Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

Treadway Komisyonu Sponsor Kuruluşlar Komitesi

İç Kontrol - Bütünleşik Çerçeve

Yönetici Özeti

Mayıs 2013
ISBN 978-1-93735-239-4

©2013 Tüm Hakları Saklıdır. Bu yayının hiçbir bölümü yazılı izin alınmaksızın herhangi bir biçimde veya herhangi bir yolla
çoğaltılamaz, yeniden dağıtılamaz, iletilemez veya sergilenemez. Lisanslama ve yeniden basım izinleri ile ilgili bilgi için
lütfen COSO telifli materyallerin lisanslama ve izin temsilcisi olan Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü ile
iletişime geçin. Tüm sorularınızı copyright@aicpa.org adresine veya AICPA, Attn: Manager, Rights and Permissions, 220
Leigh Farm Rd., Durham, NC 27707 adresine yöneltebilirsiniz. Telefonla sorular 888-777-7077 numaralı telefona
yönlendirilebilir.
 Treadway Komisyonu Sponsor Kuruluşlar Komitesi

o m m i tte o f S p o n s o r i n g O r g a n i z a syo n l a r o f t h
e
İç Kontrol - Bütünleşik Çerçeve
Tre a d way Co m m i s

Yönetici Özeti

Mayıs 2013
Bu proje, kurumsal performansı ve gözetimi iyileştirmek ve kurumlardaki suistimallerin
boyutunu azaltmak için tasarlanan iç kontrol, kurumsal risk yönetimi ve suistimal
caydırıcılığı konularında kapsamlı çerçeveler ve kılavuzlar geliştirerek düşünce liderliği
sağlamaya kendini adamış olan COSO tarafından görevlendirilmiştir. COSO bir özel
sektör girişimidir, ortaklaşa desteklenmekte ve finanse edilmektedir:

• Amerikan Muhasebe Derneği (AAA)

• Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA)

• Financial Executives International (FEI)

• Yönetim Muhasebecileri Enstitüsü (IMA)

• İç Denetçiler Enstitüsü (IIA)

Treadway Komisyonu Sponsor Kuruluşlar
Komitesi

Yönetim Kurulu
Üyeleri Mark S. Beasley Richard F. Chambers
Douglas F. Prawitt İç Denetçiler Enstitüsü
David L. Landsittel
COSO Başkanı Amerikan Muhasebe Derneği

Charles E. Landes Marie N. Hollein Sandra Richtermeyer

Amerikan Sertifikalı Kamu Financial Executives International Jeffrey C. Thomson
Muhasebecileri Enstitüsü Yönetim Muhasebecileri
Enstitüsü

PwC-Yazar

Başlıca Katkıda Bulunanlar

Miles E.A. Stephen E. Soske Frank J. Martens
Everson Katılım Proje Lideri Ortak Proje Baş Direktörü
Lideri New York, ABD Boston, ABD Vancouver, Kanada

Cara M. Beston Charles E. Harris J. Aaron Garcia

Ortak Ortak Müdür
San Jose, ABD Florham Park, ABD San Diego, ABD

Catherine I. Jourdan Jay A. Posklensky Sallie Jo Perraglia

Müdür Müdür Müdür
Paris, Fransa Florham Park, ABD New York, ABD
Danışma Konseyi

Sponsor Kuruluş Temsilcileri

Audrey A. Gramling Steven E. Jameson J. Stephen McNally
Bellarmine Community Trust Bank Campbell Soup Company
Üniversitesi Fr. Genel Müdür Yardımcısı ve İç Finans Direktörü/Kontrolör
Raymond J. Treece Denetim ve Riskten Sorumlu
Bağışlanmış Kürsüsü Başkan Yardımcısı

Ray Purcell William D. Schneider Sr.

Pfizer AT&T
Mali Kontroller Direktörü Muhasebe Direktörü

Geniş Üyeler
Jennifer Burns James DeLoach Trent Gazzaway
Deloitte Protiviti Grant Thornton
Ortak Genel Müdür Ortağı

Cees Klumper Thomas Montminy Alan Paulus

AIDS, Tüberküloz ve Sıtma PwC Ernst & Young LLP
ile Mücadele Küresel Fonu Ortak Ortak
Baş Risk Yöneticisi

Thomas Ray Dr. Larry E. Rittenberg Sharon Todd

Baruch Koleji Wisconsin Üniversitesi KPMG
Muhasebe Emeritus Profesörü Ortak
COSO Emeritus Başkanı

Kenneth L. Vander Wal

ISACA
Uluslararası Başkan 2011-2012

Düzenleyici Gözlemciler ve Diğer Gözlemciler

James Dalkin
Hükümet Hesap Verebilirlik Ofisi
Direktörü Mali Yönetim ve
Güvence Ekibi
Harrison E. Greene
Jr. Federal Mevduat
Sigorta Kurumu
Baş Muhasebeci Yardımcısı
Christian Peo Menkul
Kıymetler ve Borsa
Komisyonu
Profesyonel Muhasebe Üyesi (Haziran
2012'ye kadar)

Amy Steele Menkul Vincent Tophoff Keith Wilson

Kıymetler ve Borsa Uluslararası Halka Açık Şirketler Muhasebe
Komisyonu Muhasebeciler Gözetim Kurulu
Baş Muhasebeci Federasyonu Baş Denetçi Yardımcısı
Yardımcısı (Temmuz Kıdemli Teknik Müdür
2012'den itibaren)
Önsöz
1992 yılında Treadway Komisyonu Sponsor Kuruluşlar Komitesi (COSO) İç Kontrol-
Bütünleşik Çerçevesini (orijinal çerçeve) yayınlamıştır. Orijinal çerçeve geniş bir kabul
görmüştür ve dünya çapında yaygın olarak kullanılmaktadır. İç kontrolün tasarlanması,
uygulanması, kontrol edilmesi ve iç kontrolün etkinliğinin değerlendirilmesi için önde
gelen bir çerçeve olarak kabul edilmektedir.

Orijinal çerçevenin başlangıcından bu yana geçen yirmi yıl içinde, iş ve faaliyet

ortamları dramatik bir şekilde değişmiş, giderek daha karmaşık, teknolojik olarak
yönlendirilen ve küresel hale gelmiştir. Aynı zamanda, paydaşlar daha fazla katılım
göstermekte, iş kararlarını ve kurumun yönetişimini destekleyen iç kontrol sistemlerinin
bütünlüğü için daha fazla şeffaflık ve hesap verebilirlik aramaktadır.

COSO, güncellenmiş İç Kontrol-Bütünleşik Çerçevesini (Çerçeve) sunmaktan

memnuniyet duymaktadır. COSO, Çerçeve'nin kurumların, kurumun hedeflerine ulaşma
olasılığını artırabilecek ve iş ve faaliyet ortamlarındaki değişikliklere uyum
sağlayabilecek iç kontrol sistemlerini etkin v e verimli bir şekilde geliştirmelerini ve
sürdürmelerini sağlayacağına inanmaktadır.

Deneyimli okuyucular, orijinal versiyonda yararlı olduğu kanıtlanmış olan hususlar

üzerine inşa edilen Çerçeve'de aşina oldukları pek çok şey bulacaklardır. İç kontrolün
temel tanımı ve iç kontrolün beş bileşeni muhafaza edilmektedir. Bir iç kontrol sisteminin
etkinliğini değerlendirmek için beş bileşenin dikkate alınması gerekliliği devam etmektedir
temelde değişmemiştir. Ayrıca Çerçeve, iç kontrolün tasarlanması, uygulanması ve
yürütülmesinde ve bir iç kontrol sisteminin etkinliğinin değerlendirilmesinde yönetimin
muhakemesinin önemini vurgulamaya devam etmektedir.

Aynı zamanda Çerçeve, kullanımı ve uygulamayı kolaylaştırmayı amaçlayan

geliştirmeler ve açıklamalar içermektedir. En önemli iyileştirmelerden biri, orijinal
çerçevede tanıtılan temel kavramların resmileştirilmesidir. Güncellenen Çerçeve'de bu
kavramlar artık beş bileşenle ilişkilendirilen ve iç kontrol sistemlerinin tasarlanması ve
uygulanmasında ve etkin iç kontrol için gerekliliklerin anlaşılmasında kullanıcıya açıklık
sağlayan ilkelerdir.

Çerçeve, finansal raporlama hedefleri kategorisinin finansal olmayan ve iç raporlama

gibi diğer önemli raporlama biçimlerini de içerecek şekilde genişletilmesiyle
geliştirilmiştir. Ayrıca Çerçeve, son birkaç on yılda iş ve faaliyet ortamlarında meydana
gelen birçok değişikliğe ilişkin değerlendirmeleri de yansıtmaktadır:

• Yönetişim gözetimi için beklentiler

• Pazarların ve operasyonların küreselleşmesi

• İş dünyasındaki değişiklikler ve artan karmaşıklık

• Yasalar, kurallar, yönetmelikler ve standartlardaki talepler ve karmaşıklıklar

• Yetkinlikler ve sorumluluklar için beklentiler

• Gelişen teknolojilerin kullanımı ve bunlara güvenilmesi

• Suistimalin önlenmesi ve tespit edilmesine ilişkin beklentiler

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 i

 İç Kontrol-Bütünleşik Çerçeve

Bu Yönetici Özeti, yönetim kuruluna, icra kurulu başkanına ve diğer üst düzey
yöneticilere yönelik üst düzey bir genel bakış sunmaktadır. Çerçeve ve Ekler yayını
Çerçeveyi ortaya koymakta, iç kontrolü tanımlamakta, bileşenler ve ilgili ilkeler dahil
olmak üzere etkin iç kontrol için gereklilikleri açıklamakta ve iç kontrolün tasarlanması,
uygulanması, yürütülmesi ve etkinliğinin değerlendirilmesinde kullanılmak üzere tüm
yönetim kademelerine yön vermektedir. Çerçeve içindeki Ekler ve Ekler ek referanslar
sağlar, ancak Çerçevenin bir parçası olarak kabul edilmezler. İç Kontrol Sisteminin
Etkinliğinin Değerlendirilmesi için Açıklayıcı Araçlar, Çerçevenin uygulanmasında faydalı
olabilecek şablonlar ve senaryolar sağlar.

Çerçeveye ek olarak, Dış Finansal Raporlama Üzerinde İç Kontrol: Çerçeve'de ortaya

konan bileşenlerin ve ilkelerin dış finansal tabloların hazırlanmasında nasıl
uygulanabileceğini gösteren pratik yaklaşımlar ve örnekler sağlamak amacıyla eş
zamanlı olarak yayınlanmıştır.

COSO, kuruluşların bir iç kontrol sistemi içindeki izleme faaliyetlerini anlamalarına ve

uygulamalarına yardımcı olmak amacıyla daha önce İç Kontrol Sistemlerinin İzlenmesine
İlişkin Rehber yayınlamıştır. Bu rehber orijinal çerçevenin uygulanmasına yardımcı olmak
üzere hazırlanmış olsa da, COSO bu rehberin güncellenmiş Çerçeve için de benzer
uygulanabilirliğe sahip olduğuna inanmaktadır.

COSO gelecekte Çerçevenin uygulanmasına yardımcı olmak üzere başka belgeler de

yayınlayabilir. Ancak, ne Dış Finansal Raporlama Üzerinde İç Kontrol: Yaklaşımlar ve
Örnekler Özeti, İç Kontrol Sistemlerinin İzlenmesine İlişkin Rehber, ne de geçmişteki
veya gelecekteki diğer rehberler Çerçeveye göre önceliklidir.

COSO tarafından yayımlanan diğer yayınlar arasında Kurumsal Risk Yönetimi -

Entegre Çerçeve (ERM Çerçevesi) de yer almaktadır. ERM Çerçevesi ve Çerçevenin
birbirini tamamlayıcı nitelikte olması amaçlanmıştır ve hiçbiri diğerinin yerine geçmez.
Yine de, bu çerçeveler farklı olsalar ve farklı bir odak noktası sağlasalar da, birbirleriyle
örtüşmektedirler. ERM
Çerçeve iç kontrolü de kapsamaktadır ve orijinal İç Kontrol-Bütünleşik Çerçeve metninin
bazı bölümleri yeniden üretilmiştir. Sonuç olarak, ERM Çerçevesi, kurumsal risk yönetiminin
tasarlanması, uygulanması, yürütülmesi ve değerlendirilmesi için geçerli ve uygun olmaya
devam etmektedir.

Son olarak COSO, Çerçeve ve ilgili belgelerin geliştirilmesindeki katkılarından dolayı

PwC ve Danışma Konseyi'ne teşekkür eder. Birçok paydaş tarafından sağlanan
girdileri tam olarak dikkate almaları ve içgörüleri, orijinal çerçevenin temel güçlü
yönlerinin korunmasını, netleştirilmesini ve güçlendirilmesini sağlamada etkili olmuştur.

David L. Landsittel
COSO Başkanı

ii İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013

Yönetici Özeti
İç kontrol, kurumların önemli hedeflere ulaşmalarına ve performanslarını sürdürmelerine
ve geliştirmelerine yardımcı olur. COSO'nun İç Kontrol-Bütünleşik Çerçevesi (Çerçeve),
kurumların değişen iş ve faaliyet ortamlarına uyum sağlayan, riskleri kabul edilebilir
seviyelere indiren ve kurumun sağlıklı karar almasını ve yönetişimini destekleyen iç
kontrol sistemlerini etkin ve verimli b i r şekilde geliştirmelerini sağlar.

Etkili bir iç kontrol sistemi tasarlamak ve uygulamak zor olabilir; bu sistemi her gün etkili
ve verimli bir şekilde işletmek ise göz korkutucu olabilir. Yeni ve hızla değişen iş
modelleri, teknolojinin daha fazla kullanımı ve bağımlılığı, artan düzenleyici gereklilikler
ve inceleme, küreselleşme ve diğer zorluklar, herhangi bir iç kontrol sisteminin iş, işletme
ve düzenleyici ortamlardaki değişikliklere uyum sağlamada çevik olmasını gerektirir.

Etkili bir iç kontrol sistemi, politika ve prosedürlere sıkı sıkıya bağlı kalmaktan daha
fazlasını gerektirir: muhakemenin kullanılmasını gerektirir. Yönetim ve yönetim kurulları1 ne
kadar kontrolün yeterli olduğunu belirlemek için muhakeme k u l l a n ı r l a r . Yönetim ve diğer
personel, kurum genelinde kontrolleri seçmek, geliştirmek ve uygulamak için her gün
muhakeme kullanır. Yönetim ve iç denetçiler, diğer personelin yanı sıra, iç kontrol
sisteminin etkinliğini izlerken ve değerlendirirken muhakeme kullanırlar.

Çerçeve, yönetime, yönetim kurullarına, dış paydaşlara ve kurumla etkileşim içinde

olan diğer kişilere iç kontrolle ilgili görevlerinde aşırı kuralcı olmadan yardımcı olur.
Bunu, hem bir iç kontrol sistemini neyin oluşturduğunun anlaşılmasını hem de iç
kontrolün ne zaman etkin bir şekilde uygulandığına dair içgörü sağlayarak yapar.

Yönetim ve yönetim kurulları için Çerçeve şunları öngörmektedir:

• İç kontrolün, sektör veya yasal yapıdan bağımsız olarak her tür kurumda,
kurum, işletme birimi veya fonksiyon seviyelerinde uygulanmasına yönelik bir
araç

• Esneklik sağlayan ve iç kontrolün tasarlanması, uygulanması ve

yürütülmesinde muhakemeye izin veren ilkelere dayalı bir yaklaşım - kurum,
işletme ve fonksiyonel düzeylerde uygulanabilen ilkeler

• Bileşenlerin ve ilkelerin nasıl mevcut olduğunu ve işlediğini ve bileşenlerin

birlikte nasıl çalıştığını dikkate alarak etkin bir iç kontrol sistemi için gereklilikler

• Riskleri tanımlamak ve analiz etmek ve risklere kabul edilebilir seviyelerde ve

dolandırıcılıkla mücadele önlemlerine daha fazla odaklanarak uygun yanıtlar
geliştirmek ve yönetmek için bir araç

1 Çerçeve, yönetim kurulu, mütevelli heyeti, genel ortaklar, mal sahibi veya denetim kurulu dahil
olmak üzere yönetim organını kapsayan "yönetim kurulu" terimini kullanmaktadır.

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 1

 İç Kontrol-Bütünleşik Çerçeve

• İç kontrol uygulamasını finansal raporlamanın ötesinde diğer raporlama

biçimlerine, operasyonlara ve uyum hedeflerine genişletme fırsatı

• Kurumun hedeflerine ulaşmasına yönelik risklerin azaltılmasında asgari

değer sağlayan etkisiz, gereksiz veya verimsiz kontrollerin ortadan
kaldırılması için bir fırsat

Bir kurumun dış paydaşları ve kurumla etkileşim içinde o l a n diğer kişiler için bu
Çerçevenin uygulanması şunları sağlar

• Yönetim kurulunun iç kontrol sistemlerini gözetimine daha fazla

güven duyulması

• Kurum hedeflerine ulaşılması konusunda daha fazla güven

• Kurumun riskleri ve iş ve faaliyet ortamlarındaki değişiklikleri belirleme,

analiz etme ve bunlara yanıt verme becerisine daha fazla güven

• Etkin bir iç kontrol sisteminin gerekliliğinin daha iyi anlaşılması

• Yönetimin muhakeme gücünü kullanarak etkisiz, gereksiz veya verimsiz

kontrolleri ortadan kaldırabileceğinin daha iyi anlaşılması

İç kontrol seri bir süreç değil, dinamik ve entegre bir süreçtir. Çerçeve tüm k u r u m l a r
için geçerlidir: büyük, orta ölçekli, küçük, kâr amacı güden ve gütmeyen kurumlar ve
kamu kurumları. Bununla birlikte, her bir kurum iç kontrol sistemini uygulamayı seçebilir.
kontrol farklıdır. Örneğin, daha küçük bir işletmenin iç kontrol sistemi daha az resmi ve daha
az yapılandırılmış olabilir, ancak yine de etkin bir iç kontrole sahip olabilir.

Bu Yönetici Özetinin geri kalanında iç kontrolün tanımı, hedef kategorileri, gerekli

bileşenlerin ve ilgili ilkelerin tanımı ve etkin bir iç kontrol sisteminin gereklilikleri de dahil
olmak üzere iç kontrole genel bir bakış sunulmaktadır. Ayrıca, hiçbir iç kontrol
sisteminin mükemmel olamayacağının nedenleri olan sınırlamaların bir tartışmasını da
içermektedir. Son olarak, çeşitli tarafların Çerçeveyi nasıl kullanabileceklerine ilişkin
değerlendirmeler sunmaktadır.

2 İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013

 Yönetici Özeti

İç Kontrolün Tanımlanması
İç kontrol aşağıdaki şekilde tanımlanmaktadır:

İç kontrol, bir kurumun yönetim kurulu, yönetimi ve diğer personeli tarafından

yürütülen, faaliyetler, raporlama ve uygunluk ile ilgili hedeflere ulaşılması
konusunda makul güvence sağlamak üzere tasarlanmış bir süreçtir.

Bu tanım bazı temel kavramları yansıtmaktadır. İç kontrol:

• Bir veya daha fazla kategorideki hedeflere ulaşmaya yöneliktir -

operasyonlar, raporlama ve uyumluluk

• Devam eden görev ve faaliyetlerden oluşan bir süreç - kendi başına bir amaç
değil, bir amaca yönelik bir araç

• İnsanlar tarafından etkilenir - sadece politika ve prosedür kılavuzları, sistemler

ve formlar değil, insanlar ve bir kurumun her seviyesinde iç kontrolü etkilemek
için yaptıkları eylemler hakkında

• Bir işletmenin üst yönetimine ve yönetim kuruluna mutlak güvence değil

ancak makul güvence sağlayabilir

• Tüzel kişilik yapısına uyarlanabilir - tüm tüzel kişilik veya belirli bir yan kuruluş,
bölüm, işletme birimi veya iş süreci için esnek uygulama

Bu tanım kasıtlı olarak geniş tutulmuştur. Kurumların iç kontrolü nasıl tasarladıkları,

uyguladıkları ve yürüttükleri konusunda temel teşkil eden önemli kavramları kapsar ve
farklı kurum yapılarında, sektörlerde ve coğrafi bölgelerde faaliyet gösteren kurumlar
arasında uygulama için bir temel sağlar.

Hedefler
Çerçeve, kurumların iç kontrolün farklı yönlerine odaklanmasına olanak tanıyan üç hedef
kategorisi öngörmektedir:

• Faaliyet Hedefleri - Bunlar, operasyonel ve finansal performans hedefleri ve

varlıkların kayba karşı korunması dahil olmak üzere kurumun faaliyetlerinin
etkinliği ve verimliliği ile ilgilidir.

• Raporlama Hedefleri - Bunlar iç ve dış finansal ve finansal olmayan

raporlama ile ilgilidir ve güvenilirlik, zamanlılık, şeffaflık
veya düzenleyiciler, tanınmış standart belirleyiciler veya kurumun politikaları
tarafından belirlenen diğer şartlar.

• Uyum Hedefleri - Bunlar, kurumun tabi olduğu yasa ve yönetmeliklere

uyulması ile ilgilidir.

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 3

 İç Kontrol-Bütünleşik Çerçeve

İç Kontrolün Bileşenleri
İç kontrol beş entegre bileşenden oluşmaktadır.

Kontrol Ortamı
Kontrol ortamı, kurum genelinde iç kontrolün yürütülmesi için temel oluşturan standartlar,
süreçler ve yapılar bütünüdür. Yönetim kurulu ve üst yönetim, beklenen davranış
standartları da dahil olmak üzere iç kontrolün önemine ilişkin tonu en üstte belirler.
Yönetim, beklentileri kurumun çeşitli düzeylerinde pekiştirir. Kontrol ortamı, kurumun
dürüstlük ve etik değerlerini; yönetim kurulunun yönetişim gözetim sorumluluklarını yerine
getirmesini sağlayan parametreleri; organizasyonel yapı ile yetki ve sorumluluk
dağılımını; yetkin bireylerin kuruma çekilmesi, geliştirilmesi ve kurumda tutulmasına
yönelik süreci; ve performansa ilişkin hesap verebilirliği sağlamak için performans
ölçütleri, teşvikler ve ödüllere ilişkin titizliği kapsar. Sonuçta ortaya çıkan kontrol ortamı,
genel iç kontrol sistemi üzerinde yaygın bir etkiye sahiptir.

Risk Değerlendirmesi
Her kurum dış ve iç kaynaklardan gelen çeşitli risklerle karşı karşıyadır. Risk, bir olayın
meydana gelme ve hedeflere ulaşılmasını olumsuz etkileme olasılığı olarak tanımlanır.
Risk değerlendirmesi, hedeflere ulaşılmasına yönelik risklerin belirlenmesi ve
değerlendirilmesi için dinamik ve yinelemeli bir süreci içerir. Kurum genelinde bu
hedeflere ulaşılmasına yönelik riskler, belirlenmiş risk toleranslarına göre değerlendirilir.
Böylece risk değerlendirmesi, risklerin nasıl yönetileceğini belirlemek için temel oluşturur.

Risk değerlendirmesinin ön koşulu, kurumun farklı düzeyleriyle bağlantılı hedeflerin

oluşturulmasıdır. Yönetim, faaliyetler, raporlama ve uygunluk ile ilgili kategorilerdeki
hedefleri, bu hedeflere yönelik riskleri tanımlayabilmek ve analiz edebilmek için yeterli
açıklıkta belirler. Yönetim ayrıca hedeflerin kurum için uygunluğunu da göz önünde
bulundurur. Risk değerlendirmesi ayrıca yönetimin dış çevrede ve kendi iş modelinde iç
kontrolü etkisiz hale getirebilecek olası değişikliklerin etkisini de dikkate almasını
gerektirir.

Kontrol Faaliyetleri
Kontrol faaliyetleri, yönetimin hedeflere ulaşılmasına yönelik riskleri azaltma yönündeki
direktiflerinin yerine getirilmesini sağlamaya yardımcı olan politika ve prosedürler
aracılığıyla oluşturulan eylemlerdir. Kontrol faaliyetleri kurumun her seviyesinde, iş
süreçlerinin çeşitli aşamalarında ve teknoloji ortamı üzerinde gerçekleştirilir. Önleyici
veya tespit edici nitelikte olabilirler ve yetkilendirmeler ve onaylar, doğrulamalar,
mutabakatlar ve iş performansı incelemeleri gibi bir dizi manuel ve otomatik faaliyeti
kapsayabilirler. Görevler ayrılığı genellikle kontrol faaliyetlerinin seçimi ve geliştirilmesine
dahil edilir. Görevler ayrılığının pratik olmadığı durumlarda, yönetim alternatif kontrol
faaliyetleri seçer ve geliştirir.

4 İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013

 Yönetici Özeti

Bilgi ve İletişim
Bilgi, kurumun hedeflerine ulaşmasını desteklemek üzere iç kontrol sorumluluklarını
yerine getirmesi için gereklidir. Yönetim, iç kontrolün diğer bileşenlerinin işleyişini
desteklemek için hem iç hem de dış kaynaklardan ilgili ve kaliteli bilgileri elde eder veya
üretir ve kullanır. İletişim, gerekli bilgilerin sağlanması, paylaşılması ve elde edilmesine
yönelik sürekli ve yinelemeli bir süreçtir. İç iletişim, bilginin kurum içinde yayılmasını,
yukarı, aşağı ve kurum boyunca akmasını sağlayan araçtır. Personelin üst yönetimden
kontrol sorumluluklarının ciddiye alınması gerektiğine dair net bir mesaj almasını sağlar.
Dış iletişim iki yönlüdür: ilgili dış bilgilerin gelen iletişimini sağlar ve ihtiyaç ve beklentilere
yanıt olarak dış taraflara bilgi sağlar.

İzleme Faaliyetleri
Sürekli değerlendirmeler, ayrı değerlendirmeler veya bu ikisinin bir kombinasyonu, iç
kontrolün beş bileşeninin her birinin, her bir bileşen içindeki ilkeleri etkileyen kontroller
de dahil olmak üzere, mevcut olup olmadığını ve işleyip işlemediğini tespit etmek
i ç i n kullanılır. Kurumun farklı seviyelerindeki iş süreçlerine yerleştirilen sürekli
değerlendirmeler zamanında bilgi sağlar. Periyodik olarak yapılan ayrı
değerlendirmelerin kapsamı ve sıklığı, risklerin değerlendirilmesine, devam eden
değerlendirmelerin etkinliğine ve diğer yönetim değerlendirmelerine bağlı olarak değişir.
Bulgular, düzenleyiciler, tanınmış standart belirleyici kurumlar veya yönetim ve yönetim
kurulu tarafından belirlenen kriterlere göre değerlendirilir ve eksiklikler uygun şekilde
yönetime ve yönetim kuruluna iletilir.

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 5

 İç Kontrol-Bütünleşik Çerçeve

Hedefler ve Bileşenler Arasındaki İlişki

Bir kurumun neyi başarmaya çalıştığını ifade eden hedefler ile neyi başarmaya çalıştığını
ifade eden bileşenler arasında doğrudan bir ilişki vardır.
hedeflere ulaşmak için gereklidir ve kurumun
organizasyon yapısı (operasyonel birimler, tüzel
kişilikler ve diğer). Bu ilişki bir küp şeklinde tasvir
edilebilir.

• Üç hedef kategorisi - operasyonlar,

raporlama ve uyum - sütunlarla temsil
edilmektedir.

• Beş bileşen satırlar tarafından temsil

edilmektedir.

• Bir kuruluşun organizasyon yapısı üçüncü

boyut tarafından temsil edilir.

Bileşenler ve İlkeler
Çerçeve, her bir bileşenle ilişkili temel kavramları temsil eden on yedi ilke ortaya
koymaktadır. Bu ilkeler doğrudan bileşenlerden alındığı için, bir işletme tüm ilkeleri
uygulayarak etkin bir iç kontrol elde edebilir. Tüm ilkeler faaliyetler, raporlama ve
uygunluk hedefleri için geçerlidir. İç kontrol bileşenlerini destekleyen ilkeler aşağıda
listelenmiştir.

Kontrol Ortamı
1. Kuruluş2
dürüstlük ve etik değerlere bağlılık göstermektedir.

2. Yönetim kurulu, yönetimden bağımsızlığını ortaya koyar ve iç kontrolün

geliştirilmesi ve performansının gözetimini gerçekleştirir.

3. Yönetim, yönetim kurulunun gözetiminde, yapıları, raporlama hatlarını ve

hedeflerin gerçekleştirilmesi için uygun yetki ve sorumlulukları belirler.

4. Kurum, hedeflerle uyumlu olarak yetkin bireyleri çekme, geliştirme ve elde tutma
taahhüdü gösterir.

5. Kurum, hedeflerin gerçekleştirilmesinde bireyleri iç kontrol sorumluluklarından

sorumlu tutar.

2 Çerçeve'nin amaçları doğrultusunda, "organizasyon" terimi, iç kontrol tanımında yansıtıldığı gibi,

yönetim kurulu, yönetim ve diğer personeli toplu olarak kapsayacak şekilde kullanılır.

6 İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013

 Yönetici Özeti

Risk Değerlendirmesi
6. Kurum, hedeflerle ilgili risklerin tanımlanmasını ve değerlendirilmesini mümkün
kılacak yeterli açıklıkta hedefler belirlemektedir.

7. Kurum, kurum genelinde hedeflerine ulaşılmasına yönelik riskleri tanımlar ve

risklerin nasıl yönetilmesi gerektiğini belirlemek için bir temel olarak riskleri
analiz eder.

8. Kurum, hedeflere ulaşılmasına yönelik riskleri değerlendirirken suistimal

potansiyelini göz önünde bulundurur.

9. Kurum, iç kontrol sistemini önemli ölçüde etkileyebilecek değişiklikleri tanımlar ve

değerlendirir.

Kontrol Faaliyetleri
10. Organizasyon, hedeflere ulaşılmasına yönelik risklerin kabul edilebilir seviyelere
indirilmesine katkıda bulunan kontrol faaliyetlerini seçer ve geliştirir.

11. Organizasyon, hedeflere ulaşılmasını desteklemek için teknoloji üzerindeki genel

kontrol faaliyetlerini seçer ve geliştirir.

12. Organizasyon, kontrol faaliyetlerini, neyin beklendiğini belirleyen politikalar ve

politikaları eyleme geçiren prosedürler aracılığıyla uygular.

Bilgi ve İletişim
13. Kurum, iç kontrolün işleyişini desteklemek için ilgili, kaliteli bilgileri elde eder
veya üretir ve kullanır.

14. Kurum, iç kontrolün işleyişini desteklemek için gerekli olan, iç kontrole ilişkin
hedefler ve sorumluluklar da dahil olmak üzere bilgileri kurum içinde iletir.

15. Kurum, iç kontrolün işleyişini etkileyen konularla ilgili olarak dış taraflarla iletişim
kurar.

İzleme Faaliyetleri
16. Kurum, iç kontrol bileşenlerinin mevcut olup olmadığını ve işleyip işlemediğini
tespit etmek için sürekli ve/veya ayrı değerlendirmeler seçer, geliştirir ve
gerçekleştirir.

17. Kurum, iç kontrol eksikliklerini değerlendirir ve uygun şekilde üst yönetim ve

yönetim kurulu da dâhil olmak üzere düzeltici eylemde bulunmaktan sorumlu
taraflara zamanında iletir.

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 7

 İç Kontrol-Bütünleşik Çerçeve

Etkin İç Kontrol
Çerçeve, etkin bir iç kontrol sistemi için gereklilikleri ortaya koymaktadır. Etkin bir
sistem, bir kurumun hedeflerine ulaşması konusunda makul bir güvence sağlar. Etkili bir
iç kontrol sistemi, bir kurumun hedeflerine ulaşamama riskini kabul edilebilir bir seviyeye
indirir ve bir, iki veya üç hedef kategorisinin tamamıyla ilgili olabilir. Şunları gerektirir:

• Beş bileşen ve ilgili ilkelerin her biri mevcut ve işlemektedir. "Mevcut",

bileşenlerin ve ilgili ilkelerin belirlenen hedeflere ulaşmak için iç kontrol
sisteminin tasarımında ve uygulanmasında var olduğunun tespitini ifade eder.
"İşleyiş", bileşenlerin ve ilgili ilkelerin, belirlenen hedeflere ulaşmak için iç
kontrol sisteminin işleyişinde ve yürütülmesinde var olmaya devam ettiğinin
belirlenmesini ifade eder.

• Beş bileşen entegre bir şekilde birlikte çalışır. "İşlet-

birlikte" ifadesi, beş bileşenin birlikte bir hedefe ulaşamama riskini kabul
edilebilir bir düzeye indirdiğinin tespit edilmesi anlamına gelir. Bileşenler ayrı
ayrı düşünülmemelidir; bunun yerine entegre bir sistem olarak birlikte
çalışırlar. Bileşenler, aralarında çok sayıda karşılıklı ilişki ve bağlantı, özellikle
de ilkelerin bileşenler içinde ve arasında etkileşim biçimi ile birbirine bağlıdır.

Bir bileşenin veya ilgili ilkenin mevcudiyeti ve işleyişine ilişkin olarak veya bileşenlerin
birlikte entegre bir şekilde işleyişine ilişkin olarak önemli bir eksikliğin bulunması halinde,
kurumun etkin bir iç kontrol sisteminin gereklerini karşıladığı sonucuna varılamaz.

Bir iç kontrol sisteminin etkin olduğu belirlendiğinde, üst yönetim ve yönetim kurulu,
kurumun yapısı içindeki uygulamaya ilişkin olarak, kurumun makul bir güvenceye sahip
olduğunu kabul eder:

• Dış olayların hedeflere ulaşılması üzerinde önemli bir etkisinin olmayacağı

düşünüldüğünde veya kuruluşun dış olayların niteliğini ve zamanlamasını
makul bir şekilde tahmin edebildiği ve etkiyi kabul edilebilir bir düzeye
indirebildiği durumlarda etkili ve verimli faaliyetler gerçekleştirir

• Dış olayların hedeflere ulaşılması üzerinde önemli bir etkiye sahip olabileceği
veya kuruluşun dış olayların niteliğini ve zamanlamasını makul bir şekilde
tahmin edebildiği ve etkiyi kabul edilebilir bir düzeye indirebildiği durumlarda
faaliyetlerin ne ölçüde etkili ve verimli bir şekilde yönetildiğini anlar

• Yürürlükteki kurallara, düzenlemelere ve standartlara veya kurumun

belirlenmiş raporlama hedeflerine uygun olarak rapor hazırlar

• Yürürlükteki yasalara, kurallara, yönetmeliklere ve dış standartlara uyar

Çerçeve, iç kontrolün tasarlanması, uygulanması ve yürütülmesinde ve etkinliğinin

değerlendirilmesinde muhakeme gerektirir. Kanunlar, kurallar, yönetmelikler ve
standartlar tarafından belirlenen sınırlar dahilinde muhakeme kullanımı, yönetimin iç
kontrol hakkında daha iyi kararlar alma yeteneğini artırır, ancak mükemmel sonuçları
garanti edemez.

8 İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013

 Yönetici Özeti

Sınırlamalar
Çerçeve, iç kontrolün kurumun hedeflerine ulaşması konusunda makul güvence
sağlasa da, sınırlamaların mevcut olduğunu kabul eder. İç kontrol, kötü muhakeme
veya kararları ya da bir kurumun hedeflerine ulaşamamasına neden olabilecek dış
olayları önleyemez.
operasyonel hedeflerine ulaşabilir. Başka bir deyişle, etkin bir iç kontrol sistemi bile
başarısızlığa uğrayabilir. Sınırlamalar şunlardan kaynaklanabilir:

• İç kontrolün ön koşulu olarak belirlenen hedeflerin uygunluğu

• Karar verme sürecinde insan muhakemesinin hatalı olabileceği ve

önyargıya maruz kalabileceği gerçeği

• Basit hatalar gibi insan hataları nedeniyle meydana gelebilecek arızalar

• Yönetimin iç kontrolü geçersiz kılma yeteneği

• Yönetimin, diğer personelin ve/veya üçüncü tarafların gizli anlaşma yoluyla

kontrolleri atlatma yeteneği

• Kurumun kontrolü dışındaki dış olaylar

Bu sınırlamalar, yönetim kurulu ve yönetimin kurumun hedeflerine ulaşması konusunda

mutlak bir güvenceye sahip olmasını engeller; yani, iç kontrol makul bir güvence sağlar
ancak mutlak bir güvence sağlamaz. Bu doğal sınırlamalara rağmen, yönetim bu
sınırlamaları mümkün olduğu ölçüde en aza indiren kontrolleri seçerken, geliştirirken ve
uygularken bunların farkında olmalıdır.

İç Kontrol-Bütünleşik Çerçevenin Kullanılması

Bu raporun nasıl kullanılacağı ilgili tarafların rollerine bağlıdır:

• Yönetim Kurulu - Yönetim kurulu üst yönetimle kurumun iç kontrol sisteminin

durumunu görüşmeli ve gerektiğinde gözetim sağlamalıdır. Üst yönetim iç
kontrolden ve yönetim kuruluna karşı sorumludur ve yönetim kurulunun,
üyelerin kurumun iç kontrolünün gözetimini nasıl sağlaması gerektiğine ilişkin
politika ve beklentilerini belirlemesi gerekir. Yönetim kurulu, kurumun
hedeflerine ulaşmasına yönelik riskler, iç kontrol eksikliklerine ilişkin
değerlendirmeler, bu riskleri ve eksiklikleri azaltmak için uygulanan yönetim
eylemleri ve yönetimin kurumun iç kontrol sisteminin etkinliğini nasıl
değerlendirdiği hakkında bilgilendirilmelidir. Yönetim kurulu yönetime meydan
okumalı ve gerektiğinde zor sorular sormalı ve iç denetçilerden, dış
denetçilerden ve diğerlerinden girdi ve destek almalıdır. Yönetim kurulunun alt
komiteleri genellikle bu gözetim faaliyetlerinden bazılarını ele a l a r a k
yönetim kuruluna yardımcı olabilir.

• Üst Yönetim-Üst yönetim, kurumun iç kontrol bileşenlerini destekleyen on yedi

ilkeyi nasıl uyguladığına odaklanarak, kurumun iç kontrol sistemini Çerçeve ile
ilişkili olarak değerlendirmelidir. Yönetimin Çerçeve'nin 1992 baskısını
uyguladığı durumlarda, öncelikle bu versiyonda yapılan güncellemeleri gözden
geçirmeli (Çerçeve'nin Ek F'sinde belirtildiği üzere) ve bu güncellemelerin
kurumun iç kontrol sistemi üzerindeki etkilerini değerlendirmelidir.

İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013 9

 İç Kontrol-Bütünleşik Çerçeve

iç kontrol sistemi. Yönetim, bu ilk karşılaştırmanın bir parçası olarak ve

işletmenin iç kontrol sisteminin genel etkinliğinin sürekli bir değerlendirmesi
olarak Açıklayıcı Araçları kullanmayı düşünebilir.

• Diğer Yönetim ve Personel-Yöneticiler ve diğer personel bu versiyonda

yapılan değişiklikleri gözden geçirmeli ve bu değişikliklerin kurumun iç kontrol
sistemi üzerindeki etkilerini değerlendirmelidir. Buna ilaveten, Çerçeve
çalışması ışığında sorumluluklarını nasıl yerine getirdiklerini değerlendirmeli
ve iç kontrolün güçlendirilmesine yönelik fikirleri daha kıdemli personel ile
tartışmalıdırlar. Daha spesifik olarak, mevcut kontrollerin iç kontrolün beş
bileşenindeki ilgili ilkeleri nasıl etkilediğini değerlendirmelidirler.

• İç Denetçiler-İç denetçiler kendi iç denetim planlarını ve çerçevenin 1992

baskısını nasıl uyguladıklarını gözden geçirmelidirler. İç denetçiler ayrıca, bu
versiyonda yapılan değişiklikleri ayrıntılı olarak gözden geçirmeli ve bu
değişikliklerin denetim planları, değerlendirmeler ve kurumun iç kontrol sistemi
hakkındaki her türlü raporlama üzerindeki muhtemel etkilerini göz önünde
bulundurmalıdırlar.

• Bağımsız Denetçiler - Bazı ülkelerde bağımsız bir denetçi, işletmenin finansal

tablolarını denetlemenin yanı sıra müşterinin finansal raporlama üzerindeki iç
kontrolünün etkinliğini denetlemek veya incelemek için görevlendirilir.
Denetçiler, kurumun iç kontrol bileşenleri içindeki ilkeleri etkileyen kontrolleri
nasıl seçtiğine, geliştirdiğine ve uyguladığına odaklanarak, kurumun iç kontrol
sistemini Çerçeve ile ilişkili olarak değerlendirebilirler. Denetçiler, yönetime
benzer şekilde, Açıklayıcı Araçları kullanabilirler
Kurumun iç kontrol sisteminin genel etkinliğine ilişkin bu değerlendirmenin bir
parçası olarak.

• Diğer Meslek Kuruluşları - Faaliyetler, raporlama ve uyum konusunda rehberlik

sağlayan diğer meslek kuruluşları, kendi standartlarını ve rehberliklerini
Çerçeve ile karşılaştırmalı olarak değerlendirebilirler. Kavram ve terminolojideki
çeşitlilik ortadan kalktığı ölçüde tüm taraflar bundan fayda sağlayacaktır.

• Eğitimciler-Çerçevenin geniş bir kabul gördüğü varsayımıyla, kavram ve

terimleri üniversite müfredatına girmelidir.

10 İç Kontrol - Bütünleşik Çerçeve - Mayıs 2013