INTOSAI KAMU KESMÇ KONTROL STANDARTLARI REHBER Özet Çeviri Baran Özeren Sayıtay Uzman Denetiçisi 2 Haziran 2004
Çevirenin Notu Denetim meslei ile ilgili kamu ve özel sektör organizasyonları, son yirmi yıldır, iç kontrol ve risk yönetimi konuları üzerine ciddiyetle eilmekte ve sürekli biçimde yeni dokümanlar üretmektedir. Keza, uluslararası organizasyonlar da Dünya'daki gelimelere paralel olarak, pek çou bize yabancı gelen yeni kavramı ve modeli irdeleyip ve genel bir sistematik içine oturtmaya çalımaktadır. Dünya'da "COSO Modeli" olarak bilinen ve özel sektörde uygulana gelen "Bütünleik ç Kontrol Çerçevesi" COSO organizasyonu tarafından yenilerde bir risk yönetimi modeli olarak ele alınmaya balanmıtır. Uluslararası Sayıtaylar Birlii de (INTOSAI), COSO Modelini kamu sektörüne uyarlamı ve "INTOSAI Kamu Kesimi ç Kontrol Standartları Rehberi" adıyla ürettii taslak çalımayı üye ülke Sayıtaylarına göndermitir. Kamu reform çalımaları balamında çeitli kanunlarımıza giren iç kontrol ve risk yönetimi kavramları Sayıtay camiamız içinde ve kamu yönetimiyle ilgilenen uzmanlar ve akademisyenler arasında yeterince tartıılıp anlaılamamıtır. INTOSAI in anılan Rehberi nden (INTOSAI Guidelines for Internal Control Standards) yapılan bu özet çevirinin iç kontrol kavramının ve kamu kesimine uyarlanan modelinin anlaılmasında ve yerli yerine oturtulmasında yararlı olacaını umut ediyorum. 1
1. ç Kontrol Tanım ç kontrol; bir kurumun yönetimi ve personeli tarafından hayata geçirilen ve aaıda belirtilen hedefleri gerçekletirmek suretiyle, kurumun misyonunun yerine getirmesi için makul bir güvence salamak üzere tasarlanmı olan bütünleyici bir süreçtir: Faaliyetlerin düzenli, ahlak kurallarına uygun, verimli, tutumlu ve etkin biçimde icra edilmesi; Hesapverme sorumluluunun gerektirdii yükümlülüklerin yerine getirilmesi; Yürürlükteki yasalara ve yönetmeliklere uyulması; Kayıplara karı kaynakların korunması. ç Kontrolun Etkinliinin Sınırları1 Önceden belirlenmi olan genel hedefler iç kontrolun kendisi tarafından gerçekletirilemez. Etkili bir kontrol sistemi, ne kadar iyi tasavvur edilirse edilsin ve ne kadar iyi çalıırsa çalısın, kurum hedeflerinin gerçekletirilmesi veya kurumun ayakta kalması konusunda, yönetime, sadece makul güvence -mutlak deil- salayabilir. Etkili bir iç kontrol sistemi hedeflerin gerçeklememe ihtimalini azaltır. Ancak, iç kontrolların yetersiz biçimde tasarlanma veya arzu edildii gibi çalımama riski daima sözkonunusudur. 1 ç kontrolun gerçek kapsamının yanlı anlaılması yüzünden abartılı beklentilerden kaçınmak bakımından, kavramın etkinlii ile ilgili sınırlamaların vurgulanması gerekmektedir. 2
2.ç Kontrolun Unsurları ç kontrol birbirileriyle balantılı be unsurdan meydana gelir: Kontrol ortamı Risk deerlendirmesi Kontrol faaliyetleri Bilgi ve iletiim zleme ç kontrol kurumun genel hedefleri gerçekletirebilecei konusunda makul güvence elde etmek amacıyla tasarlanır. Bu yüzden etkili bir iç kontrol sürecinin önartı hedeflerin açık biçimde belirlenmesidir. ç kontrol sisteminin esası kontrol ortamıdır. Kontrol ortamı iç kontrolun genel kalitesi üzerinde etkili olan iklimi yaratmanın yanısıra disiplin salar ve yapı oluturur. Nasıl bir strateji ve ne tür amaçlar belirlenecei konusunda genel bir atmosfer yaratır ve kontrol faaliyetlerini yapılandırır. Açık hedefler oluturmak ve etkili bir kontrol ortamı tesis etmek suretiyle, kurumun misyonunu ve hedeflerini gerçekletirmeye çalıtıında karı karıya kalacaı riskleri deerlendirmek bu risklere uygun bir biçimde yanıt vermeye yönelik bir zemin oluturur. Risklerin ortadan kaldırılmasına yönelik ana strateji iç kontrol faaliyetleri aracılııyla gerçekletirilir. Kontrol faaliyetleri önleyici ya da ortaya çıkarıcı mahiyette olabilir. Hedefleri gerçekletirmek bakımından iç kontrol faaliyetleri için gerekli tamamlayıcı unsur düzeltici önlemlerdir. Kontrol faaliyetlerinin ve düzeltici önlemlerin maliyetleri yararlarıyla orantılı olmalıdır. Bir kurumun faaliyetlerinin gerçekletirilmesi ve bunların kontrolu için etkili bilgi ve iletiim yaamsal önemi haizdir. Nihayet, iç kontrol organizasyonun karı karıya kaldıı risklere ve deiikliklere sürekli biçimde uyum gösteren dinamik bir süreç olduundan, iç kontrolun deien hedeflere, ortama, kaynaklara ve risklere ayak uydurabilmesini salamak bakımından iç kontrol sistemini izlemek gerekir. 3
Bu unsurlar kamu kesimine dönük bir iç kontrol yaklaımı önermekte ve bu yaklaım iç kontrolu r deerlendirmek bakımından bir esas oluturur. Hedefler ve Unsurlar Arasındaki Balantı Bir kurumun neyi gerçekletirmeye çalıtıını gösteren hedefler ile bu hedeflerin gerçeklemesi için ihtiyaç duyulanları temsil eden iç kontrol unsurları arasında dorudan bir balantı bulunmaktadır. Bu iliki, aaıda, küp eklinde üç boyutlu bir matriks üzerinde gösterilmektedir: Hesapverme sorumluluu Uygunluk Faaliyetler Kaynakların Korunması Accountability Compliance Operations Safeguarding resources Control Kontrol environment Ortamı Risk Risk Deerlendirmesi Assessment Kontrol Control Faaliyetleri Activities Bilgi ve letiim Information and Communication Organisation entity department Organızasyon Birim Departman zleme Monitoring ç kontrolun her bir unsur enlemesine bir kesit olarak ve dört hedefin tümüne uygulanır. Örnein; faaliyetleri yönetmek, raporlamak ve hesapverme sorumluluunu yerine getirmek ve yürürlükteki yasalara uymak için bilgi ve iletiim unsuru ile balantılı ve kurum içi ve dıı kaynaklardan üretilen finansal olan ve olmayan verilere ihtiyaç duyulur. 4
Accountability Compliance Operations Kontrol Ortamı Control environment Risk Assessment Control Activities Safeguarding resources Organisation entity department Information and Communication Monitoring Kontrol Ortamı Kontrol ortamı, bir organizasyonun personelinin kontrol bilincini etkileme tarzını belirler. Disiplin salayan ve yapı oluturan kontrol ortamı; iç kontrolun bütün dier unsurlarının esasıdır. Kontrol ortamının öeleri: kiisel ve mesleki dürüstlük, yönetimin ve personelin etik deerleri ve organizasyonun bütününde her zaman iç kontrola yönelik destekleyici bir tavır içinde olma; ehliyet (uzmanlık); üst yönetimin tavrı (örnein; yönetimin felsefesi ve i görme uslübu); organizasyonel yapı; insan kaynakları politikalar ve uygulamaları. 5
Accountability Compliance Operations Safeguarding resources Control environment Risk Risk Deerlendirmesi Assessment Control Activities Information and Communication Organisation entity department Monitoring Risk Deerlendirmesi Risk deerlendirmesi; kurumun hedeflerini gerçekletirmesinin engelleyen önemli riskleri tespit ve analiz etme ve bunlara uygun yanıtlar verilmesini belirleme sürecidir. Risk deerlendirmesi u anlama gelir: (1) riski tespit etme: kurumun hedefleriyle balantılı olma; kapsamlı olma; hem kurum düzeyinde hem de faaliyet düzeyinde, iç ve dı faktörlere balı olan riskleri içerme (2) riski ölçme (evaluation): riskin deerini (significance) tahmin etme; riskin meydana gelme olasılıını deerlendirme; (3) organizasyonun göüsleyecei risk büyüklüünü (risk appetite) deerlendirme; (4) risklere verilecek yanıtları üretme; dikkate alınması gereken dört tür yanıt olmalıdır: riskin transferi, riski kabul etme (tolerance), riski tedavi etme (treatment) veya riski bertaraf etme (termination); etkili iç kontrol riski tedavi etmenin temel mekanizması olduundan bu rehbere en uygun olan yanıt riskin tedavi edilmesidir. 6
uygun kontrollar ya ortaya çıkarıcı ya da önleyici olabilir. Kamu kesimini, ekonomiyi, sanayi, düzenleyici kuruluu ve faaliyetleri ilgilendiren koullar sürekli olarak deimekte olduundan, risk deerlendirmesi süreklilik temelinde tekrarlanan bir süreç olmalıdır. Risk deerlendirmesi deien koulları, fırsatları ve riskleri tespit ve analiz etme (risk deerlendirme çevrimi) ve meydana gelen riskleri göüslemeye dönük olarak iç kontrolda deiiklik yapma anlamına gelir. 7
Accountability Compliance Operations Safeguarding resources Control environment Risk Assessment Kontrol Faaliyetleri Control Activities Information and Communication Organisation entity department Monitoring Kontrol Faaliyetleri Kontrol faaliyetleri riskleri göüslemek ve kurumun hedeflerini gerçekletirmek üzere oluturulan ve uygulamaya konulan politikalar ve prosedürlerdir. Etkili olmaları için kontrol faaliyetlerinin amaca uygun olması, dönem boyunca planlandıı gibi sürekli ilemesi ve maliyet ehven, kapsamlı, makul ve organizasyonun genel hedefleriyle uyumlu olması gerekir. Kontrol faaliyetleri organizasyonun geneline, bütün kademelere ve tüm fonksiyonlara konulur. Bu faaliyetler arasında, aaıdaki gibi bir dizi ortaya çıkarıcı ve önleyici türden kontrol faaliyetleri bulunur: (1) Yetki devri ve onay prosedürleri; (2) Görevlerin birbirinden ayrılması (yetki, uygulama, kaydetme, inceleme); (3) Kaynaklara ve kayıtlara eriim yetkisi üzerindeki kontrollar; (4) Teyidler (verifications); (5) Mutabakatlar (reconciliations); (6) Çalıma performansına yönelik incelemeler; (7) Çalımalar, süreçler ve faaliyetler ile ilgili incelemeler; (8) gözetim (görevlendirme, gözden geçirme ve onaylama, yönlendirme ve eitme). 8
Kurumlar zorlayıcı ve önleyici kontrol faaliyetleri arasında optimum bir denge kurmalıdırlar. Düzeltici önlemler hedefleri gerçekletirmek açısından kontrol faaliyetlerini tamamlamaya yönelik gerekliliklerdir. Bilgi sistemleri spesific türden kontrol faaliyetleri gerektir. Bunlar Genel Kontrollar ve Uygulama Kontrolları olmak üzere iki ana balık altında gruplandırılır. 9
Accountability Compliance Operations Safeguarding resources Control environment Risk Assessment Control Activities Bilgi ve letiim Information and Communication Monitoring Organisation entity department Bilgi ve letiim Bilgi ve iletiim iç kontrolun genel hedeflerinin gerçekletirilmesi bakımından yaamsal önemdedir. Bilgi Güvenilir ve uygun bilginin önartı ilemlerin ve ilerin anında kaydedilmesi ve düzgün biçimde sınıflandırılmasıdır. Kalıcı nitelikteki bilgiler, personelin iç kontrol ve dier sorumluluklarını yerine getirmelerini salayacak formatta ve zaman dilimi içinde belirlenmeli, elde edilmeli ve iletilmelidir (doru kiilerle zamanında iletiim). Bu nedenle, iç kontrol sistemi bu türden ve dier bütün ilemleri ve önemli ileri eksiksiz olarak dokümante etmelidir. Bilgi sistemleri faaliyetlerle alakalı, finansal olan ve olmayan, uygunlukla balantılı bilgileri ihtiva eden ve faaliyetlerin yürümesi ve kontrolunu olanaklı hale getiren raporlar üretir. Bu sistemler sadece, kurumla ilgili olarak üretilmi verilerle deil, keza, karar almayı ve raporlamayı salamak üzere ihtiyaç duyulan kurum dıı iler, faaliyetler ve koullar hakkındaki bilgilerle de ilgilenir. Yönetimin uygun kararları alma gücü, bilginin uygun, vaktinde, güncel, doru ve eriilebilir olmasından yani, bilginin kalitesinden etkilenir. 10
letiim Etkili iletiim organizasyon içinde, bütün unsurlar arasında ve tüm yapıda aaıya, yanlamasına ve yukarıya doru akmalıdır. Personelin tümü üst yönetimden kontrol sorumluluklarını ciddiyetle yerine getirmelerini salayacak ekilde net mesajlar almalıdır. Kendi faaliyetleri ile dierlerinin çalıması arasında nasıl balantılı kuracakları kadar iç kontrol sistemi içindeki rollerini de bilmelidirler. Kurum dıındaki üçüncü kiilerle de etkili bir iletiimin olması gerekir. 11
Accountability Compliance Operations Safeguarding resources Control environment Risk Assessment Control Activities Information and Communication Organisation entity department zleme Monitoring zleme ç kontrol sistemleri, performanslarının dönem içindeki kalitesini deerlendirmek amacıyla izlenmelidir. zleme fonksiyonu rutin faaliyetler, tekil deerlendirmeler veya her ikisinin kombinasyonu aracılııyla gerçekletirilir. 1. Sürekli zleme ç kontrolun sürekli izlenmesi kurumun normal, tekrarlanan çalıma faaliyetlerine dönüktür. Bu tür izleme rutin nitelikteki yönetim ve gözetim faaliyetlerini ve personelin görevinin icrası sırasında aldıı dier önlemleri kapsar. Sürekli izleme faaliyetleri kontrolun her bir unsurunu içerir ve düzenli, ahlaki, ekonomik, verimli ve etkin olmayan iç kontrol sistemlerine karı alınan önlemlerle ilgilenir. 2. Tekil Deerlendirmeler Tekil deerlendirmelerin kapsamını ve sıklıını esasen, risk deerlendirmesi ve sürekli izleme prosedürlerinin etkinlii belirler. Spesifik tekil deerlendirmeler iç kontrol sistemin etkinliinin deerlendirilmesini içerir ve iç kontrolun önceden belirlenmi metotlara ve prosedürlere dayalı olarak arzu edilen sonuçları gerçekletirmesini güvence altına alır. ç kontrol yetersizlikleri yönetimin uygun kademelerine rapor edilmelidir. zleme faaliyeti denetim bulgularının ve tavsiyelerinin tatminkâr bir biçimde ve derhal yerine getirilmesini salamalıdır. 12
3.Roller ve Sorumluluklar Organizasyon içindeki herkesin iç kontrolla ilgili sorumlulukları bulunmaktadır: Yöneticiler Yöneticiler iç kontrolu sisteminin tesis edilmesi, sürdürülmesi ve dokümante edilmesi dahil bütün faaliyetlerden sorumludurlar. Sorumlulukları organizasyon içindeki fonksiyonlarına (örnein; yönetim kurulu, finansal yetkili, denetim komitesi) ve organizasyonun karakterine balı olarak farklılık göstermektedir. ç Denetçiler ç denetçiler, yönetimin iç kontrolu oluturma ve sürdürme temel sorumluluuna sahip olmamalarına ramen, onun etkinliini inceleyip iyiletirilmesi konusunda tavsiyelerde bulunurlar. Personel ç kontrola da katkıda bulunurlar. ç kontrol herkesin açık ya da zımni biçimde görevinin bir parçasıdır. Bütün personel mensupları kontrolun hayata geçirilmesinde görev üstlenir ve faaliyetlerle, sosyal davranı kurallarına aykırılıklarla ve politika ihlalleriylle ilgili problemler konusunda personelin raporlama sorumluluklarının bulunması gerekir. Kurum dıındaki gruplar da iç kontrol sürecinde önemli rol oynarlar. Organizasyonun hedeflerini gerçekletirmesine katkıda bulunabilirler ve iç kontrol üzerinde etki yaratabilecek yararlı bilgileri salayabilirler. Ancak organizasyonun iç kontrol sisteminin tesisinden ve ileyiinden sorumlu tutulamazlar. Yüksek Denetim Kurumları (Sayıtaylar) ç kontrolun kamuda etkili biçimde tesisini özendirir ve destekler. Sayıtayların uygunluk, finansal ve performans denetimleri bakımından iç kontrol deerlendirmesi yaamsal önemdedir. Sayıtaylar bulgularını ve tavsiyelerini ilgili paydalara iletirler. Dı Denetçiler Dı denetçiler bazı ülkelerde belirli kamu kurulularını denetlerler. Dı denetçiler ve meslek kuruluları iç kontrol hakkında öneri ve tavsiyelerde bulunurlar. 13
Yasa Koyucular ve Düzenleyiciler Bu gruptakiler iç kontrolla ilgili kuralları koyup direktifler verirler. ç kontrolun yaygın biçimde anlaılmasına katkıda bulunurlar. Dier Gruplar Dier gruplar (hizmetten yararlananar, tedarikçiler vb) organizasyonla birlikte çalıır ve hedeflerini gerçekletirmesiyle ilgili olarak ona bilgi sunarlar. 14