İÇ DENETİMİN SUİSTİMAL DENETİMİNDE GÖREVLERİ
 
İç denetçilerin suiistimaller konusundaki sorumlulukları önleyici tedbirleri değerlendirmek ve şüpheli durumları soruşturmak olarak iki başlıkta ele alınabilir. Suiistimal denetimine özgü bazı hususlara aşağıda yer verilmiştir.

Suistimal Tanımı

Uluslararası Denetim Standartlarına göre; işletmenin yöneticileri, çalışanları veya işletme ile ilgili üçüncü kişilerin bir veya daha fazlası tarafından kendilerine adil olmayan ve illegal bir avantaj sağlamak üzere giriştikleri kasıtlı ve aldatıcı davranışlar hile olarak tanımlamaktadır. Amerikan Sertifikalı Hile Denetçileri Birliği ise hileyi “Bir kişinin mesleki görevini varlıklarını ve kaynaklarını amacı dışında ve yanlış kullanmak suretiyle kişisel çıkar sağlaması” olarak tanımlamaktadır.

Suiistimallerin önlenmesinde asıl sorumluluk şirket yönetimine aittir.

Muhtemel Suiistimal Türleri

Değişik kaynaklarda hileler değişik sınıflamalara tabi tutulmakla birlikte ACFE tarafından yapılan sınıflandırmaya bakıldığında hile türleri 3 ana başlık altında toplanmaktadır:

i. Varlıkların Kötüye Kullanılması: Bir çalışanın işletme varlıklarını ele geçirmesi veya kendi yararına kullanması şeklinde ortaya çıkan suiistimal türüdür. İşletmelerde meydana gelme sıklığı bakımından ilk sırada yer almakla birlikte diğer suiistimal türlerine göre işletmelere maliyeti daha azdır. Varlıkların kötüye kullanılması; nakit ve stok hırsızlığı, fiktif faturaların kayda alınması, personelin iş masraflarını şişirmesi veya işletme demirbaşlarının çalınması gibi suiistimalleri kapsamaktadır.

ii. Hileli Finansal Raporlama: Hileli finansal raporlama işletmenin mali durumunun olduğundan farklı gösterilerek tüm işletme ilgililerinin yanıltılması biçiminde ortaya çıkan hile türüdür. Genellikle tepe yöneticileri tarafından yapılan finansal tablo hileleri sonucu işletme hem itibar olarak hem de maddi olarak zarar görmektedir. Hileli finansal raporlama; işletmenin durumunun olduğundan iyi gösterilmesi ya da olduğundan kötü gösterilmesi şeklinde olabilir. İşletme yönetimi, hissedarları yanıltarak şirketi olduğundan iyi gösterebilir veya yılsonunda prim vb. hak edişleri elde edebilmek için mali tabloları manipüle edebilir.  Kamuoyuna da yansımış büyük şirket skandalları genelde mali tabloların hileli oluşturulmasıyla ilgilidir.

iii. Yolsuzluk ve Ahlaki Olmayan Davranışlar: Çalışanın bir işletme faaliyetinde işverenin ya da bir başkasının haklarını göz ardı ederek, gücünü yanlış bir biçimde kendisine veya bir başkasına yarar sağlama amaçlı kullanmasıdır. Rüşvet, satın alma usulsüzlükleri, ihaleye fesat karıştırma, şirketin ekonomik gücünü kendi çıkarına kullanma gibi örnekler verilebilir.

Suistimal Denetiminin Kapsamı

Suiistimal denetimleri suiistimalin önlenmesi veya suiistimal şüphesi olan durumların araştırılması olmak üzere iki temel çerçevede ele alınmalıdır.

Suiistimalin önlenmesi: Spesifik olarak iç denetçiler iç kontrollerin yeterliliğini ve etkinliğini değerlendirerek suiistimalden caydırma konusunda şirket yönetimine yardımcı olabilirler. Ayrıca kurumun kuvvetli ve zayıf olduğu alanlar hakkındaki bilgi birikimini geliştirerek ve bu hususta uzmanlıklarını kullanarak suistimale karşı etkili önleyici tedbirleri belirlemesi için yönetime yardımcı olabilirler.

Suiistimalin soruşturulması: İç denetçinin suiistimal risk yönetiminde oynadığı roller arasında; şüpheli suiistimal fiilinin ilk veya tam soruşturulması, kök sebep analizi ve iyileştirmeye yönelik tavsiyeler, raporlama, ihbar hattını izlemek veya etik ilkeler konusunda danışmanlık ve eğitim vermek sayılabilir. 

İç denetçiler; şirket varlıklarını zimmete geçirmeye ve gerçeğe aykırı bilgiler talep etmeye yönelik tarama yapmak amacıyla proaktif denetimler gerçekleştirebilirler. Belirli suiistimal tiplerini tespit etmek için veri madenciliği dahil bilgisayar destekli denetim tekniklerinin kullanılması da bu kapsama girer. İç denetçiler aynı zamanda olağandışı kalemleri bulmak için analitik ve başka prosedürlerden faydalanabilirler ve yüksek riskli hesaplara ve işlemlere yönelik ayrıntılı analizler gerçekleştirebilirler.

Soruşturma

İç denetim biriminin suiistimal vakalarında rolü; soruşturmanın bizzat yürütülmesi, soruşturmaya destek verilmesi veya olayın dışında kalınması şeklinde olabilir. İç denetim soruşturmadan sorumlu olacaksa soruşturma ekibinin kurulmasında ve soruşturma sırasında şirket içi ve dışı diğer kaynaklardan destek alabilir.

Her bir soruşturma için kurumun prosedürleri izlenerek ayrı bir soruşturma planı geliştirilir.

Spesifik duruma ve soruşturma ekibinin hedeflerine bağlı olarak her soruşturmada kullanılan prosedürler değişecektir.
 

Kanıt elde etmek: Kanıtların toplanması ve hazırlanması, suiistimali anlama sürecinde kritik ve önemli bir aşamadır. Elde edilen tüm raporlar, belgeler ve kanıtlar kronolojik olarak bir envanterde kaydedilmelidir.

Görüşme yapmak: Soruşturma yapan kişi şüpheli veya kendisine yardımcı olabilecek diğer kişilerle görüşebilir. Şüpheli ile yapılacak görüşme genelde kanıt elde edildikten sonra yapılmalıdır.

Raporlama

Suistimal vakalarının raporlanması; soruşturmanın durumu ve alınan sonuçlarla ilgili üst yönetim ve yönetim kurulu ile yapılan sözlü, yazılı, ara ve nihali değerlendirmeleri kapsar. Raporlar soruşturma başında, devam ederken veya sonunda verilebilirler. Soruşturma sonunda yazılı bir rapor verilebilir. Soruşturmacı raporu yazarken yönetimin ihtiyaçları yanında yasal şartları, kurumun politika ve prosedürlerini dikkate almalıdır.

 

İÇ DENETİMDE KALİTE

Denetimin Kendi İç Değerlendirmeleri
İç denetim faaliyetinin kendini değerlendirmesi günlük rutin faaliyetlerden birisi olmalıdır. Değerlendirme çalışmaları; iç denetim çalışmalarının gözden geçirilmesi, cheklist’ler, geribildirim alınması ve bütçeler yoluyla sağlanabilir.
Periyodik değerlendirmeler ise rutin yapılanlar dışındaki iç denetimin standartlara ve düzenlemelere uygunluğu, etkinliği ve verimliliğinin değerlendirilmesi çalışmalarını içerir. Periyodik değerlendirmeler içerisinde aşağıdaki unsurlar sayılabilir.
 Sürekli gözden geçirme dışında menfaat sahiplerinden daha doğrudan bir geribildirim alınması (anket veya mülakat yoluyla v.b.)
 Kendi kendini değerlendirme (self-assessment)
 İç denetimin diğer denetim mesleğindeki profesyoneller tarafından değerlendirilmesi
 Denetim mesleğindeki profesyoneller tarafından incelenmek üzere iç denetim biriminin materyalleri ve belgeleri hazırlaması,
 Benchmarking
İç değerlendirmeyi yapan kişiler sonuçları genellikle doğrudan CAE’ye (Cehief Audit Executive) raporlarlar. CAE; değerlendirme sonucu ulaşılan sonuçları, aksiyon planlarını ve uygulama ile ilgili diğer bilgileri, üst yönetim, yönetim kurulu ve dış denetçilerle paylaşır.

Değerlendirmede Kullanılacak Ölçülerin Belirlenmesi
Performans ölçüm süreci aşağıdaki unsurları içermektedir. Bu ölçütlerin kullanımı iç değerlendirmenin bir unsurudur.
 Kritik performans göstergelerinin belirlenmesi (Menfaat sahiplerinin memnuniyeti, denetim süreçleri, yenilikçilik ve yeterlilik)
 Performans kategorileriyle ilgili stratejilerin ve ölçülerin belirlenmesi
 Performans ölçüleriyle ilgili gözden geçirme, analiz ve raporlama için bir süreç oluşturulması
Performans ölçüm kriterleri iç denetim biriminin büyüklüğü ile organizasyonun bulunduğu endüstri vb. spesifik konular dikkate alınarak belirlenmelidir. Stratejilerin ve ölçülerin belirlenmesinde aşağıdaki esaslardan faydalanılabilir;
 Mesleki standartlar
 Organizasyonun ve iç denetim biriminin stratejik planları
 Kanunlar, yasal düzenlemeler ve diğer düzenlemeler
 İç denetim biriminin misyonu ve yönetmeliği,
 Menfaat sahiplerinin tatmin düzeyinin analiz edilmesi
CAE; iç denetimin faaliyetleriyle ilgili menfaat sahiplerini ve bunların ihtiyaç duyabileceği ürün ve hizmetleri belirlemelidir. Daha sonra bu menfaat sahiplerinin çalışmalardan tatmin olup olmadıkları belirlenir. Tatmin düzeyinde düşüklük olması durumunda aksiyon planları oluşturulur. Bu süreçle ilgili olarak; menfaat sahipleriyle olan ilişkiler, organizasyonun niteliği ve yasal düzenlemelerin derecesi konuları göz önüne alınır.
Denetim süreçleriyle ilgili performans ölçüm kategorilerinin tanımlanmasında İç denetçiler enstitüsünün performans standartları ile iç denetim biriminin yönetmeliği dikkate alınır. Bunlara örnek olarak; risk değerlendirme/denetim planlaması, denetimin planlanması ve yürütülmesi, sonuçların iletilmesi ve raporlama konuları verilebilir.
Yenilikçilik ve yeterlilik konularında performans ölçüm kategorilerinin belirlenmesinde Nitelik ve Performans standartları göz önünde bulundurulur. Bunlara örnek olarak ise; eğitim, teknoloji kullanımı ve endüstri bilgisi verilebilir.
Ölçüm kriterleri belirlenen amaçların gerçekleştirilmesini motive edecek ve başarı düzeyinin ölçülmesine uygun şekilde belirlenmelidir. Performans ölçüleri; standartlarla, stratejik amaçlarla, kanun ve yasal düzenlemelerle uyumlu olmalıdır. Ölçüler sayısal olabileceği gibi nitelik üzerine de olabilir.
Ulaşılan sonuçlar anahtar menfaat sahiplerine raporlanmalıdır. Ayrıca denetim komitesine yıllık faaliyet raporu sunulmalıdır.

İÇ KONTROLLERE GENEL BAKIŞ

Kontrollerin asıl amacı planlanan amaçlara ulaşılmasını güvenceye almaktır. Bunun için faaliyet sonuçlarıyla ilgili geri bildirim, sonuçların ilgili kriterlerle karşılaştırılması ve gerekli düzeltmelerin yapılması gerekir.

Kontrol Türleri:
Kontroller; önleyici (preventive) , ortaya çıkartıcı (detective), yönlendirici (directive) ve etkileri azaltıcı (mitigating) olabilir. Kontroller aşağıdaki gibi sınıflandırılır:
- Geribildirim: Tamamlanan faaliyetlerle ilgili kontrollerdir. Geçmiş hatalara bakarak gelecektekiler önlenmeye çalışılır.
- Cari Kontroller (concurred): Faaliyetle eş zamanlı olarak yürütülür
- İleriye dönük kontrol (feedforward): politika ve prosedürler gibi ileriye dönük önleyici kontrollerdir.

Kontroller finansal ve operayonel olarak da ayrılabilir. Her ikisi için de kriterler ve amaçlar belirlenmelidir.
- Finansal kontroller ilgili muhasebe politikalarına göre belirlenir. Amaçları: 1. Gerekli onaylar 2. Doğru muhasebeleştirme 3. Varlıkların korunması 4. Kanunlara, düzenlemelere ve sözleşmelere uyumdur.
- Operasyonel kontroller, üretim ve destek fonksiyonları gibi kriter belirlenmesinin zor olduğu alanlarda kullanılır. Yönetim tarafından belirlenen prosedür ve yönetim prensipleri kriter olarak kullanılır.

Kontrol Süreci:
Tipik bir kontrol süreci:
- Stratejik kontrol noktaları seçilir. Bu noktalarda faaliyetlerle ilgili bilgi toplanır.
- Faaliyeti ölçmek için gözlem ve örnekleme gibi yöntemlerle bilgi toplanır.
- Toplanan bilgiler kayıt altına alınır ve sınıflandırılır.
- Bu bilgiler önceden belirlenen kalite, biçim ve maliyet standartlarıyla karşılaştırılır.
- Performansın tatmin edici olup olmadığına karar verilir.
- Önemli sapmalar ilgili idarecilere bildirilir.
- Takip: alınan tedbirlerin etkili olup olmadığı aynı süreç tekrarlanarak kontrol edilir.
- Standartlar gözden geçirilerek gerektiğinde revize edilir.

Planlama ve Kontrol:
Bu iki kavram iç içedir. Detaylı planlama kontrol faaliyetlerini de içerisine almaktadır. Bütçe ve başabaş analizi çalışmaları planlamayla ilgili kontrollere örnek verilebilir.
Kontroller niteliksel (kalite kontrolleri, iş tanımları vs) ve niceliksel (bütçe, kotalar vs) olabilir.

Kontrollerin Etkinliği:
Kontroller: Zamanında, Ekonomik (Fayda-Maliyet), Uygun yerlerde, Esnek, Faydalı, Hesap verilebilirlik sağlayan, Sorunun kaynağını gösteren,özelliklerde ise etkilidir.

Kontrol Standartları:
Kontrol standartları ilgili personelle birlikte belirlenirse hem daha fazla benimsenecek hem de daha etkili olacaktır. Kontroller esnek olmalı, gerektiğinde revize edilmelidir. Kontrollerin sıkı olması eğer personelde performansı arttırıyorsa faydalıdır.

Kontrollerin Ölçümü:
Kontrollerde ölçümü kimin yapacağı davranışsal özelliklere göre belirlenebilir. Kişinin kendi kendini değerlendirmesi veya ikinci, üçüncü şahıslarca değerlendirme seçenekleri olabilir.

İÇ KONTROLLERE GENEL BAKIŞ

Kontrollerin asıl amacı planlanan amaçlara ulaşılmasını güvenceye almaktır. Bunun için faaliyet sonuçlarıyla ilgili geri bildirim, sonuçların ilgili kriterlerle karşılaştırılması ve gerekli düzeltmelerin yapılması gerekir.

Kontrol Türleri:

Kontroller; önleyici (preventive) , ortaya çıkartıcı (detective), yönlendirici (directive) ve etkileri azaltıcı (mitigating) olabilir. Kontroller aşağıdaki gibi sınıflandırılır:

- Geribildirim: Tamamlanan faaliyetlerle ilgili kontrollerdir. Geçmiş hatalara bakarak gelecektekiler önlenmeye çalışılır.
- Cari Kontroller (concurred): Faaliyetle eş zamanlı olarak yürütülür
- İleriye dönük kontrol (feedforward): politika ve prosedürler gibi ileriye dönük önleyici kontrollerdir.
Kontroller finansal ve operayonel olarak da ayrılabilir. Her ikisi için de kriterler ve amaçlar belirlenmelidir.
- Finansal kontroller ilgili muhasebe politikalarına göre belirlenir. Amaçları: 1. Gerekli onaylar 2. Doğru muhasebeleştirme 3. Varlıkların korunması 4. Kanunlara, düzenlemelere ve sözleşmelere uyumdur.
- Operasyonel kontroller, üretim ve destek fonksiyonları gibi kriter belirlenmesinin zor olduğu alanlarda kullanılır. Yönetim tarafından belirlenen prosedür ve yönetim prensipleri kriter olarak kullanılır.

Kontrol Süreci:
Tipik bir kontrol süreci:
- Stratejik kontrol noktaları seçilir. Bu noktalarda faaliyetlerle ilgili bilgi toplanır.
- Faaliyeti ölçmek için gözlem ve örnekleme gibi yöntemlerle bilgi toplanır.
- Toplanan bilgiler kayıt altına alınır ve sınıflandırılır.
- Bu bilgiler önceden belirlenen kalite, biçim ve maliyet standartlarıyla karşılaştırılır.
- Performansın tatmin edici olup olmadığına karar verilir.
- Önemli sapmalar ilgili idarecilere bildirilir.
- Takip: alınan tedbirlerin etkili olup olmadığı aynı süreç tekrarlanarak kontrol edilir.
- Standartlar gözden geçirilerek gerektiğinde revize edilir.

Planlama ve Kontrol:
Bu iki kavram iç içedir. Detaylı planlama kontrol faaliyetlerini de içerisine almaktadır. Bütçe ve başabaş analizi çalışmaları planlamayla ilgili kontrollere örnek verilebilir.
Kontroller niteliksel (kalite kontrolleri, iş tanımları vs) ve niceliksel (bütçe, kotalar vs) olabilir.

Kontrollerin Etkinliği:
Kontroller: Zamanında, Ekonomik (Fayda-Maliyet), Uygun yerlerde, Esnek, Faydalı, Hesap verilebilirlik sağlayan, Sorunun kaynağını gösteren,
Özelliklerde ise etkilidir.

Kontrol Standartları:
Kontrol standartları ilgili personelle birlikte belirlenirse hem daha fazla benimsenecek hem de daha etkili olacaktır. Kontroller esnek olmalı, gerektiğinde revize edilmelidir. Kontrollerin sıkı olması eğer personelde performansı arttırıyorsa faydalıdır.
Kontrol Ölçüleri:
Kontrollerde ölçümü kimin yapacağı davranışsal özelliklere göre belirlenebilir. Kişinin kendi kendini değerlendirmesi veya ikinci, üçüncü şahıslarca değerlendirme seçenekleri olabilir.

IFAC ULUSLARARASI DENETİM STANDARTLARI ÇERÇEVESİNDE DIŞ DENETÇİLERİN BAĞIMSIZLIĞI

Uluslararası Denetim Standartları, IFAC bünyesinde bulunan IAASB tarafından yayımlanmaktadır. Uluslararası Denetim Standartlarında denetçi bağımsızlığı ile ilgili düzenlemelere “ISA 200-Finansal Tablolar Denetiminin Amacı ve Genel İlkeler” standardı altında bir madde olarak yer verilmiştir. Söz konusu maddede Finansal Tablolar Denetimi ile Etik Gereksinimler başlığı altında denetçilerin denetim çalışmaları sırasında gerekli etik değerlere uymaları gerektiği belirtilmiştir.
Ayrıca “220-Denetim Çalışmasında Kalite Kontrolü” standardında denetim firmalarında görev yapanların bağımsızlık, doğruluk, objektiflik, güvenilirlik ve profesyonel davranış ilkelerine bağlı kalmaları gerektiği belirtilmektedir. Denetim firması ortaklarının denetim sözleşmesi ve denetim çalışması sırasında bağımsızlığı sağlayıcı ve çıkar çatışmasını önleyici tedbirleri almaları gerekmektedir.
Uluslararası Denetim Standartlarında denetçi bağımsızlığına etik ilke olarak değinilmiş olmakla birlikte asıl düzenleme standartlardan ayrı olarak yayımlanan “Muhasebeciler İçin Etik İlkeler”de yapılmıştır.

1. Muhasebeciler İçin Etik İlkeler
IFAC denetçi bağımsızlığına ilişkin ayrıntılı düzenlemeleri Muhasebeciler İçin Etik Kurallar (The Code Of Ethics For Professional Accountants) çerçevesinde oluşturmuştur. IFAC meslek etiği kurallarında bağımsızlık ile ilgili hükümler serbest meslek icra edenlere yönelik olup iki kısımdan oluşmaktadır. İlk kısımda denetçi bağımsızlığına yönelik genel ilkeler ile bağımsızlığı azaltan durumlar ve bağımsızlığı korumaya yönelik önlemler açıklanmıştır. İkinci kısımda ise spesifik durumlarda uygulanacak ilkelere ilişkin açıklamalar yapılmıştır.

2. Bağımsızlığı Tehdit Eden Durumlar
IFAC tarafından yayımlanan Etik Kurallarda pek çok durumun bağımsızlığı tehdit edebileceği belirtildikten sonra örnek olarak aşağıdaki durumlar verilmiştir.
a. Kişisel Menfaat (Self Interest) Tehlikesi: Denetçinin kendisinin, aile üyelerinin veya yakınlarının müşteri nezdinde mali menfaatleri veya müşteri ile kişisel menfaat anlaşmazlığı olması durumunda ortaya çıkabilir.
b. Kendi İşini Denetleme (Self Review) Tehlikesi: Denetçinin denetim döneminde veya önceki dönemlerde kendi verdiği kararlar ile ilgili konuları denetlemesi durumunda ortaya çıkar. Denetçinin kendi katıldığı kararlar ile ilgili konuları denetlerken objektifliğini koruması güçtür.
c. Savunma (Advocacy) Tehlikesi: Denetçinin, müşteri işletme ile ilgili mahkeme ve benzeri bir durumda önceki çalışmalarındaki objektifliğini zedeleyecek şekilde ifade verme durumunda olması gibi hallerde kendini savunma eğilimi göstermesinden kaynaklanabilir.
d. Samimiyet (Familiarity) Tehlikesi: Bir firmanın veya denetim ekibinin bir üyesinin, müşterisi veya yöneticileri ile olan yakın ilişkileri sonucu müşterinin menfaatlerine aşırı derecede önem verir duruma gelmesi halinde oluşabilir.
e. Yıldırma (Intimidation) Tehlikesi:Doğrudan veya dolaylı tehdit ve zorlamalar sonucunda denetçinin objektif karar vermesinin zorlaşması durumunda oluşabilir.

Belirli bir tehdidin ne derece önemli olduğu tehdidin gücü; karışan kişilerin konumu, tehdide yol açan durumun özelliği ve genel olarak denetim ortamı gibi sayılabilen veya sayılamayan pek çok duruma bağlıdır. Denetçi tehdidin önemini değerlerken farklı tehdit türlerinin bir arada ortaya çıkabileceğine dikkat etmelidir. Denetçi bağımsızlığını tehlikeye sokan risk düzeyini bu tehditlerin tek tek veya birlikte önemi ve denetim üzerindeki etkisi belirleyecektir.
IFAC tarafından yayımlanan Muhasebeciler İçin Etik Kurallar setinin B bölümünde serbest meslek faaliyeti yürüten meslek mensuplarının karşılaşabileceği spesifik durumlarla ilgili düzenlemeler yapılmıştır. Söz konusu düzenlemeler ana başlıklar halinde şu şekilde belirtilebilir:

- Mesleki Atamalar
- Çıkar Çatışmaları
- İkincil Görüşler
- Ücret ve Diğer Gelirler
- Mesleki Hizmetlerin Pazarlanması
- Hediyeler ve Ağırlamalar
- Müşterilere Ait Varlıkların Muhafazası
- Objektiflik – Tüm Hizmetlerde
- Bağımsızlık – Güvence (Assurance) Hizmetlerinde

3. Bağımsızlığı Koruyucu Önlemler
Koruyucu önemler bağımsızlığa yönelik tehditleri kabul edilebilir bir düzeye indirebilir veya ortadan kaldırabilir. Koruyucu önlemler iki ana bölümde ele alınabilir:

1. Mesleki ve yasal düzenlemeler ile meydana getirilen koruyucu önlemler,
2. İş ortamından kaynaklanan koruyucu önlemler.
IFAC tarafından yayımlanan Etik Kurallarda; mesleki ve yasal düzenlemeler ile meydana getirilen koruyucu önlemlere örnek olarak aşağıdaki düzenlemeler verilmiştir.
- Mesleğe giriş için getirilen mesleki eğitim ve tecrübe şartları,
- Sürekli mesleki gelişim gerekliliği,
- Kurumsal Yönetim ile ilgili düzenlemeler,
- Mesleki standartlar,
- Mesleki ve düzenleyici kurumların gözetim ve disiplin prosedürleri,
- Denetçi çalışmalarının yasal olarak yetki verilmiş üçüncü taraflarca gözden geçirilerek değerlenmesi.

İş ortamından kaynaklanan tehditler ve bu tehditlerin önlenmesine yönelik olarak getirilen koruyucu önlemlere ise Etik İlkelerin B ve C bölümlerinde yer verilmiştir. Söz konusu ilkeler daha ayrıntılı bir şekilde düzenlenmiştir.
Uygulanacak bazı önlemler etik olmayan davranışların ortaya çıkarılmasını kolaylaştırabilir. Söz konusu önlemler muhasebe mesleği, yasal düzenlemeler veya çalışılan organizasyonlar tarafından oluşturulmuş olabilir. Etik İlkerlerde bu tür önlemlere örnek olarak aşağıdaki unsurlar sayılmıştır:

- Çalışılan organizasyon veya meslek örgütlerince oluşturulan etkili bir şikayet sistemi meslek mensuplarının, şirket çalışanlarının veya genel olarak kamu oyunun etik olmayan davranışlara karşı ilgi ve tutumunu etkileyebilir.
- Etik davranış gereksinmeleri ile ilgili olarak bölümlerin raporlama sorumluluklarının açık bir şekilde ortaya konması.
Koruyucu önlemlerin varlığı ve etkinliği bağımsızlık risk düzeyini etkiler. Denetçi bağımsızlığına ilişkin tehditleri ortadan kaldırmak veya azaltmaya yönelik olarak oluşturulabilecek sınırlamalar, yasaklamalar, diğer politikalar ve prosedürler ile açıklamalar gibi farklı koruma önlemleri bulunmaktadır. Denetçilerin her zaman bunları dikkate almaları ve belgelendirmeleri gerekmektedir.

Kaynaklar:
- IFAC, Handbook of International Auditing, Assurance and Ethics Pronouncements, 2007 Edition,
- UZAY Şaban, Türkiye’de Denetçi Bağımsızlığı, www.iibf.erciyes.edu.tr/akademik/suzay/suzay_d1e.pdf

Şirket içi yolsuzluklara karşı bilişim.

Kariyer Dergi Aralık 2008


Şirketler bazen kendi çalışanları tarafından yapılan yolsuzluklardan zarar görebiliyor. Özellikle kurumsallaşma çabası içindeki aile firmaları denetimi profesyonel kadrolara bırakırken veya büyüme sürecinde olan firmalar yolsuzlukla karşılaşabiliyor. Çözümüyse yine etkin bilgi sistemleri sunuyor!
Yolsuzluk, sadece devlet kurumlarında değil özel sektörde de karşılaşılan problemlerden biri. PriceWaterHouse tarafından yapılan bir araştırmada şirket içi yolsuzluklarda şirketlerin uğradığı zararın vaka başına 3,5 milyon doları bulabildiği saptanmış. Yolsuzlukların pek çok farklı çeşidi bulunmakla birlikte, kuralları önceden belirlenmiş ve sorumlulukların dağıtılmış olduğu merkezi sistemler, yolsuzluğun önlenmesinde, en azından en kısa zamanda fark edilmesinde çok etkin.

Onay mekanizmaları
Şirket içi yolsuzluk denince akla ilk olarak para ile en çok temasta olan satın alma ve muhasebe birimleri geliyor. Satın alma sürecinde, tedarikçi adaylardan komisyon almak, kendisinin direkt veya dolaylı ortaklığı olan bir firma ile gerçek değerinin üzerinde anlaşma yapmak gibi etik dışı davranışlara rastlanabiliyor. Ya da ödemelerden sorumlu kişiler bir ürün ya da hizmet alınmadan, alınmış gibi göstererek belli kişi ya da firmalara ödeme çıkartabiliyor. Şirket henüz aile firmasıyken ve her şey patronun bilgisi dahilinde gerçekleşirken, bu tür riskler bulunmuyor. Ancak şirket yönetimi profesyonel kişilere devredilirken entegre bir bilgi sistem ağı yerleştirilmemiş, iş süreçleri standartlaştırılmamışsa büyük riskler ortaya çıkıyor. Bu tür risklere karşı, tüm iş sürecini merkezi bir bilgi sistemine aktarıp, süreçteki herkesin bilgi ve onayını almak, her işin standardını belirlemek çok önemli. Aynı devlet yönetiminde olduğu gibi şirket içinde de güçlerin ayrılığı ilkesi benimsenmeli. Satın alma talebinde bulunan, bu talep karşılığında satın almayı gerçekleştiren kişiler, bu ürün/hizmeti kullanan kişiler ve sonunda ödemeyi yapan kişiler ayrı olmalı ve tüm bu süreç merkezi bir bilgi sistemi ile denetlenmeli. Talep olmadan alım gerçekleşmemeli, ürün/hizmet kabulü olmadan ödeme yapılmamalı.

Standartların belirlenmesi
Her ne kadar görülme olasılığı çok düşük olsa da, para ile direkt ilişkisi olmayan üretim birimlerinin de yolsuzluk yapma ihtimali bulunuyor. Bazı hammadde ve sarf malzemelerini daha fazla kullanıp, malzeme tedarikçisi firmadan komisyon almak gibi ender olaylara rastlanıyor. Ya da bazı işçilerle anlaşıp, fazla mesai ihtiyacı yokken, daha yüksek ücret ödeyerek fazla mesaiye bırakmak ve fazla mesai ücretinden komisyon almak gibi olaylar yaşanabiliyor.
Bu durumların belirlenebilmesi için, şirket tarafından üretilen her türlü ürün ve hizmetin, standart malzeme ve işçiliğinin yine merkezi bir sistemde belirlenmesi büyük önem taşıyor. Merkezi bir sistemde toplam ihtiyaçların hesaplanması, bu hesaplamalara göre iş emirlerinin açılması, bu iş emirleri dahilinde alım ya da fazla mesai kararının verilmesi, bu tür suistimalleri önlüyor. Ancak kurumsallaşma yolundaki bazı firmalarda, bu bilgiler sadece patronda ve aile fertlerinde bulunuyor. Çoğu zaman bunlar yazılı bilgi olarak da saklanmıyor. Kurumsallaşırken bu bilgiler mutlaka standart süreler olarak belirlenmeli. Şirket içinde yapılacak her işin bu standartlar ile karşılaştırılması mümkün olmalı. Şirket içinde yaygınlaştırılacak entegre bir sistem ile yapılan tüm işlerin gerektirdiği standart işçilik ve malzemeler, gerçekleşen tüketim ve işçilik süreleri ile karşılaştırılmalı. Bu sayede her ayın sonunda üstünden geçilip değerlendirilecek standart ve gerçekleşen tüketimlerle verimlilik kontrol altına alınıp, yolsuzluk riskleri sıfıra indirilebilir.

Eğilim analizleri
Kurumsallaşma yoluna giren firmalarda, satış profesyonellerinin şirkete dahil olması, patronun satış sözleşmelerindeki hakimiyetini azaltıyor. Bazı durumlarda satış profesyonellerinin, kendi kurdukları firma ile sanal bayi gibi çalıştıkları görülebiliyor. Kendi aralarında kurdukları bir firma ile şirketin ürünlerini mümkün olan en yüksek indirimle kendi sahipliklerine geçirip, sonrasında zaten hazır olan müşterilere daha az indirimle satıp, aradaki farktan fayda sağlayabiliyorlar.
Bu gibi durumlar için eğilim analizleri, durumu fark etmek ve gerekli önlemleri almak açısından çok yararlıdır. Müşteri/ bayi bazında toplam satış rakamlarının zaman içindeki değerlerinin merkezi bir sistem ile takip edilmesi, beklenenden yüksek düşüş ya da artışların sorgulanması gerekiyor. Eğilim analizleri müşteri memnuniyeti konusunda da çok önemli bilgiler sağlayabiliyor. Patronun denetiminin azaldığı ortamlarda, şikayetlerin patrona kadar ulaşması zorlaşıyor, müşteri memnuniyetindeki sıkıntılar patrona çok geç intikal edebiliyor.
Örnek bir vakada bir müşterimiz satışları bir anda düşen bayisini aradığında, bayi ile satış temsilcisinin kavga ettiği ortaya çıkmıştı. Normalde şirkete küsmüş olan bayi bu durumu şirket sahibine ulaştırmaktan ziyade, alımdan vazgeçerek tepkisini göstermişti. Ama eğilim analizlerine bakan patron, durumu fark ederek müdahale edebildi.

Kalite standartları
Kurumsallaşan firmalarda kalite süreçlerinin devreye alınması bu yolsuzlukları önlemede ilk savunma duvarını örüyor. Her işin belli bir standarda göre yapılması, onay mekanizmalarının kurulması, kurumsallaşmada ve patronun azalan denetim boşluğunun doldurulmasında etkili oluyor. Ancak tüm süreci elektronik ortama taşıyıp, patronun istediği anda ve dönem sonlarında uygulanma performansını takip edebilmesinin de sağlanması gerekiyor. Standartları belirlemek ile standartları uygulatmak arasında çok önemli bir boşluk bulunuyor. Bu boşluk bilgi sistemleri tarafından doldurulmalı.
Bu konuda geçtiğimiz yıllarda, dünyaca ünlü firmaların üst düzey yöneticilerinin karıştıkları bazı olaylar, konuyu yeniden gündeme taşıdı. Üst düzey yöneticilerin kendilerini başarılı gösterip yüksek prim almalarını sağlayan muhasebe kaydı usulsüzlükleri sonrasında, kurumsal bilgi sistemleri ile ilgili standartlarda değişiklikler yapıldı. Özellikle kayıt silme ve düzeltme işlemlerinde mutlaka sistemde bir iz bırakılıyor olması, bu işlemlerin birkaç kişi tarafından onaylanmadan gerçekleşmemesi gibi özellikler eklendi.

Gelişmiş uyarı mekanizmaları
Günümüzde kullandığımız kurumsal yazılımların çoğunda uyarı mekanizması bulunuyor. Belli bir oranın üzerinde indirim verildiğinde, yüklü bir ödeme yapıldığında, mesai saatleri dışında kritik bir işlem gerçekleştirildiğinde sistem tarafından otomatik uyarı mesajlarının patron ya da denetici birimlere gönderilmesi sağlanabiliyor. Bu uyarı mekanizmaları sayesinde, ilgili işlemler detaylı olarak sorgulanıp, olası yolsuzluklar önlenebiliyor. Günümüzün gelişmiş teknolojileri sayesinde, şüphe duyulan kişilerin bilgisayarları ile yapacakları her türlü mesajlaşma ve işlem takip edilebiliyor. Merkezi bir sistem kurulup, şirket içi tüm işlemlerin bu sistem üzerinde gerçekleştirilmesi, yolsuzluklara karşı en caydırıcı önlem olduğu gibi, olası bir usulsüzlükte durumun en hızlı biçimde fark edilmesini de sağlıyor.

En çok karşılaşılan yolsuzluklar
Muhasebe ve satın alma birimlerinde;
* Satın alma sürecinde, tedarikçi adaylardan komisyon almak.
* Kendisinin direkt veya dolaylı ortaklığı olan bir firma ile gerçek değerinin üzerinde anlaşma yapmak.
* Bir ürün ya da hizmet alınmadan, alınmış gibi göstererek belli kişi ya da firmalara ödeme çıkartmak.
Üretim birimlerinde;
Bazı hammadde ve sarf malzemelerini daha fazla kullanıp, malzeme tedarikçisi firmadan komisyon almak
Bazı işçilerle anlaşıp, fazla mesai ihtiyacı yokken, daha yüksek ücret ödeyerek fazla mesaiye bırakmak ve fazla mesai ücretinden komisyon almak
Satışta;
* Kendi aralarında kurdukları sanal bir firma ile şirketin ürünlerini mümkün olan en yüksek indirimle kendi sahipliklerine geçirip, sonrasında zaten hazır olan müşterilere daha az indirimle satıp, aradaki farktan fayda sağlamak
Üst yönetimde;
* Kendilerini başarılı gösterip yüksek prim almalarını sağlayan muhasebe kaydı usulsüzlükleri

İÇ DENETİM VE BİLGİ GÜVENLİĞİ

Bilgi Güvenliği

Tüm önemli bilgiler için bilgi güvenliğinin sağlanması işletme yönetiminin sorumluluğundadır. İç. Denetim ise bilgi güvenliğinin sağlanmasındaki riskleri değerlendirir. İç denetim yöneticisinin bilgi güvenliği konusundaki iç ve dış riskleri analiz etmek üzere yeterli denetim kaynağına sahip olması sağlanmalıdır.

Yönetim, iç denetimi bilgi güvenliğine yönelen mevcut tehditler konusunda uygun şekilde bilgilendirmelidir. İç denetim, geçmiş ve gelecekteki saldırılara karşı etkinliği ölçerek değerlendirmelidir. Konuyla ilgili yönetici birimler uygun şekilde bilgilendirilmelidir.
İç denetçiler aynı zamanda bilgi güvenliği uygulamalarını belirli aralıklarla değerlendirmelidirler. Bu değerlendirmelere istinaden yeni veya geliştirilmiş kontroller önerilir ve denetim sonuçlarıyla ilgili raporlar düzenlenir.

İşletmenin Bilgi Güvenliği Yapısının İncelenmesi

Özel bilgilerin saklanması konusu çoğu ülkede yasal düzenlemelere bağlanmıştır. Kişisel bilgilerin saklanması;

a) kişisel mahremiyet,
b) mekanın mahremiyeti,
c) iletişim mahremiyeti
d) bilgilerin mahremiyeti konularını kapsamına alır.

Kişisel bilgilerin ve mahremiyetin korunmasında yapılacak hatalar işletme için önemli yasal neticeler doğurabilir.

İşletme yönetimi bilgi güvenliği altyapısını oluşturarak ve gözlemleyerek kişisel bilgilerin güvenliğinin sağlanmasından birinci derece sorumludur. İç denetçiler mevcut yapıyı değerlendirir, riskleri tanımlar ve düzeltici öneriler geliştirir. Bunu yaparken iç denetçilerin kanunları, düzenlemeleri, uygulamaları, hukuk biriminin görüşlerini ve IT bölümünün güvenlik uygulamalarını değerlendirmesi gerekir. İç denetçinin bu süreçteki rolü, programın yürütülmesi, risklerin ortaya konması ve denetim çalışmalarını kapsayabilir. Ancak faaliyetle ilgili sorumluluk yüklenilmesi bağımsızlığa zarar verebilir.

İç denetçi şu konularda bilgi toplamalıdır; a) toplanan kişisel bilgiler, b) bilgileri toplama yöntemleri, c) bu bilgiyi kullanma amaçları ve d) ilgi yasal düzenlemeler.

İç denetçi bilgi güvenliği yapısını değerlendirebilecek bilgi ve kapasiteye sahip olmalıdır.

Denetim Çalışmasında Kişisel Bilgilerin Kullanılması

Bilgi teknolojilerindeki gelişmeyle birlikte kişisel bilgilere erişimle ilgili risklerde artış olmuştur. Bu sebeple kanunlarda kişisel bilgilerin güvenliğinin sağlanmasına ilişkin düzenlemelere yer verilmeye başlanmıştır.Kişisel bilgiler bir kişinin kendine has özel bilgilerini kapsar.
Denetçi uygulamadaki tüm yasal düzenlemelere uygun davranmalıdır. Bazı görevlerde kişisel bilgilerin kullanılması veya bu bilgilere erişilmesi yasal veya uygun olmayan durumlar yaratabilir.