Coso Çerçevesi ve İç Kontrol Sistemini Oluşturan Unsurlar

İç kontrol ile ilgili en geçerli tanım Treadway Komisyonu'nun Sponsor Organizasyon Komisyonu ("COSO") tarafından yapılmıştır. Buna göre:

"iç kontrol işletmenin yönetim kurulu, yönetim kadrosu ve diğer çalışanları vasıtasıyla aşağıdaki kategorilerdeki hedeflerin gerçekleştirilmesiyle ilgili olarak makul bir güvencenin oluşmasının sağlanmasıdır:

97 Alpman, a.g.e. , (3 Haziran 2010)

98 Alpman, a.g.e. , (3 Haziran 2010)

• Faaliyetlerdeki etkinlik ve yeterlilik,

• Finansal raporlama konusunda güvenilirlik,

• Mevcut kanunlar ve düzenlemelere uygunluk.

COSO Çerçevesi, şirket yönetiminin başarılı bir iç kontrol yapısını sağlayan tüm faaliyetlerin yönetimi ve denetimiyle ilgili görevlerini kolaylaştırmak amacıyla, etkin iç kontrolü birbiriyle ilgili beş unsura dağıtır.

2.4.1. Kontrol Çevresi

Kontrol Ortamı; iç kontrol çerçevesini her yönüyle kapsar, yani; tüm diğer unsurların var olduğu bir ortamdır. Kontrol ortamı, tutum, davranış, farkındalık, yeterlilik ve üslup gibi kavramları içerir. Gücünün çoğunu, şirketin yönetim kurulu ve yönetici kadrosunun oluşturduğu tutumlardan alır. ⁹⁹

Yönetim ve çalışanlar, bütün bir organizasyon içinde, iç kontrole ve yönetime yönelik olarak pozitif ve destekleyici bir ortam oluşturmalı ve sürdürmelidir. Ortamı etkileyen faktörler; yönetim ve çalışanlar tarafından dürüstlüğün ve etik değerlerin korunması ve sergilenmesi, yönetimin uzmanlığa olan bağlılığı, yönetimin felsefesi ve is görme tarzı, organizasyonun yapısı, kurulusun organizasyon içinde yetki ve sorumlulukların devredilme tarzı, etkili beşeri sermaye politikaları ve uygulamaları, gözetim kuruluşları ile olan ilişkilerdir. ¹⁰⁰

2.4.2. Risk Değerlendirme/Belirleme

Risk Değerlendirmesi; ticari faaliyet hedeflerinin gerçekleştirilmesine yönelik ilgili risklerin yönetim tarafından tanımlanmasını ve incelenmesini kapsar. Bir risk değerlendirme sürecinde her bir ticari faaliyet hedefi, en üst seviyeden (örneğin; "kar

99 Alpman, a.g.e. , (3 Haziran 2010)

100 Türkiye İç Denetim Enstitüsü ve The IIA Research Foundation, 2004:15.

eden bir işletme yönetmek") en alt seviyeye kadar (örneğin; "nakdi muhafaza etmek") belgelenir ve daha sonra hedefe ulaşmayı tehlikeye düşüren ya da engelleyen her bir risk tanımlanarak, önem sırasına göre düzenlenir. ¹⁰¹

İç kontrol, kurulusun hem dış hem de iç nedenler dolayısıyla karşılaştığı risklerin bir değerlemesini yapmalı, kontrol edilebilen ve kontrol edilemeyen riskler tanımlanmalıdır. Etkin bir risk değerlemesi riskleri belirleme, kontrol etme ve yönetmeye imkan vermelidir. ¹⁰²

2.4.3. Kontrol Faaliyetleri

Kontrol Faaliyetleri; özellikle her bir kontrol hedefine yönelik olarak, yukarıda tanımlanan riskleri azaltmak amacıyla düzenlenir. Kontrol faaliyetleri, ticari faaliyet hedeflerinin gerçekleştirilmesini ve risk azaltma stratejilerinin yürütülmesini sağlamak amacıyla kullanılan politikalar, kurallar ve uygulamalardır. ¹⁰³

2.4.4. Bilgi ve İletişim

Bilgi ve irtibat; kontrol faaliyetlerini etkin bir şekilde gerçekleştirebilmelerine izin veren bir biçim ve zaman çerçevesinde, yönetim kadrosu vasıtasıyla çalışanlara talimatları ulaştırarak, iç kontrolü destekler. Bu süreç tam tersi bir şekilde de yani;

şirketin en alt seviyesinden başlayarak, şirket yönetimine ve yönetim kuruluna kadar oluşan sonuçlar, eksiklikler ya da meydana gelen olaylar ile ilgili bilginin iletilmesiyle de gerçekleşir.¹⁰⁴

SAS 78'e göre bilgi sistemleri esas olarak bir çok kontrol faaliyetlerini devam ettirmek için gerekli bilgileri toplar. Finansal raporlamaya uygun bilgi sistemi, işlemleri ve koşulları tanımlamak, bir araya getirmek, analiz etmek, kayıt etmek ve raporlamak

101 Alpman, a.g.e. , (3 Haziran 2010)

102 Comptroller Of The Currency Administrator of National Banks (NB), “Internal ControlComptroller’s Handbook” 2001:.8, s.24.

103 Alpman, a.g.e. , (3 Haziran 2010)

104 Alpman, a.g.e. , (3 Haziran 2010)

için oluşturulan yöntemlerle isletmenin varlık ve borçlarının hesabını verme sorumluluğunu sürdürmek için oluşturulan yöntemlerden meydana gelir.¹⁰⁵

Bu yöntemlerin, bilişim teknolojilerindeki hızlı değişmeler paralelinde etkinliklerin sürdürülmesi için geliştirilmesi gerekmektedir.

Teknolojilerdeki değişiklikler ve bunun elektronik ticaret alanına uygulanması ve internet uygulamalarının yaygınlaşması yararlanılabilen ve uygulanması gereken spesifik kontrol faaliyetlerini değiştirmekteyse de, kontrole duyulan temel gereksinmeler önemini korumaktadır. ¹⁰⁶

İletişim, finansal raporlamanın ötesinde, iç kontrol politika ve prosedürlerinin açıkça anlaşılmasını ve bu politika ve prosedürlerle ilgili bireylerin nasıl alıştığı ve sorumlulukları ile ilgilidir. iletişim, kurumun büyüklüğüne bağlı olarak yazılı veya sözlü olabilir. Ayrıca, bir kurumda tersine bilgi akısı da iletişim kapsamına girer.

Tersine iletişim için iletişim kanallarının açık olması ve yönetimin problemleri başlangıç aşamasında çözmeye eğilimli olması gereklidir.¹⁰⁷

2.4.5. İzleme/Takip Etme

İzleme iç kontrol yapısının etkin şekilde çalışıp çalışmadığını belirlemeye yönelik yöntemlerin kullanılmasıdır. SAS NO.78 göre izleme şöyle açıklanmaktadır:

İzleme, iç kontrolün zaman içindeki performansının kalitesini değerleme sürecidir. İzleme, kontrollerin oluşturulması ve çalıştırılmasını sürekli izlemeyi ve gerekli düzenlemeleri yapmayı kapsar. Bu süreç sürekli izleme eylemleri ve ayrı değerlendirmeler veya her ikisinin birlikte yapılması ile yerine getirilir. İzleme faaliyeti,

105 Nuran Cömert Doyrangöl, Sermaye Piyasası Aracı Kurumlarında Etkili Bir İç Kontrol Sistemi ve İç Denetim Fonksiyonu, İstanbul: Lebib Yalkın Matbaası, 2001, s.54.

106 Mahmut Demirbaş, “İç Kontrol ve İç Denetim Faaliyetleri Kapsamında Meydana Gelen Değişimler”, İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi, Yıl:4, Sayı:7, Bahar 2005/1 s.167-188

107 Doyrangöl, ag.e., s.55.

sistemin sürekli izlenmesi, iç denetim bölümü ve işletme dışı kişi ve gruplar aracılığı ile yerine getirilir. ¹⁰⁸

İzleme faaliyeti sürekli ve ayrı ayrı değerlendirme seklinde olabileceği gibi her iki yöntemin birlikte uygulanması seklinde de olabilir. Her iki yöntemde de yönetim, meydana gelen değişikliklerin yapısını, bunlarla ilgili riskleri ve kontrolleri yürüten personelin beceri ve tecrübesini göz önüne almalıdır. ¹⁰⁹

2.5. İç Kontrol Sisteminin Genel ve Özel Amaçları