İç kontrol sistemi, bir işletmenin mali ve mali olmayan tüm operasyonlarının, stratejik öncelikler doğrultusunda, etkin, verimli ve yasal düzenlemelere uygun olarak yürütülmesine katkı sağlayan bir yönetim aracıdır. Bu araç; uygulanabilir bir metodoloji ve tekniklerden oluşur.

 

İç kontrolün odağında riskler vardır. Riskleri kontrol altına alma stratejisinin temel unsuru, kontrol faaliyetlerinden oluşan ve kurumun kontrol ortamı içinde hayat bulan bir iç kontrol sistemidir. İç kontrol sistemi özünde riskleri kurum/ şirkete zarar veremeyecek seviyeye indirgemek için oluşturulur. Buna ek olarak yan faydalar da sağlar. Örneğin, tüm iş süreçlerinin, iş akışlarının ve görev tanımlarının netleştirilmesi ve duyurulması ile kurum içi etkinlik ve verimlilik sağlanabilir. Kurum içi öğrenme ve iş sürekliliği sağlanır. Kurumsallık güçlendirilmiş olur. Yedekleme, yetki devri, yetkilendirmeler, görevler ayrılığı, 4 göz prensibi, limitler, onaylar, göreve uygun yetkinlik bazlı görevlendirme, supervision, mutabakat, izleme, check listler ve diğer bazı kontrol uygulamaları ile riskler, süreçler ve işler ile entegre olarak bertaraf edilmeye çalışılır.

 

Ancak iç kontrolün temel amacı risklerdir. Dokümantasyon ya da adet yerini bulsun diye yapılan kağıt üstü uygulamalar fayda sağlamaz. Kurumun/ şirketin boşa yorulmasına neden olur.

 

Riskler, strateji, operasyon ve görev seviyelerinde kurum/ şirketleri tehdit eder. Öyleyse, iç kontrol sisteminin, her üç seviye için etkili bir çözüm üretiyor olması beklenir. İç kontrol TKY uygulamalarından farklı olarak, günlük işleyişin fazlaca içindedir. Esasen iş akışları ile kontrol faaliyetleri o denli iç içedir ki, iş adımları ile kontrolleri birbirlerinden ayırmak anlamsızlaşır. İç kontrolden maksimum faydayı sağlayabilmek için bir şirket /kurumun vizyon ve misyonu, amaç ve hedefleri, stratejileri, taktikleri, süreçleri, iş akışları ve görev tanımları son derece doğru bir şekilde tanımlanmış olmalıdır. Bu sayede iç kontrol sistemi üç seviye için de fayda sağlar.

 

Örneğin, bir şirketin belirli bir yılda pazar payını %10 oranında artırma hedefi var ise, bu hedef ile doğrudan ilişkili reklam, sosyal medya, halkla ilişkiler, teknik destek ve satış süreçleri ile dolaylı olarak ilişkili finans, insan kaynakları ve bilgi işlem süreçlerini çok iyi tanımlaması, bu süreçlerin sorunsuz işlemesine engel olacak riskleri net olarak belirlemesi gerekir. Bir sürecin sorunsuz işlemesi; iş akışının verimliliği, süreçte görev alan insan kaynaklarının sayı ve nitelik olarak yeterliliği, süreçte kullanılan bilgi sistemlerinin süreci desteklemede başarısı, süreçte yapılacak görevlerin ve sorumluluk alanlarının  iyi tanımlanması, süreç ile ilgili darboğaz, verimsizlik, suistimale açıklık, arıza ve diğer problemlerin risk olarak erken teşhisine ve önlem alınmasına bağlıdır.

 

Süreçler iyi çalışır ise, hedeflere ulaşmak mümkün olur. Süreçler iyi çalışmaz ise, hedeflere ulaşmak tesadüflere kalabilir.

 

Öyleyse, iç kontrolü duvarlardaki belgeler, dolaplardaki klasörler ya da masaüstü çıktılarından ayıran en önemli özelliği süreçler ile entegre ve süreçler ile etkileşimli olmasıdır. İç kontrol bir çıktı değil, bir süreçtir. Bu süreç, kurum içi diğer süreçler ile kesişir ve tam zamanlı görevdedir. Süreklilik arz eder.

 

İç kontrolden fayda sağlayamayan pek çok kurum /şirket iş akışlarını, risklerini, kontrol faaliyetlerini ve diğer dokümantasyonlarını tamamlamış olsa da bunlar gerçek iş süreçlerinden ve uygulamadan kopuk olur ise bir anlam ifade etmez. İç kontrol sistemi, bir bütün olarak kurumun organizasyon yapısı, iş süreçleri, iş akışları, prosedürleri, görev tanımları, performans değerlendirme kriterleri, bilgi işlem faaliyetleri, iletişim süreçleri ve yönetim uygulamaları ile iç içe ve entegre hale getirilmelidir. Örneğin, bir muhasebe biriminde çalışan yetkilinin, iş akışları, görev tanımları ve iş prosedürleri üzerinde kontrol faaliyetleri açıkça tanımlanmalı, hatta daha iyisi işin kendisi olarak bu uygulamaların içine gömülmelidir. Ayrıca muhasebe yetkilisinin performansının değerlendirilmesinde önemli bir performans kriteri, kontrol sisteminin iyi işletilmesi ve kontrol izlerinin bırakılması olmalıdır.

 

İç kontrol sisteminden fayda sağlanması sadece doğru metodoloji ve araçların kullanılması demek değildir. Bu tarafa çok fazla kafa yoran kurum ve şirketler var. Enerji ve kaynaklarının çoğunu doğru araç ve teknikler kullanmaya harcıyorlar. Örneğin birlikte çalışmakta olduğumuz bir kamu idaresinde, risk çalışmaları sırasında tespit edilen bir riskin, hangi kategoride olacağı konusunda 1 saatlik bir tartışma yapılabiliyor. Oysa ki burada önemli olan bu riskin hangi süreçleri, hangi hedefleri nasıl etkileyeceği ve bu riski bertaraf edecek kontrol faaliyetinin iş akışı veya görev tanımları içine nasıl entegre edilebileceği olmalı.

 

İç kontrolden fayda sağlamanın en önemli yolu, bunu gerçek iş ve işlemler ile entegre hale getirmek ve yönetime iç kontrol sistemini izleme ve sistemin faydalarını gösterme bağlamında bazı özel bilgi sistemleri sağlamaktır. İç kontrol sistemi çalışmaları ve çıktılarını dokümantasyon boyutundan, fayda boyutuna taşımak için iç kontrolün nihai müşterisinin kim olduğu, iç kontrolden ne beklendiği ve iç kontrol araçlarının kurumun mali ve mali olmayan iş süreçleri ile nasıl entegre edilmesi gerektiği üzerine düşünmek lazımdır.