COSO – İç Kontrol Bütünleşik Çerçeve

by AFD
on Ağustos 16, 2023

Web sitemde ‘Teftiş ve İç Denetim’ başlığı altında iç denetim alanına dair çeşitli konularda yazılar yayımlamaktayım. Bu yazımda ise COSO – İç Kontrol Bütünleşik Çerçevesini ele alacağım. İç kontrol uygulamalarının iç denetim açısından önemini anlamak için öncelikle iç denetimin tanımına değinmemiz gerekir. İç denetim; bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. Tanımın devamı ise şu şekildedir: İç denetim kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur. Buradan hareketle iç denetimin temelde üç ayrı sürecin etkinliğini değerlendirme ve geliştirme amacı olduğunu söyleyebiliriz:

  1. Risk yönetimi
  2. Kontrol
  3. Yönetişim

Bu yazımda ikinci madde olan kontrol kısmını ele almaya çalışacağım. Tarihsel sürece değinerek başlayacak olursak, 1972 yılında ABD’de yaşanan ‘Watergate’ skandalının ardından 1977’de ‘Yabancı Ülkelerde Yolsuzluk Eylemleri Kanunu’ çıkarılmıştır. 1985 yılında ise 70’li yıllarda yaşanan bu muhasebe ve finans skandallarından ötürü özel sektör girişimiyle ‘Hileli Mali Raporlama Ulusal Komisyonu (NCFFR) kurulmuştur. Buranın ilk başkanı James C. Treadway idi bu yüzden de bahsi geçen girişim ‘Treadway Komisyonu’ olarak da bilinmektedir. ABD merkezli beş profesyonel meslek örgütü tarafından desteklenen ‘Treadway Komisyonu’, ‘COSO’ (The Committee of Sponsoring Organizations of the Treadway Commission) Türkçe açılımı ile ‘Treadway Komisyonu Sponsor Örgütleri Komitesi’ olarak isimlendirilmeye başlanmıştır. Bu beş meslek örgütü aşağıdaki gibidir:

  • American Institute of Certified Public Accountants (AICPA) / Amerikan Yeminli Mali Müşavirler Enstitüsü
  • Financial Executives International (FEI) / Uluslararası Mali Yöneticiler
  • American Accounting Association (AAA) / Amerikan Muhasebe Derneği
  • Institute of Internal Auditors (IIA) / İç Denetçiler Enstitüsü
  • Institute of Management Accountants (IMA) / Yönetim Muhasebecileri Enstitüsü

COSO’nun ‘Kurumsal Risk Yönetimi (KRY)’, ‘İç Kontrol’ ve ‘Dolandırıcılığı Önleme (Fraud Deterrence) olarak üç konuda yol gösterici olma ve prensipler oluşturma hedefi bulunmaktadır. Bu hedef kapsamında COSO 1992’de İç Kontrol ile ilgili olarak ‘İç Kontrol – Entegre Çerçeveyi’ yayımlamıştır. Bu çerçeve Mayıs 2013’te gözden geçirilmiş ve güncellenmiştir. Mayıs 2013’teki çerçeve ile birlikte -15 Aralık 2014 tarihinden itibaren geçerli olmak üzere- 1992 çerçevesi yürürlükten kaldırılmıştır.

https://www.coso.org/about-us

COSO – Bütünleşik İç Kontrol Çerçevesine iç kontrolün tanımıyla başlayacak olursak: ‘İç kontrol, bir kurumun yönetim kurulu, üst yönetimi ve diğer tüm personeli tarafından yürütülen; faaliyetler/operasyonlar, raporlama ve uyumla (compliance) ilgili hedeflere ilişkin makul güvence sağlamayı amaçlayan bir süreçtir. Buradan hareketle iç kontrol, kurumun üç temel alanda hedefe ulaşmasını sağlamak için çalışmalar yapar:

  1. Kurumun Faaliyetleri/Operasyonları
  2. Raporlama (İç ve Dış)
  3. Uyum (Ulusal ve Uluslararası Mevzuat)

İç kontrol sürekli görevlerden ve faaliyetlerden oluşan devamlı bir süreçtir. Yukarıda da belirttiğimiz üzere iç kontrol faaliyetleri kurumun üst yönetimine ve yönetim kuruluna mutlak değil makul düzeyde bir güvence sağlayabilir.

Yukarıda maddeler halinde yazdığımız iç kontrolün hedeflerini detaylandıracak olursak:

  • Faaliyetler/Operasyonlar: Kurumun faaliyetlerinin etkinliği ve verimliliği ile ilgilidir. Bu başlık finansal performansın yükseltilmesi, varlıkların korunması, kalitenin arttırılması, inovasyon ve müşteri memnuniyetinin sağlanması gibi konulardan oluşmaktadır.
  • Raporlama: Raporlama iç ve dış finansal ve finansal olmayan raporlamayı kapsar ve güvenilirlik, zamanında sunum, şeffaflık gibi terimler içermektedir.
  • Uyum: Kurumun tabi olduğu yasalara ve düzenlemelere uyumu kapsamaktadır.

COSO – İç Kontrol Bütünleşik Çerçevesi 5 bileşen etrafında şekillenen 17 prensipten oluşmaktadır. İlerleyen paragraflarda öncelikle bu bileşenlere sonrasında ise toplu olarak prensiplere değineceğim.

1. Kontrol Ortamı

Kontrol ortamı, organizasyon genelinde iç kontrolü gerçekleştirmenin temelini oluşturan standartları, süreçleri ve yapıları içerir. Yönetim kurulu ve üst yönetim, iç kontrolün önemine ve beklenen davranış standartlarına ilişkin üst düzeyde bir söylem oluşturur (Tone at the Top). Yönetim kurulu ve üst yönetim; kurum çalışanları, iç/dış paydaşlar için dürüstlük ve etik değerlere yaklaşımını ortaya koyar. Kurum içerisindeki çeşitli yapıların sorumluluklarına bakacak olursak yönetim kurulu, üst yönetimden bağımsız olarak iç kontrol üzerinde gözetim rolünü üstlenmektedir. Yönetim kurulu, üst yönetimin belirlediği kurum içi yapıları, yetki/sorumlulukları ve raporlama süreçlerini içeren iç kontrol faaliyetlerinin etkinliğini ve verimliliğini gözetir. Kurumlar, gözetim rolünü üstlenen denetim komitesi üyelerini ‘bağımsız üye’ olarak atarlar ya da icrai alanda görevi bulunmayan üyelerden seçerler.

2. Risk Değerlendirmesi

Risk, bir olayın gerçekleşme olasılığını ve koyulan hedeflere ulaşamama ihtimalini ifade eder. Her kurum içsel ve dışsal ortamlardan kaynaklanan çeşitli risklerle karşı karşıyadır. Risk değerlendirmesi, hedeflere ulaşmadaki riskleri belirleme ve değerlendirme aşamalarını içeren dinamik ve tekrarlayan bir süreçtir. Kurumun hedeflerine ulaşamama riski, belirlediği risk toleransına göre değerlendirilir. Böylece, risk değerlendirmesi, risklerin nasıl yönetileceğini belirlemenin temelini oluşturur. Risk değerlendirmesinin bir önkoşulu da, kurumun farklı düzeyleriyle bağlantılı hedeflerin belirlenmesidir. Kurum; operasyonlar, raporlamalar ve uyumla ilgili süreçlerde özgün hedefler belirler. Risk değerlendirmesi ayrıca, iç kontrolün etkisiz hale gelmesine neden olabilecek dışsal faktörleri ve kurumun iş modelinde olası değişikliklerin etkisini değerlendirmeyi de gerektirir.

3. Kontrol Faaliyetleri

Kontrol faaliyetleri, yönetimin hedeflere ulaşma sürecindeki risklerini azaltmak için belirlediği politika ve prosedürler aracılığıyla gerçekleştirilen işlemlerdir. Kontrol faaliyetleri, kuruluşun tüm seviyelerinde, iş süreçlerinin farklı aşamalarında ve teknolojik altyapısında gerçekleştirilir. Bu kontrol faaliyetleri, önleyici veya tespit edici olabilir, yetkilendirmeler/onaylar, doğrulamalar, uzlaşmalar ve iş performansı değerlendirmeleri gibi manuel ya da otomatik süreçleri içerebilir.

4. Bilgi ve İletişim

Her türlü bilgi, kurumun hedeflerine ulaşabilmesi ve iç kontrolün sorumluluklarını yerine getirebilmesi için çok önemlidir. Yönetim, diğer iç kontrol bileşenlerinin işlevini desteklemek için hem iç hem de dış kaynaklardan nitelikli bilgiyi elde eder. İletişim, gerekli bilgiyi elde etme ardından paylaşma şeklinde ilerleyen sürekli ve tekrarlayan bir süreçtir. İç iletişim, bilginin organizasyon içinde yukarıya, aşağıya ve yatay olarak akmasını sağlayan bir yöntemdir.

5. İzleme Faaliyetleri

Kurum, iç kontrolün beş bileşeninden her birinin mevcut ve çalışır durumda olup olmadığını tespit etmek için sürekli veya ayrı değerlendirmeler seçer ve uygular. Kurumun farklı düzeylerindeki iş süreçlerinde yerleşik olan sürekli değerlendirmeler, zamanında bilgi sağlar. Periyodik olarak yürütülen ayrı değerlendirmelerin kapsamı ve sıklığı, risklerin değerlendirilmesine, devam eden değerlendirmelerin etkinliğine ve diğer yönetim özelliklerine bağlı olarak değişiklik gösterecektir. Bulgular; düzenleyici otoriteler, tanınmış standart belirleme kurumları veya yönetim ve yönetim kurulu tarafından oluşturulan kriterlere göre değerlendirilir ve eksiklikler uygun şekilde yönetime ve yönetim kuruluna iletilir.

https://www.coso.org/internal-control

COSO’nun 5 bileşenini özetlemiş olduk. Şimdi de bu 5 bileşen etrafında şekillenen 17 prensibi açıklayalım.

Kontrol Ortamı Prensipleri (5 Adet)

1- Kurum ve çalışanlar etik değerlere bağlılık gösterir.

2- Yönetim kurulu, üst yönetimden bağımsız olduğunu gösterir ve iç kontrolün uygulanması, gelişimi ve performansı üzerinde gözetim uygular.

3- Üst yönetim, yönetim kurulunun gözetimi altında kurumun hedeflerine ulaşması için yapılar, raporlama hatları oluşturur ve her bir personel için uygun yetki ve sorumluluklar çerçevesi oluşturur.

4- Kurum, hedefleriyle uyumlu olarak yetkin ve deneyimli çalışanları kuruma çekmek ve var olan çalışanlarını elde tutmak ve onları iş alanlarında daha yetkin hale getirmek için çaba gösterir.

5- Kurum, çalışanlarını uzmanlık alanlarına göre kurumun hedeflerine ulaşma yolunda iç kontrol faaliyetleri açısından sorumlu tutar. (Yazımızın başında da belirttiğimiz üzere iç kontrol faaliyetlerinden tüm çalışanlar sorumludur.)

Risk Değerlendirmesi Prensipleri (4 Adet)

6- Kurum, iş faaliyetleri ile ilgili risklerin tanımlanması ve değerlendirilmesini sağlamak için kurumun hedeflerini yeterli açıklıkta belirtir.

7- Kurum, kurum çapında hedeflerine ulaşmasına yönelik süreçte karşılaşabilecek riskleri tanımlar ve bu risklerin nasıl yönetilmesi gerektiğini belirlemek için riskleri analiz eder.

8- Kurum, hedeflere ulaşmasına yönelik karşılaşabilecek riskleri değerlendirirken dolandırıcılık (fraud) faaliyetlerini de göz önünde bulundurur.

9- Kurum, iç kontrol sistemini önemli ölçüde etkileyebilecek değişiklikleri tanımlar ve değerlendirir.

Kontrol Faaliyetleri Prensipleri (3 Adet)

10- Kurum, hedeflere ulaşılmasına yönelik risklerin kabul edilebilir seviyelere indirilmesine katkıda bulunan kontrol faaliyetlerini seçer ve geliştirir.

11- Kurum, hedeflere ulaşılmasını desteklemek için teknolojik altyapı üzerindeki genel kontrol faaliyetlerini seçer ve geliştirir.

12- Kurum, bunlarla sınırlı olmamak üzere politikalar ve prosedürler aracılığıyla kontrol faaliyetlerini gerçekleştirir.

Bilgi ve İletişim Prensipleri (3 Adet)

13- Kurum, iç kontrolün işleyişini desteklemek için kurum içerisindeki nitelikli bilgili alır, toplar ve kullanır.

14- Kurum, iç kontrolün işleyişini desteklemek için gerekli olan ve iç kontrole yönelik hedefler ve sorumluluklar da dâhil olmak üzere ilgili bilgileri kurum içerisinde iletimini sağlar.

15- Kurum, iç kontrolün işleyişini etkileyen konularda dış paydaşlarla da iletişim kurar.

İzleme Faaliyetleri Prensipleri (2 Adet)

16- Kurum, iç kontrol bileşenlerinin mevcut ve işler durumda olup olmadığını tespit etmek için sürekli ve/veya ayrı değerlendirme kıstasları geliştirir ve uygular.

17- Kurum, iç kontrolün eksikliklerini değerlendirir ve uygun bir şekilde üst yönetim ve yönetim kurulu da dâhil olmak üzere düzeltici önlem almaktan sorumlu taraflara bu eksiklikleri zamanında bildirir.

Sonuç olarak COSO – İç Kontrol Bütünleşik Çerçevesini anlamak için öncelikle iç denetimin tanımını ve amacını anlamak gerekiyor. Yazının girişinde bu konuya değinmeye çalıştım. Ardından tarihsel bir perspektif sunarak COSO’nun gelişimini ortaya koydum. Sonrasında ise COSO çerçevesinin 5 bileşen ve 17 prensipten oluşan detaylarını aktarmaya çalıştım. İç denetim, iç kontrol konularına ilgisi olanlar için faydalı olacağını düşündüğüm bu yazıyı yazarken COSO’nun web sitesinden faydalandığımı belirtmek isterim. Daha ayrıntılı okumalar ve araştırmalar yapmak isterseniz COSO’nun ve TİDE’nin web sitelerinde bulunan konu ile alakalı yayımlara başvurabilirsiniz.

Kaynakça:

Categories:

İç Denetim

Tags:

cosocoso iç kontrol bütünleşik çerçeveiç denetimiç kontrolTreadway

No responses yet

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir