KONTROL ORTAMI

Sistemin ana unsuru ve sistemin üzerine inşa edildiği zemin olup iç kontrolün başarılı ya da başarısız olması kontrol ortamının etkinliğine bağlıdır. İç kontrol sisteminin kurulabilmesinin ilk şartı uygun bir kontrol ortamının varlığıdır ve kontrol ortamı iç kontrolün bütün diğer unsurlarının temeli olarak görülebilir. Kontrol ortamı, sistemi ileriye götürmek için gerekli olan ilk adımdır ve idarenin yöneticileri ve çalışanlarının iç kontrole yönelik olumlu bir bakış açısına sahip olmasını, etik değerleri, dürüst bir yönetim anlayışını, personelin yeterliliği ve performansını, yöneticilerin iş yapma tarzını, görev, yetki ve sorumlulukların açık bir şekilde belirlenmesini ve idarenin organizasyon yapısını kapsar.

RİSK DEĞERLENDİRMESİ

Risk değerlendirmesi, kurumun belirlenmiş stratejik amaç ve hedeflere ulaşma yolunda karşılaşabileceği muhtemel riskleri nasıl tespit ve analiz edeceği ile belirleyeceği bu riskleri nasıl yöneteceği ve bunlara nasıl uygun yanıtlar vereceği ile ilgilidir. Her kurum amaç ve hedeflere ulaşmasını engelleyebilecek içeriden veya dışarıdan kaynaklanan çeşitli risklerle karşılaşmaktadır. Kurumların bu risklere karşı hazırlıklı olmaları ve risk değerlendirmesi yapmaları gerektiği düşünülmektedir.

Risk değerlemesinin ön koşulu kurumun amaç ve hedeflerinin açık, net ve tutarlı biçimde belirlenmiş olmasıdır. Risk değerlendirmesi yönteminin kapsamı ve uygulanacağı faaliyet alanları belirlenmeden önce kurumsal amaç ve hedefler tespit edilmiş olmalıdır. Risk değerlendirmesi iç kontrol sisteminin bileşenlerinden biridir ve iç kontrol faaliyeti risk esaslı olarak gerçekleştirilmelidir. Bu sebeple, riskli alanların belirlenmesi ve kontrol faaliyetlerinin bu alanlarda yoğunlaştırılması iç kontrol sisteminin başarısı açısından önemli bir husus olarak görülmektedir.

KONTROL FAALİYETLERİ

Kurumun amaç ve hedeflerine ulaşma yolunda karşılaşacağı riskleri göğüslemek ve kurumun hedeflerini gerçekleştirmek üzere oluşturulan ve uygulamaya konulan politikalar, prosedürler ve teknikler kontrol faaliyetleri olarak adlandırılmaktadır. Kontrol faaliyetleri önleyici ya da tespit edici mahiyette olabilir ve risk değerlendirilmesi sürecinde olası risklerin etkisini hafifleterek yönetimin amaçlarına ulaşmasına yardımcı olur. Kontrol faaliyetleri, gerek yönetim gerekse de ilgili tüm kurum personeli tarafından rutin olarak yürütülen faaliyetlerin bir parçası olarak değerlendirilmeli ve kurumun bütün birimlerinde ve her seviyede uygulanan yöntemleri ve politikaları kapsamalıdır. Kontrol faaliyetleri kurumun bütün kademelerine ve faaliyetlerine yayılmalı ve kurumun günlük faaliyetlerinin ayrılmaz bir parçası olmalıdır. Kontrol faaliyetlerinin ekstra iş yükü ve maliyet getiren bir işlem olarak algılanması iç kontrol sisteminin etkinliğini azaltacak ve sistemin başarısını olumsuz yönde etkileyecektir.

KONTROL FAALİYETLERİ

Kurumun amaç ve hedeflerine ulaşma yolunda karşılaşacağı riskleri göğüslemek ve kurumun hedeflerini gerçekleştirmek üzere oluşturulan ve uygulamaya konulan politikalar, prosedürler ve teknikler kontrol faaliyetleri olarak adlandırılmaktadır. Kontrol faaliyetleri önleyici ya da tespit edici mahiyette olabilir ve risk değerlendirilmesi sürecinde olası risklerin etkisini hafifleterek yönetimin amaçlarına ulaşmasına yardımcı olur. Kontrol faaliyetleri, gerek yönetim gerekse de ilgili tüm kurum personeli tarafından rutin olarak yürütülen faaliyetlerin bir parçası olarak değerlendirilmeli ve kurumun bütün birimlerinde ve her seviyede uygulanan yöntemleri ve politikaları kapsamalıdır. Kontrol faaliyetleri kurumun bütün kademelerine ve faaliyetlerine yayılmalı ve kurumun günlük faaliyetlerinin ayrılmaz bir parçası olmalıdır. Kontrol faaliyetlerinin ekstra iş yükü ve maliyet getiren bir işlem olarak algılanması iç kontrol sisteminin etkinliğini azaltacak ve sistemin başarısını olumsuz yönde etkileyecektir.

BİLGİ VE İLETİŞİM

Bilgi ve iletişim, sistemin genelindeki kurumsal faaliyet alanlarına ilişkin bilginin üretilmesine ve üretilen bilginin çeşitli iletişim araçları (yatay ve dikey iletişim kanalları, raporlama vb.) yardımıyla ilgililere iletilmesine yönelik yapılan tüm faaliyetleri ifade etmektedir. Bilgi ve iletişim bileşeni, aynı zamanda iç kontrolün diğer unsurları arasındaki ilişkiyi ve etkiletişimi sağlamakta ve bu özelliği nedeniyle iç kontrol sistemi açısından özel bir fonksiyon ihtiva etmektedir. Bilgi, kurumsal süreçlerde üretilen her türlü bilgi, belge, kayıt ve dokümanı; iletişim ise bilgi formatındaki bu kaynakların, kurum içerisine veya dışarısına uygun biçimlerde iletilmesine ilişkin yapılan faaliyetleri ifade etmektedir. Ancak, bilginin üretilmesi tek başına yeterli değildir. Elde edilen bilginin kurumsal amaçlara ve hedeflere ulaşılması noktasında faydalı olabilmesi ve iç kontrol sisteminde işlerliğin sağlanabilmesi açısından, söz konusu bilginin, uygun iletişim kanalları ile transferi ve ihtiyaç duyulan alanlarda kullanılması da gereklidir. Faaliyet alanlarına yönelik doğru, güvenilir, eksiksiz, zamanlı ve uygun bilginin üretilmesi ve bu bilgilerin ilgililere ulaştırılması kurumsal amaçlara ve hedeflere ulaşılması bakımından son derece önemlidir. İhtiyaç duyulan bilgilerin doğru formlarda elde edilmesini ve uygun zaman aralığında en az maliyetle karar vericilere ve diğer tüm ilgililere ulaştırılmasını sağlayan yönetim bilgi sistemlerinin varlığı ve işlerliği iç kontrol sisteminin başarısı açısından kritik öneme sahiptir.

Üretilen bilginin kalitesi ve uygun zamanlı olarak karar alma süreçlerine ulaştırılması kurum yönetiminin doğru ve yerinde kararlar alabilme kabiliyetini doğrudan etkileyecektir. Bilgi ve iletişim, yalnızca bilginin üretilme ve transferi aşamalarını değil aynı zamanda üretilen bu bilgi, belge ve dokümanların kaydedilme, dosyalanma, arşivlenme ve muhafaza edilme faaliyetlerini de kapsamaktadır. Ayrıca, bilgi ve belgelere erişim konusundaki bilgi güvenliği politikaları, yetkilendirmeler ve diğer tüm tedbirler kurumsal hafızanın oluşturulması ve sürdürülebilirliği açısından önemlidir.

İZLEME

İç kontrol sistemi, işlerliğinin ve performansının değerlendirilmesi amacıyla düzenli aralıklarla (yılda en az bir kez) ve sürekli olarak izlenmelidir. İç kontrol sisteminin başlangıçta tasarladığı gibi çalışıp çalışmadığının takibi ve değerlendirilmesi üst yönetimin sorumluluğundadır ve kurum yönetimi bu sorumluluğun yerine getirilmesinde iç denetim sisteminden yardım alabilir. İç kontrol sisteminin izlenmesine ve değerlendirilmesine yönelik faaliyetler; çalışanlar, yöneticiler, iç denetçiler tarafından yapılabilir. İzleme prosedür ve yöntemleri, kurumsal süreçlere ilişkin rutin faaliyetler yürütülürken eş zamanlı olarak yapılabileceği gibi, iç denetim tarafından özel değerlendirme yöntemleri kullanılarak da gerçekleştirilebilir. İç kontrol sistemi içerisindeki aksayan yönlerin tespiti ve sistemin değişen ihtiyaçlara cevap verebilme kabiliyeti, izleme faaliyetleri sırasında değerlendirilmesi ve yönetime raporlanması gereken hususlardır. Bu çerçevede, izleme fonksiyonunun yerine getirilmesine ilişkin faaliyetlerin yürütülmesinde; üst yönetimin, SGB’lerin ve iç denetim birimlerinin, iç kontrol içerisindeki diğer aktörlere nazaran daha fazla sorumluluk sahibi olduğu söylenebilir.