İç Kontrol Modelleri

Burada iç kontrol sisteminin tasarlanması ve işletilmesinde en fazla yararlanılan modellerden; COSO Modeli, CoCo Modeli ve Turnbull Modeli’ne değinilecektir.

2.1.3.1. COSO Modeli⁸⁷

Organizasyon ve işletmelerin amaç ve hedeflerine ulaşmasını sağlamaya yönelik çeşitli iç kontrol modelleri geliştirilmiştir. Bunların en yaygınları COSO (Committee of Sponsoring Organizations), CoCo (Canadian Institute of Chartered Accountants) ve INTOSAI (International Organization of Supreme Audit Institutions) tarafından geliştirilen iç kontrol model ve standartlarıdır. Özel sektör işletmelerine yönelik olarak tasarlanan COSO modeli, iç kontrol alanındaki gelişmeler de göz önünde bulundurularak, kamu kurumlarında uygulanması amacıyla 2001 yılında, INTOSAI tarafından kamu kurumlarına uyarlanmıştır.⁸⁸

1985 yılında kurulan ve Treadway Komisyonu⁸⁹ olarak bilinen Sahte Mali Raporlama Ulusal Komisyonu, sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmayı kendisine ana hedef olarak belirlemiş, bu çerçevede Treadway Komisyonu’nun içinde, iç kontrol literatürünün yeniden gözden geçirilmesi suretiyle sponsor kurumların iç kontrol sistemlerinin kurulması ve etkinliğinin değerlendirilmesi için genel kabul görecek standartlar belirlemek için bir çalışma grubu oluşturulmuştur. Çalışma sonucunda Treadway Komisyonunu Destekleyen Kuruluşlar

84 Committee of Sponsoring Organizations of the Treadway Commission.

85 Institute of Chartered Accountants in England and Wales.

86 Canadian Institute of Chartered Accountants.

87 COSO. Internal Control – Integrated Framework. 2003; ayrıca http://www.bumko.gov.tr/kontrol (28 Kasım 2011)

88 Ekrem Candan, “Kamu İdarelerinde İç Kontrol Sistem ve Süreçlerinin Tasarlanması, Uygulanması ve Geliştirilmesinde Uyulacak Usul ve Esaslar”, Mali Yönetim ve Denetim Dergisi, Sayı 38 (Mayıs-Haziran 2006), s.6.

89 Bahse konu komisyon; The American Institute of Certified Public Accountants (AICPA), American Accounting Association, Financial Executives Institute (FEI), Institute of Internal Auditors (IIA) ve Institute of Management Accountants (IMA) ın ortak sponsorluğunda kurulmuştur.

Komitesi (Committee of Sponsoring Organizations of Treadway Commission), COSO iç kontrol modeli olarak bilinen “İç Kontrol Bütünleşik Çerçeve” (Internal Control Integrated Framework) raporunu 1992’de yayımlanmıştır.⁹⁰

COSO’ya göre iç kontrol; organizasyonun hedef ve amaçlarını başarması için makul bir güvence sağlayan, faaliyetlerin etkililik ve verimlilik içinde sürdürülmesi, mali tabloların güvenilirliği ve hukuksal normlara uygunluğu sağlamak üzere dizayn edilmiş ve organizasyonun yönetim kurulu, yöneticiler ve diğer personel dahil organizasyonun tümünü kapsayan bir sistemdir.

COSO iç kontrol modeli, kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ile izleme olmak üzere beş bileşenden oluşmaktadır. Bu bileşenler aşağıda ele alınmaktadır:⁹¹

A) Kontrol Ortamı: Kontrol ortamı, iç kontrolün temel unsurudur.

Dolayısıyla iç kontrolün başarılı ya da başarısız olması, iç kontrol sürecinin yer aldığı kontrol ortamına bağlıdır. Kontrol ortamı, kurumun iş görme biçimini, yönetim felsefesini, etik değerleri, çalışanların yeterliliğini ve bunlar arasındaki ilişkiyi ifade eder. İç kontrolün gerçekleştirilmesinde en önemli rolü çalışanlar oynadığı için, kurum bünyesindeki her bireyin sorumluluklarını ve yetkilerinin sınırını iyi bilmesi gerekmektedir. Çalışanlar, kişisel ve mesleki dürüstlüğü sürdürmek, etik değerlere ve yürürlükteki davranış kurallarına her zaman uymak durumundadır. Gerek yöneticilerin gerekse çalışanların, iç kontrole yönelik pozitif ve destekleyici bir ortam oluşturması ve sürdürmesi büyük önem taşımaktadır.

B) Risk Değerlendirme: Her birim ve işletmenin çeşitli iç ve dış risklere maruz kalması kaçınılmaz olduğu için bu risklerin değerlendirilmesi iyi yönetim için zorunludur. Risk değerlendirme aşaması, kurumun hedeflerini gerçekleştirmesini engelleyebilecek önemli riskleri tespit ve analiz etme, bunlara uygun yanıtlar

90 Ali Kayım, “Basit Kontrol Modelinden COSO Modeline İç Kontrol Süreci: Kurumsal Bazda ve Süreç Bazında Kontrollerin Tasarımına İlişkin Bir Uygulama Örneği”, Denetişim Dergisi, Sayı.3 (2009), s.46.

91 Özbek, s. 400-446; Mehmet Bülbül, Kamu İç Kontrol Sistemi ve Kamu İç Kontrol Standartlarına Uyum, Ankara, 2009, s.11-22; Duygu Anıl Keskin, İç Kontrol Sistemi Kontrol Öz Değerlendirme, İstanbul: Beta, 2006, s.39-42; Davut Pehlivanlı, Modern İç Denetim, İstanbul: Beta Yayınları, 2010, s. 34 -38; Mahmut Demirbaş, “İç Kontrol ve İç Denetim Faaliyetlerinin Kapsamında Meydana Gelen Değişimler”, İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi, Yıl.4, Sayı.7 (2005), s. 169-172.

verilmesini belirleme sürecidir. Risk değerlendirmenin ön koşulu kendi içinde tutarlı, amaç ve hedeflerin açık olarak belirlenmesi daha sonra bu amaçlara ulaşmayı engelleyebilecek ilgili risklerin belirlenmesidir. Buna göre sistemin zayıf ve güçlü yönlerine ilişkin olarak analiz yapılması, risk alanlarının belirlenmesi ve kontrol faaliyetlerinin bu alanlarda yoğunlaştırılması gerekmektedir. Risk değerlendirmesi statik bir durumu ifade etmemektedir. Aksine ekonomik, teknolojik veya diğer sebeplerle değişen koşulları sürekli takip ederek fırsatları ve tehditleri, tespit ve analiz etmek ve koşulların değişmesine paralel olarak meydana gelen risklerle başa çıkabilmek üzere iç kontrol sisteminde sürekli değişiklik yapmayı ifade etmektedir.

C) Kontrol Faaliyetleri: Kontrol faaliyetleri, kurumun amaçlarına ulaşmasını engelleyebilecek risklerle başa çıkmak ve kurumun hedeflerini gerçekleştirmek üzere uygulamaya konulan politikalar ve prosedürlerdir. Kontrol faaliyetleri kurumun bütün birimlerine ve faaliyetlerine yayılmalıdır. Kontrol faaliyetlerine örnek olarak; yetki devri ve onay prosedürleri, görevlerin birbirinden ayrılması, görev ve yetkilerin açıkça belirlenmesi kaynaklara ve resmi kayıtlara erişim konusunda kontroller gösterilebilir.

D) Bilgi ve İletişim: Sahip olunan yetki ve sorumlulukların gereğini yerine getirmek, etkin bir iç kontrol sistemi kurmak ve kurumun hedeflerini gerçekleştirmek için bir kurumun bütün kademelerinde bilgi ve iletişime ihtiyaç duyulur. Kurumun bilgi sistemi, raporlama yapılması, raporların dağıtılması, finansal ve hukuksal bilgilerin ilgili kişilere ulaştırılarak faaliyetlerin yürütülmesi ve kontrol edilmesini sağlar.

Çalışanların sorumluluklarını yerine getirebilmeleri için iç kontrolle ilgili bilgiler anında kaydedilmeli, sınıflandırılmalı ve personele duyurulmalıdır. Bu bilgiler sadece kurum bünyesinde üretilen bilgiler değil, kurum dışında üretilen ve gerek karar sürecinde gerekse faaliyetlerin yürütülmesinde gerekli olan bilgileri de kapsamaktadır. Bilgi ve iletişim aynı zamanda etkili bir iletişim yaratılarak dış paydaşlar, müşteriler, tedarikçiler, hizmet sunucuları, düzenleyici otoriteler ve hissedarlar ile bir ilişki anlamına da gelmektedir.

E) İzleme: İç kontrol faaliyetinin başarılı olması için, belirli zaman aralıklarıyla iç kontrol faaliyetinin kalitesinin, kontrollerin tasarımının ve işleyişinin ve alınması gereken önlemlerin değerlendirilmesi gerekir. İç kontrol sürecinde izleme alanı

ve sıklığı, risk değerlendirme aşamasında risklerin sıklık ve derecesine ve sistemin işleyiş biçimine bağlı olarak belirlenir. İç kontrol sisteminin, zamanla değişen hedeflere, çevreye, kaynaklara ve risklere yanıt verebilmesi için üst yönetim tarafından sürekli izlenmesi ve değerlendirilmesi gerekmektedir.

Yani özetle, “COSO basitçe 5 soru sorar⁹²:

1. İşletmemizi kontrol altında tutmak için doğru temellere sahip miyiz?

(Kontrol Ortamı)

2. İşletmemizi kontrol altında tutmamızı engelleyen bütün risklerin farkında mıyız? (Risk Değerlendirme)

3. İşletmeye yönelik risklerin belirlenmesi için uygun kontrol aktiviteleri yerine getirildi mi? (Kontrol Faaliyetleri)

4. Kontrol mesajı organizasyon içinde aşağıya doğru iletiliyor mu ve görüşülen problemler ve fikirler üste doğru ve işletme içinde nakledildi mi?

(Bilgi ve İletişim)

5. İşletmenin kontrol edilme sistemini izleyebiliyor muyuz? (İzleme)”

2.1.3.2. CoCo modeli⁹³

CoCo’ya göre kontrol, bir organizasyondaki kaynaklar, sistemler, kültür ve görevlerden oluşan unsurların birlikte organizasyonun başarısı için çalışanları desteklemesidir. Kontrol, organizasyonun her bir çalışanını ve en küçük birimini dahil olmak üzere tümünü kapsayan bir süreçtir. CoCo kontrol yapısı, bunu gerçekleştirmek için dört bileşenden oluşan bir eylem planı öngörür.

A) Amaç: Amaç, bir organizasyonun, hedeflerini, risk ve tehditlerini, politikalarını, planlama ve performans hedefleri ile göstergelerini kapsayan ve organizasyonun yönünü belirleyen bir anlam ifade etmektedir.

92 Pickett, s.92.

93 CoCo modelinin anlatımında; Özbek, s.456-458’den yararlanılmıştır.

B) Taahhüt: Taahhüt, organizasyonun kurumsal kimliğine ilişkin algıya işaret etmektedir. Bu kapsamda, etik değerler, insan kaynakları politikası, yetki ve sorumluluk, saydamlık ve güven gibi hususlar bulunmaktadır.

C) Kapasite: Kapasite, organizasyonun yeterliliği, iş yapabilme kabiliyetine ilişkin algıyı ifade etmekte ve bilgi, yetenek, araçlar, iletişim süreçleri, bilgilendirme, koordinasyon ve kontrol faaliyetlerini ihtiva etmektedir.

D) Gözlem ve Öğrenme: Gözlem ve öğrenme kriteri, organizasyonun evrimini ifade etmektedir. Bu da iç ve dış çevrenin sürekli gözden geçirilmesini, performans hedeflerinin izlenmesi ve gerektiğinde değiştirilmesini, bilgi-iletişim sistem ve ihtiyaçlarının sürekli değerlendirilmesini, yeni gelişmeler ve değişimlere göre tahminlerin yenilenmesini, takip edilecek prosedürlerin belirlenmesini ve kontrol mekanizmasının etkililiğinin sürekli değerlendirilmesini gerektirmektedir.

2.1.3.3. Turnbull Modeli⁹⁴

Turnbull Rehberi olarak da bilinen Turnbull Modeli, İngiltere ve Wales Sertifikalı Muhasebeciler Organizasyonu (ICAEW) tarafından, Londra Menkul Kıymetler Borsasına kayıtlı şirketlerin uygulaması için yayınlanan iç kontrol prosedürleridir. Turnbull Rehberi, iç kontrolü, politikalar, süreçler, görevler, davranışlar ve diğer unsurların birlikte ele alındığı bir sistem olarak ele almaktadır.

Turnbull, prensip temelli yaklaşımı benimseyerek iç kontrol mekanizmasının yönetsel süreçlerin içerisine yerleştirilmesini önermekte, yönetsel süreçlerden ayrı

“kendi başına” kontrol mekanizmasını doğru bulmamaktadır. Her organizasyonun ayrı bir özelliği olduğunu ve kontrol süreçlerinin organizasyonun özelliğine göre farklı olabileceğini kabul eden Turnbull için önemli olan, kontrol mekanizmasının en üst karar süreçlerinden en altta yer alan uygulamalara kadar, yönetsel süreçlere dahil edilmesidir.

94 Turnbull Modeli’nin anlatımında; Financial Reporting Council, Internal Control-Revised Guidance for Directors on the Combine Code, London, 2005; Özbek, s.451-455; Institute of Chartered Accountants in England and Wales, Internal Control: Guidance for Directors on the Combined Code, UK, 1999, s.1-10’dan yararlanılmıştır.

Turnbull’a göre kontrol mekanizmasının kurulması sorumluğu üst yönetime aittir.

Bu kriterler birlikte organizasyonun kontrol sistemini oluştururlar. COSO, CoCo ve Turnbull birbirini tamamlayan kontrol modelleridir. Her üçü de iç kontrolü organizasyonun amaç ve hedeflerini başarması için uygulanması gereken sistem, süreç ve prosedürler olarak değerlendirmektedir.