COSO (Committee of Sponsoring Organizations of the Treadway Commission) 1985 yılında, iç kontrol, risk yönetimi, kurumsal yönetim ve suiistimali önleme alanlarında kapsamlı bir uygulama rehberi hazırlamak adına, Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü, Amerika Muhasebe Birliği, Finansal Yöneticiler Enstitüsü, İç Denetçiler Enstitüsü, Yönetim Muhasebecileri Enstitüsü tarafından kurulmuş bir organizasyondur.

Organizasyonun koyduğu standartlar günümüzde dünya genelinde en fazla kabul gören ve uygulanan iç kontrol çerçevesidir.

Ana hedefi; iç kontrolün tanımını yapmak ve sağlıklı bir iç kontrol ortamı yaratmak için gerekli unsurları ortaya koymaktır. Bu unsurlar aşağıda iki grup halinde verilmiştir:

COSO iç kontrol ana başlıkları;

• Finansal Raporlama Güvenilirliği
• Yasa ve Kanunlar ile Uyum,
• Operasyonlarda Etkinlik ve Verimlilik

COSO iç kontrol bileşenleri;

• Kontrol Ortamı Yaratılması
• Risk Değerlemesi Yapılması
• Kontrol Aktivitelerinin Kurgulanması
• Bilgi ve İletişimin Etkin Kullanılması
• Gözetim ve İzleme Yapılması

Hazırladığımız soru setleri COSO standartları ve gereklilikleri ile uyumlu, birçok ulusal ve küresel şirketler tarafından kısmen veya tamamen kullanılmaktadır.

Daha detaylı bilgi için www.coso.org sitesini ziyaret edebilirsiniz.

CobIT “Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri” anlamına gelmektedir. Uluslararası mesleki enstitüler olan ISACA ve ITGI tarafından geliştirilmiş, Bilgi Teknolojileri (BT) yönetimi için en iyi uygulamalar kümesidir.

CobIT başlı başına bir süreç olmayıp, güçlü bir yönetim ve kontrol önerileri bütünüdür. CobIT, Bilgi Teknolojileri (BT) organizasyonunun kendi hedeflerini, kurumun ana iş hedeflerine ulaşmasını sağlayacak şekilde oluşturmasını hedeflemektedir. BT kaynakları olan insan, yazılım, donanım ve bilgiyi en etkin BT süreçleri ile işleyerek, kurumun ihtiyaç duyduğu iş gereksinimlerini karşılamaktadır.

Birçok kurum ve yönetici için bilgi ve bilgi teknolojileri hem en değerli hem de en az anlaşılan süreçlerdir. Konuyu daha kolay anlaşılır kılabilmek adına; CobIT, genel anlamda dört ana başlık altında yönetim önerileri getirir ve kontrol noktaları belirler:

• Planlama ve Organizasyon
• Tedarik ve Uygulama
• Teslimat ve Destek
• İzleme ve Değerlendirme

Kısaltmalar:

CobIT: Control Objectives for Information and Related Technology
ISACA: Information Systems Audit and Control Association
ITGI: IT Governance Institute

SOX (Sarbanes-Oxley Kanunu) 30 Temmuz 2002 tarihinde Amerika Birleşik Devletleri’nde kabul edilerek uygulamaya alınmıştır. Kanun, Enron ve WorldCom gibi büyük kurumsal skandal ve iflaslar sonrası gündeme gelmiştir. Temelde şirketlerin denetim mekanizmalarını güçlendirmek suretiyle finansal raporlamanın güvenilirliğini sağlamayı hedeflemektedir

Söz konusu kanunun 404 no’lu maddesi; sermaye piyasası kurumuna tabi şirketlerin yönetim kurulu ve üst düzey yöneticilerinin iç denetim mekanizmalarını kurmak ve sonuçları açıklamaya yönelik sorumluluklarını belirlemekte ve uygun olmayan davranışlara ilişkin cezai hükümler getirmektedir.

Bir diğer ifade ile SOX-404 Kanunu; halka açık tüm Amerika Birleşik Devletleri şirketlerinin ve iştiraklerinin sağlıklı finansal raporlama yaptıklarından, sağlıklı işlediklerinden ve yatırımcıların menfaatlerini korunduğundan emin olmak amacıyla tanımlanmış yasal bir düzenlemedir.

Hazırladığımız soru setleri SOX-404 gereklilik ve standartları ile uyumlu olup, küresel şirketler tarafından da kullanılan standartlar dahilindedir.

Bu konuda daha detay bilgi almak için https://en.wikipedia.org/wiki/Sarbanes-Oxley_Act sayfasını ziyaret edebilirsiniz.

Kurumlar gerek çalışanları gerek hissedarları için; operasyonel döngü içerisinde maksimum karlılık ve uzun süreli devamlılık amacıyla kurulur ve çalışırlar.

Ancak söz konusu amaçlarına ulaşmalarının önünde birçok engel bulunabilir: Yönetim zafiyetleri, iş akışlarının etkin kontrol mekanizmalarından mahrum olması, sistem kontrolleri yerine tek kişiye emanet edilmiş iş süreçleri, hatalı finansal raporlamalar, yasalar ile uyumsuzluk sonucu katlanılan yüklü maddi cezalar ve itibar kaybı…

Süreçler üzerinde eksik kurgulanmış iç kontrol mekanizmaları, kurumlar üzerinde suistimal riskini de beraberinde getirmektedir. Araştırma raporları suiistimalin hala işletmelerin operasyonları üstünde büyük bir tehdit olduğunu net bir şekilde koymaktadır. (Detaylı bilgi için “ACFE – Report to Nations” raporlarına bakabilirsiniz) (Link: https://www.acfe.com/report-to-the-nations/2018/)

Uluslararası düzeyde kabul gören COSO çerçevesindeki tanıma göre iç kontrol, kurumun hedeflerine ulaşmasının önündeki engelleri kaldırmak ve hedeflere ulaşıldığına dair makul güvence sağlamak üzere tasarlanmış olan bir sistemdir.

Kurumlar için bu koşulları sağlayacak 3’lü Savunma Hattı aktörleri ise;

• Yönetim tarafından üstlenilen iç kontrolleri işleten icracı birimler
• Bağımsız çalışan İç Kontrol birimi/ güvence veren birimler
• Bağımsız çalışan İç Denetim birimi

Bütün bu yapının bağımsızlığını ve etkinliğini sağlamak üzere Yönetim Kuruluna bağlı ve deneyimli Denetim Komitesi’nin varlığı da çok önemli bir unsurdur.

Unutmayınız; İç Kontrol tek seferlik bir işleyiş değil, bir kurum kültürüdür.

Uluslararası İç Denetçiler Enstitüsü tarafından yapılan tanımıyla İç Denetim; Bir kurumun operasyonlarını geliştirmek ve onlara değer katmak için tasarlanmış bir “bağımsız” ve “nesnel” güvence ve danışmanlık faaliyetidir.

Risk yönetimi, kontrol ve yönetişim süreçlerinin verimliliğini değerlendirme alanında disiplinli ve sistematik bir yaklaşım getirerek kurumun hedef ve amaçlarına ulaşmasına yardımcı olur.

İç Denetim’in en önemli görevi, kurumun iç kontrol mekanizmalarının etkinliğine ilişkin makul bir güvence vermektir. Bu amaçla kurumlarda; risk ve kontrol değerleme faaliyetlerine destek sağlar, işletme faaliyetlerini izler, faaliyetlere ilişkin risk değerleme ve kontrol faaliyetleri ile ilgili önerilerde bulunur, kontrollerin uygunluğunu ve etkinliğini test eder.

İç denetim faaliyetinin çok yönlü kapsamı içinde; mali denetim, uygunluk denetimi, operasyonel denetim ve bilgi sistemleri denetimi gibi çeşitli konu başlıkları bulunur.

Bu ve diğer konu başlıkları altında yapılan iç denetim; şirket ve kurumlarda mali raporlama sisteminin güvenilirliği, yasa ve düzenlemelere uygunluk, faaliyetlerin etkinliği ve verimliliği, bilgi sistemlerinin güvenliği ve güvenilirliği için vazgeçilmez, olmazsa olmaz faaliyetlerden biri olarak kabul edilir.