İç Kontrol Sistemi Nedir?
İç kontrol sistemi, işletme organizasyonunda yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, operasyonların etkinliği ve verimliliği, finansal raporlama sisteminin güvenilirliği, yasal düzenlemelere uygunluk sağlamayı amaçlayan ve bu konuda makul bir güvence sağlamak için tasarlanmış ve iş süreçleri içinde yer almasından ötürü bir sistem olarak nitelendirilen bir kavramdır.
İç kontrol sisteminin üç ana amacı ve beş bileşeni vardır:
Amaçları:
- Standart süreçler yardımıyla ve şirketin kaynaklarını optimum seviyede kullanarak operasyonların etkinliğini ve verimliliğini artırmak,
- Güvenilir finansal raporlama süreci oluşturmak ve
- Yasal düzenlemelere uyum sağlandığından emin olmaktır.
Bileşenleri:
- Kontrol ortamı: Şirketin yönetim fonksiyonu ile iç kontrol sistemi ve bunun önemine ilişkin şirket ortakları, yönetim kurulu ve yöneticilerin tutum, davranış ve anlayışlarını içerir.
- Risk değerlendirme: Şirketin belirlediği hedefler bazında riskin tanımlanması ve yönetilme sürecini kapsar.
- Kontrol faaliyetleri: Şirketin hedeflerine ulaşmasını engelleyebilecek risklerin ortaya çıkarılması ve gerekli önlemlerin alınması gibi, işletme yönetiminin talimatlarının uygulanmasını sağlayan işlem seviyesindeki prosedürlerin tümünü kapsar.
- Finansal raporlama ve iletişim ile ilgili faaliyet süreçlerini de içeren bilgi sistemleri: Şirketin varlık, yükümlülük ve öz sermayesinin doğruluğunu sağlamak üzere, faaliyet ve işlemlerinin izlenmesi, kaydedilmesi, sınıflandırılması ve raporlanmasına ilişkin muhasebe sisteminin unsurlarını içerir.
- Kontrollerin gözetimi: Kontrollerin tasarımı ve çalışmasının belirli dönemlerde değerlendirme ve bu değerlendirme sonucunda gerekli durumlarda aksiyon alma sürecidir.
Günümüz iş dünyasında etkin bir iç kontrol sisteminin şirketin sürdürülebilir büyüme stratejilerini destekler bir şekilde tasarlanması durumunda, şirket değerini artıran en önemli unsurlardan biri olduğu görülmektedir. Etkin Bir Kontrol Sistemi Kurmazsam Hangi Risklerle Karşılaşırım?
İç kontrol sisteminin etkin bir şekilde tasarlanmaması ve uygulanmamasını olumsuz sonuçları dört ana başlıkta özetlenebilir:
Zayıf Kontroller
Şirket ortakları, yönetim kurulu ve yöneticilerin tutum, davranış ve anlayışlarını organizasyon genelinde açık ve güçlü bir şekilde iletilmemektedir. Kontrol ortamının tesisinde en önemli kavramlar olan ahlak ve dürüstlük üzerinde yeterli odaklanma sağlanamamaktadır. Uygulanan kontroller yazılı ve resmi değildir. Hata ve suistimaller oluştuktan sonra fark edilmekte, şirket sahipleri ve yöneticilerinin yaptığı rutin olmayan işlemlerin incelenmesine ilişkin prosedürler uygulanmamaktadır.
Kontrollerin yetersiz uygulanmasından dolayı bir çok hata ve suistimal engellenemektedir. Bu noktada Türkiye’de en çok karşılaşılan hususlar:
- Kasadaki paranın kötüye kullanılması (gereksiz harcamalar, alınan avanslar gibi),
- Mutabakatların yapılmamasından dolayı cari hesaplarda hata ve suistimallerin olması,
- Yüksek maliyetten ürün ve hizmet alınması (tekliflerin yetersiz alınması, yetersiz pazarlık veya üçüncü taraflarlarında içinde olduğu suistimaller),
- Gereksiz fazla stok ve sabit kıymet alımları,
- Hırsızlık, zimmete para geçirme,
- Mevzuata uygun olmayan gelir ve giderlerin defterlere işlenmesi,
- Uygun onay mekanizmalarından geçmemiş işlemlerin yapılması.
Yasal Düzenlemelere Uymama
Şirket içinde kontrol ortamı sağlıklı değil ve uyulması gereken usul ve esaslar şirket sahipleri, yönetim kurulu üyeleri de dahil çalışanlar tarafından uygulanmıyorsa, yapılan işlem ve uygulamaların ilgili yasal düzenlemelere uymama riski artmaktadır.
Güvenlik Önlemlerinin Yetersizliği
Şirket varlıklarının (kasa ve bankadaki para, depoda mal, işletmedeki sabit kıymet gibi) korunmaması ve bu varlıkların hata ve suistimal riskine açık olması. Şirketin her türlü bilgi işlem teknolojilerine ilişkin varlıkları (hardware ve software) ile şirketin fikri mülkiyet hakları da bu kapsamda düşünülmelidir.
Yetersiz Bilgi Akışı
Dokümantasyon yetersiz ve kurumsal hafıza zayıftır. Personel devir hızının yüksek olması durumunda problem ciddi boyutlara ulaşabilir. Hesap verme kültürü zayıftır.
Yönetim raporlamasının yetersiz olmasından dolayı, şirket sahibi, yönetim kurulu ve üst düzey yöneticilere bilgi akışı sağlıklı değildir. Dolayısıyla yönetime ilişkin kararlar, finansal bilgilerin uygun bir şekilde değerlendirilmesi süzgecinden geçmeden verilmek durumundadır. Çoğu kez işlemlere girerken sağlıklı maliyet, gelir ve gider çalışmaları yapılamamaktadır.
Halka Kapalı Şirketler İçin İç Kontroller Neden Önemlidir?
Son yıllarda dünyada ve Türkiye’de meydana gelen şirket skandallarının, suistimallerin ve iflasların arkasındaki en önemli sebeplerden biri kuşkusuz şirketlerdeki iç kontrol sistemlerinin sağlıklı çalışmamasıdır. Günümüz iş dünyasında, şirketin durumu ne olursa olsun (halka açık veya kapalı, patron veya aile şirketi gibi) sağlıklı çalışan bir iç kontrol sisteminin varlığı süreklilik ve büyüme için vazgeçilmez bir unsur olmuştur.
Aşağıda kısaca halka kapalı şirketlerde “neden iç kontrol önemli” sorusunun cevabı, halka kapalı Türk şirketlerindeki “iç kontrollerin mevcut durumu ve karşılaşılan riskler” ile “etkin bir iç kontrol sistemine sahip olmanın şirketlere sağladığı faydalar” üzerinde odaklanılarak açıklanmaya çalışılacaktır.
Halka Kapalı Şirketlerde İç Kontrollerin Mevcut Durumu ve Riskler
Yapılan değerlendirmelerde halka kapalı şirketlerde mevcut iç kontrollere ilişkin çok önemli zaaflar tespit edilmekte ve bu zaaflar şirketleri ciddi risklerle karşı karşıya bırakmaktadır. Aşağıda Türkiye’de halka kapalı patron ve aile şirketlerinde sıklıkla karşılaşılan durumlar özetlenmiştir:
- Kontrollerin genellikle formal olarak tanımlanmamasından dolayı mevcut kontroller organizasyon genelinde bilinmemekte ve dolayısıyla tasarlandığı gibi işlememektedir.
- Sağlıklı çalıştığı düşünülen bir çok kontrol ve süreç, gerçekte ya kısmen çalışmakta veya hiç çalışmamakta yada hiç mevcut olmadığı görülmektedir.
- Görevlerin ayrılığı konsepti çoğu halka kapalı şirkete, patron ve aile şirketlerine yabancı bir kavram olup, bazı şirketlerde ise varlıkları koruma adına kısmen de olsa temel unsurları uygulanmaktadır. Çoğu zaman bu sorun şirketlerde suistimal riskini arttıran bir faktör olarak karşımıza çıkmaktadır.
- Etkin bir iç kontrol sisteminde uygulanan kontrolün (entegre çalışan sistem ve süreçlerinde desteği ile) hata ve suistimali “oluşmadan önce” ortaya çıkarması beklenirken, Türkiye’deki uygulamalarda kontroller genellikle hata veya suistimali “meydana geldikten sonra” ortaya çıkaracak şekilde ve kişiye bağımlı olarak tasarlanmaktadır.
- Çoğu zaman finansal raporlama üzerindeki kontroller resmiyet ve disiplinden uzak manüel yöntemlerle uygulanmaktadır.
- Çalışanlar çoğunlukla sorumlu oldukları işi anlamamakta ve sorgulamamaktadır.
- Oluşan hataların önemli bir kısmının operasyonel birimler ile mali işler ve idari birimler arasındaki iletişim eksikliğinden kaynaklandığı görülmektedir.
- Uygulanan kontroller ağırlıklı olarak kişiye bağımlıdır ve çalışanlar yaptıkları işlemler ile ilgili yetersiz dokümantayon yapmaktadır. Dokümantasyonun yetersiz olması durumu personel devir hızının yüksek olması ile birleşince, kurumsal hafıza yerleşmemekte ve süreçlerde çok ciddi sıkıntılar oluşmaktadır.
- Raporlama ve analizlerde spreadsheet uygulamaları hızla artmakta, ancak bu spreadsheetler üzerinde uygulanması gereken kontroller ya hiç uygulanmamakta yada çok sınırlı seviyede uygulanmaktadır. Uygulamalarda spreadsheetlarden kaynaklanan bir çok hata ve suistimalin olduğu görülürken, spreadsheetlere ilişkin yapılması gereken kontrollerin çalışanlar tarafından önemsenmediği gözlemlenmektedir.
- Yönetimdeki aile üyelerinin ve patronların çoğu zaman farkında olmadan yaptıkları kural dışı ve etik olmayan işlem ve hareketler, şirket çalışanları üzerinde “rol model” oluşturmakta ve iç kontrollerin etkin uygulanması noktasında yıkıcı bir tesir oluşturmaktadır.
- Yönetimdeki aile üyeleri ve patronlar, hızla büyüyen operasyonlar çerçevesinde “rutin olmayan” önemli operasyonel işlemler yapabilmektedir. Ancak çoğu kez bu işlemlerin finansal raporlama ve mevzuata uygunluk perspektiflerinden incelenmediği ve işlem gerçekleştikten sonra şirketin çok önemli risklerle karşı karşıya kaldığı gözlemlenmektedir.
- Mevcut politika ve prosedürlere ilişkin şirket genelindeki iletişim eksik veya etkin değildir.
- Kontrollerin etkin çalışmamasından dolayı bir çok hata ve suistimal engellenememektedir.
- Şirket sahipleri ve yöneticilerinin işi yönetmek için gereksinim duydukları finansal durum ve performans, nakit akımlar, finansal analizler ve temel performans kriterleri gibi unsurları içeren yönetim raporlaması çoğu zaman bulunmamakta veya çok temel unsurlarını taşıyan ancak yetersiz raporlama metodları uygulanmaktadır.
- Kontrol ortamının etkisi ile “hesap verme ve şeffalık kültürü” şirket sahipleri de dahil çalışanlarda gelişmemiştir.
- Şirket içi birimler arasında ve üçüncü taraflarla “mutabakat kültürü”nün yerleşmediği gözlemlenmektedir. Bu çok temel bir kontrol olmakla birlikte, sağlıklı uygulanmadığı için hata ve suistimal riskini oldukça arttırmaktadır.
- Varlık, süreçler ve IT konularında önemli güvenlik eksikleri bulunmaktadır.
- Şirketlerde sistemin (kültürün de verdiği etki ile) ağırlıklı olarak güvene dayandığı, kurumsallaşmanın temeli olan “kontrol” uygulamalarının yetersiz bir seviyede gerçekleştiği görülmektedir.
Etkin İç Kontrollerin Şirketlere Sağladığı Faydalar
Etkin bir iç kontrol sisteminin tasarlanması ve uygulanması şirket içinde hata ve suistimallerin asgariye indirilmesinin çok daha ötesinde, “şirketin sürekliliği” ve “büyümesi” noktasında hayati önem taşımaktadır.
Sonuç olarak etkin bir iç kontrol sistemi şirkete bir çok açıdan değer katar ve şirketin sürdürülebilir bir büyüme stratejisine destek verir.