Genel anlamıyla kontrol, planlanan bir amaca ulaşılıp ulaşılmadığının araştırması şeklinde tanımlanabilir. İşletmelerde kontrol ise, yönetimin belirlediği plan, hedef ve performans standartlarına uygunluğu sağlamada kullanılan sistematik prosedürlerdir. Kontrol esasen bir yönetim fonksiyonudur. Diğer bir ifadeyle iç kontrol, belirlenen amaçlara ve hedeflere ulaşmak için yönetim tarafından kabul edilen politikalar, uygulanan usul ve yöntemlerdir.
İç kontrol sistemi ise, işletmelerin belirledikleri amaç ve hedeflere etkin bir şekilde ulaşmalarını ve bu amaçlara ulaşılabileceğine makul düzeyde güven duyulmasını sağlamaya yönelik olarak oluşturulan usul ve yöntemler bütünü olarak da tanımlanabilir.
İç kontrol konusunda dünyada genel kabul gören bir mesleki komite olan COSO’ya göre iç kontrol; “yönetim kurulu, yöneticileri ve diğer personeli tarafından yürütülen ve finansal raporlamaların doğruluğu ve güvenilirliği, operasyonların etkinlik ve verimliliği ile kanun ve düzenlemelere uygunluğun sağlanması şeklindeki amaçların gerçekleştirileceğine yönelik makul güvence sağlayan bir süreç” olarak tanımlamıştır.
İç kontrollerin genel olarak amacı;
· Varlıkları korumak (nakit, bilgi, donanım, bina, patent, insan)
· Finansal ve operasyonel kayıtlar ile raporlamaların doğruluğu, tamlığı ve buna bağlı olarak güvenilirliğini sağlamak
· Faaliyetlerde etkinlik ve verimliliği sağlamak
· Yasa, düzenleme, yönetmelik, tebliğ, talimatlara uygunluğu sağlamaktır.
Kontroller şu şekilde sınıflandırılabilir:
-
- Önleyici (preventive) Kontroller: Sistemlerin çalışmasını güvence altına alma önceliğindeki kontrollerdir. İstenmeyen durumların meydana gelmesini önlemeye yönelik işlev görürler. Örnek olarak, yetkin personel istihdamı, etik kodlar, görevler ayrılığı ve iyi bir kontrol çevresi oluşturmak verilebilir. Buna ek olarak kilit, şifre ve güvenli personeli gibi tedbirler de fizksel ve erişim kontrolleri olarak işlev görür.
- Tespit Edici (Detective) Kontroller: Bu kontroller engellenememiş işlemsel hataları ortaya çıkartmak için işlev görür. Yani meydana gelmiş istenmeyen bir durumu ortaya çıkarmayı amaçlar. Örnek olarak, işlerin amirler tarafından gözden geçirilmesi, iç doğrulamalar, varyans analizleri ve raporlamaları, habersiz teftişler ve hesap mutabaklatları verilebilir. Benzer şekilde yangın ve gaz alarmları da ortaya çıkarıcı kontrol tedbirleridir.
- Yönlendirici (Directive) Kontroller: Hedeflerin gerçekleştirilmesine yönelik açık bir yön ve rehberlik sağlayan kontrollerdir. İnsanları motive etmek ve bir maaca yönlendirmek amaçlı, pozitif uygulamalardır. İstenen bir durumun meydana gelmesi veya oluşması için işlev görürler. Etik kodlar, mevzuat, spesifik bir konuda verilen personel eğitimleri, acil durum prosedürleri gibi örnekler verilebilir.
- Düzeltici (Corrective) Kontroller: Tanımlanan problemlerin doğru ve zamanında çözümüne yönelik kontrollerdir. Yönetim eylemleri, düzeltme ve takip (follow-up) uygulamaları örnek olarak verilebilir. Yangın söndürücüler, acil müdahale cihazları gibi sorunları doğru ve zamanında çözmeye yönelik araçlar da bu kategoriye girer.
- Boşluk Doldurucu/Telafi Edici (Compensating) Kontroller: Olmayan, ya da maliyeti çok yüksek olabilecek kontrollerin yerini kısmen de olsa doldurabilen, telafi etmeye yönelik kontrollerdir. Bazen örgütlerde önleyici kontrolleri uygulamak için yeterli maddi veya insan kaynağı bulunmaz. Örneğin, görevler ayrılığı ilkesinin uygulanması için yeterli sayıda personel bulunamayabilir. Telafi edici kontroller genellikle işlem sonrası gerçekleştirilir. Ortaya çıkarıcı kontrollere göre daha kısa süreli ve dar kapsamlı kontrollerdir. Büyük oranda yöneticilerin, yargısal kararları çerçevesinde riskli gördükleri spesifik bazı alanlarda sonda usulü ile evrak incelemeleri gibi ani ve rutin olmayan işlemler ile aylık bütçe gerçekleşmelerin takibi gibi önlemlerden oluşur. İhbar hatları ve uygulamaları ortaya çıkarıcı ve önleyici bir nitelik taşısa da esasen boşluk doldurucu bir yapıya sahiptir.
İç Kontrolün Özellikleri:
· İç kontrol faaliyetleri, sürekli ve sistematik bir şekilde ve idarenin yönetim sorumluluğu çerçevesinde yürütülür.
· İç kontrole ilişkin sorumluluk yönetimindir. Yönetim sağlıklı bir iç kontrol sistemi oluşturmakla yükümlüdür.
· İç kontrol mali ve mali olmayan tüm işlemleri kapsar
· İç kontrol sorumluluğu yönetimde olmakla birlikte, uygulama yönetim ile birlikte diğer çalışanlarca yürütülür. Bu bağlamda örgütün tüm seviyelerindeki insanlar iç kontrollere ilişkin sorumluluk sahibidir
· İç kontrol yalnızca makul düzeyde güvence sağlar, yani 0 güvence vermez
· İç kontrol yönetsel, finansal, operasyonel tüm faaliyetler ile iç içe ve birlikte yürütülen bir süreçtir.
· İç kontrol bir örgütün hedeflerine kilitlenmesine ve örgütsel faaliyetleri, bu hedeflerin başarılmasına imkan verecek doğrultuda tutmasına imkan verir.
· İç kontroller riskleri azaltmakta yöneticilerin en büyük yardımcısıdır.
İç kontroller;
- Hata ve olumsuzlukların önlenmesi,
- Hata ve olumsuzlukların ortaya çıkarılması,
- Hata ve olumsuzlukların giderilmesi,
- Yüksek riskli alanlardaki kontrol yetersizliklerinin giderilmesi,
- Kaynakların savurganlıktan, suiistimalden, yetersiz yönetimden, hatalardan, yolsuzluklardan ve diğer düzensizliklerden kaynaklanan kayıplara karşı korunması,
- Yasalara, yönetmeliklere ve yönetimin direktiflerine uyulması,
- Güvenilir mali ve idari verilerin hazırlanması ve saklanması ve bu verilerin uygun zamanlı raporlarda tam ve doğru olarak açıklanmasının
sağlanması amacı ile tesis edilen ve işletilen yönetsel, operasyonel ve finansal uygulama ve prosedürler bütünüdür.
Aşırı ve gereksiz kontroller ise aşağıdakilere neden olur;
· Gereksiz bürokrasi
· Üretkenliğin azalması
· İşlerin gereksiz karmaşıklaşması
· İşlerin uzaması ve iş ile ilgili gecikmeler yaşanması
· Kuruma değer katmayan faaliyetler üzerinde gereksiz çaba harcanması
· Kaynak israfı
Yaygın iç kontrol uygulamaları şunlardır:
· Kontrol farkındalığı ve duyarlılığı yüksek bir iş ortamı yaratmak
· Görevler Ayrılığı
· Yetki/Onay Mekanizmaları
· Fiziksel, mali ve bilgi varlıklarına erişimin kısıtlanması ve kontrol sağlanması
· Gözetim/nezaret etme
· Mevzuat (politika ve prosedürler)
· Otomasyon kontrolleri
Kontrol farkındalığı ve duyarlılığı yüksek bir iş ortamı yaratmak: Bu önleyici bir kontroldür. Bu tür bir iş ortamı, etik değerler ve yüksek kurumsal davranış standartlarını destekleyicidir.
Bu tür ortamlarda “kontrol” kavramı herkesçe bilinir. Kontrollere önem verilir. Bu tür ortamlarda, kontroller, işlere entegre edilmiş ve işlerin doğal parçası haline gelmiştir. Yani dışsal ve işleri zorlaştıran, kesintiye uğratan uygulamalar değildir. Örnek olarak, rutin kontroller, dikkat, karşılıklı kontrol, kameralar, vb. verilebilir.
Böyle bir iş ortamı yaratmak için;
· Personel (yönetim ve çalışanlar) iş ve görev tanımlarını bilmelidir.
· Personel yetkisinin sınırları ve kapsamı ile sorumluluklarını bilmelidir
· Personel; amirler, çalışma arkadaşları, müşteriler ve diğer birim çalışanları ile dürüst ve adil ilişkiler kurulmalıdır
· Kontrolleri zayıflatacak veya atlatmaya yönelik hareketlerin tolere edilmeyeceği bir kültür oluşturulmalıdır
Görevler Ayrılığı: Süreç dahilindeki işlemlerde, hiçbir kişinin bir işlemin tüm parçaları üzerinde kontrol sağlamaması amacı ile bölünmesidir. Örneğin, harcama yetkilileri ile muhasebe yetkilileri
aynı kişiler olmamalıdır. Yine, muhasebe işlemlerini gerçekleştiren kişiler ile kasalardan sorumlu olan kişiler de farklı kişiler olmalıdırlar. Farklı fonksiyonlardan geçen bir işlemi tek bir kişinin başlatması, sürdürmesi ve tamamlaması riskli görülmektedir.
Bazı faaliyetlere ilişkin görevlerin mutlaka ayrılması gerekmektedir;
Bir işleme ilişkin; Başlatma/Yetkilendirme (Onaylama)/Kayıt/Mutabakat Sağlama/Fiziksel kontrol ve erişim aktiviteleri ayrılmalıdır. Örneğin, mali kaynaklar dikkate alındığında kasaya nakit girişi ve buna ilişkin muhasebe kayıtları ile banka hesabına giriş ve banka hesap mutabakatlarının, farklı kişilerce icra edilmesi gerekmektedir.
Diğer farklı alanlarda da aynı durum geçerlidir. Örneğin satın alım sürecine bakıldığında, tedarikçi veritabanı, satın alım talebi, sipariş, teslim alma, kayıt ve mutabakat işlemlerinin farklı kişi veya fonksiyonlarca yerine getirilmesi gerektiği görülecektir. Özellikle hileli işlemlere açık yerlerden bir tanesi de stok yönetim sürecidir. Sipariş, stokların teslim alınması, stok kayıtlarının yapılması, kayıtların tutulması, stok sayımı işlemleri tek kişi tarafından yerine getirilmemelidir. Bu işlemlere ilişkin yetki ve kontroller tek kişinin uhdesinde bulunamaz.
Aşağıda görevler ayrılığı prensibine uygun bazı kontrol örnekleri yer almaktadır:
· Kasa -muhasebe işlemlerinin ayrı kişilerce yürütülmesi
· Kasadan sorumlu yönetici ile muhasebe servisinden sorumlu yöneticinin ayrı olması
· Kıymetleri nakil eden kişiler ile teslim alanların ayrı olması
· Hesap açan ve onaylayan kişilerin farklı olması
· Muhasebe fişi kesen ve ödemeyi yapan kişilerin farklı olması
· Makinelerin işletimi ile gün sonu çıktı sonuçlarının kontrolünü yapan kişilerin farklı olması
· Satın alım, teslim alma ve muhasebeleştirme işlemlerinin farklı kişilerce yürütülmesi
Bir işlem ile ilgili en az “iki çift gözün” işlem üzerinde olması faydalıdır (4 eyes principle). Yöneticilerin çalışanlarına güvenmeleri ve sorumluluk vermeleri iyidir, ancak kontroller güven üzerine inşa edilmez. Yapılan araştırmalar, pek çok yolsuzluk olayının sistemi iyi bilen, açıklarını öğrenmiş, sadık ve güvenilir çalışanlarca gerçekleştirildiğini ortaya koymuştur.
Küçük ve eleman sayısı yetersiz iş ortamlarında ise her zaman görevler ayrılığı ilkesini hayata geçirmek mümkün olmaz. Bu durumlarda;
o Gözetime ağırlık verilmesi
o Çalışanların izin kullanımına dikkat edilmesi
o Aktivitelerin incelenebilmesi için bilgi sistemlerinden faydalanılması
o Nakit ve nakit benzeri varlıkların bekletilmeden kayıt altına alımlarının sağlanması
o İşe alımlara özel dikkat edilmesi söz konusu olmalıdır.
Yetkilendirme ve Onaylama: İşlemlerin yürütülmesi ve varlıklara erişim sağlanmasının ancak yönetim direktifleri doğrultusunda olmasıdır. Yetkilendirme ve Onaylama uygulamaları da önleyici bir kontrol uygulamasıdır. Bu sayede ancak yetkilendirilmiş kişilerin işlem yapmaları veya onay vermeleri söz konusu olacaktır. Ancak, imza yetkisi ve yetki devirlerinin sürekli değil, ancak ihtiyaç duyulan belirli bir dönem geçerli olması, bu durumun gözden kaçırılmaması hususuna dikkat edilmelidir. Ek olarak, devredilmiş yetkinin tekrar devredilmesi hususuna dikkat edilmesi gerekir. Bu kaçınılması gereken bir durum olabilir.
Bu kontrol, genellikle iş ve imza yetkisi olan kişilerin “üzerinde düşünmeden ya da yeterli dikkat göstermeden” belge ve işlemleri onaylaması ile etkisiz hale gelir. Bu durum özellikle iş yoğunluğunun fazla olduğu, işlerin teknik özellik arz ettiği ve yetki devredilen kişinin tecrübesinin yeterli olmadığı durumlarda görülebilir. Bu bağlamda, yöneticiler, neyi imzaladıklarının farkında olmalıdırlar. Evrak yoğunluğundan dolayı incelemeden, göz atmadan imza atmak durumunda kalınıyor ise; iş yoğunluğu, iş akışları ve yöneticinin görev ve sorumluluklarının düzeyi yeniden gözden geçirilmelidir. En azından geçmişe dönük örnekleme usulü ile imza atılan dokümanlar periyodik olarak gözden geçirilmeli, caydırıcılık amacı ile bu durumun çalışanlar tarafından bilinmesi sağlanmalıdır. Yöneticilerin imza attıkları veya onayladıkları iş ve işlemler ile ilgili devamlı alarmda olmaları, sorgulayıcı bir tavır sergilemeleri ve bazı zamanlar bu iş ve işlemlere ilişkin ek bilgi ve açıklama talep etmeleri, kontrol farkındalığı yüksek bir iş ortamı yaratmakta fayda sağlayacaktır.
Yetkilendirme ve onaylama uygulamalarına ilişkin dikkat edilmesi gereken diğer hususlar şunlardır:
· Yetki devirleri ve onay mekanizmalarına ilişkin yazılı prosedürler geliştirilmesi ve bu prosedürlerin yönetici ve çalışanlar tarafından en iyi şekilde anlaşıldığına emin olunması gerekmektedir.
· Sadece manüel işlemler değil, bilgi sistemleri üzerindeki otomasyon kontrolleri açısından da yetkilendirme ve onay mekanizmalarına dikkat edilmelidir.
· Bu sistemler üzerinde “kontrol izi” veya kaydı bırakılması gerekmektedir.
· Otomasyon kontrollerinde yetki ve onay mekanizmalarının sorumluluklara uygun tesis edilmiş olması önem taşır.
· İş ve işlemlerin gittikçe daha fazla otomasyona tabi oluşu, bilgi sistemleri ve bilgiye ulaşımı önemli kılmaktadır. Bilgi sistemleri ve bilgiye erişimin sadece yetkilendirilmiş personel ile sınırlandırılması, bilgi kaynaklarının kaybı ile işlerin kesintiye uğraması risklerini azaltmaya yönelik işlev görecektir. Şifre ve kullanıcı adı güvenliğine önem verilmeli, bunların yetkisi olmayan kişilerce kullanımı engellenmelidir. Kime yetki verildiğine dikkat edilmeli
· Ne kadar süre ile verildiğine dikkat edilmeli
· Onaylanan işlemlere dikkat edilmeli
· Sistemsel onaylar söz konusu ise “kontrol izi” bırakılmasına dikkat edilmeli-kontrol izi sorumluyu tespit etmeye yarar!
· Yetkisiz işlem yapılmamasına dikkat edilmeli
· Yetki, sorumluluk ile birlikte devredilmeli!
· Eğer bir çalışana yetki verilmiş ancak sorumluluk verilmemişse bu büyük bir hata olur. Kişi her şeyi ben istediğim şekilde yaparım havasına girebilir ki bu çok tehlikelidir.
· Tam tersi eğer bir çalışana sorumluluk verilmiş ama sorumluluğuna paralel yetki verilmemişse o çalışandan hiçbir iş çıkmaz. Sorumluluk ile bir kişinin yapmakla yükümlü olduğu işler, yetki ile de bir kişinin o işi yaparken alınması gereken kararları verme hakkı anlaşılmalıdır.
Yetkilendirme ve Onaylamaya ilişkin bazı uygulamalara bakarsak;
· A ve B onayları (1. ve 2. imza yetkilileri).
· Bazı bilgilerin sadece belli konularda yetkilendirilmiş kişilerin ekranlarına düşmesi.
· Elektronik kart sistemleri- sadece yetkili personel kapı açabilir.
· İlgili Birimlerce yapılan görevlendirmelere ilişkin onaylar
· Gün sonu muhasebe işlemlerine ilişkin otomatik onaylar- açık hesap veya işlem kalmış ise gün sonu kapanış alınamaması.
Varlıklar ve Kayıtlar Üzerinde Kontrol Sağlama: Fiziksel, mali ve bilgi varlıkları ile kayıtların kaybını önlemeye yönelik kontrol prosedürleri geliştirmek gerekir. Bu nedenle fiziksel, mali ve bilgi varlıkları ile kayıtların güvenliğini sağlamak amacı ile bunlara yönelik fiziksel güvenlik tedbirleri alınmalıdır. Kıymetlerin kilit altında tutulması, kartlı geçiş sistemleri, ana bilgisayar sunucusuna erişimin sınırlandırılması gibi uygulamalar fiziksel güvenlik gereği erişimin engellenmesine yönelik unsurlardır. Bunlar önleyici kontrollerdir. Kasa ve stok sayımları ise varlık kaybını engellemeye yönelik tespit edici/ortaya çıkarıcı bir kontrol prosedürüdür. Yöneticiler varlıkların korunmasından kişisel olarak sorumludurlar.
· Varlıkların Korunmasına Yönelik Kontrol Aktiviteleri:
o Periyodik varlık sayımları
o Varlıkların ve varlıklara ilişkin giriş çıkışların kayıt altına alınması
o Muhasebe kayıtları ile varlık kayıtlarının ve varlıkların kendisinin mutabakatının sağlanması
o Farklılıkların incelenmesi ve soruşturulması
o Stok hareketlerine ilişkin periyodik özetler alınması
o Hırsızlık ve yangın gibi tehlikelere yönelik yeterli fiziki güvenlik tedbirlerinin alınması
o Satın alımlara ilişkin doğru yetkilendirmeler yapılması
o Mali kayıtlara, önemli raporlara ve veri tabanlarına erişimin sınırlandırılması. Erişime dair sistemde iz bırakan kayıtlar (loglar) bulunması.
Gözetim: Gözetim, iç kontrol sisteminin etkin şekilde işlediğine dair güvence sahibi olmak için gerçekleştirilen bir faaliyettir. Bir kontrolün var olması, etkin bir şekilde çalıştığı anlamına gelmez. Sistem içine entegre edilen bir kontrol ancak doğru bir şekilde işlev gösterdiği sürece etkindir. Yöneticiler, kendi alanlarında iç kontrollerin varlığı kadar etkin çalışması ile de ilgilenmelidirler. Yöneticiler ve çalışanlar, kendi sorumluluk alanlarında iç kontroller ve işleyişini devamlı surette izlemelidirler. Gözetim, ortaya çıkartıcı yani tespit edici bir kontroldür. Kayıp, hata ve uygunsuzlukların ortaya çıkmasını sağlar.
Yöneticiler, iş ve işlemler ile iç kontrollere ilişkin olarak denetçiler gibi detaylı incelemeler yapmak durumunda değildir. Ancak en riskli alanlarda sıkı bir gözetim mekanizması kurmalı ve sistemdeki zafiyetleri tespit edecek mekanizmaları tesis etmelidirler. Operasyonel ve özellikle de finansal raporlar iyi gözetim araçlarıdır.
Yöneticilerin kontroller üzerinde etkin bir gözetim sağlayabilmeleri için raporlama sisteminden aşağıdaki bilgileri alabilmeleri gerekmektedir:
· Bütçe planlamaları ile bütçe gerçekleşmelerinin karşılaştırılması
· Ay bazında bütçe harcamaları
· Mevcut ay ile bir öncekinin karşılaştırılması (finansal ve operasyonel)
· Mevcut ay ile bir önceki yılın aynı ayının karşılaştırılması
· Yıl başından belirli bir aya kadar gerçekleşen toplam
· Yüksek riskli hesaplar için detaylı hesap analizleri
· Aylık mizanların takibi
· Aylık mizanlar ile hesap bakiyelerinin mutabakatının sağlanması
· Operasyonel raporlardaki gelişmelerin takibi ve sorgulanması
Yaygın gözetim aktiviteleri:
· Finansal raporların uygunluğunu gözden geçirmek ve raporlardaki olası trendleri ortaya çıkartmak
· Gerçekleşen mutabakat işlemlerinin tekrar gözden geçirilmesi ve mutabakata tabi kalemlerin doğru bir şekilde incelenmesinin sağlanması
· Destekleyici ve kanıtlayıcı dokümanların uygunluğunun doğrulanması
· Yüksek riskli alanlarda iç denetimin incelemelerinden faydalanmak
· Varlıkların periyodik olarak sayılmasının sağlanması
· Beklenmedik kasa sayımları yapılması
· Şikayet, suçlama ve duyumların üstüne gidilerek, doğruluğunun araştırılması
· Bazı muhasebe hesaplarına ilişkin periyodik konfirmasyonlar sağlanması
Özetle iç kontrol bir kurumun amaçlarının gerçekleştirilmesine yönelik bir yönetim aracıdır. Örgütün amaç ve hedeflerinin gerçekleştirilmesi konusunda güvence sağlayan yönetim araçlarının bütününü ifade etmektedir. İç kontrol sistem ve araçları örgüt yönetimine dayatılan kural ve uygulamalar değil, yönetimin amaç ve hedefleri gerçekleştirme konusunda ihtiyaç duyduğu mekanizmalardır. İç kontrol sadece form, belge, imza, doküman, prosedür değil, bunların yanı sıra örgüt yapısı, personeli ve yönetim tarzını da kapsayan bir sistemdir.