İç Denetim

İç Denetim Tanımı

Uluslararası Mesleki Uygulama Çerçevesi’nde İç Denetim; “Bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.” şeklinde tanımlanmaktadır.




İç Denetimin Kapsamı

İç denetim faaliyeti, şirketin yönetimi, operasyonları ve bilgi sistemleri ile ilgili olarak maruz kaldığı riskleri aşağıdaki başlıklar çerçevesinde değerlendirmektedir;

• Operasyonların etkinliği ve verimliliği • Finansal ve operasyonel bilgilerin bütünlüğü ve güvenilirliği
• Organizasyon politikalarına, yönetmeliklerine ve yasalara uygunluk
• Varlıkların korunması

İç denetçiler, risk yönetim sonuçlarını da baz alarak risklerin belirlenmesinin ve yönetilmesinin uygunluğunu ve etkinliğini değerlendirirler. Aynı zamanda iç denetçiler, şirketin etik değerleri, performans yönetimi, kontrol bilgisi gibi alanlarını da değerlendirmekle görevlidirler.

İç denetçilerden, fırsatların ve eksikliklerin ortaya çıktığı alanlarda gelişimi sağlamak amacı ile önerilerde bulunmaları beklenmektedir. İç kontrol sisteminin sorumlusu yönetim olmakla birlikte, iç denetim fonksiyonu iç kontrollerin etkin ve tasarlandığı şekilde çalıştığı konusunda yönetime ve denetim komitesine güvence verir.

Etkili bir iç denetim faaliyeti, yönetim ve yönetim kurulu için değerli bir kaynaktır. İç denetçilerin objektifliği, yetenek ve bilgisi şirketin iç kontrol, risk yönetimi ve yönetişim süreçlerine önemli derecede değer katmaktadır. Benzer olarak etkin bir iç denetim faaliyeti diğer hissedarlara da güvence sağlamaktadır.

İç denetim süreci, yönetime ve denetim komitesine, organizasyonun maruz kaldığı risklerin anlaşıldığı ve uygun bir şekilde yönetildiği konusunda güvence sağlarken birçok alanda, bir nevi kurum içi danışmanlık hizmeti verir.




İç Denetimin Tarihçesi

Denetim kavramının, Batı dillerindeki karşılığı (audit) kökenini oluşturan Latince “audire” kelimesi; işitmek, dikkatlice dinlemek anlamına gelmektedir. Meslek unvanı olarak “auditor” unvanı, 1289 yılında ilk defa İngiltere’de kullanılmıştır. Profesyonel denetçiliğin ilk örgütü ise 1581 yılında Venedik’te kurulmuştur. Sanayi devriminin ortaya çıkması ile birlikte, Arupa’da muhasebe kayıtlarının incelenmesi ve belgelendirme dahil günümüz denetimi ile benzer özellikler taşıyan bir denetim yapısı oluşturulmaya başlanmıştır. Avrupalılar bu uygulamaları Kuzey Amerika’ya taşımıştır.1850’li yıllarda "İskoçya Fermanlı Muhasebeciler Enstitüsü" tarafından modern muhasebe denetimi yazılı hale getirilmiştir. İngiltere’den Amerika’ya göç eden muhasebeciler, 1886 yılında, New York’ta “Diplomalı Kamu Muhasipleri Kanunu”nun çıkarılmasını sağlamışlardır.

Yirminci yüzyılın ilk yarısından itibaren geniş ve karmaşık yapıdaki şirketlerin ortaya çıkması ile denetim fonksiyonunun gelişimi hızlanmıştır. Bunun sonucunda denetim uluslararası nitelikte örgütlenmelere ihtiyaç duymaya başlamıştır. Modern anlamda iç denetim faaliyetlerinin önem kazanması, 1941 yılında Amerika Birleşik Devletleri’nde Uluslararası İç Denetim Enstitüsü’ nün (IIA) kurulmasıyla başlamıştır. IIA, İç denetim mesleği için lisans sertifikaları, eğitim, araştırma ve teknolojik yardım sağlayan bir otorite olarak dünya çapında tanınmaktadır. Sloganı; “Paylaşım yoluyla gelişme” olup, profesyonel iç denetim uygulamaları için uluslararası standartlar ortaya koymaktadır.

Savaş ekonomisi ile birlikte organizasyonlar büyüdükçe, kendi sorumluluklarındaki tüm faaliyet alanlarını gözlemlemek ve kişilere direkt veya endirekt olarak rapor verecek yeterli sayıda kişi bulmak imkansız hale gelmiş ve böylelikle iç denetçilik mesleği doğmuştur.

İşletmelerin sürekli denetim hizmetine ihtiyaç duymalarında büyümelerinin yanında bu konudaki yasal düzenlemelerinin de etkisi olmuştur.

İç denetimin öneminin artmasına neden olan kilometre taşlarından bazıları aşağıdaki şekilde sıralanabilir;

• 1933 yılında Amerika’da SEC(Security Exchange Commission)’in kurulması
• 1941 yılında Uluslararası İç Denetim Enstitüsü (Institute of Internal Auditors - IIA)’nün kurulması
• 1956 yılında IIA tarafından “Statement of Responsibilities of the Internal Auditors”ın yayınlanması
• 1985 yılında The Committee of Sponsoring Organizations of the Treadway Committee (COSO)’nin kurulması
• 1987 yılında Treadway Komisyonu tarafından “National Commission on Fraudulent Financial Reporting” (NCFF Raporu)’in yayınlanması
• 1989 yılında IIA tarafından “İç Denetim Standartları”nın yayınlanması
• 1990 yılında IIA tarafından iç denetim için ilk resmi tanımın yapılması
• 1991 yılında SAS (Statement of Auditing Standards) no: 65 “The Auditors Consideration of the Internal Audit Function in an Audit of Financial Statement” ’ın yayınlanması
• COSO tarafından 1992 yılında “İç Kontrol Çerçevesi”nin yayınlanması
• 1992 yılında İngiltere’de Cadburry Komisyonu tarafından “Cadburry Raporu”nun yayınlanması
• 1995 yılında Kanada’da “Canadian Institute of Chartered of Accountants” tarafından “Guidance on Control” (COCO Raporu)’ün yayınlanması
• 1995 yılında IIA’in Türkiye şubesi olarak Türkiye İç Denetim Enstitüsü (TİDE)’nün kurulması
• 1999 yılında İngiltere’de “The Financial Reporting Council” tarafından “Internal Control: Guidanace for Directors on the Combined Code” (Turnbull Raporu) ‘nin yayınlanması
• 1999 yılında IIA Yönetim Kurulu tarafından “İç Denetim Mesleki Uygulama Çerçevesi”nin kabul edilmesi
• 1999 yılında “Blue Ribbon Committee Raporu”nun yayınlanması
• 2002 yılında Afrika’da “The King Report on Corporate Governance for South Africa” (King Raporu) isimli raporun yayınlanması
• Enron Skandalı sonrası 2002 yılında Amerika’da “Public Accounting Reform and Investor Protection Act. (Sarbanes-Oxley) Yasası’nın kabul edilmesi
• COSO tarafından 2006 yılında “Kurumsal Risk Yönetimi Çerçevesi”nin yayınlanması
• 2007 yılında IIA Yönetim Kurulu tarafından “Uluslararası İç Denetim Mesleki Uygulama Çerçevesi”nin Kabul Edilmesi

İç denetim gerek hacim gerekse etkinlik bakımından önemli bir meslek haline gelmiştir. Bu süre içerisinde mesleki birlik oluşmuş, iç denetimin kapsamı finansal denetimden faaliyet denetimine doğru genişlemiş, iç denetim konusunda geniş bir literatür meydana gelmiştir.




Neden İç Denetim?

Yönetim, şirket içerisinde iç kontrol sistemini kurmak ve muhafaza etmekten sorumludur. İç kontroller, şirketin hedeflerine ulaşmada karşılaştığı riskleri etkin olarak azaltmaya yardımcı olan yapılar, faaliyetler, süreçler ve sistemler bütünüdür. İç denetim, organizasyonun çalışmalarına katma değer sağlamak ve geliştirmek için tasarlanan bağımsız, tarafsız bir güvence ve danışmanlık faaliyetidir.

Objektif ve bağımsız bir iç denetim faaliyeti, iç kontrol sistemi ve risk yönetimi süreçlerinin tasarlanması ve uygulanmasındaki etkinliği değerlendirirken, sistematik ve disiplinli bir yaklaşım ile yönetime ve yönetim kuruluna destek olmaktadır. İç kontrollerin ve risk yönetim süreçlerinin iç denetim faaliyeti tarafından objektif olarak değerlendirilmesi, yönetime, yönetim kuruluna ve hissedarlara şirketin risklerinin uygun olarak yönetildiğine ilişkin bağımsız bir güvence sağlar.

Finansal açıdan başarısızlığa düşen birçok şirketten alınan ders göstermiştir ki iyi yönetişim, risk yönetimi ve iç kontroller bir şirketin başarısı ve uzun ömrü için gereklidir. Tarafsız ve objektif bakış açısı ile tasarlanan bağımsız bir iç denetim faaliyeti şirkete ve yönetime önemli ölçüde destek ve güvence sağlamaktadır.




İç Denetçiler Kimdir?

İç denetçiler, parlak düşünceleri ile zor problemleri çözebilecek donanıma sahip kişilerdir. Bunu, devamlı olarak en iyisi için mücadele vererek, sürekli olarak yeteneklerini geliştirerek ve bütünsellik ile yaratıcılık becerisini kendilerine model seçerek yaparlar.

İç denetçiler, günümüz iş dünyasında, bir organizasyonunun başarısında önemli konumundadırlar. Organizasyonun iş süreçlerini, operasyonlarını ve hedeflerini gözden geçirirler ve bütün seviyelerdeki yönetim kademelerine objektif, bağımsız ve profesyonel önerilerde bulunarak sürekli gelişime destek olurlar. İç denetçiler, iş trendlerini yakından takip ederek ve bilgilerini güncelleyerek, kilit noktalar üzerine odaklanırlar.

İç denetçiler organizasyona çeşitli beceriler sağlarlar. İç denetçilerin eğitim ve deneyimleri çok farklı alanları kapsayabilmektedir. Geldikleri alanlar mühendislik, operasyon, finans ve bilgi işlem gibi farklı alanlar olabilir. Günümüz iç denetçileri, iş kolu ne olursa olsun bilgi sistemleri ve internet konusunda geniş bilgiye sahip olup, teknolojinin ve elektronik ticaretle gelen yeni risklerin etkisini azaltma konusunda çaba sarf etmektedirler. İç denetçiler, sadece yönetimin sağ kolu olarak; politika ve prosedürlerin etkin olarak uygulanmasını temin etmek ve bu konuda risklerin en aza indirgenmesini sağlamakla kalmayıp, yönetime bir danışman gibi hizmet eder, personele “coach” luk ve denetim komitesine raportörlük yaparlar. İç denetçilerin rolü ve ilişkileri, devamlı olarak gelişip değişmektedir.

Profesyonel iç denetçiler, kendilerini adayarak bu iş ile bütünleşirler. Sorunlara işaret ederken performansı geliştirirler. Organizasyonlarında ani olarak meydana gelen yanlışlıklar ve problemler konusunda güvenilir bilgi aktarmak sureti ile yönetimi rahatlatırlar.




İç Denetim ve Bağımsız Denetim Arasındaki Farklar

İç denetçiler ve bağımsız denetçiler, finansal kontrollerin etkinliği konusunda ortak paydadırlar. İki taraf da etik kurallar ve profesyonel standartlara bağlı kalmaktadır. Bununla birlikte şirketle olan ilişkileri ve çalışma amaçları konusunda büyük farklılıkları mevcuttur.

İç denetçiler şirketin bir parçasıdır. Hedefleri profesyonel standartlar, yönetim kurulu ve üst yönetim tarafından belirlenmiştir. Birincil müşterileri yönetim ve yönetim kuruludur. Bağımsız denetçiler şirketin bir parçası değildir ancak şirket tarafından tutulurlar. Hedefleri öncelikli olarak kanunlar tarafından belirlenir ve birincil müşterileri yönetim kuruludur.

İç denetçilerin çalışma amaçları çok kapsamlıdır. Şirket hedeflerine ulaşılmasına ve operasyonlar, risk yönetimi, iç kontrol ve yönetişim süreçlerini iyileştirmeye yardımcı olurlar. Şirketin her yönüyle – finansal ve operasyonel – ilgili olarak, iç denetçiler, kontrollerin ve süreçlerin sürekli gözetimi ve değerlendirilmesi faaliyetlerinin bir sonucu olarak geleceğe odaklanırlar. Aynı zamanda her türde yolsuzluk ve hilenin de önlenmesi ile ilgilidirler.

Bağımsız denetçilerin öncelikli misyonu şirketin yıllık finansal raporları hakkında bağımsız bir fikir vermektir. Raporların genel kabul edilmiş muhasebe standartlarına uygunluğunu, şirketin finansal bildirimleri tarafsızca yaptıklarını, belirli dönemdeki operasyonların sonuçlarının doğru olarak gösterildiğini değerlendirirler.

İç ve bağımsız denetçiler periyodik olarak ortak paydalarını tartışmak; tamamlayıcı yetkinlikler, deneyim alanları ve bakış açılarından yararlanmak; birbirlerinin çalışma amaçları ve metotlarını anlamak; denetim kapsamı ve programını tartışmak; raporlara, programlara ve çalışma kağıtlarına erişmek ve risk alanlarını ortaklaşa değerlendirmek amacı ile toplanmalıdırlar. Yönetim kurulu, güvence için gözetim sorumluluklarını yerine getirmek ve denetim sürecinin bütününün etkinliğini ve verimliliğini arttırmak amacı ile iç ve bağımsız denetim çalışmalarını koordine etmelidir.




Uluslararası İç Denetim Mesleki Uygulama Standartları

Uluslararası İç Denetçiler Enstitüsü (IIA), iç denetim mesleğinin kabul edilen lideri, onaylanan otoritesi ve birincil eğitmenidir. IIA, Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) yolu ile iç denetim mesleğine rehberlik etmektedir. UMUÇ’da iki tür rehber yer almaktadır.

1) Zorunlu Rehberde, İç Denetimin Tanımı, Etik Kurallar ve Uluslararası İç Denetim Mesleki Uygulama Standartları yer almaktadır. Zorunlu rehberde belirtilen kavramlara uyum, iç denetçilerin sorumluluklarının yerine getirilmesi ve iç denetim faaliyetinin etkili şekilde yürütülmesi için gereklidir. “İç denetçiler”, IIA üyelerini, IIA’nın mesleki sertfikalarına sahip olanları veya almaya hak kazanan adayları ve iç denetim tanımı çerçevesinde iç denetim hizmeti sağlayanları ifade eder.

2) Kuvvetle Tavsiye Edilen Rehberde, pozisyon raporları, uygulama önerileri ve uygulama rehberleri yer almaktadır. Belirli usul ve prosedürden geçtikten sonra, IIA tarafından desteklenen ve bir IIA uluslararası teknik komite ve/veya enstitü tarafından geliştirilen “Kuvvetle Tavsiye Edilen Rehber” zorunlu değildir ve IIA’nın hazırladığı zorunlu rehberin gerekliliklerini karşılayacak uygulanabilir çözümler üretmek için geliştirilmiştir.

Standartların amaçları şunlardır:

• İç denetim uygulamasını olması gerektiği gibi temsil eden temel ilkeleri tanımlamak.
• Katma değerli iç denetim faaliyetlerini teşvik etmeye ve hayata geçirmeye yönelik bir çerçeve sağlamak.
• İç denetim performansının değerlendirilmesine uygun bir zemin oluşturmak.
• Gelişmiş kurumsal süreç ve faaliyetleri canlandırmak.

Uluslararası İç Denetim Mesleki Uygulama Standartları, “Nitelik” ve “Performans” standartları olmak üzere iki bölümden oluşmaktadır.

Nitelik Standartları

Nitelik Standartları, iç denetim faaliyetlerini yürüten kurumların ve kişilerin özelliklerine yöneliktir.

1000 Amaç, Yetki ve Sorumluluk
1010 İç Denetim Tanımının, Etik Kurallarının ve Standartların İç Denetim Yönetmeliğinde Tanınması

1100 Bağımsızlık ve Objektiflik
1110 Kurum İçi Bağımsızlık
1120 Bireysel Objektiflik
1130 Bağımsızlığın veya Objektifliğin Bozulması

1200 Yeterlilik ve Azami Mesleki Özen ve Dikkat
1210 Yeterlilik
1220 Azami Mesleki Özen ve Dikkat
1230 Sürekli Mesleki Gelişim

1300 Kalite Güvence ve Geliştirme Programı
1310 Kalite Güvence ve Geliştirme Programının Gereklilikleri
1311 İç Değerlendirmeler
1312 Dış Değerlendirmeler
1320 Kalite Güvence ve Geliştirme Programı Hakkında Raporlama
1321 “Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygundur” İbaresinin Kullanılması
1322 Aykırılıkların Açıklanması

Performans Standartları

Performans Standartları iç denetimin tabiatını açıklar ve bu hizmetlerin performansını değerlendirmekte kullanılan kıstaslarını sağlar.

2000 İç Denetim Faaliyetinin Yönetimi
2010 Planlama
2020 Bildirim ve Onay
2030 Kaynak Yönetimi
2040 Politikalar ve Prosedürler
2050 Koordinasyon (Eşgüdüm)
2060 Yönetim Kuruluna ve Üst Yönetime Raporlama

2100 İşin Niteliği
2110 Yönetişim / Kurumsal Yönetim
2120 Risk Yönetimi
2130 Kontrol

2200 Görev Planlaması
2201 Planlamada Dikkate Alınması Gerekenler
2210 Görev Amaçları
2220 Görev Kapsamı
2230 Görev Kaynaklarının Tahsisi
2240 Görev İş Programı

2300 Görevin Yapılması
2310 Bilgilerin Tespiti ve Tanımlanması
2320 Analiz ve Değerlendirme
2330 Bilgilerin Kayıtlı Hale Getirilmesi
2340 Görevin özetim ve Kontrolü

2400 Sonuçların Raporlanması
2410 Raporlama Kıstasları
2420 Raporlamanın Kalitesi
2421 Hata ve Eksiklikler
2430 “Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygun Olarak Yapılmıştır” İbaresinin Kullanılması
2440 Sonuçların Dağıtımı

2500 İlerlemenin Gözlenmesi

2600 Yönetimin Artık (Bakiye) Riskleri Üstlenmesi




İç Denetimin Güvence ve Danışmanlık Hizmetleri

Uluslararası İç Denetim Mesleki Uygulama Standartlarında, güvence (A) veya danışmanlık (C) faaliyetlerine uygulanabilecek gereklilikler belirtilmiştir.

Güvence hizmetleri, iç denetçinin, bir kurum, faaliyet, fonksiyon, süreç, sistem veya bir başka unsur hakkında bağımsız görüş veya kanaat sunabilmek için, eldeki delilleri objektif bir şekilde değerlendirmesini içerir. Güvence görevlerinin nitelik ve kapsamı iç denetçi tarafından belirlenir. Güvence hizmetlerinin, genellikle, üç tarafı vardır:

(1) Bir kurum, faaliyet, fonksiyon, süreç, sistem veya bir başka unsurun doğrudan içinde olan kişi veya grup (süreç sahibi),
(2) Değerlendirmeyi yapan kişi veya grup (iç denetçi),
(3) Değerlendirmeyi kullanan kişi veya grup (kullanıcı).

Danışmanlık hizmetleri, tabiatı gereği tavsiye niteliğinde olup genellikle görevlendirmeyi talep eden müşterinin özel talebi üzerine gerçekleştirilir. Danışmanlık hizmetlerinin nitelik ve kapsamı, değerlendirmeyi talep eden müşteriyle iç denetçi arasındaki sözleşmeye tabidir. Danışmanlık hizmetlerinin genellikle iki tarafı vardır:

(1) Tavsiye veren kişi veya grup (iç denetçi),
(2) Tavsiye talep eden ve alan kişi veya grup (görevin müşterisi
İç denetçi danışmanlık hizmeti verirken, objektifliğini muhafaza etmeli ve idarî sorumluluk almamalıdır.




Etik Kurallar

IIA'nın Etik Kurallarının amacı, iç denetim mesleğinin etik kültürünü geliştirmektir. IIA'nin Etik Kuralları iki önemli hususu içine almak için iç denetim tanımının ötesine uzanır:

1. İç denetim mesleği ve uygulamasıyla ilgili 'İlkeler',
2. İç denetçilerden beklenen davranış tarzını tanımlayan “Davranış Kuralları”
Davranış kurallarının amacı, İlkelerin uygulamaya dökülmesi amacıyla yorumlanmasına yardımcı olmak ve iç denetçilerin etik davranışları konusunda rehberlik etmektir.

Etik İlkeler

1. Dürüstlük
İç denetçilerin dürüstlüğü, güven oluşturur ve böylece verdikleri hükümlere itimat edilmesine yönelik bir zemin sağlar.

2. Objektiflik
İç denetçiler, inceledikleri süreç veya faaliyet ile ilgili bilgiyi toplarken, değerlendirirken ve raporlarken en üst seviyede meslekî objektiflik sergiler. İç denetçiler ilgili tüm şartların değerlendirmesini dengeli bir şekilde yapar ve bir yargıya varırken kendilerinin veya başkalarının menfaatlerinden çok etkilenmez.

3. Gizlilik
İç denetçiler, elde ettikleri bilginin sahipliğine ve değerine saygı gösterir; hukukî ve meslekî bir mecburiyet olmadığı sürece de gerekli yetkiyi almaksızın bilgiyi açıklamaz.

4. Yetkinlik (Ehil Olma)
İç denetçiler, iç denetim hizmetlerinin gerçekleştirilmesinde gereken bilgi, beceri ve tecrübeyi ortaya koyar.

Davranış Kuralları

1. Dürüstlük
İç denetçiler,
1.1. Çalışmalarını doğruluk, dikkat ve sorumluluk duygusuyla yaparlar.
1.2. Hukuku gözetir ve hukukun ve mesleğin gerektirdiği özel durum açıklamalarını yaparlar.
1.3. Kanun dışı bir faaliyete bilerek ve isteyerek taraf olmaz veya iç denetim mesleği ve kurum açısından yüz kızartıcı eylemlere girişmezler.
1.4. Kurumun meşru ve etik amaçlarına saygı duyar, katkıda bulunurlar.

2. Objektiflik
İç denetçiler,
2.1. Değerlendirmelerinin tarafsızlığına zarar verebilecek veya zarar vereceği varsayılabilecek herhangi bir ilişkiye ve faaliyete katılmazlar; bu katılım, kurumun çıkarlarıyla çatışan ilişki ve faaliyetleri de içerir.
2.2. Meslekî muhakemelerini zayıflatabilecek veya zayıflatacağı varsayılabilecek herhangi bir şeyi kabul etmezler.
2.3. Tespit ettikleri ve açıklanmadığı takdirde gözden geçirdikleri faaliyetlere ilişkin raporları bozacak tüm önemli bulguları açıklarlar.

3. Gizlilik
İç denetçiler,
3.1. Görevleri sırasında elde ettikleri bilgilerin korunması ve kullanımı konusunda ihtiyatlı olurlar.
3.2. Sahip oldukları bilgileri kişisel menfaatleri için veya hukuka aykırı olarak veya kurumun meşru ve etik amaçlarına zarar verebilecek tarzda kullanmazlar.

4. Yetkinlik (Ehil Olma)
İç denetçiler,
4.1. Sadece görevin gerektirdiği bilgi, beceri ve tecrübeye sahip oldukları işleri üstlenmelidirler.
4.2. İç denetim hizmetlerini, Uluslararası İç Denetim Standartlarına uygun bir şekilde yerine getirirler.
4.3. Kendi yeterliliklerini ve hizmetlerinin etkililik ve kalitesini devamlı geliştirirler.




İç Denetim Sertifikasyonu

Dünya genelinde Uluslararası İç Denetim Enstitüsü (IIA) sahipliğinde İç Denetim, Kontrol Özdeğerleme, Mali Hizmetler ve Kamu alanlarında olmak üzere toplam 4 adet sertifikasyon programı bulunmaktadır. IIA tarafından verilen sertifikalar standart eğitimlerden sonra verilen “eğitim sertifikaları” olmayıp uluslar arası alanda geçerli “unvan sertifikaları”dır. Burada söz konusu olan, eğitim, tecrübe, karakter, sınavda başarı gibi şartlar yerine getirildikten sonra ispatlanan yetkinliğin unvan olarak ismin yanında taşıma yetkisinin verilmesidir. Tüm sınavlara ilişkin detay bilgiler Türkiye İç Denetim Enstitüsü’nden elde edilebilmektedir.

Uluslararası İç Denetçi Unvanı (Certified Internal Auditor - CIA) , iç denetçiler için uluslararası geçerliliği olan tek sertifikadır ve bireylerin iç denetim alanında profesyonelliklerini gösterebildikleri bir ölçüttür.

Uluslararası Kontrol Özdeğerlendirme Uzmanı (Certification in Control Self – Assessment - CCSA) unvanı, CSA (Kontrol Özdeğerlendirme) uygulayıcıları için saygın bir sertifikadır. CCSA, bir adayın önemli CSA temelleri, süreçleri ve risk, kontroller ve iş hedefleri gibi ilgili hususlardaki bilgisini ölçer. Bireylerin bu alandaki kapsamlı mesleki bilgilerini ortaya koydukları bir ölçüttür.

Uluslararası Mali Hizmetler Denetçisi (Certified Financial Services Auditor - CFSA), bireyin bankacılık, sigortacılık, menkul kıymetler ve mali hizmetler gibi sektörlerdeki denetim ilke ve usullerine ilişkin bilgilerini ölçer. Adaylar, mevcut meslek alanlarını dikkate almaksızın, sınava girerken bu dallardan herhangi birini seçebilir. CFSA, mali hizmetler denetimi uygulayıcıları için saygın bir sertifikadır.

Uluslararası Kamu Denetçisi (Certified Government Auditing Professional - CGAP) sertifika programı özellikle, kamu sektörünün örneğin federal / ulusal, eyalet / şehir, yerel, yarı resmi veya kraliyet otoritesi gibi her kademesinde çalışan denetçiler için tasarlanmıştır. Adayı bu zahmetli alanda karşılaşabileceği pek çok zorluk için hazırlayarak vasıflı kılan üstün bir mesleki ehliyettir.

İç Kontrol

İç Kontrol Tanımı

COSO Raporunda İç Kontrol; “Organizasyonların yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, operasyonların etkinliğin ve verimliliğin, mali raporlama sisteminin güvenilirliği ile yasa ve düzenlemelere uygunluğun elde edilmesinde gereken makul güvenceyi sağlamak için tasarlanan bir süreçtir.” şeklinde tanımlanmaktadır.

İç kontrole yönelik birçok tanımın bulunmasına karşın COSO Raporu’nda yer alan bu tanımlama, yönetimin kendi iç kontrol sistemini değerleme kaygısını ve iç kontrole daha geniş bir bakış açısını ortaya koyması nedeni ile kullanılabilirliği en yaygın tanımlama olarak kabul edilmektedir.




İç Kontrolün Amaçları

Operasyonlar açısından iç kontrol, standartlaşmış süreçler yardımıyla operasyonların etkinliğini ve verimliliğini arttır. Bir organizasyonda kontrollerin varlığı, süreçlerin standart tanımları, görev tanımları, kuralların düzenlenmesi ve sonuç olarak işletme etkinliğinin ve verimliliğinin arttırılmasında katma değer yaratır.

Kontrol faaliyetleri aracılığıyla işletmenin var olan varlıklarının korunması sağlanır. Çünkü işletme büyüdükçe varlıklarını korumak sistemsel bir sorun haline gelmektedir.

Mali raporlamanın güvenilirliğini sağlamak diğer bir amaçtır. Mali tabloların güvenilir olması, yönetimin ticari olarak doğru kararlar alması, işletme içi herhangi bir yolsuzluğun önlenmesi veya tespitinde yardımcı olur.

İç kontrol sistemi, gerek işletme içi, gerekse yasal düzenlemelerin getirdiği kurallara uygunluğun sağlanmasında güvence sağlar. Diğer bir ifadeyle iç kontrol sisteminin bir işletmede var olmamasının olumsuz sonuçları; para ve mal kaybı, hatalı kararlar alınması, suiistimal ve dolandırıcılıklarla karşı karşıya kalınması, gelir kaybı ve amaçlara ulaşılamama şeklinde sıralanabilir. Bu özellikleri ile iç kontrol sisteminin başlıca etki alanları; organizasyon yapısı ve yetkilendirme sistemi, politikalar ve yazılı prosedürler, insan kaynakları yönetimi, muhasebe sistemi ve mali kontrol, bütçe ve yönetim raporlama sistemi olarak ifade edilebilir.




COSO Hakkında

Amerika Birleşik Devletleri’nde 1970’li yılların sonu ve 1980’li yılların başında hileli finansal rapor sayısındaki artış nedeni ile oluşturulan Hileli Finansal Raporlama Ulusal Komisyonu (National Commission on Fradulent Financial Reporting - The Treadway Commission), hileli finansal raporlama üzerindeki önemi nedeni ile iç kontrol kavramının yeniden düzenlenmesi gerektiğini fark etmiştir. Bu komisyonun çalışmaları, dikkatlerin tekrar iç kontrol üzerine çevrilmesini sağlamış ve iç kontrol kavramsal olarak yeniden düzenlenmiştir. Bu amaçla “Committee of Sponsoring Organizations of the Treadway Commission” (COSO) oluşturulmuştur.

COSO; iş etiği, etkili iç kontroller ve kurumsal yönetim aracılığı ile mali raporlamaların kalitesini arttırmaya yönelik çalışmalar yapan gönüllü bir organizasyon olup aşağıda belirtilen beş profesyonel kuruluş tarafından 1985 yılında kurulmuştur.

American Institute of Certified Public Accountants (Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü)

American Accounting Association (Amerikan Muhasebe Birliği)

Financial Executives Institute (Finansal Yöneticiler Enstitüsü)

Institute of Internal Auditors (İç Denetçiler Enstitüsü)

Institute of Management Accountants (Yönetim Muhasebecileri Enstitüsü)

COSO’nun amacı; iç kontrol, etik uygulamalar ve kurumsal yönetim konularına odaklanarak finansal raporlamaların kalitesinin geliştirilmesidir.

Bu komite, uzun ve sistematik bir çalışma sürecinden sonra 1992 yılında “İç Kontrol – Bütünleştirilmiş Yapı (Internal Control – Integrated Framework)” isimli bir rapor yayınlamıştır. Bu rapor ile iç kontrolün temel kriterlerini ortaya koyan bir model geliştirilmiştir. Bu çalışmanın ismi “Integrated Framework” olmasına rağmen, daha çok komisyonun ismi ile yani “COSO Raporu” olarak anılmaktadır.




COSO – İç Kontrol Birleştirilmiş Çerçevesi Nedir?

COSO modeli iç kontrol sistemine ilişkin standartların temelini oluşturmaktadır. Bir iç kontrol modeli olan COSO, İç Denetçiler Enstitüsü tarafından yayımlanan “İç Kontrole İlişkin İşletme Raporunun Hazırlanmasında İç Denetçilerin Rolü” başlıklı raporda belirtildiği şekilde, denetim sürecinde dahil edilmiş bir modeldir.


İç kontrol sistemi, üç boyutlu ve birbirleriyle etkileşimli çalışacak şekilde tasarlanmıştır. İç kontrol sisteminin amaçları küpün dikey katmanında, faaliyetler (operasyonlar), finansal raporlama ve uygunluk olarak yer almıştır.

Modele göre küpün yatay kısmında yer alan bileşenler ise aşağıdaki şekilde sıralanmaktadır:

– Kontrol Çevresi
– Risk Değerlendirmesi
– Kontrol Faaliyetleri
– Bilgi ve İletişim
– İzleme




COSO - Kontrol Çevresi

Uluslararası Mesleki Uygulama Çerçevesi içerisinde Kontrol Çevresi; “Yönetim, yönetim kurulu ve denetim kurulunun, kurum içi kontrolün önemine ilişkin tutum ve davranışlarıdır.” şeklinde tanımlanmaktadır.

Kontrol çevresi iç kontrol sisteminin ana amaçlarının gerçekleştirilmesi için gerekli olan yapı ve disiplini sağlar.

Kontrol çevresi aşağıda belirtildiği şekli ile maddi ve maddi olmayan unsurlara sahiptir:

– Dürüstlük ve Etik Değerler
– Yetkinlik / Uzmanlık Taahhüdü
– Yönetim Kurulu ve Denetim Komitesi
– Yönetim Felsefesi ve Çalışma tarzı
– Organizasyonel Yapı
– Yetki ve Sorumlulukların Belirlenmesi ve Dağıtımı
– İnsan Kaynakları Politika ve Uygulamaları


Etkili bir kontrol çevresi, çalışanların kendi sorumluluklarını ve yetkilerini anladıkları ve etik davranmayı üstlendikleri zaman oluşabilmektedir. Yönetim, organizasyonun kontrol çevresini standartlar, çalışmalar ve etkili şekilde paylaşılmış yazılı politikalar ve prosedürler, etik değerler ve davranış standartları aracılığıyla etkiler.

Kontrol Çevresi ile İç Denetim Arasındaki İlişki

Kontrol çevresi unsurları ile iç denetim arasında iki yönlü bir ilişki vardır. Birincisi, İç denetçiler çalışmalarını yaparken kontrol çevresi faktörlerini göz önünde bulundurmalıdırlar.

İkincisi ise güçlü bir iç denetim fonksiyonunun işletmeler açısından taşıdığı önem olup, gereken nitelikte görev yapan bir iç denetim fonksiyonun, organizasyonun kontrol çevresinin güçlendirilmesine katkı sağlayacağıdır.




COSO - Risk Değerlendirmesi

İç Kontrol’ün risk değerlendirme unsuru, aşağıdaki faktörlere bağlı olarak irdelenmektedir.

– Şirket Ana Hedefleri
– Süreç Bazında Hedefler
– Risk Belirlemek
– Değişim Yönetimi

Risk Değerlendirmesi, organizasyonun her seviyesine ait iş hedefleriyle ilgili risklerin belirlenmesiyle başlar.

• Kurum çapında risk değerlendirmesi;

– Etkili bir kontrol için dönüm noktası olan kurum çapında hedefler, kurumun ulaşmak istedikleri için öncülük yapar.
– Bütçeyle, strateji ve işle ilgili planlarla uyumlu olmalıdır.

• Faaliyet bazında risk değerlendirmesi;

– Kurum çapında hedeflerle paralellik göstermesine rağmen kendine özgü hedefler ve amaçlarla direkt ilgisi nedeniyle farklılaşır.
– Yönetime rehberlik eder.

Risk değerlendirmesi, iç ve dış faktörlerin, bunların operasyonlar, mali raporlamalar ve uygunluk üzerindeki etkilerinin değerlendirilmesini gerektirir. Risk belirleme, değerlendirme ve yönetimi ile ilgili, Kontrol Değerlemesi -Control Self Assessment (CSA)-, Kurumsal Risk Hizmetleri -Enterprise Risk Management (ERM)-, Risk ve Kontrol Güvencesi -Risk and Control Assurance (RCA)-, soru formları, vb . teknikler kullanılmaktadır.

Risk Değerlendirmesi ile İç Denetim Arasındaki İlişki

İç denetim açısından iç kontrolün risk değerlendirmesi unsuru, üzerinde önemle durulması gereken bir alan olarak karşımıza çıkmaktadır. İşletmenin risk yönetim süreçlerinin değerlendirilmesi ve çalışmaları sırasında riske dayalı yaklaşımların kullanılması, iç denetçiler için gittikçe daha fazla önem kazanmaktadır. Diğer taraftan, iç denetçilerin işletmenin önemli ve potansiyel riskleri üzerine yönelmesi, işletmelerdeki risk yönetimini güçlendirici bir unsur olarak ortaya çıkmaktadır.




COSO - Kontrol Faaliyetleri

Kontrol Faaliyetleri, riskleri yöneten faaliyetlerin doğru şekilde ve zamanda işlediğinden emin olmaya yarayan politikalar ve prosedürlerdir. Kontrol faaliyetleri operasyonla iç içe olmalıdır ve riskleri kabul edilebilir düzeylerde yönetmek için kullanılmalıdır. Kontrol faaliyetleri; Önleme, Tespit Etme ve Düzeltmeye odaklanır.

İç kontrol’ün unsurlarından olan kontrol faaliyetlerinin, aşağıdaki faktörlere dayalı olarak irdelenmesi önerilmektedir.

– Politika ve Prosedürler
– Yerinde Kontrol Faaliyetleri


Kontrol faaliyeti örnekleri :

– Onaylar, yetkiler ve doğrulamalar (örneğin: yetki dağılımı)
– Direkt uygulamalar veya faaliyet yönetimi (örneğin: mutabakatlar)
– Performans göstergelerinin gözden geçirilmesi
– Varlıkların güvenliği (fiziksel kontrol v.b.)
– Yetkilerin ayrılığı (muhafaza - yetki – kayıt v.b.)
– Bilgi teknolojileri kontrolleri (güvenlik girişleri v.b.)

Kontrol Faaliyetleri ve İç Denetim Arasındaki İlişki

Şirketler belirli alanlarda politikalara sahip olmakla birlikte iç denetçiler mevcut kontrol prosedürlerinin politikaları destekleyip desteklemediğini incelemelidirler. Prosedürlerin, politikaların yöneldiği koşullara açık bir şekilde odaklanmadıkça yararlı olmayacağı açıktır.




COSO - Bilgi Akışı ve İletişim

Bilgi akışı ve iletişim, ilişkili iç ve dış bilgilerin belirlenmesi, elde edilmesi, işlenmesi ve organizasyon içerisinde zamanında iletilmesini gerektirir.

İç kontrol’ün bilgi ve iletişim unsuru aşağıdaki faktörlere dayalı olarak irdelenir.

– Bilginin Kalitesi
– İletişimin Etkinliği

Şirket içerisinde bilginin uygun, güncel, yerinde, eksiksiz ve ulaşılabilir olması için gerekli makul güvenceyi sağlayan iç kontrol mekanizmaları olmalıdır.
Yönetimin bilgi akışı ve iletişim açısından sorumlulukları ise aşağıdaki şekilde sıralanabilir:

– Çalışanlara görevleri ve sorumlulukları iletilmelidir.
– Organizasyon içindeki iletişim alt-üst ve yatay seviyelerde rahatça hareket edebilir olmalıdır.
– Müşterilerle, tedarikçilerle ve diğer üçüncü şahıslarla iletişim açık olmalıdır.

Bilgi Akışı ve İletişim ile İç Denetim Arasındaki İlişki

İç denetçiler, çoğu zaman, farklı ihtiyaçları karşılamak için yıllar önce düzenlenmiş fakat cari ihtiyaçları desteklemeyen bilgi sistemleriyle karşılaşabilirler. İç denetçiler, bilgi sistemlerini cari ihtiyaçları karşılayıp karşılamadığı açısından değerlendirmek ve görüşlerini raporlamak durumundadırlar.

Bir iç denetçi, bilgi ve iletişim unsuru açısından iç kontrolü değerlendirirken; bilginin tam, zamanında ve eksiksiz olarak gerekli birim ve/veya kişilere iletildiğine, şirket içerisindeki iletişim kanallarının belirlendiği şekli ile etkin ve verimli çalışıp çalışmadığına dikkat etmelidir.




COSO - İzleme

İzlemenin amacı iç kontrolün doğru bir şekilde tasarlandığının, yönetildiğinin, etkili ve uygun olup olmadığının belirlenmesidir. İç kontrolün performansı operasyonların sürekli izlenmesi ve periyodik değerlendirmeler aracılığıyla zaman içinde takip edilmelidir.

İzleme faaliyetlerinin kapsamı ve sıklığı kontrol edilen risklerin ciddiyeti ve riskleri azaltan kontrollerin önemine bağlı olarak değişir. İzleme faaliyetleri organizasyonun normal ve tekrarlanan faaliyetleriyle ilgili olarak oluşturulmalıdır. Bulunan aksaklıklar raporlama, takip etme ve düzeltici önlemlerin sorumluluğu açısından iyi belirlenmelidir.

.İç kontrol’ün izleme unsuru aşağıdaki faktörlere dayalı olarak irdelenir.
– Sürekli İzleme
– Bağımsız Değerlendirmeler
– Kontrol ve İşleyiş Eksikliklerinin Raporlanması

İzleme ve İç Denetim Arasındaki İlişki

İzleme unsurunda İç Denetim çok önemli bir role sahiptir. Çünkü, iç denetçiler, oluşturulmuş iç kontrol prosedürlerinin uygunluğunu değerlendirmek için çalışmalar yaparlar. Coso Raporu da bu konuyu vurgulayarak, “iç kontrol değerlendirmelerinin, denetçilerin rutin görevlerinin önemli bir kısmını oluşturduğu” ifadesine yer vermiştir.




İç Kontrol Sisteminde Sorumluluklar

Coso Raporu’na göre bir organizasyonda tüm çalışanlar iç kontrolle ilgili sorumluluğa sahiptir.

Üst Yönetimin Sorumluluğu

Üst yönetim, esas itibariyle iç kontrol sisteminin sahibi ve birinci dereceden sorumludur. Üst yönetim, pozitif bir kontrol çevresinin dürüstlük, ahlak vb. temel faktörlerinin oluşturulmasında en önemli role sahiptir. İşletmede yönetimin başındaki kişiler (genel müdür), diğer üst yöneticiler (müdür yardımcıları veya bölümlerin müdürleri) liderlik ve yönlendirmeler yapmak suretiyle ve işletmeyi kontrol etme biçimlerini yeniden gözden geçirerek bu sorumluluklarını yerine getirirler. Daha alt kademedeki yöneticiler ise, birimlerindeki görevli personel için iç kontrol politika ve prosedürlerini oluşturmakla sorumludurlar.

Yönetim Kurulunun Sorumluluğu

Yönetim, yönetim kuruluna karşı sorumludur. Etkin bir yönetim kurulu oluşturulabilmesi için, kurul üyelerinin objektif, nitelikli ve araştırıcı olmaları gerekir. Yönetim kurulunun, sorumluluklarını yerine getirebilmesi için, işletmenin eylemleri, çevresi ve gerekli komitelerden haberdar olması gerekir. Yönetim, kontrol politika ve prosedürleri çiğner veya alt yönetimden gelen iletileri önemsemez bir konumda olabilir. Bu, bazen yönetimin kendi kötü yönetimini örtbas etmek için bilinçli de yapılabilir. Böyle durumlarda, yönetim kurulunun rolü ortaya çıkar. Bu tür bir problem, ancak güçlü ve aktif bir yönetim kurulu ile çözülebilir. Yönetim kurulunun böyle bir gücü kullanmasında iç denetim fonksiyonunun desteği de çok önemli bir rol oynayacaktır. İç denetim, yönetim kurulu (denetim kurulu) ve yönetim arasındaki ilişkiler iç kontrol sisteminin etkinliğini büyük ölçüde artıracaktır.

İç Denetçilerin Sorumluluğu

İç denetçiler, iç kontrolün incelenmesi ve geliştirilmesi konusunda tavsiyelerde bulunmakla direkt olarak sorumludurlar. Bu konuda, Uluslararası İç Denetim Mesleki Uygulama Standartları madde 2130’ da iç denetimin kontrolle ilgili sorumlulukları açıklıkla tanımlanmaktadır.

Bu standarda göre İç denetim faaliyeti, kontrollerin etkililik ve verimliliğini değerlendirmek ve sürekli gelişimi teşvik etmek suretiyle, kurumun etkili kontrollere sahip olmasına yardımcı olmak zorundadır.

İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde bulunan risklere cevap olarak, kontrollerin yeterliliğini ve etkililiğini aşağıdaki konularla ilgili olarak değerlendirmek zorundadır:

• Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu
• Faaliyetlerin etkililik ve verimliliği
• Varlıkların korunması
• Kanunlara, düzenlemelere ve sözleşmelere uyum

İç denetçiler, faaliyet ve programların hedef ve amaçlarının kapsamını ve bunların kurumun hedef ve amaçlarına uyumunun derecesini anlayıp değerlendirmelidir.

İç denetçiler, faaliyet ve programların niyetlenildiği gibi uygulandığını veya gerçekleştirildiğini belirlemek için, bunların tespit edilen hedef ve amaçlarla ne kadar uyumlu olduğunu anlayıp değerlendirebilmek için, faaliyet ve programları gözden geçirmelidir.




COSO İç Kontrol Çerçevesine Göre İç Kontrolün Özellikleri

COSO Raporu ışığında İç Kontrol Çerçevesi paralelinde iç kontrolün özellikleri aşağıdaki şekilde sıralanmaktadır. • İç kontrol bir süreçtir. – İç kontrol, yönetim faaliyetleri içerisine yerleştirilmiş, temel bir başlangıç ve sonuç noktası olmayan bir süreçtir.
• İç kontrol çalışanlar tarafından yürütülür. – İç kontrol sadece belgeler ve formalara dayanan bir süreç değildir. İç kontrol, yönetim kurulu ve üst düzey yöneticiler dahil olmak üzere bütün kurum çalışanları tarafından yürütülen bir
sistemdir. • İç kontrol makul güvence sağlar. – İç kontrol sistemi hiçbir zaman mutlak güvence sağlamaz, kabul edilebilir düzeyde yani makul güvence sağlar.
• İç kontrol amaçların başarılması için bir araçtır. – İç kontrol kurum hedeflerine ulaşılabilmesi için gerekli alt yapıyı sağlayan, işletme sistemi içerisinde bir alt sistemdir.




Diğer Kontrol Modelleri

COSO dışından dünyada kabul gören birçok iç denetim modeli olmakla birlikte, önem arz eden bazıları aşağıda sıralanmıştır:

• CoCo Modeli
• COBIT Modeli
• INTOSAI Modeli

CoCo Modeli

CoCo çerçevesi, Canadian Institute of Charted of Accountants tarafından 1995 yılında “Guidance on Control” ismiyle yayınlanmıştır. Kısaca “CoCo Raporu” olarak da isimlendirilen çalışmada, iç kontrol sisteminin etkinliğini ölçmeye yönelik çeşitli kriterler ele alınmaktadır. CoCo çerçevesi dört temel unsurdan oluşmaktadır.
• Amaç
• Bağlılık
• Yeterlilik
• İzleme ile Öğrenme

COBIT Modeli
Bilgi İşlem Teknolojisi İçin Kontrol Amaçları şeklinde Türkçeleştirilen “Control Objectives for Information and Related Technology (COBIT)” ; bilgi teknolojileri ve ilgili teknolojilerde ortaya çıkabilecek risklerin belirlenmesi, yönetilmesi ve kontrolü temelli bir yapıya sahiptir. COBIT beş unsurdan oluşan bir modeldir.

• Yönetici Özeti
• Yönetim ve Kontrol Çerçevesi
• Kontrol Amaçları
• Denetim İlkeleri
• Yönetim İlkeleri

INTOSAI İç Kontrol Standartları

Uluslararası Sayıştaylar Birliği, 2004 yılında “Kamu Sektörü İçin İç Kontrol Standartları Kılavuzu”nu yayımlamıştır. Bu standartlar kendi içerisinde ikiye ayrılmaktadır;
1) Genel Standartlar
a) Yeterli güvence
b) Destekleyici tutum
c) Dürüstlük ve yeterlilik
d) Kontrol hedefleri
e) Kontrollerin gözetimi

2) Ayrıntılı Standartlar
a) Belgeleme
b) İş ve işlemlerin anında ve uygun biçimde kaydı
c) İş ve işlemlerin onaydan geçirilmesi ve uygulanması
d) Gözetim
e) Kaynaklara ve kayıtlara ulaşma ve sorumluluk

Kurumsal Yönetim

Kurumsal Yönetim

Kurumsal yönetim bir şirketin, hak sahiplerine ve kamusal menfaatlere zarar vermeyecek şekilde, finansal kaynakları ve insan kaynaklarını kendisine çekmesini, verimli çalışmasını ve bu sayede de hissedarları için uzun dönemde ekonomik kazanç elde ederek refah artışı sağlamasını mümkün kılan zorunlu ve gönüllü uygulamaların bütünüdür.

Ekonomik İşbirliği ve Gelişim Örgütü (OECD) tarafından yapılan tanımda ise, kurumsal yönetim, faaliyetlerin birlikte yönetildiği ve kontrol edildiği bir sistem olarak ele alınmaktadır.

Son yıllarda rekabet gücünün artması, ortaklık yönetimlerinde yaşanan başarısızlıklar ve suiistimaller, yaşanan uluslararası finansal krizler ve şirket skandallarının yanı sıra günümüz ekonomisinde özel sektörün artan rolü kurumsal yönetimin öneminin artmasına neden olan gelişmelerin başında gelir.

Kurumsal yönetim alanında dünyada birçok çalışma yapılmış olup yeni çalışmalar da devam etmektedir. Bu çalışmalar, her ülke için geçerli tek bir kurumsal yönetim modelinin olamayacağını önemle vurgulamakta ve buna göre oluşturulacak modelin ülkeye özgü koşulları da dikkate alması gerekliliğini ortaya çıkarmaktadır. Ancak bununla birlikte, genel kabul gören tüm uluslararası kurumsal yönetim yaklaşımlarında, eşitlik, şeffaflık, hesap verebilirlik ve sorumluluk kavramları olmazsa olmaz kavramlar olarak karşımıza çıkmaktadır.




Kurumsal Yönetimin Tarihçesi

Kurumsal yönetim kavramı ilk olarak 1930'lu yıllarda Amerika Birleşik Devletleri'nde ortaya çıkmıştır. 1930'lu yıllarda yaşanan ekonomik buhranlar, 1970'li yıllardaki petrol krizi ve yolsuzluklar ile İngiltere'de 1980'li yılların sonunda meydana gelen iflaslar Dünya genelinde kurumsal yönetime ilişkin çalışmaların başlatılmasına zemin hazırlamıştır.

Kurumsal yönetime ilişkin yapılan ve Dünya genelinde kabul görmüş çalışmalar kronolojik olarak aşağıdaki gibi sıralanmaktadır;

• 1991 yılında Cadbury Committee Raporu'nun yayınlanması
• 1995 yılında Greenbury Committee Raporu'nun yayınlanması
• 1998 yılında Hampel Raporu'nun yayınlanması
• 1999 yılında OECD Kurumsal Yönetim İlkeleri'nin yayınlanması
• 2002 yılında Sarbanes-Oxley Yasası'nın çıkartılması
• 2004 yılında OECD Kurumsal Yönetim İlkeleri'nin güncellenerek geliştirilmesi

Gelişmiş ekonomilerde 1970'li yıllarda başlayan kurumsal yönetim çalışmaları 21. yüzyıl başlarında Türkiye'de de kendini göstermekte olup, yapılan önemli çalışmalar aşağıdaki gibi sıralanabilir;

• Uluslararası Finansal Raporlama Standartları'nın (UFRS) Türkçeye çevrilerek 2006 yılında Türkiye Muhasebe Standartları olarak yayınlanması
• Bağımsız denetim ve danışmanlık faaliyetlerinin ayrılması
• Denetim firması rotasyonu
• Özel durumların kamuya açıklanması
• Kamuyu Aydınlatma Platformu'nun kurulması
• Birikimli oy yönetimi
• Kurumsal Yönetim İlkelerinin yayınlanması
• Kurumsal Yönetim Uyum Raporu zorunluluğu
• Şirketlere internet sitelerinde yatırımcılara yönelik bilgilerin açıklanması tavsiyesi
• Türkiye Kurumsal Yönetim Derneği'nin kurulması

Dünya gelinde kurumsal yönetimin önem kazanması paralelinde ülkemizde de kurumsal yönetime olan ilgi ve ihtiyaç zamanla önem kazanmış olup, 2003 yılı Temmuz ayında Sermaye Piyasası Kurulu (SPK) tarafından Kurumsal Yönetim İlkeleri yayınlanmıştır.

Bu ilkeler 4 ana başlıktan oluşmakta olup;
1. Bölüm Pay Sahipleri
2. Bölüm Kamuyu Aydınlatma ve Şeffaflık
3. Bölüm Menfaat Sahipleri
4. Bölüm Yönetim Kurulu olarak detaylandırılmaktadır.




Kurumsal Yönetim ve İç Denetim İlişkisi

Etkin bir şekilde çalışan ve amaçlarına ulaşan Kurumsal Yönetim Sistemi, ancak etkin çalışan Kurumsal Risk Yönetimi temelli bir iç denetim fonksiyonunun varlığı halinde mümkün olabilir. İç denetim faaliyeti, iyi bir kurumsal yönetimin desteklenmesinde önemli rol oynar.

Kurumsal yönetimin ifade edilen amaca ulaşabilmesi ancak kurumun finansal durumuna ilişkin bilgileri tam ve doğru bir şekilde ve zamanında açıklaması ile mümkündür. Bunun da gerçekleşebilmesi kurum içinde denetim komitesi ve iç denetim biriminin, kurum dışı ise bağımsız denetim fonksiyonlarının etkin çalışması ile gerçekleşebilmektedir.

Risk Yönetimi

Risk Yönetimi

Uluslararası Mesleki Uygulama Çerçevesi'nde Risk; "Amaçlara ulaşılması üzerinde etkisi olacak bir olayın meydana gelme ihtimalidir." şeklinde tanımlanmıştır.

Risk Yönetimi ise; "Kurumun amaçlarını gerçekleştirmek üzere makul bir güvence sağlamak amacı ile potansiyel durum ve olayları belirleme, değerlendirme, yönetme ve kontrol etme sürecidir." şeklinde ifade edilebilir.

İşletmeler açısından başlıca risk türleri dört ana başlık altında izlenebilmektedir;

• Piyasa Riski
• Faaliyet Riski
• Operasyonel Risk
• Kredi Riski
Her risk grubunun alt risklerinin tanımlanması sureti ile tüm riskleri çeşitli kategorilere ayırmak mümkündür.




Kurumsal Risk Yönetimi

COSO Enterprise Risk Management Framework çerçevesinde Kurumsal Risk Yönetimi "Bir kurumun yönetim kurulu, yöneticileri ve diğer çalışanları tarafından şekillendirilen, kurum genelinde ve stratejiler doğrultusunda uygulanan, kurumu etkileyebilecek olası olayların tespit edilmesi ve risklerin, kurumun risk alma isteği kapsamında yönetilmesi için tasarlanan, kurumun hedeflerine ulaşmasını destekleyecek bir süreçtir." şeklinde tanımlanmıştır.

Kurumsal risk yönetimine ilgi, krizlerle birlikte artış göstermiş ve 2006 yılında COSO tarafından "Kurumsal Risk Yönetimi Çerçevesi" isimli ayrıntılı bir rehber yayınlanmış ve bu çerçeve ile birlikte küresel ölçekte uygulanabilir bir rehber ortaya çıkmıştır.

Küresel ölçekte risk yönetiminde başta COSO Kurumsal Risk Yönetimi Çerçevesi olmak üzere, genellikle bankalar ve finans kuruluşları tarafından kullanılan BASEL II Prensipleri ve Avustralya Risk Yönetim Standartları da yer almaktadır.




Kurumsal Risk Yönetiminin Faydaları

Kurumsal risk yönetiminin ortaya çıkış sebebi risklerin de ortaya çıkış gerekçesi olan kurumun başarıyı yakalamak için kullandığı amaç ve stratejileridir.

Kurumsal risk yönetiminin faydaları kısaca şu şekilde sıralanabilir;

• Kurumun hedeflerine ulaşmasında karşılaşacağı engellerin ortadan kaldırılması için makul düzeyde güvence sağlar.
• Kurumun operasyonlarının hedefler ile uyumlu olarak yürütülmesine yardımcı olur.
• Sürekli performans iyileştirerek faaliyetlere ve kuruma değer katar.




Risk Yönetimi ve İç Denetim İlişkisi

Uluslararası İç Denetim Standartları, 2120. maddesinde iç denetim faaliyetinin risk yönetim süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine katkıda bulunmak zorunda olduğunu belirtilmiştir. Ancak iç denetçiler, risk yönetim süreçlerini kurmada ve geliştirmede yönetime yardım ederken, "riskleri gerçekte yönetmek sureti ile yönetim sorumluluğu almaktan" kaçınmak zorundadırlar.

Denetim Komiteleri

Denetim Komiteleri

Ülkemizde SPK ve BDDK düzenlemeleri ile uygulaması başlatılan denetim komitelerinin denetim faaliyetleri ile ilgili doğrudan sorumlulukları bulunmamakta ve fiili olarak denetim yapmamaktadırlar. Denetim komiteleri, sadece iç ve dış denetim süreçlerinin etkinliğini, şirkete yarattığı katma değeri, mali ve operasyonel süreçler ile iç kontrollerin işleyişi ve yeterliliğini yönetim kurulu adına gözetmekle sorumludurlar.

SPK Mevzuatına göre; hisse senetleri borsada işlem gören ortaklıkların, yönetim kurulunca kendi üyeleri arasından seçilen ve en az iki üyeden oluşan denetim komitesi kurmaları zorunludur.

Bir denetim komitesi; yönetim kurulu, iç denetçiler, dış denetçiler ve finansal yönetim arasında bir bağlantıdır. Genellikle denetim komitesinin amacı aşağıdakileri gözden geçirmek suretiyle yönetim kuruluna destek sağlamaktır:

Şirketin finansal raporlarının güvenilirliği
• Şirketin iç kontrol ve risk yönetim sistemlerinin etkinliği
• Şirketin idari, yasal ve düzenleyici yükümlülükler ile uyumluluğu
• Dış denetçilerin bağımsızlığı, kalifikasyonu ve performansı ve iç denetim faaliyetinin performansı

Bu tür gözetimi teşvik etmek ve özendirmek için IIA'ya göre halka açık her şirketin yönetim kurulunun bir alt komitesi olarak çalışan bir denetim komitesi olmalıdır. Bu aynı zamanda kâr amacı gütmeyen veya kamusal şirketler de dâhil olmak üzere diğer şirketler için de önerilmektedir.

Denetim komitesinin görevi, yolsuzlukların duyurulması mekanizmalarının, kurumsal risk yönetiminin, ilgili tarafların işlemlerinin ve şirketin yasal fonksiyonlarıyla etkileşimin gözetilmesini içerir.

Yönetim kurulunun gözetim faaliyetlerini aşağıdakileri sağlamak suretiyle iyileştirir:

Üyelerin bağımsız ve icracı olmayan yöneticiler olması zorunludur.


İcracı olmayan yöneticiler tayin edildiğinde ve denetim komitesinin bağımsızlığı elde edildiğinde finansal raporlama süreci, kurumsal yönetim ve iç kontrol arttırılmış demektir.

Denetim komitesinin bağımsızlığı kurumsal yönetim ve iç kontrole yarar sağlar. İç denetimin bağımsızlığı, denetim komitesinin iç denetim yöneticisini atadığı veya işten çıkardığı durumlarda artmaktadır. Bağımsızlık iç denetçilerin direkt olarak denetim komitesine raporlama yaptığı zaman güçlenmektedir. Bu raporlama ilişkisi iç denetçilerin üst yönetimin yolsuzluk veya kötü davranış durumlarında gerekli başvuruyu yapmalarına yardımcı olur ve şirket içindeki statüleri de iyileşebilir.

En azından bir denetim komitesi üyesi finansal yönetimi veya muhasebe bilgisi / uzmanlığına sahip olmalıdır.

Finansal raporlama, kurumsal yönetim ve kontrol alanında etkili gözlem kararları almak özellikli uzmanlık gerektirmektedir. Bunun bir sonucu olarak denetim komitesi icracı olmayan yöneticilerden oluşmalı, en az bir kişi muhasebe veya finansal yönetim uzmanlığına sahip olmalıdır.

Denetim komitesi gözetim sorumluluklarını resmileştirmek için yazılı bir yönetmelik hazırlamalıdır.

Denetim komitesi yönetmeliği önemli finansal gözden geçirmeleri, raporlama ilişkilerini ve diğer konuları tanımlar. Yönetmelik, komitenin sorumluluklarının kapsamını ve komitenin bu sorumluluklarını nasıl uygulayacağını belirler.




İç Denetim ve Denetim Komitesi Arasındaki İlişki

IIA, denetim komitesinin ve iç denetçilerin birbirine geçmiş hedefleri olduğunu söylemektedir. İkisi için de üst yönetime, yönetim kuruluna, hissedarlara ve diğer pay sahiplerine karşı olan sorumluluklarını yerine getirmeleri için birbiriyle ilişkide olmaları önemlidir. İç denetçiler eğer bağımsızlıklarını, objektifliklerini ve organizasyonel statülerini elde etmek istiyorlarsa raporlama hatları çok kritik hale gelir. En iyi uygulamalar gösteriyor ki gerekli bağımsızlığını elde etmek için iç denetçi direkt olarak denetim komitesine raporlama yapmalıdır.

Denetim komitesi ve iç denetçiler arasındaki etkili iletişimi tamamlayıcı olarak 5 adet faaliyet bulunmaktadır. İç denetim yöneticisinin aşağıdakileri yapması yararlı olacaktır:

• Denetim komitesine periyodik olarak şirketin riskleriyle ilgili bilgi vermelidir. Bu, denetim yöneticisinin üst yönetime gönderdiği ile bağlantılı olmalıdır.
• Denetim komitesine, komite yönetmeliğinin, faaliyetlerinin ve süreçlerin uygun olduğunu garantilemelidir.
• İç denetim yönetmeliğinin, rol ve faaliyetlerinin açıkça anlaşıldığını ve denetim komitesi ile yönetim kurulunun ihtiyaçlarına cevap verecek nitelikte olduğunu garantilemelidir. Denetim komitesi ve yönetim kurulu başkanı ile açık ve etkili bir iletişim kurmalıdır. Gerektiği zaman komite üyelerine risk ve iç kontrol konularında eğitim vermelidir.
• İç denetim yöneticisi ile denetim komitesi arasında direkt iletişim kanalı çok önemlidir. İç denetim yöneticisi denetim planını, önemli denetim bulgularını sunmak üzere toplantı yapmalı ve iç denetimin riskler ve iç kontrollere ilişkin gözlemlerini tartışmalıdır. Yolsuzluk veya önemli risk içeren olayların da denetim komitesiyle görüşmesi ilişkiyi daha da kuvvetlendirir.
• İç denetim yöneticisi ve komite, yönetim ve dış denetçiler olmaksızın düzenli aralıklarla toplanmalıdırlar.

İç Denetim Yolsuzluğu Saptama, Önleme ve Soruşturma Rolü

İç Denetimin Yolsuzluğu Saptama, Önleme ve Soruşturma Rolü

Yolsuzluğun önlenmesi, bulunması ve yönetilmesine yönelik iç kontrolleri tasarlamak her ne kadar yönetimin sorumluluğunda olsa da, iç denetçiler mevcut yönetimin etkinliğin değerlendirilmesi için uygun kaynak yaratırlar. Bu nedenle, yönetimin, yönetim kurulunun, denetim komitesinin veya başka bir yönetim kademesinin direktifleri doğrultusunda iç denetçiler şirketin yolsuzluk yönetim sürecinde danışmanlık, güvence, işbirliği, tavsiye, gözlem ve soruşturma rollerini oynayabilmektedirler.

Profesyonel iç denetçiler iç kontrollerin değerlendirilmesinde kullanılan tekniklerinde son derece yeterlidirler. Bu yeterlilik, yolsuzluk belirtilerinin denetçiler tarafından anlaşılması ile birleşince, bir şirketin yolsuzluk risklerinin değerlendirilmesi ve yönetime yolsuzluk belirtilerine karşı atacakları adımlar konusunda tavsiyelerde bulunmalarına yardımcı olur.

Önleme

Doğruluk kültürü yaratmak, yolsuzluk kontrolünün kritik bir bileşenidir. Üst yönetim duruşunu belirlemeli ve yüksek seviyede doğruluğa modellik etmelidir. İç denetçiler doğruyu garantileyen metotlar üzerine yönetime tavsiyelerde bulunabilirler. İç denetçiler aynı zamanda doğruluk politikası ve yolsuzluk hakkında eğitim geliştirebilirler.

Güvence faaliyetlerinin bir parçası olarak iç denetçiler potansiyel yolsuzluk risklerini izlerler, ilgili kontrollerin yeterliliğini değerlendirirler ve iyileştirmeler için öneri yaparlar. Aynı zamanda yolsuzluğun ortaya çıkabilirlik olasılığını da hesaplamaya yardım edebilirler.

Saptama

İç denetçiler şirket bünyesindeki kilit süreçleri ortaya çıkardıkları ve yönetim kurulu ve personel ile açık iletişim kanallarına sahip oldukları için yolsuzluk saptamada önemli rol oynayabilirler. Yıllık iç denetim planını hazırlarken iç denetçiler şirketin yolsuzluk risk değerlemesini göz önüne alır, periyodik olarak yönetimin yolsuzluk saptama yeteneğini değerlendirebilir.

Soruşturma

İç denetimin kanıt bulma, kontrollerdeki yolsuzluğu tetikleyebilecek bir çöküşü analiz etme ve iyileştirme için önerilerde bulunma yeteneği vardır. İç denetçiler yolsuzluklarda öncelikli sorumluluğa sahip olduğunda bu iş için gerekli yetkinliklere sahip olmalıdırlar.