1. Kontrol Ortamı
İç kontrol sistemi her kurum/şirket için aynı değildir. Şirketler ve kontrolleri; sektöre, organizasyon yapısına, kurum kültürüne ve yönetim felsefesine göre farklılaşmaktadır. Tek bir model olarak verilen iç kontrol yapısını, her şirket kendine uyarlayarak sistem içerisine entegre etmelidir. Yönetim, kendisine uygun olarak yerleştireceği kontrollerin yapısının şirkete uygun olup olmadığına dikkate alarak karar vermeli ve uyarlama işlemini yaparken şirketin özel ihtiyaçlarını da göz önünde bulundurmalıdır. Dolayısıyla, iç kontrolün temel amacı;
·Standartlaşmış süreçler oluşturarak işletmeye özgü ve işletmenin tamamını kapsayan bir kültür oluşturmak.
·Şirketin kaynaklarını optimum seviyede kullanarak etkin ve verimli operasyonların yürütülmesini sağlamak.
2. Risk Değerlendirme
Her işletme risklerle karşı karşıya kalmaktadır; bir şekilde bu riskleri yönetmek ve önlem almak zorundadır. İşletmeler, önce hedeflerine ulaşmada karşılaştıkları riskleri belirlemektedir, daha sonra bunların önemini ve gerçekleşme olasılıklarını tespit etmektedirler. Çözüm olarak da, bu riskleri yönetirken başvuracakları iç kontrol mekanizmalarını oluşturmaları gerekmektedir.
İşletmenin riskleri, işletme içinden kaynaklanabileceği gibi işletme dışından da iş riski olarak doğabilmektedir. Çeşitli gelişmeler bu risklerin artmasına veya değişmesine yol açabilmektedir.
Bu gelişmelere örnek olarak (ISA 315, İç kontrol ile ilgili Ek 2);
- İşletmenin faaliyet gösterdiği ortam değişebilir,
- Yeni gelen personelin farklı bir iç kontrol sistemi anlayışı olabilir,
- İşletmenin enformasyon sistemi değişebilir,
- Hızlı büyüme kontrollerde zafiyete yol açabilir,
- Üretim sürecinde yeni teknolojilere geçilmesi iç kontrolde sorunlara yol açabilir,
- Yeni iş alanlarına girilmesi veya yeni faaliyet sahaları ve ürünler beraberinde yeni riskler getirebilir,
- Yeniden yapılanma, işten eleman çıkarılması iç kontrollerde sorumlulukların dağılımı ile ilgili riskler yaratabilir,
- Genişleme veya satın alma yolu, yabancı ülkelerde faaliyet gösterme, örneğin, beraberinde döviz kuru riskini getirebilir,
- Yeni muhasebe prensiplerinin kabulü mali raporların hazırlanmasında riskler doğurabilir.
İç kontrol kapsamında yapılan risk değerlemesinde, denetçi (ISA 315, paragraf 76 & 77), işletmenin mali tablolarına etkisi olacak iş riskini belirleyecek bir iç kontrol sisteminin olup olmadığına bakmalıdır. Eğer bir işletmenin risk değerleme prosedürleri uygun ise, bu denetçiye, önemli ölçüde yapılan yanlışları tespit etme imkânı sağlayabilmektedir.
Uluslararası Muhasebeciler Federasyonu tarafından yayınlanan “Mali Tablo Denetimlerinde Yolsuzluk ve Hataya İlişkin Denetçinin Sorumluluğu” standardına göre hata işletme mali tablolarında kasıt olmadan yapılan yanlışlıkları ifade etmektedir. Yolsuzluk ise yönetim kademesindeki personellerin kasıtlı olarak haksız ya da yasadışı yollarla kendi menfaatlerine avantaj sağlamaları demektir. Uluslararası İç Denetim Mesleki Uygulama Standardı kapsamında suistimal ise, kasıtlı olarak bir dizi usulsüzlük anlamında gelmektedir. İç denetim işletmenin farklı seviyelerdeki faaliyetlerine yönelik olarak ortaya çıkabilecek potansiyel risk ve risk unsurlarını iç kontrol sistemi ile değerlendirerek ortaya çıkabilecek hata, yolsuzluk ve suiistimallerin önlenmesine yardımcı olmaktan sorumludurlar.
Risk değerlendirmesi, işletme hedeflerine ulaşmada ortaya çıkan riskleri tespit etme, analiz etme ve bunlara uygun olarak yanıtların bulunduğu bir süreçtir. Risk değerlendirmesinin diğer bir ifade ile adımları aşağıda belirtilmiştir.
- Risk Tespiti: İşletmenin hedeflerine ulaşmasını engelleyen hem işletme içerisinde hem de işletme dışındaki faktörlerin ortaya çıkardığı risklerin tespitidir.
- Risk Değerlendirme: Riskin ortaya çıkma ihtimalinin hesaplanmasıdır.
- İşletmenin ortaya çıkan risklerini tolere edebilme kapasitesinin belirlenmesidir.
- Riske Verilecek Tepki: Ortaya çıkan riske karşı işletmenin göstereceği tutum olarak nitelendirilebilmektedir. Riskin transferi, riskin kabulü, riskin azaltılması ya da riskin bertaraf edilmesi şeklinde olabilir.
“Risk Değerlendirme Standardı” gelecek sayımızda…
