İç kontrol, bir kurumda riskleri azaltmaya yönelik işlev gösteren uygulama, prosedür, politika, süreç, sistem ve eylemlerdir. İç kontrol sistemi ise, kurum genelinde amaç ve hedeflerin gerçekleştirilmesi amacı ile tesis edilen, tüm bu kontrolleri de kapsayan, ancak yönetim ve organizasyon, risk değerlendirmesi, iletişim, bilgi sistemleri ve iç denetimi de kapsayan bir yönetim aracı, üst düzey bir yönetsel kontrol mekanizmasıdır.
Hem münferit iç kontrol uygulamalarının, hem de üst düzey ve operasyonlar ile entegre bir sistem olarak iç kontrol sisteminin özünü anlamak, sistemi oluşturmak, işletmek ve verim sağlamak adına önemlidir. Hatta iç kontrolü doğru anlamak, fayda sağlamanın ön koşuldur.
Bugün ülkemizde hem özel sektör, hem de kamu idarelerinde iç kontrol; kalite yönetimi, süreç yönetimi, dokümantasyon, yeniden yapılandırma ve denetim gibi farklı yönetsel araç ve kavramlar ile karıştırılmaktadır. Bu sayılanlar ülkemizde, bilindiği, tanındığı ve uygulama boyutu kazanmış olduğu için, iç kontrol bu kavramlar arasında pek anlaşılamamaktadır. Tüm bu yönetsel kavramlar ki buna iç kontrol de dahil, esasen aynı amacı hedefler yani kurumsal performansın ve buna bağlı olarak başarının artırılması. Ancak bunu sağlamak için farklı yöntemler kullanırlar. Bazı yönlerden birbirlerine oldukça benzeseler de her birinin farklı bir temel yaklaşımı vardır.
İç kontrol de özü itibariyle diğer yöntemlerden ayıran husus ise “risk” tir. İç kontroller ve bir bütün olarak iç kontrol sistemi riske karşı verilen kurumsal bir tepkidir. Diğer bir ifade ile iç kontrol, kurum strateji ve operasyonlarındaki risklerin, kurumun kabul edebileceği seviyeye, yani kuruma zarar verme potansiyeli minimize edilmiş seviyeye indirilmesini sağlar.
İç Kontrol Sistemi Değerlendirme Metodolojisi
Kurumların etkin bir iç kontrol sistemine sahip olup olmadıklarını makro bazda değerlendirirken aşağıda sıralanan ana başlıklardan yararlanılır. Bu çatı içerisinde kurumlar kontrol gereklerini yerine getirdikleri ölçüde iç kontrol etkinliğini sağlamış demektir.
Organizasyon Yapısı ve Yetkilendirme Sistemi
Politika ve Yazılı Prosedürler
İnsan Kaynakları Yönetimi Sistemi
Muhasebe Sistemi
Bütçe Sistemi
Yönetim Raporlama Sistemi
Risk Faktörleri
Özel sektör veya kamu sektörü için yapılacak iç kontrol sistemi değerleme çalışmasına ilişkin karşılaşılabilecek belli başlı risk faktörlerini ele alarak bu riskleri birlikte anlamaya çalışalım.
Yönetimin belirlediği hedefler ile mali ve maddi duran varlıklar, operasyonel kaynaklar ve insan kaynaklarının uyumlu olmadığı; söz konusu varlıklar ve kaynaklar etkin kullanılamadığı ve operasyonel yönetim ile üst yönetimin entegrasyonunu tam sağlayamayan şirketler Kaynak Kullanım Riski ile karşı karşıya kalabilirler. Kaynak kullanım riskinin etkisi ise etkinlik ve verimliliğin ölçüm kriterlerinin belirlenmesi, kapsamlı fizibilite çalışmaları, süreçlerin yoğunluğu ve karmaşıklığı gibi hususlara bağlıdır.
Faaliyetleri, yazılı iş süreçleri ile belirlenmemiş, yazılı politika ve prosedürler ile tanımlanmamış olan organizasyonların örgütlenme yapısının karmaşık olduğu şirketler Yönetim Riski ile karşılaşabilir. Söz konusu iş süreçlerinin ve yazılı prosedürlerin faaliyet bütününü kapsamaması ve yeterli kontrolleri içermemesi ise ortaya çıkan risk etkisinin boyutunu belirler.
Şirket bünyesinde etkin olmayan veya işlemeyen bir raporlama ve toplantı sistematiğinin bulunması, kurum içi iletişim kanallarının eksikliği, etkin bir muhasebe ve bütçe sisteminin olmaması, veri işleme çevresinin bütünlüğünü etkileyen unsurlar ve yönetim bilgisinin hatalı üretilmesi Bilginin Bütünlüğü ve Güvenilirliği Riskini oluşturan başlıca faktörlerdir. Şirketlerdeki bilgi bütünlüğü ve güvenilirliği riskinin etkisini azaltıcı unsurları ise bilgi ve belge akışındaki zamanlılık, doğru ve gerekli veri kullanımı, kullanılan verilerden doğru sonuçlara ulaşılacak değerlendirmeler yapılması ve kontrol işlemlerine yönelik otomasyon sistemlerinin güvenliğidir.
Kilit personele bağımlı olan, kariyer planlama uygulamaları etkin olmayan, motivasyon araçları ve uygulamalarında yetersizlik bulunan, yetkinliği düşük bir personel yapısına sahip, iş sağlığı ve güvenliği uygulamaları etkin olmayan, iç ve dış eğitimlerin alınmadığı şirketlerde ise İnsan Kaynağı Riskinin ortaya çıkma olasılığı yüksektir. Operasyonların lokasyonu, yetkin personel çalıştırma prensibinin benimsenmesi, özel yetenek gerektiren konularda dahil yeterli eğitim alınması, modern tekniklere ve değişime açık olma vb. yaklaşımlar ise ortaya çıkacak riskin etkilenme derecesini azaltır.
Faaliyetlerin karmaşıklığı, stok değerlerinin ve finansal boyutun büyüklüğü, ekonomik dalgalanmalar ve plansız operasyon değişikliklerinin yoğunluğu, hedeflere ulaşma baskısı, bilgilerin hassaslığı veya gizliliği, hataların geçmişinin bilinmemesi Operasyon Riskini oluşturan önemli faktörleridir. Teknik beceriye verilen önem, performans ölçüm ve değerleme etkinliği, ulaşılabilir seviyede amaç ve hedeflerin belirlenmesi, veri kaybı veya yetkisiz kişilerce veriye erişim sonucunda oluşabilecek finansal kayıplara karşı alınan koruma önlemleri, liderlik gücü ve yönetimin etik değer yaklaşımı bu riskin etkisini azaltan unsurlardır.
Etik kuralları ve davranış standartlarını içeren yazılı işletme politikalarının bulunmadığı, etkin bir iç denetim faaliyetinin bulunmadığı, iç kontrol sistemi ile olası hata ve ihmaller için erken uyarı sisteminin oluşturulmadığı, personelin ve yönetimin gelişmiş bir etik anlayışa sahip olmadığı şirketlerde Hata ve Suiistimal Riski ile karşılaşma olasılığı yüksektir. Şirket içinde bu tür hatalar ile geçmişte karşılaşılmamış olması, denetim alanlarında daha önceki dönemlerde tecrübe sahibi olunması, iç kontrol sisteminin sürekli izlenmesi ve ödül-ceza sistemi gibi suiistimali caydırıcı önlemlerin bulunması bu riskin etkisini azaltıcı unsurlardır.
Fiziki güvenliğin yeterli olmadığı, düzenli sayımlar ile kaydi ve fiili mutabakat sisteminin oluşturulmadığı ve varlıkların likidite oranı yüksek olan şirketlerde Aktiflerin Fiziksel Zarara Uğrama Riski ortaya çıkmaktadır. Alınan korunma önlemleri, güvenlik seviyesi, zimmet uygulaması, sigorta kapsamı, sayım sisteminin işlerliği, varlıkların taşınma kolaylığı gibi unsurlar bu riskin olumlu ve olumsuz etkisini belirlemektedir.
Operasyonların bilgi sistemleri sürecinde uygulamalara ilişkin prosedürleri oluşturmayan, bilgi sistemlerindeki fiziki ve mantıksal erişimde açıklar bulunan, gizlilik ihlali ve veri kaybı önleme sistemini geliştirmeyen Şirketlerde Bilgi Sistemleri (Bilgi Güvenliği) Riski ortaya çıkmaktadır. Erişim güvenliği sınırlandırmaları, yasa dışı giriş önlemleri, destek görev tanımlamalarının belirlenmesi, erişim-giriş kontrol güvenliğinin gücü, felaket kurtarma planının varlığı bilgi sistemleri riskinin ortaya çıktığı durumlarda etkisini azaltan faktörlerdir
Risk faktörleri incelenirken risklerin ortaya çıkma olasılığı ve ortaya çıktığı takdirde faaliyet ve sonuçlarına yönelik etkisi olmak üzere iki ayrı açıdan değerlendirilmeli ve risklerin ortaya çıkma olasılığı değerlendirilirken de faaliyet sürecinde yerleştirilmiş olan kontroller dikkate alınmalıdır
14.09.2018
Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)
>> YIL SONU KAMPANYASI: Muhasebecilere Özel Web Sitesi 1.249 TL yerine 999 TL + KDV
Ayrıntılar için tıklayın.
>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.
>> SGK Teşvikleri (150 Sayfa) Ücretsiz E-Kitap: hemen indir.
>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.
>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.