Professional Documents
Culture Documents
Framework-Executive-Summary TR
Framework-Executive-Summary TR
Yönetici Özeti
Mayıs 2013
ISBN 978-1-93735-239-4
©2013 Tüm Hakları Saklıdır. Bu yayının hiçbir bölümü yazılı izin alınmaksızın herhangi bir biçimde veya herhangi bir yolla
çoğaltılamaz, yeniden dağıtılamaz, iletilemez veya sergilenemez. Lisanslama ve yeniden basım izinleri ile ilgili bilgi için
lütfen COSO telifli materyallerin lisanslama ve izin temsilcisi olan Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü ile
iletişime geçin. Tüm sorularınızı copyright@aicpa.org adresine veya AICPA, Attn: Manager, Rights and Permissions, 220
Leigh Farm Rd., Durham, NC 27707 adresine yöneltebilirsiniz. Telefonla sorular 888-777-7077 numaralı telefona
yönlendirilebilir.
Treadway Komisyonu Sponsor Kuruluşlar Komitesi
o m m i tte o f S p o n s o r i n g O r g a n i z a syo n l a r o f t h
e
İç Kontrol - Bütünleşik Çerçeve
Tre a d way Co m m i s
Yönetici Özeti
Mayıs 2013
Bu proje, kurumsal performansı ve gözetimi iyileştirmek ve kurumlardaki suistimallerin
boyutunu azaltmak için tasarlanan iç kontrol, kurumsal risk yönetimi ve suistimal
caydırıcılığı konularında kapsamlı çerçeveler ve kılavuzlar geliştirerek düşünce liderliği
sağlamaya kendini adamış olan COSO tarafından görevlendirilmiştir. COSO bir özel
sektör girişimidir, ortaklaşa desteklenmekte ve finanse edilmektedir:
Yönetim Kurulu
Üyeleri Mark S. Beasley Richard F. Chambers
Douglas F. Prawitt İç Denetçiler Enstitüsü
David L. Landsittel
COSO Başkanı Amerikan Muhasebe Derneği
PwC-Yazar
Geniş Üyeler
Jennifer Burns James DeLoach Trent Gazzaway
Deloitte Protiviti Grant Thornton
Ortak Genel Müdür Ortağı
Bu Yönetici Özeti, yönetim kuruluna, icra kurulu başkanına ve diğer üst düzey
yöneticilere yönelik üst düzey bir genel bakış sunmaktadır. Çerçeve ve Ekler yayını
Çerçeveyi ortaya koymakta, iç kontrolü tanımlamakta, bileşenler ve ilgili ilkeler dahil
olmak üzere etkin iç kontrol için gereklilikleri açıklamakta ve iç kontrolün tasarlanması,
uygulanması, yürütülmesi ve etkinliğinin değerlendirilmesinde kullanılmak üzere tüm
yönetim kademelerine yön vermektedir. Çerçeve içindeki Ekler ve Ekler ek referanslar
sağlar, ancak Çerçevenin bir parçası olarak kabul edilmezler. İç Kontrol Sisteminin
Etkinliğinin Değerlendirilmesi için Açıklayıcı Araçlar, Çerçevenin uygulanmasında faydalı
olabilecek şablonlar ve senaryolar sağlar.
David L. Landsittel
COSO Başkanı
Etkili bir iç kontrol sistemi tasarlamak ve uygulamak zor olabilir; bu sistemi her gün etkili
ve verimli bir şekilde işletmek ise göz korkutucu olabilir. Yeni ve hızla değişen iş
modelleri, teknolojinin daha fazla kullanımı ve bağımlılığı, artan düzenleyici gereklilikler
ve inceleme, küreselleşme ve diğer zorluklar, herhangi bir iç kontrol sisteminin iş, işletme
ve düzenleyici ortamlardaki değişikliklere uyum sağlamada çevik olmasını gerektirir.
Etkili bir iç kontrol sistemi, politika ve prosedürlere sıkı sıkıya bağlı kalmaktan daha
fazlasını gerektirir: muhakemenin kullanılmasını gerektirir. Yönetim ve yönetim kurulları1 ne
kadar kontrolün yeterli olduğunu belirlemek için muhakeme k u l l a n ı r l a r . Yönetim ve diğer
personel, kurum genelinde kontrolleri seçmek, geliştirmek ve uygulamak için her gün
muhakeme kullanır. Yönetim ve iç denetçiler, diğer personelin yanı sıra, iç kontrol
sisteminin etkinliğini izlerken ve değerlendirirken muhakeme kullanırlar.
• İç kontrolün, sektör veya yasal yapıdan bağımsız olarak her tür kurumda,
kurum, işletme birimi veya fonksiyon seviyelerinde uygulanmasına yönelik bir
araç
1 Çerçeve, yönetim kurulu, mütevelli heyeti, genel ortaklar, mal sahibi veya denetim kurulu dahil
olmak üzere yönetim organını kapsayan "yönetim kurulu" terimini kullanmaktadır.
Bir kurumun dış paydaşları ve kurumla etkileşim içinde o l a n diğer kişiler için bu
Çerçevenin uygulanması şunları sağlar
İç kontrol seri bir süreç değil, dinamik ve entegre bir süreçtir. Çerçeve tüm k u r u m l a r
için geçerlidir: büyük, orta ölçekli, küçük, kâr amacı güden ve gütmeyen kurumlar ve
kamu kurumları. Bununla birlikte, her bir kurum iç kontrol sistemini uygulamayı seçebilir.
kontrol farklıdır. Örneğin, daha küçük bir işletmenin iç kontrol sistemi daha az resmi ve daha
az yapılandırılmış olabilir, ancak yine de etkin bir iç kontrole sahip olabilir.
İç Kontrolün Tanımlanması
İç kontrol aşağıdaki şekilde tanımlanmaktadır:
• Devam eden görev ve faaliyetlerden oluşan bir süreç - kendi başına bir amaç
değil, bir amaca yönelik bir araç
• Tüzel kişilik yapısına uyarlanabilir - tüm tüzel kişilik veya belirli bir yan kuruluş,
bölüm, işletme birimi veya iş süreci için esnek uygulama
Hedefler
Çerçeve, kurumların iç kontrolün farklı yönlerine odaklanmasına olanak tanıyan üç hedef
kategorisi öngörmektedir:
İç Kontrolün Bileşenleri
İç kontrol beş entegre bileşenden oluşmaktadır.
Kontrol Ortamı
Kontrol ortamı, kurum genelinde iç kontrolün yürütülmesi için temel oluşturan standartlar,
süreçler ve yapılar bütünüdür. Yönetim kurulu ve üst yönetim, beklenen davranış
standartları da dahil olmak üzere iç kontrolün önemine ilişkin tonu en üstte belirler.
Yönetim, beklentileri kurumun çeşitli düzeylerinde pekiştirir. Kontrol ortamı, kurumun
dürüstlük ve etik değerlerini; yönetim kurulunun yönetişim gözetim sorumluluklarını yerine
getirmesini sağlayan parametreleri; organizasyonel yapı ile yetki ve sorumluluk
dağılımını; yetkin bireylerin kuruma çekilmesi, geliştirilmesi ve kurumda tutulmasına
yönelik süreci; ve performansa ilişkin hesap verebilirliği sağlamak için performans
ölçütleri, teşvikler ve ödüllere ilişkin titizliği kapsar. Sonuçta ortaya çıkan kontrol ortamı,
genel iç kontrol sistemi üzerinde yaygın bir etkiye sahiptir.
Risk Değerlendirmesi
Her kurum dış ve iç kaynaklardan gelen çeşitli risklerle karşı karşıyadır. Risk, bir olayın
meydana gelme ve hedeflere ulaşılmasını olumsuz etkileme olasılığı olarak tanımlanır.
Risk değerlendirmesi, hedeflere ulaşılmasına yönelik risklerin belirlenmesi ve
değerlendirilmesi için dinamik ve yinelemeli bir süreci içerir. Kurum genelinde bu
hedeflere ulaşılmasına yönelik riskler, belirlenmiş risk toleranslarına göre değerlendirilir.
Böylece risk değerlendirmesi, risklerin nasıl yönetileceğini belirlemek için temel oluşturur.
Kontrol Faaliyetleri
Kontrol faaliyetleri, yönetimin hedeflere ulaşılmasına yönelik riskleri azaltma yönündeki
direktiflerinin yerine getirilmesini sağlamaya yardımcı olan politika ve prosedürler
aracılığıyla oluşturulan eylemlerdir. Kontrol faaliyetleri kurumun her seviyesinde, iş
süreçlerinin çeşitli aşamalarında ve teknoloji ortamı üzerinde gerçekleştirilir. Önleyici
veya tespit edici nitelikte olabilirler ve yetkilendirmeler ve onaylar, doğrulamalar,
mutabakatlar ve iş performansı incelemeleri gibi bir dizi manuel ve otomatik faaliyeti
kapsayabilirler. Görevler ayrılığı genellikle kontrol faaliyetlerinin seçimi ve geliştirilmesine
dahil edilir. Görevler ayrılığının pratik olmadığı durumlarda, yönetim alternatif kontrol
faaliyetleri seçer ve geliştirir.
Bilgi ve İletişim
Bilgi, kurumun hedeflerine ulaşmasını desteklemek üzere iç kontrol sorumluluklarını
yerine getirmesi için gereklidir. Yönetim, iç kontrolün diğer bileşenlerinin işleyişini
desteklemek için hem iç hem de dış kaynaklardan ilgili ve kaliteli bilgileri elde eder veya
üretir ve kullanır. İletişim, gerekli bilgilerin sağlanması, paylaşılması ve elde edilmesine
yönelik sürekli ve yinelemeli bir süreçtir. İç iletişim, bilginin kurum içinde yayılmasını,
yukarı, aşağı ve kurum boyunca akmasını sağlayan araçtır. Personelin üst yönetimden
kontrol sorumluluklarının ciddiye alınması gerektiğine dair net bir mesaj almasını sağlar.
Dış iletişim iki yönlüdür: ilgili dış bilgilerin gelen iletişimini sağlar ve ihtiyaç ve beklentilere
yanıt olarak dış taraflara bilgi sağlar.
İzleme Faaliyetleri
Sürekli değerlendirmeler, ayrı değerlendirmeler veya bu ikisinin bir kombinasyonu, iç
kontrolün beş bileşeninin her birinin, her bir bileşen içindeki ilkeleri etkileyen kontroller
de dahil olmak üzere, mevcut olup olmadığını ve işleyip işlemediğini tespit etmek
i ç i n kullanılır. Kurumun farklı seviyelerindeki iş süreçlerine yerleştirilen sürekli
değerlendirmeler zamanında bilgi sağlar. Periyodik olarak yapılan ayrı
değerlendirmelerin kapsamı ve sıklığı, risklerin değerlendirilmesine, devam eden
değerlendirmelerin etkinliğine ve diğer yönetim değerlendirmelerine bağlı olarak değişir.
Bulgular, düzenleyiciler, tanınmış standart belirleyici kurumlar veya yönetim ve yönetim
kurulu tarafından belirlenen kriterlere göre değerlendirilir ve eksiklikler uygun şekilde
yönetime ve yönetim kuruluna iletilir.
Bileşenler ve İlkeler
Çerçeve, her bir bileşenle ilişkili temel kavramları temsil eden on yedi ilke ortaya
koymaktadır. Bu ilkeler doğrudan bileşenlerden alındığı için, bir işletme tüm ilkeleri
uygulayarak etkin bir iç kontrol elde edebilir. Tüm ilkeler faaliyetler, raporlama ve
uygunluk hedefleri için geçerlidir. İç kontrol bileşenlerini destekleyen ilkeler aşağıda
listelenmiştir.
Kontrol Ortamı
1. Kuruluş2
dürüstlük ve etik değerlere bağlılık göstermektedir.
4. Kurum, hedeflerle uyumlu olarak yetkin bireyleri çekme, geliştirme ve elde tutma
taahhüdü gösterir.
Risk Değerlendirmesi
6. Kurum, hedeflerle ilgili risklerin tanımlanmasını ve değerlendirilmesini mümkün
kılacak yeterli açıklıkta hedefler belirlemektedir.
Kontrol Faaliyetleri
10. Organizasyon, hedeflere ulaşılmasına yönelik risklerin kabul edilebilir seviyelere
indirilmesine katkıda bulunan kontrol faaliyetlerini seçer ve geliştirir.
Bilgi ve İletişim
13. Kurum, iç kontrolün işleyişini desteklemek için ilgili, kaliteli bilgileri elde eder
veya üretir ve kullanır.
14. Kurum, iç kontrolün işleyişini desteklemek için gerekli olan, iç kontrole ilişkin
hedefler ve sorumluluklar da dahil olmak üzere bilgileri kurum içinde iletir.
15. Kurum, iç kontrolün işleyişini etkileyen konularla ilgili olarak dış taraflarla iletişim
kurar.
İzleme Faaliyetleri
16. Kurum, iç kontrol bileşenlerinin mevcut olup olmadığını ve işleyip işlemediğini
tespit etmek için sürekli ve/veya ayrı değerlendirmeler seçer, geliştirir ve
gerçekleştirir.
Etkin İç Kontrol
Çerçeve, etkin bir iç kontrol sistemi için gereklilikleri ortaya koymaktadır. Etkin bir
sistem, bir kurumun hedeflerine ulaşması konusunda makul bir güvence sağlar. Etkili bir
iç kontrol sistemi, bir kurumun hedeflerine ulaşamama riskini kabul edilebilir bir seviyeye
indirir ve bir, iki veya üç hedef kategorisinin tamamıyla ilgili olabilir. Şunları gerektirir:
Bir bileşenin veya ilgili ilkenin mevcudiyeti ve işleyişine ilişkin olarak veya bileşenlerin
birlikte entegre bir şekilde işleyişine ilişkin olarak önemli bir eksikliğin bulunması halinde,
kurumun etkin bir iç kontrol sisteminin gereklerini karşıladığı sonucuna varılamaz.
Bir iç kontrol sisteminin etkin olduğu belirlendiğinde, üst yönetim ve yönetim kurulu,
kurumun yapısı içindeki uygulamaya ilişkin olarak, kurumun makul bir güvenceye sahip
olduğunu kabul eder:
• Dış olayların hedeflere ulaşılması üzerinde önemli bir etkiye sahip olabileceği
veya kuruluşun dış olayların niteliğini ve zamanlamasını makul bir şekilde
tahmin edebildiği ve etkiyi kabul edilebilir bir düzeye indirebildiği durumlarda
faaliyetlerin ne ölçüde etkili ve verimli bir şekilde yönetildiğini anlar
Sınırlamalar
Çerçeve, iç kontrolün kurumun hedeflerine ulaşması konusunda makul güvence
sağlasa da, sınırlamaların mevcut olduğunu kabul eder. İç kontrol, kötü muhakeme
veya kararları ya da bir kurumun hedeflerine ulaşamamasına neden olabilecek dış
olayları önleyemez.
operasyonel hedeflerine ulaşabilir. Başka bir deyişle, etkin bir iç kontrol sistemi bile
başarısızlığa uğrayabilir. Sınırlamalar şunlardan kaynaklanabilir: