Bülent Hasanefendioğlu
I. COSO İç Kontrol Sistemi Nedir?
Amerika Birleşik Devletleri merkezli çok uluslu şirketlerde yaşanmaya başlanan çok sayıda finansal tablolara ilişkin suistimallerin araştırılması ve bunlara yönelik alınması gereken önlemler kapsamında çalışmalar yapmak üzere Treadway Komisyonu üyesi beş meslek kuruluşu COSO’yu (Treadway Komisyonu Sponsor Örgütleri Komitesi) kurmuştur. COSO’nun kuruluş amacı, suistimal olaylarının ortaya çıkarılması ve azaltılmasını sağlayacak iç kontrol mekanizmaları hususunda çalışmalar yapmaktı. COSO, yapılan çalışmalar sonucunda ilk COSO iç kontrol modelini 1992 yılında ortaya koymuş ve büyük popülarite kazanmıştır. Özellikle teknolojik gelişmeleri dikkate alarak hazırlanan ve sistemin beş temel unsurunun dayandığı temel ilkeleri de düzenleyen yenilenmiş model ise 2013 yılında kullanıma sunulmuştur. Günümüzde COSO iç kontrol sistemi, iç kontrolün tasarlanması, uygulanması ve değerlendirilmesi amacıyla birçok kamu ve özel sektör kuruluşunda yaygın bir şekilde kullanılmaktadır.
COSO tarafından yayınlanan İç Kontrol Entegre Çerçevesi’nde, temel amacı işletmenin hedeflerine ulaşmasına ve risk yönetimine katkı sağlamak olduğu ifade edilen iç kontrol sisteminin;
üst yönetim ve diğer çalışanların eylemlerinden etkilenen,
işletmenin ihtiyaçlarına göre adapte edilebilen,
işletme varlıklarının korunması,
günlük operasyonel faaliyetlerde verimliliğin sağlanması,
üretilen raporların güvenilir olması,
gerçekleştirilen işlemlerin iç ve dış mevzuata uyumluluğu konularında üst yönetime makul bir güvence sunmak üzere tasarlanan bir süreç olduğu belirtilmiştir.
COSO İç Kontrol Sistemi, COSO tarafından hazırlanan ve bir kurumun günlük faaliyetleri sırasında kurum içerisindeki mevcut ve olması gereken asgari iç kontrol uygulamalarının sistematik bir şekilde değerlendirilmesine olanak sağlayan bir iç kontrol modelidir.
COSO’ya göre, etkin bir iç kontrol sistemi aşağıda belirttiğimiz beş unsurun dayanacağı
onyedi ilkenin yürürlükte olmasına ve beş temel unsurun birbirleriyle entegre olarak işlemesine bağlıdır. Odak noktaları ve kontrollerin uygulanması ise üst yönetimin değerlendirmesine bırakılmıştır.
II. Sistemin Amaçları Nelerdir?
COSO İç Kontrol Sistemi çerçevesi, önceki bölümde de belirttiğimiz gibi bir işletmede yer alan iç kontrol faaliyetlerinin amaçlarını operasyonel, raporlama ve uyum olmak üzere üç ana başlık altında toplamaktadır.
i. Operasyonel Amaçlar (Operations Objectives): İşletmenin operasyonel sisteminin, işletmede aktiflerin korunması, operasyonel ve finansal hedeflere ulaşılması bakımından etkinlik ve etkililik göstermesini içerir.
ii. Raporlama Amaçları (Reporting Objectives): İç ve dış finansal/finansal olmayan raporlamalar ile düzenleyici kuruluşlarca ve işletme üst yönetimince raporlamalarda öngörülen güvenilirlik, saydamlık, zaman limitleri ve diğer hususları kapsar.
iii. Uyum Amaçları (Compliance Objectives): İşletmenin uymakla yükümlü olduğu yasalar ve diğer düzenlemeleri kapsar.
III. COSO’ya Göre Etkili İç Kontrol Kavramı Nedir?
COSO’ya göre bir işletmede yer alan iç kontrol sisteminin etkili olarak kabul edilebilmesi için asgari olarak aşağıdaki koşulları sağlaması gerekir:
Kontrol Ortamı, Risk Değerlendirme, Kontrol Faaliyetleri, Bilgi ve İletişim ile Gözetim Faaliyetleri olmak üzere beş temel unsura ve bu unsurların dayanacağı toplam on yedi ilkenin işletme iç kontrol sisteminde mevcut olmaları ve entegre biçimde çalışarak işletme iç kontrol sisteminin üç temel kategorideki amaçlarının gerçekleştirilmesiyle işletmenin hedefine ulaşamama riskini kabul edilebilir düzeye düşürmelidir.
Dışsal risk faktörlerini etkili yönetip işletme hedeflerine darbe etkisini minimize ederek, güvenilir raporlar hazırlayarak, işletmenin tabi olduğu yasa ve düzenlemelere uygun işlemler gerçekleştirerek işletmenin amaçlarına ulaşabilmesi bakımından üst yönetime makul güvence vermelidir.
COSO Entegre Çerçevesi, iç kontrol sisteminin tasarlanması, uygulamaya geçirilmesi ve yürütülmesi ile etkililiğinin değerlendirilmesi için üst yönetimlerden isabetli karar verme yeteneği (temyiz kudretine haiz olma) talep etmektedir. Yasalar, kurallar, düzenlemeler ve standartlarla belirlenen sınırlar çerçevesinde yapılan akıl yürütmeler yönetimin iç kontrol mekanizmaları konusunda isabetli karar verme becerisini geliştirir fakat kusursuz sonuçlar için garanti veremez.
IV. COSO İç Kontrol Sisteminin 5 Unsuru Nelerden Oluşur?
COSO bazlı iç kontrol sistemi; Kontrol Ortamı, Risk Değerlendirme, Kontrol Faaliyetleri,
Bilgi ve İletişim ile İzleme Faaliyetleri olmak üzere beş temel unsura dayanır.
i. Kontrol Ortamı (Control Environment): İşletmenin üst yönetiminin kontrolün önemine
ilişkin tutum ve davranışlarıdır. İç kontrol sistemi öğelerinin tamamına dokunur. İç kontrol faaliyetlerinin işletme genelinde başarıyla yürütülmesini sağlayacak işletme içi etik değerleri, iş standartları, süreçleri ve organizasyonel yapılardan oluşur. İşletme tepe yönetimi sahip olunan insanlık erdemleri temelinde iç kontrol sisteminin önemine uygun ve işleyiş normlarını içeren etik kuralların belirlenmesi, organizasyonel yapı ile birlikte görev-yetki-sorumlulukların belirlenmesi, etkin insan kaynakları politikalarının oluşturulması, uygulanması ve sistemin genel gözetiminden sorumludur.
ii. Risk Değerlendirme (Risk Assessment): İşletmenin karşı karşıya kalabileceği iç ve dış
risklerin operasyonel faaliyetler esnasında dinamik ve tekrarlanan bir süreçte belirlenmesi, analizi, tanımlanması, minimizasyonu ve izlenmesini içerir. Risk, işletme hedeflerinin gerçekleştirilmesini engelleyebilecek düzeydeki durumların ortaya çıkabilme ihtimalidir. Risk değerlendirme sürecinde belirlenecek risk toleransları ile risklerin nasıl yönetileceğinin temel noktaları oluşturulur. Bu aşamada ön koşul, üst yönetim tarafından işletmenin her düzeyinde görev alanlar için operasyonlar, raporlama ve uyum amaçlarıyla da ilişkilendirilerek karşı karşıya kalınabilecek risklerin belirlenmesi ve analizi bakımından işletme gerçeklerine uygun olan ve yeterli netlikteki kriterlerin ortaya konulmasıdır. Üst yönetim içsel ve dışsal faktörlerdeki muhtemel değişiklerin iç kontrol sistemi üzerinde olası olumsuz etkilerini de göz önüne almalıdır.
iii. Kontrol Faaliyetleri (Control Activities): İşletmede üst yönetimce oluşturulan politika
ve mevzuatlar temelinde risklerin minimize edilmesi bakımından, işletmedeki tüm çalışanlarını kapsayan, iş ve bilgi işlem süreçleri içerisinde yer alan önleme, tespit etme ve yönlendirme (uygunluk, onay, doğrulama, mutabakat ve gözden geçirme) faaliyetleridir.
iv. Bilgi ve İletişim (Information and Communication): Üst yönetimce iç ve dış kaynaklara
yönelik üretilen veya iç ve dış kaynaklardan toplanan doğru ve kaliteli bilgiler ile işletmenin iç kontrol sisteminin tüm unsurlarının birbirine entegre olup senkronize çalışabilmeleri sağlanır. İletişim ise, gereken doğru ve kaliteli bilginin üretilmesi, paylaşılması ile elde edilmesine yönelik devam eden ve tekrarlayan bir süreçtir. Bu süreç, işletme içerisinde alt ve üst yayılımları ile işler. Yönetişim sistemi içerisinde yer alan iç ve dış paydaşlar arasında doğru ve güvenilir bilgi akışının sağlanması ile işletmenin kontrol ortamı ve kontrol süreçlerinin etkinliğine katkıda bulunmak için etkili iletişim faaliyetleri hedeflenir.
v. Gözetim (İzleme) (Monitoring Activities): İşletme faaliyetlerinin yürütülmesi esnasında
risklerin değerlendirilmesi ile işletmenin operasyonel sisteminin geneli ve her bir unsurunun varlığı ve etkili, verimli, ekonomik ve güvenilir işleyip işlemediğine dair anlık ve periyodik gözden geçirme ve önceden belirlenen standartlarla değerlendirilmelerini ve üst yönetime raporlanmalarını içerir.
V. COSO Bazlı İç Kontrol Sistemi Unsurlarının Dayandıkları İlkeler Nelerdir?
Bir önceki bölümde belirtilen beş temel unsurun herbiriyle farklı ilkelerin ilişkilendirildiği toplamda on yedi ilke bulunmaktadır. Tüm ilkeler operasyonlar, raporlama ve uyum hedeflerinin gerçekleştirilmesi esnasında mutlaka uygulanmalıdır. İlkelerin altlarında belirtilen ve ilkelerin iç kontrol unsurlarının tasarımı ve uygulanması esnasında entegre edilmelerine yardımcı olacak toplam 77 odak noktasının dikkate alınıp alınmayacağı hususu ise işletme üst yönetimine bırakılmıştır. Üst yönetim, bazı odak noktalarının işletme için uygun olup olmadığına ve gereken ek odak noktalarına karar verir.
Şimdi unsurların ilişkili olması öngörülen ilkelere ve odak noktalarına bir göz atalım:
Kontrol Ortamı
Birinci İlke:
İşletmede bir bütün halinde etik değerlere ve dürüstlük ilkesine bağlılığın temin edilmesi gerekir.
Odak Noktaları:
Üst yönetimin kurumsal kültür atmosferini oluşturma tarzı
Yürütmenin normlarının tesis edilmesi
Normlara uyumun ve bağlılığın değerlendirilmesi
Standartlardan sapmaların ilgililerine ve üst yönetime zamanında iletilmesi
İkinci İlke:
Yönetim kurulu icradan bağımsız olmalı ve işletmenin iç kontrol uygulamalarının yerine getirilmesi faaliyetlerinin gözetimini yapmalıdır.
Odak Noktaları:
Gözetim sorumlulukları çerçevesinin tesis edilmesi
Yönetim kurulunun gerekli uzmanlığı sergilemesi
Yönetim kurulunun bağımsız hareket etmesi
Yönetim kurulunun iç kontrol sisteminin ana unsurları olan kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ile izleme faaliyetlerini gözetim altında tutması
Üçüncü İlke:
Hedeflerin elde edilmesi bakımından gereken yönetsel organizasyonlar yapılmalıdır. Bu kapsamda, yönetim kurulu gözetim faaliyetlerin kapsamı, operasyonel sisteme ilişkin yapılar, raporlama kanalları ve uygun görev-yetki-sorumlulukların net olarak belirlenmesi faaliyetleri yerine getirilmelidir.
Odak Noktaları:
İşletmenin tüm organizasyonel yapısının göz önünde tutulması
Etkili raporlama sisteminin kurulması
Görev-yetki-sorumlukların tanımlanması, tayin edilmesi ve sınırlarının belirlenmesi
Dördüncü İlke:
İşletme örgütü, yetkin çalışanlarını hedeflere yönelik organize etmeli ve söz konusu çalışanların göz önüne alındığı, istihdam edildiği, gelişimleri ile devamlılıklarının sağlandığı bir ortam yaratmayı temin etmelidir.
Odak Noktaları:
Politikaların belirlenmesi ve uygulanması
Yetkinlikleri ve eksikliklerin değerlendirilmesi
Nitelikli çalışanların istihdamı, gelişimlerinin ve devamlılıklarının sağlanması
Başarı için planlama ve hazırlıkların yapılması
Beşinci İlke:
İşletme hedeflerinin gerçekleştirilmesi kapsamında hizmet birimlerinde görevlendirilen ve iç kontrol faaliyetlerinin yürütülmesinden sorumlu olan çalışanlar ürettikleri hizmetin sonuçlarından mesul tutulmalılar (hesap vermelerinin sağlanması gerekir).
Odak Noktaları:
Organizasyon yapısı kapsamında belirlenen yetki ve sorumlukların kullanımında hesap verilebilirliğin sağlanması
Performans ölçümü, teşvik ve ödüllendirme sistemlerinin tesis edilmesi
Kurulan sistem çerçevesinde çalışan performanslarının düzenli değerlendirilmesi
Çalışılan ortam, hedefler veya dışsal baskı unsurlarının dikkate alınması
Performans değerleme çalışmaları sistematiğinde dengeli ödül ve ceza mekanizmasının kurulması
Risk Değerlendirmesi
Altıncı İlke:
İşletme hedeflerinin önündeki risklerin belirlenmesi ve değerlendirmesine yönelik kriterler yeterince açık ve net tayin edilmelidir.
Odak Noktaları:
Operasyonlara Yönelik Hedefler Belirlenirken Dikkate Alınması Gereken Odak Noktaları:
Yönetim tercihlerinin yansıtılması
Risk tolerans düzeyinin dikkate alınması
Operasyonel ve finansal faaliyet hedeflerini içermesi
Kaynakların tevdi edilmesine yönelik bir temel oluşturulması
Dış Finansal Raporlamalara Yönelik Hedefler Belirlenirken Dikkate Alınması Gereken Odak Noktaları:
Mevcut muhasebe normlarına uygun olmalı
Önemlilik ilkesinin uygulanması
İşletmenin faaliyetlerini yansıtması
Dış Finansal Olmayan Raporlamalara Yönelik Hedefler Belirlenirken Dikkate Alınması Gereken Odak Noktaları:
Üst ve düzenleyici kuruluşlarca belirlenen standart ve çerçeveye uyumlu olmalı
Tabi olunan dış mevzuat gereği talep edilen netlik ve açıklık standartlarının göz önüne alınması
İşletmenin faaliyetlerini yansıtması
İşletme İçi Raporlamalara Yönelik Hedefler Belirlenirken Dikkate Alınması Gereken Odak Noktaları:
Yönetim tercihlerinin yansıtılması
Öngörülen düzeyde netlik ve açıklık standartlarının göz önüne alınması
İşletmenin faaliyetlerini yansıtması
Mevzuata Uyuma Yönelik Hedefler Belirlenirken Dikkate Alınması Gereken Odak Noktaları:
Dış yasa ve düzenlemelerin yansıtılması
Risk toleransının dikkate alınması
Yedinci İlke:
Kurum yetkilileri hedeflere ulaşmak için işletme genelinde riskleri belirlemeli ve risklerin etkili yönetimi çerçevesinde analiz etmelidir.
Odak Noktaları:
Risklerin değerlendirilmesi kapsamında işletme geneli, iştirakler, bölümler, birimler ve görev düzeyi bazında olmalı
İç ve dış etkenlerin analiz edilmesi
Yönetimin konuyla ilgili tüm yetkillerinin sürece dahil olması
Belirlenen risklerin etki düzeyi tahminine göre sınıflandırılması
Risk eylem planının belirlenmesi
Sekizinci İlke:
Risklerin değerlendirilmesinde muhtemel suistimal riskleri de dikkate alınmalıdır.
Odak Noktaları:
Farklı suistimal türleri dikkate alınmalı
Potansiyel fail üzerinde suça yöneltecek teşvik ve baskıların değerlendirilmesi
Suçun işlenmesi için işletme içerisinde yer alan fırsat ortamının analizi
Meşrulaştırma zeminleri ve davranışların değerlendirilmesi
Dokuzuncu İlke:
Önceden tahmin edilemeyen fakat iç kontrol sistemini mutlak etkileyebilecek düzeydeki değişimler takip edilmeli, tespit edilmeli ve değerlendirilmelidir.
Odak Noktaları:
Dış ortamdaki değişimlerin değerlendirilmesi
İş modelindeki değişimlerin değerlendirilmesi
Üst yönetim değişikliklerinin dikkate alınması
Kontrol Faaliyetleri
Onuncu İlke:
Yetkililer, işletmenin hedeflerine ulaşılmasını engelleyecek düzeydeki risklerin etkilerinin azaltılması bakımından gereken kontrol faaliyetlerini belirlemeli, uygulamalı ve geliştirmelidir.
Odak Noktaları:
Risk değerlendirme faaliyetleri ile entegre olmalı
İşletmeye özgü etkenlerin dikkate alınması
İlintili iş süreçlerinin belirlenmesi
Farklı kontrol türlerinin tesis edilmesi
Faaliyetlerin yürütülme şekli ve düzeylerinin dikkate alınması
Görevlerin ayrılığı ilkesine uyum
Onbirinci İlke:
Kullanılan bilgi teknolojilerinin genel kontrol faaliyetleri kriterleri belirlenmeli ve uygulanmalıdır.
Odak Noktaları:
Kullanılan teknoloji ile teknoli genel kontrollerinin birbirleriyle ilişkilendirilmesi
Kontrol faaliyetleri ile kullanılan teknoloji altyapısının uyumlu olması
Güvenlik kontrolleri süreçlerine ilişkin kontrol faaliyetlerinin tesis edilmesi
Süreç kontrollerinin gelişimine ve sürdürülmesine uygun teknolojilerin kullanılması
Onikinci İlke:
Kontrol faaliyetleri çerçevesinde nelerin beklendiğini ortaya koyan politikalar belirlenmeli ve politikaların uygulanması bakımından yönetmelikler düzenlenmelidir.
Odak Noktaları:
Yönetim talimatlarının uygulanması bakımından gereken politika ve yönetmeliklerin oluşturulması
Belirlenen politika ve kuralların uygulanması konusunda sorumluluk ve hesap verirlik tesis edilmesi
Kontrol faaliyetlerinin zamanında ve düzenli yapılması
Düzeltici önlemlerin yürürlüğe konulması
Kontrol faaliyetlerinin yetkin personel görevlendirilmesi ile yerine getirilmesi
Politikalar ve kurallar tekrar değerlendirmeye tabi tutulması
Bilgi ve İletişim
Onüçüncü İlke:
Yetkililer, iç kontrol faaliyetlerinin işleyişine destek olmak bakımından gereken kaliteli bilgiyi temin etmeli, üretmeli ve kullanmalıdır..
Odak Noktaları:
Bilgi gereksinimlerinin belirlenmesi
İç ve dış kaynaklardan veri toplanması
İlgili verilerin değerlendirilip bilgi haline getirilmesi
Bilgi üretim sürecinde kalitenin sürdürülmesi
Maliyet fayda analizine dikkat edilmesi
Ondördüncü İlke:
Yetkililer, düzenleme ve sorumlulukları içeren iç kontrole yönelik bilgileri etkili biçimde iç kontrol unsurlarına iletmelidirler.
Odak Noktaları:
İç kontrole yönelik bilgilerin iletilmesi
Yönetim ile yönetim kurulu iletişiminin sağlanması
Farklı iletişim kanalları sunulmalı
Uygun iletişim yöntemi seçilmeli
Onbeşinci İlke:
Dış paydaşlara da iç kontrol sisteminin işleyiş etkinliği bakımından gereken bilgiler iletilmelidir.
Odak Noktaları:
Dış paydaşlarla da iletişim yapılmalı
Dışarıdan içeriye bilgi akışının sağlanması yönünde iletişim yapılması
Yönetim kurulu ile iletişimde bulunulması
Farklı iletişim kanalları sunulmalı
Uygun iletişim yöntemi seçilmeli
Gözetim (İzleme) Faaliyetleri
Onaltıncı İlke:
İç kontrol unsurlarının var olduğu ve işlediği hususlarını değerlendirmek bakımından gereken planlamalar ve faaliyetler yapılmalıdır.
Odak Noktaları:
Rutin ve özel değerlendirmeler yapılması
İş süreçlerindeki değişim oranının dikkate alınması
Ana hatlar ve temel noktaların tesis edilmesi
Uzman çalışanlardan yararlanılması
İş süreçleri ile entegre olunması,
İzleme faaliyetlerinin kapsam ve aralıklarının belirlenmesi
Değerlendirmelerin objektif yapılması
Onyedinci İlke:
İç kontrol sisteminde tespit edilen zaafiyetler, üst yönetim de dahil edilerek düzeltici önlemleri almakla yükümlü ilgililere zamanında ve uygun biçimde raporlanmalıdır.
Odak Noktaları:
Sonuçların değerlendirilmesi
Eksikliklerin ve yetersizliklerin görevin sorumlularına, üst yönetime ve yönetim kuruluna iletilmesi
Yürürlüğe konuşan düzeltici eylemlerin izlenmesi
VI. COSO Küpü Nedir?
COSO Küpü’nün ön yüzünde iç kontrol unsurları (üstten alta doğru kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ve gözetim) belirtilir. Üst yüzünde ise, unsurların var olmaları ve işleyişleriyle yerine getirmekle yükümlü oldukları operasyonlar, raporlama ve uyum yer alır. Yan yüzde ise, faaliyetlerin işletme geneli, bölüm, birim ve görev bazında organizasyon yapısının sınıflandırması yapılır. İç kontrol organizasyonunun operasyon, raporlama ve uyum konularında etkin düzeyde fonksiyonda bulunabilmesi ancak COSO’nun beş iç kontrol unsurunun tam uygulanmasıyla mümkündür. COSO Küpü’nde belirtilen tüm unsur ve fonksiyonlar birbirleriyle ilişkili ve bağlantılır.
VII. COSO Piramidi Nedir?
İç kontrol unsurlarının birbirleriyle olan ilişkisini gösteren COSO Piramidinde, kontrol ortamı bazında etkili bilgi ve iletişim atmosferi içerisinde risk değerlendirmeleri yapılır, kontrol faaliyetleri yerine getirilir ve gözetim sağlanır.
VIII. Kontrol Öz Değerlendirme (Control Self Assessment (CSA)) Nedir?
Kontrol Öz Değerlendirme, işletme hedeflerinin gerçekleştirilmesi bakımından bir kontrol çerçevesi kullanılarak genel veya belirli bir konuya ilişkin olası risklerin yönetiminin ilgili yöneticiler ve çalışanlarca etkili biçimde yerine getirilip getirilmediğini tespit için –zaman zaman iç denetçi veya dışarıdan uzman desteğiyle- işletme içerisinde ilgili iş süreçlerindeki çalışanlarca yapılan değerlendirme faaliyetleridir. Olası risklere ilişkin zayıf ve güçlü yönler masaya yatırılır, fırsatlar gözden geçirilir ve uygulamaya konulmak üzere bir eylem planı hazırlanır. İş süreçlerindeki düzenlemelerin net ve ortak bir anlayışta benimsenmesine, risk ve kontrol faaliyetlerinde farkındalığın yükselmesine, kontrol süreçlerinin işletme gerçeklerine göre yenilenmesine, iş süreçlerinde yer alan yetkili ve diğer çalışanların sorumluluk bilincinin artmasına yararı olur.
IX. COSO Bazlı İç Kontrol Sisteminde Kimler Rol Alır?
Sistemin COSO tarafından çizilen çerçeve ve detayları esas alınarak etkin biçimde yürütülmesinde, işletmenin yönetim zincirinde yer alan tüm yöneticiler, çalışanlar ve yönetişim sistemi içerisinde yer alan diğer paydaşlar rol alır.
Yönetim kurulu, işletmenin üst yönetimi ile iç kontrol sisteminin mevcudiyeti ile işleyişine yönelik istişarelerde ve yönlendirmelerde bulunur. İç kontrol sisteminin zaafiyetleri, risk yönetimine katkı düzeyi, üst yönetimin mevcut iç kontrol sisteminin etkililiği hakkındaki değerlendirmeleri üzerinde gözetim görevini yerine getirir. Bu konuda alt komiteler, iç denetim ve dış denetimden yararlanır.
Üst yönetim, işletmenin iç kontrol sisteminin sahip olması gereken on yedi ilkeyi sistemin beş unsurunun da desteğiyle COSO Çerçevesine uygun tasarımı, uygulaması, yürütülmesi ve izlenmesi görevlerini yerine getirir. İç kontrol sisteminin etkin biçimde aktivite göstermesini sağlaması ve kendilerine iletilen tespitler ve geri beslemelerde düzeltici ve engelleyici reaksiyonlarını mutlaka göstermelidir.
Sistemde yer alan diğer yetkililer ve kalan tüm çalışanlar, net ve açık biçimde çizilen, iş süreçlerinin içerisine yerleştirilen görev-yetki-sorumluluk alanları çerçevesinde rollerini yerine getirirler. Tekrar işlerden ve gereksiz bilgi yığınaklarından kaçınılır, bilinçli olarak ve sorumluluk içerisinde hareket ederler.
İç denetçiler, iç kontrol sisteminin yapısal organizasyonu, sistemin etkinlik düzeyi, zaafiyetleri, doğurduğu riskler ve dışsal etkenlerden kaynaklanacak yeni risklere karşı direnç güçleri konularında Yönetim Kurulu ve/veya Denetim Komitesi’ne ve dolayısıyla işletmenin üst yönetimine makul güvence veren bir rol üstlenir.
Dış denetim, iç kontrol sisteminin işleyişinin ve zaafiyetlerinin ortaya çıkarılmasında bir rol almasa da finansal tabloların doğruluğuna yönelik yapılan kontrollerde işletmenin iç kontrol sisteminin etkinliği ve güvenilirliğini de dikkat almalıdır. Örneğin, Sarbanes Oxley’de dış denetimin finansal tabloların doğruluğu yönünde denetimlerini yaparken işletmenin mevcut iç kontrol sisteminin yeterliliğini de gözden geçirmesi gerektiği düzenlenmiştir.
Diğer paydaşlarla olan ilişki çerçevesinin de düzenlemesi gerekir ve paydaşların da bu düzenlemede öngörülen biçimde hareket etmeleri beklenir.
X. COSO İç Kontrol Sisteminin Üstünlükleri Nelerdir?
Bu bölümde COSO İç Kontrol Sisteminin güçlü yönlerini ele alacağız.
Universal bir sistemdir, unsurları ve ilkeleri dünyanın her yerindeki işletmeye uygulanabilir
Entegre bir sistemdir, işletme organizasyonunun tamamına dokunur
Operasyonel hizmetlerin süreçlere uygun ve güvenilir düzeyde yürütülmesi ile risklerin yönetiminde etkinlik sağlar
Şirket kültürünün gelişmesine olanak sağlar
Suistimal riskine karşı etkilidir
Esnek bir yapısı vardır
Dinamik bir yapıdadır, teknolojik vb. gelişimlere uyumludur
Hata, eksiklik, kasıt ve ihmallere anında ve yerinde çözüm üretmeye katkı sağlar
XI. COSO Modelinin Zaafiyetleri Nelerdir?
COSO Bazlı İç Kontrol Sistemi kusursuzluk iddiasında değildir; kaldı ki, şu anda kusursuz kabul edilen bir model bile yıllar içerisinde iç ve dış faktörlerin etkisiyle yenilenme ihtiyacı duymaktadır.
COSO iç kontrol sisteminin bir işletmeye sağlayamayacağı katkılar:
Sistemin tasarımında, uygulamaya geçirilmesinde, yürütülmesinde, ve izlenmesinde yaşanan eksiklikler,
İşletme hedeflerine ulaşmada risklerin yönetilmesinde mutlak değil makul güvence sağlar,
Kontrol edilemez derecede çok kuvvetli ve sert bir dış faktör işletmeye büyük darbe aldırabilir,
İşletmenin hedefleri ile iç kontrol sistemi parametreleri tutarlı olmayabilir,
İşletme yönetim kurulu, üst yönetim ve diğer yetkililerden her zaman basiretli muhakemede bulunmaları ve doğru kararlar vermeleri beklenemez,
Yönetimlerin hata ve kasda dayalı müdahaleleri,
Operasyonel iş süreçleri içerisinde yer alan yetkililer ve çalışanlar da zaman zaman yoğun iş akışı içerisinde ihmal, hata ve kasıttan kaynaklanan tutum ve davranışlarda bulunabilirler,
Yöneticiler ve çalışanlar organize biçimde hareket ederek suistimale teşebbüs edebilirler.
İç denetime gereken önem ve imkanın verilmemesi
İşletmenin faaliyet gösterdiği ülkelerde farklı mevzuatların yürürlükte olması nedeniyle sistemin öngörülen ilke ve unsurlarıyla kurulamaması
XII. COSO Modelinin Etkinlik/Etkililik Düzeyi Nasıl Arttırılır?
COSO modelinin uygulanmasıyla işletme tepe yönetiminin işletme hedeflerine ulaşılması bakımından iç kontrol sisteminin operasyonel hizmet düzeyinde etkinlik, güvenilir ve mevzuata uyumlu olma ile olası risklerin yönetiminde etkililiği konularında makul bir güvence düzeyine kavuşacağını belirtmiştik.
Şimdi bu etkinlik ve etkililik düzeyinin arttırılmasına yönelik önerilerimizi sunacağız ve ayrıca bilinen bazı önerilerin de altını çizeceğiz:
İşletme tepe yönetiminin iç kontrol sistemine yönelik farkındalık ve hassasiyetinin yüksek düzeyde olması ve bunu işletme içerisinde tutum ve davranışlarıyla sergilemeleri
İşletme kültürünün gelişmesi yönünde üst yönetimin destekleri,
İşletmede kurumsal yönetişim ilkelerine (eşitlik, saydamlık, hesap verebilirlik ve sorumluluk) benimsenmesi ve uygulanması
İşletme hedefleri, fırsatlar ve karşı karşıya kalınacak riskler çok detaylı analiz edilmeli ve iç kontrol sistemi buna paralel tasarlanması,
Dışsal faktörleri öngörebilme kapasitesinin yükseltilmesi,
Beş unsurun ve on yedi ilkenin mevcut ve işlerliği konusunda gözden geçirilmesi,
İşletme içi ve dışı doğru bilgiye dayanan etkili iletişim faaliyetleri,
Kontrol süreçlerinde elde edilen verilerin sistematik biçimde analize tabi tutularak doğru ve kullanılacak bilgi haline getirilmesi,
İç denetime ve tespitlerine gereken önemin verilmesi
Etkin insan kaynakları politikaları
3’lü Savunma Hattı Modelinin işletmenin iç kontrol sistemiyle entegre edilmesi ve senkronize çalışmalarının sağlanması
Kaynakça
COSO (Committee of Sponsoring Organizations of the Treadway Commission), Internal Control — Integrated Framework, Executive Summary- May 2013
COSO (Committee of Sponsoring Organizations of the Treadway Commission), Leveraging COSO Across The Three Lines Of Defense, Research Commissioned by COSO, July 2015
ECIIA and FERMA, Guidance for Boards and Audit Committees on the Implementation of Art 41. 2 of the 8th Directive
Hasanefendioğlu, Bülent 3’lü Savunma Hattının COSO İç Kontro Etkinliğinin Arttırılmasında Kaldıraç Etkisi – Basılmamış Makale
Hasanefendioğlu, Bülent-Uzel, Murat N. İş Suı̇stı̇mal Riskinin Proaktı̇f Yönetimi ve İşletmelerde Rekabet Avantajına Katkısı- 2015 ISMMMO Mali Çözüm Dergisi
Hasanefendioğlu, Bülent (2015) İş Suistimali Rehberi. İstanbul : Dinamo
Hasanefendioğlu, Bülent (2015) 50 Soruda Risk Bazlı İç Denetim Rehberi. İstanbul : Dinamo
IIA Position Paper, The Three Lines of Defense in Effective Risk Management and Control, The Institute of Internal Auditors Inc. -January 2013
ISMMMO Mali Çözüm Dergisi, Dr. A. Engin Ergüden Kontrol Öz Değerlemesi-2009
Pike, Richard (2009) Strengthening the Three Lines of Defense, CCH Sword
Protiviti, The Updated COSO Internal Control Framework- 2013
TDK, Güncel Türkçe Sözlük-(http://www.tdk.gov.tr)
TİDE – IIA Zorunlu Rehber/IIA Mesleki Standartlar ve Sözlüğü
Hiç yorum yok:
Yorum Gönder