İç Kontrol ve Risk Yönetimi

•  Drucken 
• E-Mail

İş amaçlarına ulaşmak için gerçekleştirilmesi gereken görevleri planlamanın anlam kazanması, bu görevlerin gerçekleşmesini olumsuz yönde etkileyecek durumların öngörülüp, karşılaşılması halinde nasıl tepki verileceğinin de planlanması ile mümkün olur. Belirsizlik hiçbir zaman yok edilemez ancak, öngörülen durumlar kontrol altında tutulduğunda azaltılabilir.
İç Kontrol fonksiyonu, operasyon birimlerinden bağımsız olarak yapılandırılan, iç kontrol faaliyetlerini
•   Tasarlar,
•   Yürütür,
•   Koordine eder.
İç Kontrol fonksiyonun amacı, dahil olduğu sistemler içinde yer alan faaliyetlerin, politikalar, tanımlı yöntemler, talimatlar ve kapsam sınırları içinde etkin, verimli ve etik kurallara uygun bir şekilde gerçekleşmesini sağlamaktır. Bu doğrultuda;
•   İzleme
•   Bağımsız Değerlendirme
•   Üst Yönetime Raporlama
alt fonksiyonlarını içerir.

İç kontrol süreci ve iç kontrol faaliyet ve araçları, organizasyonda gerçekleştirilen aktivitelerin risk yapısı değerlendirilerek tasarlanır, planlanır ve gerçekleştirilir. Aktivitelerin analizi, Kritik Kontrol Noktalarının tespit edilmesi açısından büyük önem taşır. Organizasyonun yapısına göre Otokontrol fonksiyonlarını da içeren çok seviyeli İç Kontrol Sistemleri tasarlanabilir.
Kontroller, sistemlerin hedeflerine ulaşamama olasılığını azaltır. Bu bağlamda, İç Kontrol fonksiyonu, yönetime belirli bir miktarda güvence taahhüt edebilir. İç kontrol süreç ve aktivitelerinin yetersiz ve yanlış tasarlanması ve buna bağlı olarak İç Kontrol fonksiyonu çıktılarının bekleneni karşılamaması riski her zaman mevcuttur. Bu nedenle İç Kontrol Sistemleri, özellikle Stratejik Planlama, Süreç Modelleme, Süreç Analizi gibi konularda yetkin ve deneyimli ekiplerce oluşturulmalıdır.
Kontrol aktivitesi;
•   Önleyici veya
•   Ortaya Çıkarıcı olabilir.
Kontrol faaliyetleri, düzeltici önlemler ile anlam kazanır. Bir istasyona yönlenmeyi tetiklemiyorsa, benzin ışığının sürekli, daha şiddetli veya farklı renklerde yanmasının yararı yoktur.
İç Kontrol: Beş Bileşen
1985 yılında, esas misyonu itibariyle finansal raporlamanın kalitesini arttırmak üzere, AICPA (Amerika Resmi Mali Müşavirler Birliği), AAA (Amerikan Muhasebe Derneği), FEI (Finansal Yöneticiler Kurulu), IIA (İç Denetçiler Kurulu) ve IMA (Yönetim Muhasebecileri Kurulu) sponsorluğu ile kurulan Treadway Comission, şimdi bilinen adı ile COSO, iç kontrol faaliyetleri için çerçeve belirlemek ve bir yol haritası sunmak üzere İç Kontrol – Entegre Çerçeve (Internal Control — Integrated Framework) rehberini yayınlamıştır.
Başlangıçta özel sektör kuruluşları için tasarlanan ve yakın zamanda bir Risk Yönetimi modeli olarak (Enterprise Risk Management — Integrated Framework) olgunlaşan rehber, Uluslararası Sayıştaylar Birliği (INTOSAI) tarafından kamu sektörüne uyarlanmıştır. Uyarlanan İç Kontrol modeli, bir kurumun hedeflerini dört kategoride toplamıştır. Bu hedef kategorileri;
•   Hesap Verilebilirlik (Accountability)
•   Düzenlemelere Uygunluk (Compliance)
•   Faaliyetler (Operations)
•   Kaynakların Korunması (Safeguarding Resources)
olarak tasarlanmıştır.
Bu dört kategorideki hedeflerin gerçekleşebilmesi için gereksinim duyulan tüm fonksiyon ve araçları temsil edecek şekilde de beş bileşen belirlenmiştir. Tüm hedeflere ayrı ayrı uygulanması öngörülmüş olan bileşenler;

1.  Kontrol Ortamı
2.  Risk Değerlendirmesi
3.  Kontrol Aktiviteleri
4.  Bilgi ve İletişim
5.  İzlemedir.

1. Kontrol Ortamı
Kontrol Ortamı bileşeni diğer bileşenler için bir baz teşkil eder. Kurumun / İşletmenin İç Kontrol yaklaşımını belirleyen bir yapı oluşturur. Varlıkları (prosedür, insan kaynağı, yetkinlikler, operasyon felsefesi) ve kontrol sistemlerinin olgunluğunu değerlendirir.
Şu elementleri içerir;
• Dürüstlük ve Etik Değerler
İdari kurallar, ahlaki ve etik davranış standartlarının varlığı ve uygulanması; personel, tedarikçiler, yatırımcılar, rakipler ve denetçiler olan ilişkiler

• Yetkinlik Bağlantısı
Resmi ve resmi olmayan iş tanımları ve özel görevleri de içeren yöntemler; işleri yapabilmek için gerekli bilgi ve yetenek analizleri (Yetkinlik Analizi)

• Denetim Komitesi
Üst yönetimden bağımsızlık; iç ve dış denetçiler, finans direktörü ve muhasebe personeli ile yapılan görüşmelerde periyot ve zamanındalık; yönetim hedef ve stratejilerini, birim finansal durumu ve operasyon sonuçlarını izleyebilmesi için denetim komitesine sağlanan bilginin yeterliliği ve zamanındalığı; denetim komitesinin kritik olaylar, uygun olmayan davranışlar ve araştırmalarla ilgili olarak bilgilendirilmesinde yeterlilik ve zamanındalık

• Yönetimin Felsefesi ve Operasyon Tarzı
Yönetimin Risk Yönetimi yaklaşımı (Kaçınma, kabul etme vs.); üst yönetim ile operasyonel yönetimin etkileşimi; finansal raporlama tutumu ve davranışları

• Organizasyonel Yapı
Kurumun organizasyonel yapısının, gerekli bilgi akışını sağlamaya uygunluğu ve yeteneği; anahtar yöneticilerin deneyimi, bilgisi, sorumluluklarının tanımlanmasında yeterlilik

• Yetki ve Sorumluluk Ataması
Organizasyonel amaç ve hedeflere uygun şekilde sorumlulukların atanması ve yetki devri; kontrol fonksiyonu ile ilişkili standart ve prosedürler; yeterli sayıda ve nitelikte iş gücü (özellikle veri işleme ve muhasebe fonksiyonları için)

• İnsan Kaynakları Politikaları ve Uygulamaları
Seçme-yerleştirme, eğitim, terfi, ücretlendirme politikalarının etkinliği; kural, prosedür, politika ihlallerine karşı iyileştirme aksiyonlarının uygunluğu; eleman adaylarının geçmişinin kontrolüne ilişkin süreçlerin varlığı ve etkinliği; çalışanı elde tutma ve yükseltme yöntemleri (performans değerlendirme)

2. Risk Değerlendirmesi
Kurum/işletme hedeflerini gerçekleştirme yolunda karşılaşılabilecek engelleri tanımlama, analiz etme, değerleme ve aksiyon geliştirme faaliyetleri ile ilişkili bileşendir.
Şu elementleri içerir;
• Hedefler
Hedeflerin (Operasyon hedefleri, Finansal Raporlama hedefleri, Düzenlemelere Uygunluk hedefleri), misyon ve vizyon doğrultusunda, stratejik seviyeden aktivite seviyesine kadar tanımlanmış olması

• Risk Tanımlama ve Risk Analizi
Birim ve aktivite seviyesinde risklerin tanımlanması ve analizi

• Değişimi Yönetme
Değişimi algılama, kabul etme ve yönetme yetenek ve standartları

3. Kontrol Aktiviteleri
Hedeflere ulaşmak üzere tanımlanmış tüm politika, prosedür ve talimatlardır.
Şu elementleri içerir;
• Politika ve Prosedürler
Operasyonel, Finansal Raporlama ve Düzenlemeler Uygunluk politika ve prosedürleri; önleyici, algılayıcı ve manuel kontroller, bilgisayar kontrolleri ve işletme kontrolleri (Üst Yönetim gözden geçirmeleri, aktivite kontrolü, bilginin hassaslığı ve tamlığı kontrolleri, fiziksel kontroller, performans göstergeleri, görevlerin ayrılığı)

• Bilgi Sistemleri Kontrolleri
Genel Kontroller (Veri Bankası operasyonları, sistem yazılımları, erişim güvenliği, sistem geliştirme metodolojisi), Uygulama Kontrolleri (atomik iş işleme sistemlerinin duyarlılığı ve bütünlüğü)

• Birime Özgü Kontroller
Her birimin kendine özel amaç ve hedefleri doğrultusunda farklılaşan kontrol aktiviteleri

4. Bilgi ve İletişim
İç kontrol faaliyetlerinin en sağlıklı şekilde icra edilmesini sağlamak üzere, kurum içindeki ve harici paydaşlarla olan ilişki ağını düzenleyen bileşendir.
Şu elementleri içerir;
• Bilgi
Birim amaçlarına göre performansa ilişkin dahili ve harici bilgiyi elde etme, yönetime raporlama; doğru kişiye, zamanında ve yeterli derinlikte bilgi sağlama; bilgi sistemleri geliştirme ve revize etme

• İletişim
Çalışanların görevleri ve kontrol sorumlulukları arasındaki ilişkinin etkinliği; uygunsuzlukların raporlanabilmesi için iletişim kanallarının kurulması; çalışan önerilerinin üst yönetime ulaşması ve değerlendirilebilirliği; kurum/işletme fonksiyonlarının iletişimin zamanındalığı ve yeterliliği; tedarikçi, müşteri ve diğer dış paydaşlarla iletişim kanallarının açıklığı ve etkinliği; müşteri, tedarikçi, düzenleyici ve diğer dış paydaşların taleplerine yanıt verme zamanı ve etkinliği

5. İzleme
İç kontrol faaliyetlerinin performansını takip eden bileşendir.
Şu elementleri içerir;
• Sürekli İzleme
İç kontrol fonksiyonun çalıştığına dair kanıtların elde edilmesi; dış paydaşların, problemlerin belirlenmesinde gösterdiği iş ortaklığı; fiziksel varlıkların kayıtlarının periyodik kontrolü; dahili ve harici denetçilerin tavsiyelerine duyarlılık; eğitim, seminer, oturum ve diğer bulaşmalardan geri besleme edinilmesi; personelin kritik kontrol aktivitelerine ilişkin sorgulanması; iç kontrol aktivitelerinin etkinliği

• Tekil Değerlendirme
Tekil değerlendirmelerin sıklığı ve kapsamı; değerlendirme metodolojisinin mantıklılığı ve uygunluğu; dokümantasyon seviyesinin uygunluğu
 
• Uygunsuzluk Raporlama
İç kontrol uygunsuzluklarını yakalama ve raporlama mekanizması; raporlama protokollerinin ve takip aksiyonlarının uygunluğu