İLKE 10 : Kontrol Eylemleri Seçme ve Geliştirme
Örgüt, amaçlara ulaşmaya ilişkin riskleri kabul edilebilir düzeylere indirilmesine katkıda bulunacak olan kontrol eylemlerini seçer ve geliştirir.
Odak Noktaları
Kontrol eylemleri bir kuruluşun amaçlarına ulaşmasını sağlayan bir mekanizma işlevi görür ve kuruluşun bu amaçlara ulaşmak için gösterdiği süreçlerin önemli bir parçasıdır.
Aşağıda sayılan odak noktaları, bu ilkeye ilişkin önemli özellikleri vurgulamaktadır.
- Risk Değerlendirme ile Birleştirir: Kontrol eylemleri risklere yönelen ve bu riskleri azaltan yanıtlar verilmesini sağlamaya yardımcı olur.
Kontrol eylemleri, iç kontrolün tüm bileşenlerini destekler, ancak özellikle Risk Değerlendirme bileşeniyle paraleldir. Risk değerlendirmeyle birlikte, yönetim, risklere verilen belirli yanıtların uygulanabilmesi için gerekli olan önlemleri belirler ve uygulamaya koyar. Bir kuruluş, belirli bir riski kabul etmeyi ya da kaçınmayı tercih ettiğinde kontrol eylemlerine gerek duyulmaz. Buna rağmen, örgütün bir riskten kaçınmaya karar verdiği ve bu riskten kaçınmak için kontrol eylemleri geliştirdiği durumlar da vardır. Bu riski azaltma veya paylaşmaya yönelik, önlem, kontrol eylemlerinin seçilmesinde ve geliştirilmesinde bir odak noktası olarak hizmet eder. Riske verilen yanıtın niteliği ve kapsamı ve onunla bağlantılı herhangi bir kontrol eylemi, kısmen de olsa, istenilen, yönetimce kabul edilebilir risk azaltma seviyesine de bağlı olacaktır.
Riski azaltmak için ne gibi önlemlerin devreye sokulacağı belirlenirken, yönetim, kuruluşun iç kontrol bileşenlerinin tüm yönlerini ve kontrol eylemlerine ihtiyaç duyulan ilgili işletme süreçlerini, bilgi teknolojisini ve bulunduğu yerleşim yerlerini göz önünde bulundurur.
- Kuruluşa Özgü Faktörleri Dikkate Alır: Yönetim; örgütün kendisine has özelliklerinin yanı sıra, faaliyetlerin ortamı, karmaşıklığı, niteliği ve kapsamının kontrol eylemlerinin seçilmesini ve geliştirilmesini nasıl etkilediğini değerlendirir.
Kuruluşa özgü faktörler iç kontrol sistemlerini yürütmek için gerekli olan kontrol eylemlerini etkileyebilir. Örneğin;
- Bir kuruluşun ortamı ve karmaşıklığı ile faaliyetlerinin niteliği ve kapsamı, kuruluşun benimsediği kontrol eylemlerini hem fiziksel hem de mantıksal olarak etkiler.
- Sıkı bir şekilde düzenlemelere tabi olan kuruluşların risklere verdiği yanıtlar ve benimsediği kontrol eylemleri, daha az düzenlemeye tabi olan kuruluşlardan daha karmaşıktır.
- Çeşitli alanlarda faaliyet gösteren çok uluslu kuruluşların riske verdiği yanıtlar ve kontrol eylemlerinin kapsamı ve niteliği, yurt içinde faaliyet gösteren ve faaliyetleri çok uluslu şirketlere göre karmaşık olmayan bir kuruluşa kıyasla, genellikle daha karmaşık bir iç kontrol yapısı gerektirir.
- Gelişmiş bir kurumsal kaynak planlaması (ERP/KKP) sistemine sahip bir kuruluşun kontrol eylemleri, sıradan bir bilgisayarlı muhasebe sistemi kullanan bir kuruluşa kıyasla farklı olacaktır.
- Faaaliyetleri merkezi olmayan ve yerel özerklik ile inovasyona önem veren bir kuruluşun kontrol koşulları, faaliyetlerini sabit ve aşırı merkezi bir sistemle yürüten kuruluşlarınkinden farklılık gösterir.
- İlgili İş Süreçlerini belirler: Yönetim hangi iş süreçlerinin kontrol eylemlerine ihtiyaç duyduğunu belirler.
Örgütlerin amaçlarına ulaşabilmesi için kuruluş çapında iş süreçleri belirlenir. Bu iş süreçleri tüm işletmelerde benzer olabileceği gibi (satınalma, satış, finansman gibi) belirli bir sektöre özgü de olabilir (hasar tazminat işlemleri ya da sondaj faaliyetleri gibi). Bu süreçlerin her biri, bir dizi işlemler ya da eylemler yoluyla girdileri çıktılara dönüştürür. Bir kuruluşun işletme süreçlerinde ticari işlemlerini işleme tabi tutma (kaydetme) risklerini azaltacak önlemleri doğrudan destekleyen kontrol eylemleri genellikle “uygulama kontrolleri” veya “işlem kontrolleri” olarak adlandırılır.
Bir iş süreci, birçok amaç ve alt amaçtan oluşabilir ve tüm bu amaçlar, kendilerine özgü risklere ve bu risklere karşı verilen yanıtlara sahiptir. İş süreçlerindeki bu riskleri daha yönetilebilir bir şekilde bir araya getirmek için en yaygın yöntem bunları tamlık, doğruluk ve geçerliliğe ilişkin bilgi-işleme amaçlarına göre gruplandırmaktır. Çerçevede bilgi işleme amaçlarına ilişkin tanımlar aşağıdaki gibidir:
- Tamlık– Gerçekleşen tüm işlemler kaydedilir.
- Doğruluk – İşlemler, muhasebeleştirme sürecinin her basamağında doğru hesapta ve doğru tutarda ve zamanında kaydedilir.
- Geçerlilik – Kaydedilen işlemler, fiilen gerçekleşen ve önceden belirlenmiş prosedürlere göre yürütülen ekonomik olayları temsil eder. Örneğin; bir otomobil imal etmek için kullanılan parçaların yetkili bir tedarikçiden temin edilmesi faaliyetler bağlamında geçerliliğe örnek olarak verilebilir.
- Kontrol Eylemi Türlerinin Bir Karmasını Değerlendirir: Kontrol eylemleri, bir dizi çeşitli kontroller içerir ve hem elle işletilen ve otomatik kontrolleri, hem de önleyici ve tespit edici kontrolleri göz önüne alarak, riskleri hafifletmek için benimsenen yaklaşımlar arasında bir denge kurulmasını kapsayabilir.
Aşağıdakiler dahil çeşitli işlem kontrol eylemleri seçilebilir ve geliştirilebilir.
- Yetkilendirmeler ve Onaylar: Bir yetkilendirme bir işlemin geçerli olduğunu doğrular. Örneğin bir şef, bir gider raporunu, giderlere ilişkin bilginin makul ve kuruluşun politikalarına uygun olup olmadığını gözden geçirdikten sonra onaylar. Bir fatura birim fiyatının önceden oluşturulan tolerans düzeyinde ilgili satınalma sipariş birim fiyatıyla karşılaştırılması, otomatik bir onaya örnek olarak gösterilebilir.
- Doğrulamalar: Doğrulamalar, iki ya da daha fazla hesap kalemini birbiriyle karşılaştırır ya da bir hesap kalemini bir politikayla mukayese eder. Doğrulamalar genellikle iş olgularını, işleme tabi tutmanın tamlığı, doğruluğu ve geçerliliğine yöneliktir.
- Fiziksel Kontroller: Teçhizat, stoklar, menkul kıymetler, nakit ve diğer varlıklar fiziksel olarak korunur (sınırlandırılmış fiziksel erişim), belli aralıklarla sayılır ve kontrol kayıtlarında görülen miktarlarla karşılaştırılır.
- Değişmeyen Veri Üzerindeki Kontroller: Fiyat ana dosyası gibi değişmez veriler, genellikle bir iş sürecindeki işlemlerin işlenmesini desteklemek kullanılırlar.
- Mutabakatlar: Mutabakat, iki veya daha fazla veri unsurunun karşılaştırılması ve arada bir fark tespit edilmesi halinde veriyle ilgili uzlaşmaya varılması için önlem alınmasıdır. Mutabakatlar genellikle, sürece tabi tutulan işlemlerin tamlığı ve/veya doğruluğuna yöneliktir.
- Yönetsel Kontroller: Yönetsel kontroller; diğer kontrol eylemlerinin (örneğin; belirli doğrulamalar, mutabakatlar gibi) hem tam olarak ve doğru bir şekilde yapılıp yapılmadığını hem de politika ve prosedürlere uygun olarak yapılıp yapılmadığını değerlendirir. Örneğin, bir yönetici, mutabakat işlemlerinin politikaya uygun yapılıp yapılmadığını gözden geçirebilir.
Kontrol eylemleri ve teknoloji birbirlerini iki şekilde etkilerler:
- Teknoloji iş süreçlerini destekler – Teknoloji bir kuruluşun iş süreçlerine dahil edildiğinde örneğin bir üretim tesisindeki robotik otomasyon gibi, örgütün amaçlarına ulaşmasını desteklemek için teknolojinin gerektiği gibi çalışmayı sürdürememesi riskini azaltacak kontrol eylemleri gereklidir.
- Kontrol Eylemlerinin Otomatikleştirilmesi için Kullanılan Teknoloji – Bir kuruluştaki kontrol eylemleri, teknoloji sayesinde ya kısmen ya da tamamen otomatikleştirilir. Örneğin ERP Uygulaması gibi.
İş süreçlerinin çoğunda, kuruluştaki teknoloji kullanılabilirlik düzeyine bağlı olarak elle işletilen kontrollerle otomatik kontrollerin bir karışımı uygulanır. Otomatik kontroller, bu bölümde ileride ele alınacak olan teknoloji genel kontrollerinin uygulanıp uygulanmadıklarına ve çalışıp çalışmadıklarına göre değişmekle birlikte, genellikle daha güvenilir olma eğilimi gösterirler. Zira insan kararlarından ve hatalarından daha az etkilenirler ve genellikle daha verimli çalışırlar.
- Faaliyetlerinin Hangi Seviyelerde Uygulandığını Değerlendirir: Yönetim, kuruluşun çeşitli seviyelerindeki kontrol eylemlerini değerlendirir.
Örgütler, işlem-işleme düzeyinde kullanılan kontrollerin yanı sıra daha geniş kapsamlı çalışan ve genellikle örgütün daha üst kademelerinde gerçekleşen kontrol eylemlerinin bir karışımını seçer ve geliştirirler. Sözkonusu daha geniş kapsamlı kontrol eylemleri, genellikle ya faaliyetle ilgili ya da finansal birtakım farklı verinin karşılaştırılmasını içeren işletme performansı veya analitik incelemelerden oluşur. İlişkiler analiz edilip araştırılır ve politika ve beklentilere uygun olmadıkları takdirde gereken düzeltici önlemler alınır. Farklı seviyelerdeki işlem kontrolleri ve iş performansı gözden geçirmeleri, örgütün risklerine yönelik katmanlı bir yaklaşım sağlamak için birlikte çalışırlar ve örgüt içindeki kontroller karmasıyla bütünleşiktirler.
Örneğin bir faaliyet birimi, satınalma süreci üzerindeki satınalma siparişlerinin yüzdesi ve toplam satınalma siparişlerine göre iadelerin yüzdesini içeren iş performansı gözden geçirmelerine sahip olabilir. Yönetim, beklenmeyen sonuçları ve olağandışı eğilimleri inceleyerek, temel satınalma amaçlarının gerçekleştirilmemiş olabileceği durumları tespit edebilir.
- Görevler Ayrılığı Konusuna Eğilir: Yönetim, birbiriyle bağdaşmayan görevleri ayırır ve görevlerin ayrılmayacağı yerlerde alternatif kontrol eylemleri geliştirir.
Yönetim, kontrol eylemlerinin seçilmesi veya geliştirilmesi sırasında, hata riskini ya da uygunsuz veya hileli eylemleri azaltmak amacıyla, görevlerin farklı kişiler arasında bölüşüp bölüşülmediğini veya dağıtılıp dağıtılmadığını dikkate almalıdır. Bu tür değerlendirme yasal çevreyi, düzenleyici şartları ve paydaşların beklentilerini de içermelidir. Sözkonusu görevlerin ayrılığı, genel olarak, işlemlerin kaydedilmesi, yetkilendirilmesi ve onaylanması sorumluluğu ile ilgili varlığın idaresi sorumluluğunun birbirinden ayrılmasını gerektirir. Örneğin; kredili satışlara yetki veren bir Müdür, alacak hesap kayıtlarının tutulmasından veya kasa (tahsil-tediye) makbuzlarının işlenmesinden sorumlu olmamalıdır. Bir satış elemanının ürün fiyat dosyalarında veya komisyon oranlarında değişiklik yapmak için gönderdiği sisteme erişim talebi reddedilmelidir.
Görevlerin ayrılığı, yönetimin ihlal etmesiyle bağlantılı önemli risklere işaret edebilir. Yönetimin var olan kontrol eylemlerini ihlal etmesi, hile eylemini gerçekleştirmek için sık başvurulan yöntemlerden biridir. Görevlerin ayrılığı, hile riskini hafifletmek açısından önemlidir.
Ancak bazen görevlerin ayrılığı elverişli, uygun maliyetli ve yapılabilir olmayabilir. Örneğin, küçük şirketler bu gibi durumlarda alternatif kontrol eylemleri oluşturur. Yukarıdaki örnekte eğer satıl elemanı ürün-fiyat dosyalarında değişiklik yapabiliyorsa, bu satış elemanının fiyatları değiştirip değiştirmediğinin ve değiştirdiyse hangi koşullar altında değiştirdiğinin gözden geçirilmesi için satış birimiyle bağlantılı olmayan bir personel atanması, tespit edici kontrol eylemi olarak uygulamaya konulabilir.
İç Kontrol Makale Kaynakları
- Uluslararası İç Denetim Standartları, Uluslararası İç Denetçiler Enstitüsü, www.theiia.org
- Makale Kaynakları
- Dr.Davut Pehlivanlı, Güncel İç Denetim Uygulamaları, Beta 2010
- Prof.Dr. Nejat Bozkurt, Muhasebe Denetimi, Alfa 1998
- Prof.Dr.Nejat Bozkurt, TÜRMOB Bağımsız Denetim Eğitimi Ders Notları, 2012
- Dr.Özgür Çatıkkaş, KGK, Marmara Üniversitesi. Kurumsal Yönetim Ders Notları, 2013
- İSMMMO-Kobilerde İç Denetim İçin Pratik Bilgiler, 2013
- Türkiye İç Denetim Enstitüsü, www.tide.org.tr
- Alp Buluç, Makale, İç Kontrol, Hürses, 19 Mart 2013
- 6102 sayılı Türk Ticaret Kanunu
- Uluslararası Ic Denetim Standartları, www.theiia.org
- www.coso.org Treadway Komisyonu Destekçi Kurumlar Komitesi, İç Kontrol Bütünleşik Çerçevesi, 2013
- Kamu Mali Yönetim ve Kontrol Kanunu
- Kamu İç Kontrol Standartları
- Kamu İç Kontrol Rehberi
Bu gönderi şu adreste de mevcuttur: English