Uluslararası Düzenlemeler

1.3.7.1.1. Sarbanes-Oxley Yasası (SOX) ve İç Kontrol

İşletmelerin finansal raporlama üzerindeki kontrollerin iyileştirilmesini amaçlayan ve etkin kurumsal yönetimi destekleyen bir çaba olarak görülen Sarbanes-Oxley Yasası Amerika Birleşik Devletler’indeki borsada işlem gören halka açık şirketleri içerecek şekilde 30.07.2002 tarihinde imzalanmıştır¹³⁰. Yasa aşağıda belirtilen on bir ana başlıktan oluşmaktadır¹³¹:

1. Halka Açık Şirketler Muhasebe Gözetim Kurulu 2. Denetçi Bağımsızlığı

127 Tamer Aksoy, ''Ulusal ve Uluslararası Düzenlemeler Bağlamında İç Kontrol ve İç Kontrol Gerekliliği: Analitik Bir İnceleme'', Mali Çözüm Dergisi, Sayı:72, 2005, s.139.

128 Nejat Bozkurt, a.g.e., s.125.

129 Tamer Aksoy, a.g.m., s.140.

130 (Erişim) http://www.pwc.com.tr/tr/hizmetlerimiz/denetim/sarbanes-oxley.html, 13 Mart 2017.

131 Davut Pehlivanlı, a.g.e., s. 21-22.

39 3. Kurumsal Sorumluluk

4. Kapsamı Genişletilen Mali Açıklamalar 5. Çözümleyici Çıkar Çatışmaları

6. Komisyon Kaynakları ve Otoritesi 7. Çalışmalar ve Raporlar

8. Kurum ve Suçlunun Hile Sorumluluğu

9. Beyaz Yakalıların Suçlarıyla İlgili Cezaların Arttırılması 10. Kurumsal Vergi Beyanları

11. Kurumsal Hile ve Sorumluluk

Yasanın temelini yöneticiler ve çalışanların şirkete ilişkin görevlerini sadakat ve bağlılık ilkelerine uygun yerine getirmelerini sağlamak ve buna uygun davranmayanları cezalandırmak oluşturmaktadır¹³². Ayrıca, SOX yasası Halka Açık Şirketler Muhasebe Gözetim Kurulu kurmak, bu şirketlerin denetçileri için kısıtlamalar getirmek, yeni kurallar düzenlemek ve muhasebe denetimlerini kontrol altında tutmak yoluyla şirketlere karşı kaybedilen güveni tekrar sağlamayı hedeflemektedir¹³³.

Yasanın getirdiği hükümler en fazla yönetim kurulu, üst yönetim, bağımsız denetçiler, iç denetçiler, standart koyucu otoriteler, kurumsal yatırımcılar, bireysel yatırımcıları etkilemekle birlikte üst yönetim ile bağımsız dış denetçiye önemli sorumluluklar yüklemiştir¹³⁴.

Yasanın 404. Maddesine göre yöneticiler, mali raporlamaya ilişkin prosedürleri, iç kontrol yapısının kapsamı ve uygunluğu ile ilgili faaliyetleri işletmenin yıllık raporlarında bildirmelidirler. Aynı raporda kayıtlı muhasebe firmaları mali raporlamaya ilişkin prosedürlere ve iç kontrolün etkinliğine yönelik yapılan değerlendirmeyi onaylamalıdırlar¹³⁵.

Yasanın 302. Maddesine göre SEC’e göre raporlama yükümlülüğü bulunan işletmelerin icra kurulu başkanlarına (Chief Executive Officier- CEO) ve finans bölümü başkanlarına (Chief Financial Officer-CFO) işletmenin belirli aralıklarla

132 Cengiz Alp Eroğlu, Kurumsal Yönetim İlkeleri Çerçevesinde Kamunun Aydınlatılması, Yeterlilik Etüdü, Ankara, 2003.

133 James Tackett, Fran Wolf, Gregory Claypool,’’ Sarbanes- Oxley and audit failure: A critical examination’’, Managerial Auditing Journal, Sayı:19, s.340.

134 Tamer Aksoy, a.g.e., s. 253.

135 (Erişim) http://www.soxlaw.com/s404.htm, 13 Mart 2017.

40 yayımlanan mali tablolarını ve raporlarını tasdikleme yükümlülüğü getirilmiştir. Bu maddenin amacı, yöneticilerin işletme bünyesinde düzgün olmayan ve mevzuata aykırı uygulamalardan haberdar olmadıklarını iddia etmelerini engellemektir.

Böylece, hisse senetlerinin halka arzında ve kamuya yapılacak diğer açıklamalarda yöneticilere sorumluluk yüklenerek kamunun aydınlatılmasına ilişkin tüm belgelerin doğruluğu ve güvenirliliği sağlanmaya çalışılmaktadır. Bu düzenleme ile yöneticiler gerçekten bilgileri olmamasına rağmen kasten ya da ihmal sonucu yanlış bir onaylama veya tasdik yapmalarından sorumludurlar¹³⁶.

Yasanın 301. Maddesinde, borsaya kayıtlı şirketlere iç kontrol ve iç denetimden sorumlu Denetim Komitesi (Audit Committe) kurması yükümlülüğü getirilmektedir. Denetim komitesi tarafından hazırlanan rapor, genel müdür ve üst yönetimin onayından sonra faaliyet raporu ekinde yayınlanması zorunludur¹³⁷. Ayrıca, komitenin, şirketin muhasebe sistemi, iç kontrolü ve bağımsız denetimine ilişkin şikâyetleri değerlendirmek amacıyla bir yöntem belirlemesi gerekmektedir¹³⁸. Bunlara ek olarak komite, bağımsız denetim firmasının atanması, ücretinin ödenmesi, bağımsız denetim raporunun kontrolü, finansal raporlama dâhil bağımsız denetime yönelik çalışmaların gözetimi ve denetim firması tarafından kendisine sunulan denetim raporunun incelenmesinden sorumludur. Sarbanes-Oxley yasasında şirket yönetimlerinin iç kontrol hususundaki sorumlulukları arttırılmıştır. Bu doğrultuda şirket yönetimleri tarafından iç kontrol değerlendirme raporlarının hazırlanması, onaylanması ve bağımsız denetim raporu ile beraber değerlendirilmesi zorunlu kılınmıştır¹³⁹.

1.3.7.1.2. Basel Düzenlemeleri ve İç Kontrol

Bankacılık gözetim ve denetiminde uluslararası işbirliğini sağlamak için G-10 ülkeleri Merkez Bankası Guvernörleri tarafından 1974 yılının Aralık ayında

“Bankacılık Düzenleme ve Denetim Uygulamaları Komitesi (Comittee on Banking Regulations and Supervisory Practices)” oluşturulmuştur. Komite, Belçika, Kanada, Fransa, Almanya, İtalya, Japonya, Lüksemburg, Hollanda, İsveç, İsviçre, İngiltere,

136 Sarbanes-Oxley Act Section302, Sarbanes-Oxley Act2002,14.06.2005, (Erişim) http://www.soxlaw.com/s302.htm, 13 Mart 2017.’ den aktaran Duygu Anıl Keskin, İç Kontrol Sistemi Kontrol Öz Değerlendirme, Beta Basım, İstanbul, 2006, s.36.

137 Tamer Aksoy, a.g.e., s.254.

138 Cengiz Alp Eroğlu, a.g.e., s.51.

139 Tamer Aksoy, a.g.e., s.254.

41 ABD merkez bankalarının üst düzey yetkilileri ve banka denetim otoriteleri tarafından temsil edilmektedir.

Basel Komitesi, iç kontrol sistemlerinin değerlendirilmesine ilişkin 1998 yılının Eylül ayında “Bankacılık Organizasyonlarında İç Kontrol Sistemleri için Çerçeve (Framework for Internal Control Systems in Banking Organisations)” adıyla bir çalışma hazırlamış ve yayınlamıştır. Çalışmada, bankaların iç kontrol sistemlerini değerlendirmeleri amacıyla denetim otoritelerinin kullanmaları gereken birtakım ilkeler belirtilmiştir¹⁴⁰. Çalışmanın birinci bölümünde komite çalışmaları ile ilgili ön bilgiler verilmiştir. İkinci bölümde bankalarda iç kontrolün rolü, amaçları ve hedefleri üzerinde durulmuştur. Üçüncü ve dördüncü bölümlerde ise banka gözetim ve denetim otoritelerinin bankaların iç kontrol sistemlerini değerlendirirken dikkat etmesi gereken hususlar ayrıntılı bir şekilde açıklanmıştır¹⁴¹.

İç kontrol sistemlerinin değerlendirilmesine ilişkin söz konusu ilkeler¹⁴²; 1. Yönetimin Görüşü ve Kontrol Kültürü: Yönetim Kurulu bankanın tüm strateji ve politikalarını onaylamak ve belirli aralıklarla gözden geçirmek, karşılaşılan riskleri tespit etmek ve risklere ilişkin sınırlar çizmek, üst yönetimin riskleri belirlemesi, kontrol etmesi, izlemesi ve yönetmesi için önlemler almasını sağlamaktan sorumludur. Bunlara ek olarak, iç kontrol sisteminin etkinliğinin üst yönetim tarafından izlenmesine olanak sağlamak, yeterli ve etkin bir iç kontrol sistemi kurmak ve sürdürmekten sorumludur.

2. Riskin Tanınması ve Değerlendirilmesi: Etkili bir iç kontrol sistemi, bankaların amaçlarına ulaşmasını olumsuz olarak etkileyen riskleri belirleyerek bu riskleri sürekli değerlendirmelidir. Bu değerlendirme bankanın maruz kaldığı tüm riskleri içermelidir. İç kontrollerin, yeni veya önceden kontrol edilemeyen riskleri dikkate almak üzere uygun bir şekilde düzenlenmesi gerekebilir.

3. Kontrol Faaliyetleri ve Görevler Ayrımı: Kontrol faaliyetleri bankanın günlük faaliyetlerinin ayrılmaz bir parçası olmalıdır. Etkin bir iç kontrol sistemi bankanın her seviyesinde kontrol faaliyetlerinin tanımlandığı bir kontrol yapısının kurulmasını gerektirir. Ayrıca, etkin bir iç kontrol sistemi uygun görevler ayrımını ve

140 (Erişim) http://www.bis.org/publ/bcbs40.pdf, 9 Mart 2017.

141 Türkiye Bankalar Birliği, Bankalarda İç Denetim Sistemleri, s.1.

142 (Erişim) http://www.bis.org/publ/bcbs40.pdf, 9 Mart 2017.

42 çalışanlara birbiriyle çatışan sorumluluklar verilmemesini gerektirir. Muhtemel çatışma alanları belirlenmeli, en aza indirilmeli ve bağımsız bir şekilde izlenmelidir.

4. Bilgi ve İletişim: Etkin bir iç kontrol sistemi yeterli ve kapsamlı iç finansal, operasyonel ve uygunluk verilerinin olmasını gerektirir. Ayrıca, karar verme sürecine ilişkin olay ve durumlarla ilgili dış pazar bilgilerinin iletilmesini gerektirir. Bilgi, güvenilir, ulaşılabilir olmalı; zamanında ve tutarlı bir biçimde sağlanmalıdır.

5. İzleme Faaliyetleri ve Hataların Düzeltilmesi: Bankanın iç kontrollerinin etkinliği sürekli izlenmelidir. Anahtar risklerin izlenmesi bankanın günlük faaliyetlerinin bir parçası olmalıdır. İç kontrol sisteminin, iyi eğitilmiş ve yetkin çalışanlar tarafından yürütülen etkili bir iç denetimi olması gerekir. İç denetim fonksiyonu, iç kontrol sisteminin izleme sürecinin bir parçası olarak üst yönetim, yönetim kurulu veya denetim komitesine doğrudan rapor vermelidir.