İç Kontrol Tasarımının ve Uygulanışının Değerlendirilmesi (Kontrol Riskinin Başlangıç Değerlemesi)

Denetçi kontrollerin tasarım etkinliğini saptarken, ilk bakacağı hususlar; müşteri işletmenin kontrol ortamı ve risk yönetim anlayışıdır. Denetçi süreçlerdeki kontrolleri değerlemeden önce, işletme düzeyinde yani kontrol ortamına yönelik genel değerlendirmeyi yapar. Daha sonra süreçler ve başlıca alt süreçlerdeki kontrolleri tanır ve etkinliğini değerler.

Söz konusu değerleme çalışmalarını yaparken denetimin amaçlarını (Gerçekleşme, tamlık, değerleme, haklar ve yükümlülükler, sunuş ve açıklama gibi) göz önünde bulundurur.

Denetçinin bütün gayreti, süreçlere yerleştirilmiş kontrollerin hesap kalemleri, finansal

tabloların sunum ve açıklamalarına yapacağı etkiyi değerlemektir. Kontrollerin işleyiş etkinliğini saptamak için denetçinin kontrol testlerini yapması gerekir.

Aşağıdaki şekilde süreçlerin incelenmesi, kontrol riski ve kontrol testleri arasındaki ilişki özetlenmiştir.

Şekil: Süreçlerin İncelenmesi ve Kontrol Testleri

(Kaynak: Kavut vd, 2009:139).

İç kontrol, finansal raporlamanın güvenilirliği gibi hedeflere ulaşılmasını tehdit eden tanımlanan iş risklerine hitap edecek şekilde tasarlanmakta ve uygulanmaktadır. En temel düzeyinde, iş kontrol tasarımı, iç kontrollerle eşleşen risk faktörlerinin bir listesinden oluşmaktadır (UDS 315 Paragraf 42’ye bakınız).

Bir kontrolün tasarımının değerlendirilmesi, kontrolün, bireysel olarak veya diğer kontrollerle birlikte, yanlış beyanları etkin bir şekilde önleme, tespit etme ve düzeltme kapasitesine sahip olup olmadığının değerlendirilmesini içermektedir.

Kontrol tasarımının değerlendirilmesi şunları içermektedir:

 İlgili risk faktörlerinin tanımlanması (bir önemli yanlış beyanla sonuçlanabilecekler),

 İç kontrolün risk faktörlerinin haritalandırılması ve yanlış beyanların meydana gelişinin önlenmesi ve meydana geldikten sonra yanlış beyanların tespit edilerek düzeltilmesi,

 Kontrolün, bireysel olarak veya diğer kontrollerle birlikte, önemli yanlış beyanları etkin bir şekilde önleme, veya tespit etme ve düzeltme kapasitesine sahip olup

Denetçi süreçlere ilişkin başlangıç kontrol riskini değerlerken Kontrol Risk Matrisi (KRM) hazırlayabilir. Matriste her bir kontrol, en azından bir veya daha fazla denetim amacı ile yakından ilgilidir. Aşağıdaki tabloda satışlar sürecine ilişkin KRM örneği gösterilmiştir.

Tablo: Kontrol Risk Matrisi – Satışlar

İÇ KONTROL

SATIŞ SÜRECİ İLE İLGİLİ DENETİM AMAÇLARI

Meydana Gelme Tam Olma Doğruluk Aktarma ve Özetleme Sınıflandır- ma Hesap Kesimi (Zamanlılık)

KONTROLLER

Belirlenmiş kredi limitleri için bilgisayar yardımıyla otomatik karşılaştırma yapılması ve alacağın onaylanması (K1)

G

Kayıtlı satışlar, onaylı müşteri sipariş formları ve taşıma belgeleri ile desteklenir (K2)

G G

Kasa tahsilatı, satışların kaydedilmesi ve faturalama görevleri ayrı kişilerce yürütülmektedir (K3)

G G G

Taşıma belgeleri faturalama için günlük

gönderilir, faturalama ertesi gün yapılır (K4) G G

Taşıma belgeleri sıra numaralıdır ve haftalık olarak sayılır (K5)

G G

Fatura genel toplamı ile teslimat genel toplamları karşılaştırılır (K6).

G G G

Faturalarda onaylanmış satış fiyatları kullanılır (K7)

G

Satış işlemlerinin iç mutabakatı yapılır (K8). G

Müşterilere aylık hesap özeti gönderilir (K9). G G G

Büyük defter ve yardımcı defter kayıtları

otomatik olarak gerçekleşir (K10). G

Alacak hesapları yardımcı defter ile büyük defter

aylık olarak karşılaştırılır (K11) G

ZAYIFLIK

Satış faturasının birden fazla kaydedilme riskine karşılık iç doğrulama eksikliği vardır (Z1)

Z Z

Kayıtların zamanında yapılıp yapılmadığın test eden bir kontrol bulunmamaktadır (Z2)

Değerlenmiş Kontrol Riski Orta Düşük Düşük Düşük Düşük Orta

G = Güçlü; Z= Zayıf (Kaynak: Arens vd, 2012:329).

Denetçi KRM’yi iç kontrolleri tanırken elde ettiği anket formlarından ve akış şemalarından yararlanarak oluşturur. Matriste denetçi özellikle anahtar kontroller adı verilen görevlerin ayrımı, yetkilendirme, belge düzeni, fiziksel kontroller ve bağımsız doğrulama gibi kontrollerin bulunup bulunmadığına bakar. Denetçi KRM yardımıyla denetim amaçlarına göre işletmedeki iç kontrol zayıflıklarını saptadıktan sonra bunun finansal tablo kalemlerine, finansal tablonun sunum ve açıklamasına etkisi aşağıdaki tabloda olduğu gibi belgelendirir.

Tablo: İç Kontrol Zayıflıkları

Zayıflık Telafi Edici Kontrol Olası Yanlışlık Önemlilik Denetim Kanıtına Etkisi 1. Sıra numaralı

KRM’de belirlenen KR değerlemesi, nihai değerleme değildir. Kontrol testleri ve destekleyici testler yapılmadan nihai değerleme yapılamaz.

Kontrollerin Uygulanışı:

İç kontrolün tasarımı ve uygulanışı konusunda denetim kanıtı elde etmek için risk değerlendirme prosedürleri gerekmektedir. Bu prosedürler, şunları içerecektir:

- İşletme personelinin sorgulanması,

- Spesifik kontrollerin uygulanışının gözlemlenmesi, - Belgelerin ve raporların incelenmesi,

- Finansal raporlama ile ilgili bilişim sistemi içindeki işlemlerin izlenmesidir.

Dört Adım İşlemi:

İç kontrolün anlaşılmasında ve daha sonra iç kontrol tasarımı ve uygulanışının değerlendirmesinde dahil olan dört önemli adım vardır. Bunlar aşağıdaki şekilde belirtilmiştir:

Şekil: İç Kontrolü Tanımada 4 Adım yaklaşımı (Kaynak: IFAC, 2007)

Birinci adım, finansal tablolarda bir önemli yanlış beyanı önlemek için hangi risklerin hafifletilmesi gerektiğini belirlemektir. Risk faktörleri genellikle spesifik bir iç kontrol hedefine ulaşılamaması durumunda "neyin yanlış gideceği" olarak tanımlanır.

Adım 2 ve 3 genellikle aynı zamanda tamamlanabilir. 2. Adımın amacı, Adım 1’de listelenmiş olan risk faktörlerini hafifleten iç kontrolün mevcudiyetini belirlemektir. Yine de şunu hatırlayın ki denetimle ilgili olmayan iç kontrollerin belgelenmesi ve değerlendirilmesi için herhangi bir zorunluluk yoktur.

Kontrolleri belgelerken, her zaman diğer kontroller üzerinde yaygın bir etkisi olan kontrollerle başlayın. Bu kontroller aşağıda örneği verilen soru formları kullanılarak tanımlanabilir:

 Yönetimle kimin sorumlu olduğu, bunların vasıfları, bağımsızlıkları ve işlevlerini nasıl gerçekleştirdikleri,

 Yönetimin göz ardı edişine hitap eden mevcut hile önleme kontrolleri (varsa),

 Yevmiye defterleri üzerindeki iç kontrol,

 Muhasebe politikalarının seçimi,

 İç kontrole yönelik yönetim tavrı ve bunun günlük operasyonlarla nasıl kanıtlandığı,

 Çalışanları, finansal sonuçları manipüle etme konusunda motive eden teşvik planları,

 İşletmenin elinde bulunan değerler ve bunların çalışanlara nasıl etkin bir şekilde iletilebileceği. Genç çalışanlara işletmenin değerleri ve mevcut davranış kuralları konusunda bilgileri olup olmadığı sorulabilir.

 Anahtar personelin ehliyeti ve iş tanımlarının uygunluğu,

 Yönetimin politikalarda ve prosedürler yaptığı istisnalar (varsa),

 Yıl içindeki sorunların veya sistem çatışmalarının nasıl ele alındığı,

Bir Risk Değerlendirme Prosedürü: Hangi risklerin azaltma gerektirdiğini belirleyin

İç Kontrolleri Tanıma: İlgili iç kontrolleri belgelendirin

Risklerle Kontrolleri Eşleştirin: İç kontrol tasarımını değerlendirin

Bir Risk Değerlendirme Prosedürü: İç kontrollerin uygulanışını değerlendirin

 Çalışanlardan, yönetim tarafından herhangi bir kontrolü göz ardı etmeleri talep edilip edilmediği,

 Herhangi bir yasa dışı faaliyet veya potansiyel hile konusunda bilinçtir.

Adım 3 – Kontrolün Uygulanışının Değerlendirilmesi olup; sadece denetimle ilgili iç kontrolün uygun şekilde tasarlanıp uygulandığı tespit edildikten sonra şunlar değerlendirilebilir:

 Kontrollerin işleyiş etkinliğinin hangi testleri (varsa) diğer bağımsız testlere duyulan ihtiyacı azaltacaktır,

 Bağımsız olarak test edilememeleri nedeniyle hangi kontroller testi gerektirmektedir.

Adım 4 – İç Kontrol Tasarımının Değerlendirilmesi olup; elde edilen tüm bilgileri bir araya toplamak ve belirlenen (ve uygulanan) kontrolleri risk faktörleri ile haritalandırmaktır.

Bu durumda belirlenen kontrollerin, bireysel olarak veya diğer kontrollerle birlikte, önemli yanlış beyanları etkin bir şekilde önleme veya bunları tespit edip düzeltme kapasitesine sahip olup olmadığını tespit etmek bir profesyonel yargı konusudur.

Yukarıdaki dört adımın tamamlanması üzerine, denetçi iç kontroldeki önemli zayıflıkları ele almalıdır. UDS 315’e göre denetçi, yönetim veya idareden sorumlu olanları, mümkün olduğu zaman, ve uygun bir sorumluluk düzeyinde, denetçinin dikkatini çekmiş olan iç kontrolün tasarım ve uygulanışındaki önemli zayıflıklar konusunda bilgilendirmelidir.

Denetçinin kontrolleri tanımada kullandığı 4 adım yaklaşımı aşağıdaki akış şemasında ayrıca gösterilmiştir.

Şekil: 4 Adım Yaklaşımı

(Kaynak: Mazars, 2012; IFAC,2011)