İç Kontrol Yetersizliği ile İlgili Riskler

Belgede İŞLETMELERDE RİSKE YÖNELİK DENETİM VE RAPORLANMASI (sayfa 124-128)

RİSK KAVRAMI VE RAPORLAMA GEREĞİ

2.3. İŞLETME RİSKİ VE TÜRLERİ

2.3.7. İç Kontrol Yetersizliği ile İlgili Riskler

İşletmelerde kontrol, fonksiyonlara göre farklı şekillerde tanımlanabilir.

Örneğin kontrol muhasebe için farklı, pazarlama için farklı anlam ve işlemleri kapsayabilir. Ancak günümüzde hem stratejik yönetim ve hem de riske yönelik denetim anlayışında fonksiyonlar bir bütün şekilde dikkate alındığı ve denetime tabi tutulması gerektiği için kontrol faaliyetleri de işletme çapında algılanmalı ve bütün işletme faaliyet ve risklerini test edecek şekilde uygulanmalıdır. İşletmelerde kontrol, ulaşılmak istenen amaçlarla, başarı standartlarıyla ve planlarla belirlenmiş hususların, işletmenin faaliyetleri ile uyumlaştırılmasını sağlayan sistematik süreçtir89. Kontrol faaliyetleri dört temel adımdan oluşur. Bunlar; performans standartlarının oluşturulması, organizasyonun performansının ölçülmesi ve netleştirilmesi, mevcut performansın planlanan performansla kıyaslanması ve düzeltme işlemlerinin yapılmasıdır90.

Günümüzde iç kontrol alanında otorite kabul edilen COSO’ya91 göre iç kontrol92; bir kuruluşun yönetim kurulu üyeleri, yöneticileri ve diğer tüm personeli tarafından;

89 Eren, 2003:328.

90 David, 2005:127.

91 Treadway komisyonu (Sahte Mali Raporlama Ulusal Komisyonu); The American Institute of Certified Public Accountants (AICPA), American Accounting Association, Financial Executives Institute ( FEI ), Institute of internal Auditors ve Institute of Management Accountants (IMA) ın ortak

109

• Faaliyetlerin etkinliği ve etkililiği,

• Finansal raporların güvenilirliği,

• Kanunlara ve yasal düzenlemelere uygunluk,

hedeflerinin gerçekleştirmesine makul bir güvence sağlayabilmek amacıyla kurulan ve yürütülen bir süreçtir.

Tanımdan da anlaşılacağı üzere iç kontrol, işletmenin bütün faaliyetlerinin kontrolünü ve bunu yapmak için bütün çalışanların sorumluluğunu kapsayan bir süreçtir.

COSO’ya göre iç kontrol sistemi, kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi-iletişim ve gözetim olmak üzere birbiri ile ilişkili 5 bileşenden oluşur. Kontrol ortamı, işletmenin yönetim fonksiyonu ile iç kontrol sistemi ve bunun önemine ilişkin işletme yönetiminin ve yönetimden sorumlu kişilerin tutum, davranış ve anlayışlarını kapsar (ISA 315, md.67). Risk değerlendirme, her işletme birçok riskle karşı karşıyadır, bu nedenle iç kontrol; risklerin tanımlanması, ayrıştırılmasını ve etkilerinin azaltılmasını (veya yok edilmesini), kısaca risk yönetimini sağlayacak şekilde oluşturulmalıdır. Kontrol faaliyetleri, işletmenin amaçlarına ulaşmasını engelleyebilecek risklerin ortaya çıkarılması ve gerekli önlemlerin alınması gibi, işletme yönetiminin talimatlarının uygulanmasını sağlayan usul ve esaslardır (ISA 315, m.90). Bu kapsamda yetki paylaşımı, performans ölçülerinin belirlenmesi, bilgi işlem vb uygulamalar yer almaktadır. Son olarak gözetim, kontrollerin tasarım ve işleyişinin zamanında değerlendirilmesi ve duruma göre değişiklikler için düzeltici önlemlerin alınmasını da içeren, iç kontrol sisteminin etkinliğini değerlendiren bir süreçtir (ISA 315, m.97). Bu

sponsorluğunda 1985’te kurulan komisyondur. Komisyonunun himayesinde iç kontrol literatürünün yeniden gözden geçirilmesi amacıyla bir çalışma grubu oluşturulmuş ve grubun iç kontrol sistemi için genel kabul görecek standartlar belirleyen bir projeyi üstlenmesi kararlaştırılmıştır. Bu amaçla kurulan Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of Treadway Commission-COSO) “İç Kontrol-Bütünleşik Çerçeve (Internal Control-Integrated Framework)” raporunu 1992’de yayımlamıştır. Bu rapor, COSO iç kontrol modeli olarak bilinmektedir, http://www.coso.org/default.htm, 25.03.2008. Bu komitenin yayınladığı iç kontrol uygulamaları dünya çapında kabul görmektedir.

92 http://www.coso.org/publications/executive_summary_integrated_framework.htm, 25.03.2008.

110

noktada iç denetim ortaya çıkmaktadır. İç Denetçiler Enstitüsü’ne (IIA) göre iç denetim93, işletmelerin operasyonlarını geliştirerek katma değer yaratma amacıyla oluşturulan bağımsız ve objektif bir danışmanlık ve denetim aktivitesidir. İç denetim aynı zamanda işletmelerin amaçlarına ulaşması için mevcut risk yönetimi, kontrol ve kurumsal yönetim işlevlerini değerlendirerek, etkinliklerinin artması için sistematik bir yaklaşım getirmeyi amaçlar.

İç kontrolün belirtilen 5 aşamada da sağlıklı işlemesi ve işletme risklerini tespit edecek ve yok edecek bütün önlemlerin işletme yönetimi tarafından alınmış olması gerekir. Risk yönetimi işletme ve amaçlarını etkileyebilecek bütün riskleri yok edecek kararlarların tamamını kapsayan geniş bir yelpazeye sahiptir. Bu nedenle, iyi bir risk yönetimi demek; etkili bir kontrol demektir94.

Bir işletmede iç kontrolün yeterliliği incelenirken; sistemin tasarımı, yönetimin yeterliliği, yöneticilerin işletme faaliyetlerine katılımı, işletmenin yönetim felsefesi ve organizasyon yapısı, sorumluluk dağılımı, insan kaynakları yönetimi ve bilgi teknolojileri ile ilgili konular önem arzetmektedir.

Bu noktalarda aksamalar olursa hem işletme faaliyetleri ve bunun sonucu olarak hem de finansal raporlar olumsuz etkilenir.

Bir işletmenin iç kontrol sisteminin yapısı özellikle; işletme büyüklüğünden, sektörel sorunlardan, bilgi sisteminin etkinliğinden, insanların yetersizlik ve hilelerinden, yönetimin müdahale veya kararsızlıklarından, kontrolörlerin yetkilerini kötüye kullanmasından, çevre koşullarına uyum güçlüğünden etkilenir95. Bu noktalar nedeniyle iç kontrol sisteminde olumsuzluklar yaşanabilir. Bu durumda denetçilerin bilinçli bir şekilde yeterli testler uygulayarak hata ve eksiklikleri belirlemesi gerekir.

Bunlara ek olarak işletme sahipleri ve yöneticilerin işletme faaliyetlerinin doğru olarak raporlanmasını engelleme çabaları (az vergi

93

http://www.theiia.org/guidance/standards-and-practices/professional-practices-framework/standards/standards-for-the-professional-practice-of-internal-auditing/, 11.1.2008.

94 Pickett ve Pickett, 2005:215.

95 Kaval, 2005:134.

111

ödemek vb. nedenlerle) da önemli bir problemdir. Böyle bir durumun varlığında iç kontrol, yönetim tarafından zaafa uğratılabilir. Denetçiler bu durumda denetim çalışmalarının çerçevesini (kanıt sayısı vb) genişletmelidir.

Kontrol sürecinin geliştirilmesi için, başarı standartlarının belirlenmesi, mevcut başarının değerlemesi, hedeflerden sapmaların tespiti ve düzeltmelerin yapılması gerekir96. Bu noktaların işletme hedeflerine uygunluğu ve iç kontrol sisteminin testi, iç denetim birimi tarafından yapılır. İyi ve bağımsızlık standardına uygun bir iç denetim yapılanması, kontrolle ilgili sıkıntıları çözmede etkilidir. İç denetimde yaşanan bazı sıkıntılar ise, herkesin iç kontrolden beklentisinin farklı olması, iç denetim yönetmeliğinin işletme veya ilgililerin çıkarlarına uygun olmaması-yanlı olması, yönetimin iç denetim üzerindeki baskıları ve yetki sorunları olarak sıralanabilir. Bu sorunların varlığı da iç kontrolün amaçlarına ulaşmasını ve işletmelerin şeffaf raporlama yapmasını engeller. Bu nedenle işletmelerde kurumsal yönetim uygulamaları geliştirilmeli, başarı ölçme ve gerekli önlemleri alma konularında hızlı ve kararlı olunmalıdır.

Kontrol ile ilgili denetimde kullanılabilecek kontrol listesi soruları:

- İşletmede, bütün işlemlerle ilgili yetki ve sorumlulukları belirleyen, belge akışını sağlayacak bir yönetmelik (veya yönetmelikler) var mı?

- Yönetmeliklere ve kurumlaşmaya uygun bir şekilde yönetim kurulu yapılanması ve işletme çapında yetkilendirme yapılmış mı?

- Görev ayrılığı ilkesine uygun bir sistem kurulmuş mu? Çalışanların yetkisi dışında varlıklara erişimi sınırlandırılmış mı?

- İşletmenin her alanı ile ilgili standartlar (kalite, tutar, miktar, maliyet, süre vb. olarak) belirlenmiş mi?

- Etkin çalışan risk yönetim merkezi kurulmuş mu?

- Bilgi teknolojileri yatırımları; işletme büyüklüğü ve işletmenin amaçları ile uyumlu mu? Bilgi sistemi ile ilgili gerekli güvenlik önlemleri alınmış mı?

96 Eren, 2003:328-329.

112

- İşletmede gerekli kontrolleri yapmak üzere, yönetmeliği ve çalışanlarıyla bir bütün halinde etkin bir iç denetim var mı?

- Faaliyetler ve süreçler sürekli bir biçimde denetleniyor ve sonuçları işletme amaçları ile karşılaştırılıyor mu?

- İç denetçilerin bağımsızlık ilkesi doğrultusunda denetim yapmasına müsaade ediliyor mu? Denetim sonucunda gerekli düzeltmeler yapılıyor ve gerekli önlemler alınıyor mu?

- İç kontrol işletmenin bütün yönleriyle şeffaf bir şekilde raporlama yapmasını sağlayacak şekilde çalışıyor mu?

2.4. İŞLETMELERDE RİSK YÖNETİMİNİN ÖNEMİ VE RİSK

Belgede İŞLETMELERDE RİSKE YÖNELİK DENETİM VE RAPORLANMASI (sayfa 124-128)