200 SORUDA İÇ KONTROL SİSTEMİ ETKİNLİK TESTİ

200 SORUDA
COSO İKS İLKE VE UNSURLARI IŞIĞINDA
İÇ KONTROL SİSTEMİNİN ETKİNLİĞİ TESTİ
           
Hazırlayan: Bülent Hasanefendioğlu -Kıdemli Danışman

 Evet- 2 puan
 Hayır- 0 puan
 Hem evet hem hayır- 1 puan

İç Kontrol Sistemi –Genel

1) İşletmenin mevcut bir iç kontrol sistemi varmıdır?
2) İşletmenin mevcut entegre bir iç kontrol sistemi varmıdır?
3) Sistem içerisinde yer alan iç kontrol mekanizmaları entegre iç kontrol sistemi içerisinde senkronize biçimde çalışmaktamıdırlar?
4) İşletmedeki iç kontrol sistemi operasyonel anlamda üst yönetime makul düzeyde güvence vermektemidir?
5) İşletmedeki iç kontrol sistemi işletmenin hedeflerine ulaşmasında  ekstra değer katabilmektemidir?
6) İşletmedeki iç kontrol sisteminin ürettiği raporlar yüksek güvenilir düzeydemidir?
7) İşletmedeki iç kontrol sistemine göre gerçekleştirilen işlemler iç ve dış mevzuatla uyum içindemidir?
8) İç kontrol sisteminin genel etkililik düzeyi yılda en az bir kez değerlendirilmektemidir?
9) İç kontrol sisteminin genel etkinlik düzeyi yılda en az bir kez değerlendirilmektemidir?
10) İç kontrol sisteminin genel ekonomiklik düzeyi yılda en az bir kez değerlendirilmektemidir?
11) İç kontrol sisteminin genel güvenililirlik düzeyi yılda en az bir kez değerlendirilmektemidir?
12) İşletme iç kontrol sistemi yılda en az bir kez iç denetime tabi tutulmaktamıdır?
13) İşletmede COSO İç Kontrol Sistemi uygulanmaktamıdır?
14) İşletmede 3’lü Savunma Hattı uygulanmaktamıdır?
15) İşletmede operasyonel, destek ve gözetim birimlerinin bağlı olduğu üst düzey yöneticiler arasında etkili bir iletişim varmıdır?
16) İşletmede iç denetim birimi doğrudan Yönetim Kurulu’na bağlımıdır?
17) İşletmede kurumsal yönetim ilkeleri (adillik, sorumluluk, şeffaflık, hesap verebilirlik) dikkate alınıyor mu?
18) İşletmede proaktif bir  yönetişim sistemi oluşturulmuşmudur?
19) İşletmenin vizyon, misyon, değerleri ve stratejik hedefleri oluşturulan yönetişim ve
iç kontrol sistemlerinde temel alınmışmıdır?
20) İşletme kültürü olumlu yönde gelişen bir seyirdemidir?
21) İşletme üst yönetimi belirledikleriilke ve politikalar doğrultusunda tutarlı bir davranış ve tutum içerisindemidir?
22) İşletme üst yönetimi insan kaynakları uygulamalarında geliştirici bir rol üstlenmektemidir?
23) İşletmede iş süreçleri 3E (etkili, etkin, ekonomik)  ilkesine göre biçimlendirilmişmidir?
24) İşletme yenilikleri ve değişimleri öğrenen bir işletmemidir?
25) İşletme teknolojik gelişmeleri yakından takip edip bilgi işlem sistemine adapte etmektemidir?

Kontrol Ortamı

1) Yönetim Kurulu işletmede ‘kontrol ortamı’ şartlarını yerine getirmişmidir?
2) Üst yönetim, işletmede etik ilkeleri belirlemiş ve yayınlamışmıdır?
3) Üst yönetim, dürüstlük ve etik ilkelere bağlı hareket ediyor mu?
4) İşletmede bir bütün halinde etik değerlere ve dürüstlük ilkesine bağlılık temin edilmişmidir?
5) İşletmenin tüm görevlileri etik dışı davranış durumunda uygulanacak yaptırımlar hakkında bilgilendirilmektemidir?
6) İşletmenin dış paydaşları belirlenen etik ilkeler ve bu ilkelere ilişkin sorumluluklar hakkında bilgilendiriliyor mu?
7) İşletmede yürütmenin işleyiş standartları tesis edilmişmidir?
8) Üst yönetim, işletmede belirlenen normlar çerçevesinde tutarlı, net ve açık bir duruş sergiliyor mu?
9) İşletmede yürürlükte olan standartlar fırsat odaklımıdır?
10) Müşteriye  sunulan hizmetlerle ilgili süre ve yöntem konusunda bir standart geliştirildi mi?
11) Belirlenen standartlardan sapmaların ilgililerine ve üst yönetime bildirilmesini sağlayan süreçler belirlenmişmidir?
12) Belirlenen standartlardan sapmalar ilgililerine ve üst yönetime zamanında ve tam olarak iletilmektemidir?
13) Yönetim Kurulu  icradan bağımsız olarak görev yapabilmektemidir?
14) Yönetim Kurulu çalışmalarında uzmanlık sergileyebilmektemidir?
15) Yönetim Kurulu  gözetim sorumluluğunun çerçevesini belirlemişmidir?
16) Yönetim Kurulu  gözetim sorumluluğunu yerine getirecek mekanizmaların etkili çalışmasını sağlamaktamıdır?
17) Yönetim Kurulu iç kontrol faaliyetlerinin gözetimini bağımsız olarak yapmaktamıdır?
18) Yönetim Kurulu iç kontrol sisteminin etkinliğinin sağlanması yönünde üst yönetimi yönlendirebilmektemidir?
19) Yönetim Kurulu gözetim fonksiyonu kapsamında işletmenin üst yönetimini etkili biçimde kontrol etmektemidir?
20) Üst yönetim, iç kontrol sistemine gereken desteği veriyormu?
21) Üst yönetim entegre bir iç kontrol sistemini 3E (etkili, etkin, ekonomik) ilkesi kapsamında tasarlayıp devreye almışmıdır?
22) Üst yönetim iç kontrol sisteminin etkinliğinin sağlanmasını aktif olarak takip etmektemidir?
23) Hedeflerin elde edilmesi bakımından gereken yönetsel organizasyonlar yapılmışmıdır?
24) Yönetsel çerçeve oluşturulurken işletmenin tüm organizasyonel yapısı göz önünde tutulmaktamıdır?
25) Operasyonel sisteme ilişkin yapılar belirlenmişmidir?
26) Çalışanların görev-yetki-sorumlulukları net ve açık olarak belirlenip  yazılı halde yayınlanmış mıdır?
27) İşletmede işlemlerin gerçekleştirilmesinde etkin iş süreçleri oluşturulmuşmudur?
28) Birimlerdeki iş akış süreçlerindeki imza ve onay mercileri belirlenmişmidir?
29) Yapılacak yetki devirlerinin esasları yazılı olarak belirlenmişmidir?
30) Raporlama yapılacak kanallar ve merciler belirlenmişmidir?
31) Organizasyon yapısı kapsamında belirlenen yetki ve sorumlukların kullanımında hesap verilebilirlik sağlanmışmıdır?
32) İşletmede insan kaynaklarına yönelik prosedürler oluşturulmuşmudur?
33) Bu prosedürler işe alımda ve çalışma esnasında kapasiteli çalışanlara öncelik vermektemidir?
34) İşletme üst yönetimi bizzat yetkin çalışanlarını hedeflere yönelik olarak organize etmektemidir?
35) İşletmede kapasiteli çalışanların göz önüne alındığı, istihdam edildiği, gelişimleri ile devamlılıklarının sağlandığı bir ortam yaratılmışmıdır?
36) Çalışanların ve birimlerin hedefleri gerçekçi verilmektemidir?
37) Performans değerlemeye yönelik ve başarıların ödüllendirilmesi için güvenilir bir sistem kurulmuşmudur?
38) Bu sistem çerçevesinde yapılan değerlendirmeler ilgili çalışan ile paylaşılmaktamıdır?
39) Kurulan sistem dengeli ödül ve ceza mekanizmasını içermektemidir?
40) Üst Yönetim işletme kültürünün gelişiminde çağdaş teknikleri kullanmaktamıdır?
41) İç kontrol sistemi ve işleyişine ilişkin olarak çalışanlar nezdinde sorumlu olduğu işi sahiplenmesini arttırmaya yönelik çalışmalar yürütülmektemidir?
42) İç kontrol sistemi ve işleyişine ilişkin olarak iç ve dış paydaşlar nezdinde farkındalık etkinlikleri yürütülmektemidir?
43) Suistimal riskleri konusunda farkındalık yaratılmaktamıdır?
44) Çalışanların ailelerine yönelik sosyal sorumluluk politikaları uygulanmaktamıdır?
45) Çalışanlara yönelik farklı kuşaklara ilişkin değerler ve istemler dikkate alınmaktamıdır?
46) Çalışanlara yönelik davranış ve tutum sapmaları takip edilmektemidir?
47) Çalışanlarla düzenli ve sistematik bir iletişim mekanizması kurulmuşmudur?
48) İşletmede açık kapı politikası uygulanmaktamıdır?
49) İç ve dış paydaşlara yönelik değerlendirmelerde bulunabilecek uygun enstrümanlar (anket, görüşme, toplantı, dijital imkanlar vb.) tesis edilmişmidir?
50) Sözkonusu enstrümanlar etkili olarak kullanılmaktamıdır?

Risk Değerlendirme

1) Risk değerlendirme sürecinde sadece risklere odaklanmayıp işletmenin önündeki fırsatlar ve işletmenin hedefleri etkili biçimde gözönüne alınmaktamıdır?
2) İşletmede risklerin belirlenmesi ve değerlendirmesine yönelik kriterler yeterince
açık ve net tayin edilmektemidir?
3) Risklerin değerlendirilmesinde muhtemel suistimal riskleri de dikkate alınmaktamıdır?
4) Operasyonlara Yönelik Hedefler belirlenirken yönetim tercihleri yansıtılmaktamıdır?
5) Operasyonlara Yönelik Hedefler belirlenirken risk tolerans düzeyi dikkate alınmaktamıdır?
6) Operasyonlara Yönelik Hedefler belirlenirken operasyonel ve finansal faaliyet hedeflerini içermektemidir?
7) Operasyonlara Yönelik Hedefler belirlenirken kaynakların etkin tahsisine yönelik bir temel oluşturulmaktamıdır?
8) Dış Finansal Raporlamalar mevcut genel kabul görmüş muhasebe ilkelerine uygunmudur?
9) Dış Finansal Raporlamalarda önemlilik ilkesi uygulanmaktamıdır?
10) Dış Finansal Raporlamalar işletmenin faaliyetlerini yansıtmaktamıdır?
11) Dış Finansal Olmayan Raporlamalar üst ve düzenleyici kuruluşlarca belirlenen standart ve çerçeveye uyumlumudur?
12) Dış Finansal Olmayan Raporlamalar tabi olunan dış mevzuat gereği talep edilen netlik ve açıklık standartları sağlanmaktamıdır?
13) Dış Finansal Olmayan Raporlamalar işletmenin faaliyetlerini yansıtmaktamıdır?
14) İşletme İçi Raporlamalarda yönetim tercihleri yansıtılmaktamıdır?
15) İşletme İçi Raporlamalarda öngörülen düzeyde netlik ve açıklık standartları göz önüne alınmaktamıdır?
16) İşletme İçi Raporlamalar işletmenin faaliyetlerini yansıtmaktamıdır?
17) Mevzuata Uyuma Yönelik Hedefler Belirlenirken dış yasa ve düzenlemeler yansıtılmaktamıdır?
18) Mevzuata Uyuma Yönelik Hedefler Belirlenirken risk toleransı dikkate alınmaktamıdır?
19) Kurum yetkilileri hedeflere ulaşmak için işletme genelinde riskleri belirleyip risklerin etkili yönetimi çerçevesinde analiz etmektemidirler?
20) Risklerin değerlendirilmesinin kapsamı, işletme geneli, iştirakler, bölümler, birimler ve görev düzeyi bazındamıdır?
21) İç ve dış etkenler analiz edilmektemidir?
22) Önceden tahmin edilemeyen fakat iç kontrol sistemini mutlak etkileyebilecek düzeydeki değişimler takip edilip, tespit edilmekte ve değerlendirilmektemidir?
23) Dış ortamdaki değişimler değerlendirilmektemidir?
24) İş modelindeki değişimler değerlendirilmektemidir?
25) Üst yönetim değişiklikleri dikkate alınmaktamıdır?
26) Yönetimin konuyla ilgili tüm yetkilileri sürece dahil olmaktamıdır?
27) Belirlenen riskler etki düzeyi tahminine göre sınıflandırılmaktamıdır?
28) İşletmenin bir risk profili varmıdır?
29) Risk yönetimine yönelik politikalar geniş bir katılımla mı oluşturulmaktadır?
30) Yıllık risk eylem planı belirlenip yayınlanmaktamıdır?
31) Üst yönetim  risk eylem planı kapsamında iç ve dış paydaşlarda farkındalık yaratmaktamıdır?
32) Risk yönetimine ilişkin spesifik görev/yetki/sorumluluklar belirlenmişmidir?
33) Risk yönetimine ilişkin alınan önlemler ilgilileri ile yazılı olarak paylaşılmışmıdır?
34) İşletmede risk yönetim komitesi varmıdır?
35) Komitede riskin asıl sahipleri de etkili biçimde seslerini duyurabilmektemidir?
36) Risk yönetiminde bilgi teknolojilerinden etkili biçimde yararlanılmaktamıdır?
37) Risk yönetim politikaları oluşturulurken risk yönetim araçları öngörülen risklerle ilişkilendirilmektemidir?
38) Risk yönetimi faaliyetlerinde fayda maliyet analizi yapılmaktamıdır?
39) Karşı karşıya olunan risklerin izlenmesine yönelik belirlenen prosedürler kontrol faaliyetleri ile senkronizemidir?
40) Risk yönetimi önlemlerinin uygulama sonuçlarına ilişkin raporlama prosedürü belirlenmişmidir?
41) Raporların değerlendirilip gereken reaksiyonların hızlıca alınması yönünde çerçeve belirlenmişmidir?
42) Alınan reaksiyonların etkileri takip edilmektemidir?
43) Gözönüne alınmayan olası iç ve dış yeni riskler etkili biçimde takip edilmektemidir?
44) Beklenilmeyen riskle karşılaşıldığında uygulanacak reaktif önlemler belirlenmişmidir?
45) Risklerin yönetim sürecinde etkili bilgi ve iletişim mekanizmaları uygulanmaktamıdır?
46) İşletmede üst yönetim, birim yetkilileri ve ilgili çalışanlar  risk yönetimine ilişkin görev ve sorumluluklarının bilincindemidir?
47) İşletmede risk yönetimi faaliyetleri ilintili farklı birimlerce koordineli biçimde yürütülmektemidir?
48) Birimlerde risk yönetiminden elde edilen deneyimler diğer birimlerle paylaşılmaktamıdır?
49) Risk yönetimi uygulamalarının etkinliği üst yönetim tarafından izlenmektemidir?
50) Risk yönetimi uygulamaları yılda en az bir defa iç denetime tabi tutulmaktamıdır?

Kontrol Faaliyetleri

1) İşletme üst yönetimi, işletme hedeflerine ulaşılmasını sağlayacak kontrol faaliyetlerini belirleyip, uygulanmasını sağlayıp geliştirmektemidir?
2) Kontrol faaliyetleri risk değerlendirme faaliyetleri ile entegremidir?
3) Kontrol faaliyetleri planlanırken işletmeye özgü etkenler dikkate alınmaktamıdır?
4) Üst yönetim tarafından iş süreçlerinin yazılı halde ve bilgi işlem sistemi ile iç
içe olmasına gereken özen gösterilmektemidir?
5) İş süreçleri oluşturulurken uzman desteği alınmışmıdır?
6) İş süreçleri oluşturulurken ilintili iş süreçleri de belirlenmektemidir?
7) Üst yönetim tarafından farklı kontrol türleri tesis edilmişmidir?
8) Kontrol süreçleri belirlenirken faaliyetlerin yürütülme şekli ve düzeyleri dikkate alınmaktamıdır?
9) Görevlerin ayrılığı ilkesine uyum sağlanmaktamıdır?
10) İşletmede kullanılan bilgi teknolojilerinin genel kontrol faaliyetleri kriterleri belirlenip uygulanmaktamıdır?
11) Kullanılan teknoloji ile teknoloji genel kontrolleri birbirleriyle ilişkilendirilmektemidir?
12) Kontrol faaliyetleri ile kullanılan teknoloji altyapısı uyumlumudur?
13) Güvenlik kontrolleri süreçlerine ilişkin kontrol faaliyetleri tesis edilmişmidir?
14) Süreç kontrollerinin gelişimine ve sürdürülmesine uygun teknolojiler kullanılmaktamıdır?
15) Kontrol faaliyetleri çerçevesinde nelerin beklendiğini ortaya koyan politikalar belirlenmişmidir?
16) Sözkonusu politikaların uygulanması bakımından yönetmelikler düzenlenmektemidir?
17) Yönetim talimatlarının uygulanması bakımından gereken politika ve yönetmelikler oluşturulmuşmudur?
18) Belirlenen politika ve kuralların uygulanması konusunda sorumluluk ve hesap verirlik tesis edilmişmidir?
19) Birimlerde faaliyetleri ile mali karar ve işlemlerine ilişkin yazılı prosedürler mevcutmudur?
20) Bu prosedürlere ilgili çalışan ulaşabilmektemidir?
21) Kontrol faaliyetleri zamanında ve düzenli olarak yapılmaktamıdır?
22) Düzeltici önlemler etkili olarak yürürlüğe konulmaktamıdır?
23) Kontrol faaliyetleri yetkin personel görevlendirilmesi ile yerine getirilmektemidir?
24) Politikalar ve ilkeler tekrar değerlendirmeye tabi tutulmaktamıdır?
25) Kontroller, işlem öncesi, süreç ve işlem sonrası kontrolleri kapsıyor mu?
26) Kontrol faaliyetleri tespit edilirken fayda maliyet analizi yapılmaktamıdır?
27) Birimlerde uygulanan kontrol faaliyetlerinin etkililiği düzenli olarak gözden geçirilmektemidir?
28) Etkili veri analizleri yapılmaktamıdır?
29) Kontrol faaliyetlerinden elde edilen veriler kaliteli bilgi haline getirilmektemidir?
30) Kalite standartındaki bilgiler birimler arasında tam ve zamanında paylaşılmaktamıdır?
31) Birim yetkilileri tarafından, prosedürlerin etkili ve sürekli bir şekilde uygulanması için gerekli yönetim kontrolleri yapılıyor mu?
32) Birimlerde personel yetersizliği, geçici veya sürekli olarak görevden ayrılmalara yönelik önlemler alınmaktamıdır?
33) İşletmeyi şiddetli etkileyebilecek olağanüstü durumlarda operasyonel sistemin hizmet sürekliliğinine yönelik politikalar yürürlüktemidir?
34) Bilgi işlem sistemlerinin fiziki güvenliğini sağlamaya yönelik mekanizmalar varmıdır?
35) Bilgi işlem sistemlerinin kayıt güvenliğini sağlamaya yönelik mekanizmalar varmıdır?
36) Bilgi işlem sistemi girişlerinde erişim yetkilendirmeleri yapılmışmıdır?
37) Bilgi işlem sistemindeki kayıtlara yönelik yeterli bir yedekleme mekanizması kurulmuşmudur?
38) Bilgi işlem sistemine yönelik siber tehditlere karşı alınmış önlemler varmıdır?
39) Bilgi işlem sistemlerinde yaşanacak olağanüstü durumlara yönelik telafi edici mekanizmalar öngörülmüşmüdür?
40) Kontrol faaliyetleri yılda en az bir defa iç denetime tabi tutulmaktamıdır?

Bilgi ve İletişim

1) İşletmede yetkililer, iç kontrol faaliyetlerinin işleyişine destek olmak bakımından gereken kaliteli bilgiyi temin edip, üretmekte ve kullanmaktamıdır?
2) Bu çerçevede işletme faaliyetlerinin etkin yürütülmesi bakımından bilgi gereksinimleri belirlenmektemidir?
3) İç ve dış kaynaklardan düzenli ve sistematik veri toplanmaktamıdır?
4) Toplanan veriler değerlendirilip kaliteli bilgi haline getirilmektemidir?
5) Bu işlemler yapılırken maliyet fayda analizi yapılmaktamıdır?
6) Yetkililer, düzenleme ve sorumlulukları içeren iç kontrole yönelik bilgileri etkili biçimde ilgililerine iletmektemidirler?
7) Bu süreçte üst yönetim ile yönetim kurulu iletişiminin sağlanması yapılmaktamıdır?
8) Bilgi ve iletişim faaliyetlerinde farklı kanallar kullanılmaktamıdır?
9) Dış paydaşlara yönelik aktif bir iletişim sistemi işlemektemidir?
10) İletişim faaliyetleri dışarıdan içeriye bilgi akışının sağlanması yönünde yürütülmektemidir?
11) İletişim faaliyetlerinde konuya göre uygun iletişim yöntemleri kullanılmaktamıdır?
12) İşletme genelinde ve birimlerde hangi raporların, kim tarafından, ne sıklıkta, ne zaman hazırlanacağı, kime sunulacağı belirlenmişmidir?
13) Yazılı prosedür haline getirilip çalışanlara duyurulmuşmudur?
14) Birimlerde iş ve işlemlerinin güvenli biçimde kaydı, sınıflandırılması, korunması ve erişim koşullarına yönelik bir arşiv ve dokümantasyon sistemi mevcutmudur?
15) İşletmede dışarıdan gelen/giden dökümanların kayıt düzenini belirleyen bir  sistem mevcutmudur?
16) İşletme içi haberleşme sistematik bir çerçevede yürütülmektemidir?
17) İşletmede suistimal ve başka amaçlı  bildirimler için iç ve dış paydaşlara yönelik bir ihbar hattı varmıdır?
18) Yürürlükteki ihbar hattı kullanacak olanlara güven vermektemidir?
19) İhbar hattı telefon ve dijital ortam imkanlarını kapsamaktamıdır?
20) İhbar hattının kullanılması için iç ve dış paydaşlar teşvik edilmektemidir?

Gözetim (İzleme)

1) İç kontrol unsurlarının var olduğu ve işlediği hususlarını değerlendirmek bakımından gereken planlamalar ve faaliyetler yapılmaktamıdır?
2) Gözetim faaliyetleri kapsamında rutin ve özel değerlendirmeler yapılmaktamıdır?
3) Gözetim faaliyetlerinde uzman çalışanlardan destek alınmaktamıdır?
4) Gözetim faaliyetleri belirlenen iş süreçleri ile entegremidir?
5) İş süreçlerinde değişimler dikkate alınmaktamıdır?
6) İzleme faaliyetlerinin kapsam ve aralıkları belirlenmektemidir?
7) Yılda en az bir defa iç kontrol faaliyetlerinin rutin değerlendirilmesi yapılmaktamıdır?
8) Değerlendirmeler belirlenen standartlara ve hedefler dikkate alınarak mevcutsonuçları kapsamaktamıdır?
9) Değerlendirmeler objektif yapılmaktamıdır?
10) İç kontrol sisteminde tespit edilen zaafiyetler, üst yönetim de dahil edilerek düzeltici önlemleri almakla yükümlü ilgililere bildirilmektedir?
11) Raporlamalar zamanında ve uygun biçimde yapılmaktamıdır?
12) Raporların değerlendirilmesi sonucunda gereken önlemler alınmaktamıdır?
13) Yürürlüğe konulan düzeltici eylemler izlenmektemidir?
14) İşletmede sürekli izleme faaliyetleri etkili olarak uygulanmaktamıdır?
15) Tüm bu gözetim faaliyetleri üst yönetime makul bir güvence sunmaktamıdır?

Kaynakça

COSO (Committee of Sponsoring Organizations of the Treadway Commission), Internal Control — Integrated Framework, Executive Summary- May 2013