkili dağıtılması arasında optimal dengeyi sağladığı zaman maksimize olur (COSO ERM, 2004). COSO ERM nin kapsamı şöyledir; İşletmenin risk iştahı ve stratejisinin sıralanması: Yöneticiler stratejik alternatiflerin değerlendirilmesinde, ilgili hedeflerin koyulmasında ve ilgili riskleri yönetmek için bir mekanizma oluşturulmasında risk iştahını göz önüne alırlar. Risk ile mücadele kararlarının iyileştirilmesi: ERM, riskten kaçınma, azaltma, paylaşma ve kabul gibi alternatif risk ile mücadele kararları arasından seçim yapmak ve bu kararları tanımlamak için dikkat göstermelidir. Operasyonel sürprizlerin ve kayıpların azaltılması: İşletmeler potansiyel olayları tespit etmek, tepkilerini ortaya koymak ve karşılaşılabilecek sürprizler ve ona bağlı kayıpmaliyetleri azaltmak için imkanlarını iyileştirmeye çalışırlar. Çoklu ve çapraz işletme risklerinin saptanması ve yönetilmesi: ERM, çoklu risklere karşı bütünleşik yanıtlar ve karşılıklı etkilere karşı uygun yanıtlara olanak sağlar. Fırsatları değerlendirmek: Potansiyel olayları göz önünde bulundurmak suretiyle yönetim fırsatların farkında olacaktır. Sermayenin yayılımının geliştirilmesi: Sağlam bir risk bilgisi edinmek, yönetime tüm sermaye ihtiyacı değerlendirme ve sermaye dağılımı iyileştirmek olanağı sağlamaktadır (www.theiia.org-coso Relaeses New ERM Framework; COSO ERM, 2004). COSO ERM, bir işletmenin risk yönetim kültürünü kazanmasında önemli bir katkı sağlar. COSO ERM nin bir işletmeye sağlayacağı yararlardan bazıları şunlardır; (www.theiia.org-coso Relaeses New ERM Framework). İşletmenin amaçlarına ulaşmada daha yüksek olasılık Yönetim seviyesinde farklı risklerin raporlanarak konsolidesi Anahtar risklerin anlaşılarak geliştirilmesi Konulara yönetimin daha fazla odaklanması Doğru şeylerin doğru şekilde yapılmasına daha fazla odaklanma Daha doğru bir şekilde risk alma ve karar verme COSO yaklaşımını anlamak için Sarbanes-Oxley Kanunun (SOX) 404. maddesindeki iç kontrol raporlarını anlamak gereklidir. Kanunun 404. maddesi der ki; yönetim iç kontrol yıllık değerlendirmelerinden sorumludur. COSO nun iç kontrol tanımı, SOX düzenlemeleri için bir kaynak olarak kullanılabilir (Moeller, 2004). İki farklı girişim olmasına rağmen, COSO ERM çerçevesi ile SOX un kuralları arasında bazı yakın ilişkiler vardır. COSO ERM çerçevesinin SOX kurallarıyla uygunluğu daha fazla önemlidir. Çünkü SOX sonuç olarak kanun dur (Moeller, 2007). COSO ERM ile SOX arasında bazı ana farklar vardır. En temel fark; SOX esasen doğru finansal raporlama ve kurumsal yönetim konularına odaklanmaktadır. COSO ERM ise bir işletmenin etrafındaki tüm riskleri içeren geniş bir bakışa sahiptir. SOX bir kanun olmasına rağmen COSO ERM yi SOX tan daha önemli olduğunu öne sürülmektedir. Bazı finans direktörleri ve risk yönetimi ile ilgilenenler COSO ERM nin SOX tan çok daha önemli olduğunu düşünmektedirler. Çünkü COSO potansiyel işletme riskleri ile geniş boyutta ilgilenmektedir (Moeller, 2007). COSO ERM nin İç Denetime Etkileri COSO ERM, iç denetim fonksiyonunda anahtar rol oynamaktadır (Pickett, 2005). İç denetçiler hem yönetim hem de denetim kademesi tarafından desteklenmelidir. Her ikisi de

risk yönetimine dair sorumluluklarında ve uygulamalarında, değerlemede, raporlamada ve yönetimin risk süreçlerinin iyileştirmesinde ve etkinleştirmesinde tavsiyelerde bulunur. COSO ERM, organizasyonun risk yönetim çabalarının değerlemesinde kullanılmak üzere iç denetçilere detaylı bir rehber sağlayarak karşılaştırma imkanı sağlar (www.theiia.org-coso Relaeses New ERM Framework) ERM organizasyonun yönetim süreçlerini geliştirmektedir. Bir bütün olarak organizasyonun tehditleri ve fırsatlarını raporlayan, bunları belirleyerek değerleyen, yapısal, uyumlu ve sürekli bir süreçtir (www.theiia.org-the Role of Internal Audit in ERM). COSO ERM, etkili ERM çabalarını sağlamak için ihtiyaç duyulan kritik süreci oluşturmak için işletmeye kapsamlı bir yol haritası sağlamaktadır (www.theiia.org-coso Relaeses New ERM Framework). COSO ERM Sürecinde İç Denetimin Rolü COSO ERM nin etkili olması için sağlam bir iç kontrol sistemi gereklidir (www.theiia.org-applying COSO s ERM). Ancak ERM iç kontrolden çok daha geniştir ve işletmenin hedeflerini gerçekleştirmek için ilave yönetim çabaları içermektedir (www.theiia.org-coso Relaeses New ERM Framework). Treadway Komisyonunu destekleyen 5 kuruluştan biri olan İç Denetçiler Enstitüsü COSO ERM nin yayınlandığı aynı ayda bir rapor yayınlamıştır. Bu rapor COSO ERM ye göndermeler yapmaktadır. ERM sürecinde iç denetimin rolünü; iç denetimin ERM ile ilgili temel rolleri, iç denetimin önemli olduğu unsurlar ve iç denetimin üstlenmemesi gereken unsurlar olmak üzere 3 aşamada açıklamıştır. Tablo 1: ERM Sürecinde İç Denetimin Rolü İç denetimin ERM ile ilgili temel rolleri Risk yönetim sürecine güven sağlamak Risklerin doğru olarak değerlendirilmesi için güven sağlamak Risk yönetim sürecini değerlendirmek Anahtar risklerin raporlanmasını değerlendirmek Yönetimin anahtar risklerini gözden geçirmek İç denetimin önemli olduğu unsurlar İç denetimin üstlenmemesi gereken unsurları Riskleri belirlemeyi ve değerlemeyi sağlamak Risk ile mücadelede yönetimi eğitmek Risk raporlarını konsolide etmek Yönetim tarafından onaylanmış risk yönetim sürecini savunmak ERM aktivitelerini yönlendirmek ERM nin çerçevesini oluşturmak ve devamlılığını sağlamak ERM nin kurulmasını desteklemek Kabul edilebilir risk seviyesi oluşturmak Risk yönetim sürecini dayatmak Riskler üzerine yönetime güvence sağlamak Riskle mücadelede karar almak Yönetim adına riskle mücadelenin yürütülmesi Risk yönetiminde sorumluluk almak Kaynak: The Role of Internal Audit in Enterprise-wide Risk Management, September 2004, www.theiia.org

Görüldüğü gibi iç denetimin önemli olduğu unsurlarda ERM önemli bir yer almaktadır. ERM aktivitelerini yönlendirmek, ERM nin çerçevesini oluşturarak modelin devamlılığını sağlamak ve ERM nin faydaları göz önüne alındığında modelin işletmelerde kurulmasını savunmak iç denetim açısından çok önemlidir. İç denetimin ERM ile temel rollerinde ise risk yönetim süreci ve anahtar riskler önemli konulardır. COSO ERM ye karşı bazı eleştiriler yapılmaktadır. Bazı yazarlar COSO ERM nin teknik ve pratik anlamda bazı zayıflıkları bulunduğunu savunmaktadır. Bu standardın kötü yazıldığı ve uygulamasının zor olduğu vurgulanmaktadır. Moeller e (2007) göre; COSO ERM modeli hala tam olarak anlaşılamadığı için işletme yöneticileri modelin uygulanması hususunda tam olarak bilgi sahibi değillerdir (Moeller, 2007). Schanfield (2009), çalışmasında COSO ERM nin Kasım 2009 da yayınlanan ISO 31000 Risk Yönetimi-Prensipler ve Rehberler Standardı sadece 24 sayfalık kitapçığına karşılık 125 sayfa uzunluğuna sahip ve dil olarak oldukça ağır olmasını eleştirilmiştir. COSO ERM kitapçığında az sayıda kelime ve daha anlaşılır paragraflar yerine uzun paragrafların kullanılmasının COSO ERM nin anlaşılabilirliğini güçleştirdiğini belirtmiştir. COSO ERM nin risk yönetimi tanımının bile oldukça uzun olduğuna dikkat çekmektedir. COSO nun zırhlarını bırakarak, diğer risk yönetim toplulukları ile karşılıklı ilişki kurmasının zamanının geldiği belirtilmektedir. Yazar, Amerika da risk yönetim faaliyetleri uygulamaya geçirilirken ISO 31000 ve AS/NZS 4360 Avustralya/Yeni Zelanda Risk Yönetim Standardı gibi iki çerçeveden birisinin takip edilmesinin daha doğru olacağını belirtmektedir (Schanfield, 2009). COSO ERM nin ISO 31000 e uyum sağlamak adına bazı değişiklikler yapacağı tahmin edilmektedir (Purdy, 2008).

Tartışma Bu çalışmada iç denetimde önemli bir yeri olan COSO ERM modeli kapsamlı bir şekilde ele alınmıştır. COSO ERM yaklaşımının iç denetimdeki rolü, iç denetime etkileri ve faydaları ortaya koyulmaya çalışılmıştır. İç kontrol modellerinden en kabul göreni olarak görülen COSO ERM, 2004 yılından bu yana işletmelerin iç denetim faaliyetlerine destek vermeye çalışmaktadır. Bu yaklaşım risk yönetimi ile iç kontrolü birleştirmektedir. İşletmeler bu yaklaşımı kullanarak, amaçlarına daha kolay ulaşacak, anahtar risklerinin farkında olarak doğru şeylerin doğru şekilde yapılmasına odaklanacaklardır. COSO ERM her ne kadar 1992 yılında oluşturulan COSO modelinin devamı olarak görülerek COSO II olarak adlandırılsa da COSO I den farklıdır. COSO ERM, COSO I de tanımlanan iç kontrolü genişleterek risk yönetimi konusunda daha sağlam ve kapsamlı bir odak oluşturmaya çalışmaktadır. COSO ERM modeline yönelik yapılan eleştirilerden en dikkate değer olanı, modelin uzun ve karmaşık bir metne sahip olduğudur. Bu durum, modelin yöneticiler tarafından uygulanabilirliğini azaltmakta ve tabana yayılmasını engellemektedir. Modelin metninin kısaltılarak daha kolay anlaşılır hale getirilmesiyle modelin uygulanabilirliğinin kolaylaşarak, tabana yayılmasının sağlanacağı kanısındayız. Amerika da son yıllarda yaşanan finansal krizlere, kurumsal risk yönetiminin doğru şekilde uygulanmaması ve SOX yasasına da gereken önemin verilmemesinin yol açtığına dair var olan genel kanının Treadway Komisyonunu da harekete geçireceği düşünülmektedir. Bu açıdan bakıldığında COSO ERM nin kendini revize etmesi beklenmektedir. COSO ERM nin kendisine yöneltilen eleştirileri göz ardı etmesi durumunda yerini diğer iç kontrol modellerinden birine bırakmak zorunda kalabileceği öngörülmektedir. Ülkemiz birçok alanda olduğu gibi denetim, iç kontrol ve risk yönetimi alanlarında da henüz gelişmiş ülkeler seviyesinde değildir. Günümüzde ülkeye özgü modeller yaratmanın yerine, gelişmiş ülkelerden alınan denetim, iç kontrol ve risk yönetimi modellerini kendisine uyarlama çabasındadır. Bu durum kurumlarımızı ve iş dünyasını olumsuz şekilde etkilemektedir. Organize olmuş kurum ve kuruluşlar ile sivil toplum kuruluşlarının, üniversitelerin ve büyük işletmelerin yetkililerinin de desteği ile iç denetim, iç kontrol ve risk yönetimi konularında işletmelerin daha az sorunla karşılaşmaları için, ülkemizin kendine özgü bir iç denetim mekanizmasının var olması gerektiğini düşünüyoruz. Böylece ülkemizdeki işletmeler, farklı kültür ve gelişmişlik seviyesine sahip ülkelerden uyarlama modellerin dezavantajlarını yaşamadan faaliyetlerini sürdürebileceklerdir.

Kaynakça Aykaç, Özlem (2005), AB uyum sürecinde iç denetimin değişen dünyası ve sigorta sektöründe yeni düzenlemeler, http://www.tsrsb.org.tr/nr/rdonlyres/12371805-b02d-4d45- A71B-B5CE0EB66B15/994/ozlemaykac453471.pdf (Erişim tarihi: 23.02.2010). COSO Enterprise Risk Management-Integrated Framework Executive Summary (2004), September. Korkmaz, Umut (2007), Kamuda iç denetim, Bütçe Dünyası Dergisi, 25(2), 4-15. Moeller, Robert R. (2004), Sarbanes-Oxley and New Internal Auditing Rules, John Wiley&Sons,Ltd. Moeller, Robert R. (2005), Brink s Modern Internal Auditing, John Wiley&Sons,Ltd. Moeller, Robert R. (2007), COSO Enterprise Risk Management Understanding The New Integrated ERM Framework, John Wiley&Sons,Ltd. Pickett, K H Spencer (2003), The Internal Auditing Handbook, John Wiley&Sons,Ltd. Pickett, K H Spencer (2005), The Essential Handbook of Internal Auditing, John Wiley&Sons,Ltd. Purdy, Grant (2008), How to Bring Your ERM Framework into Line With ISO 31000, Lexis Nexis 5th Annual Risk Management Conference, 26 June, Schanfield A.H. (2009), More to risk management than COSO ERM, Journal of Accountancy, December 2009. The Role of Internal Audit in Enterprise-wide Risk Management, September 2004, www.theiia.org (Erişim tarihi:01.12.2009) www.theiia.org-applying COSO s ERM Framework (Erişim tarihi:14.02.2010) www.theiia.org- COSO Releases New ERM Framework (Erişim tarihi:14.02.2010) www.coso.org http://www.coso.org/aboutus.htm-(erişim tarihi:03.12.2009)