İç Kontrol Sistemi İçin Dokümantasyon Ne Kadar Önemli?

İç kontrol sistemi için dokümantasyonun gerekliliği ve önemi çok tartışılan konulardan biridir. Her sistem gibi iç kontrolün de çeşitli seviyelerde girdi ve çıktıları vardır, bu girdi ve çıktılar belirli düzeyde dokümantasyon üretirler.

Asıl sorun, dokümantasyonun ölçüsünün ne olması gerektiğidir. İç kontrol, bir organizasyon için eklenti bir uygulama değildir. Her organizasyonda hali hazırda var olan ancak etkinliği, önemsenme ve önemlilik derecesi, uygulanma şekli değişiklik gösteren bir sistemdir. Çok küçük ve basit yapılı organizasyonlarda daha az kapsamlı sistemlere gereksinim duyulurken, organizasyon yapısı büyüyüp karmaşıklaştıkça daha kapsamlı ve iyi tasarlanmış sistemlere ihtiyaç duyulur.

İç kontrol sisteminin temel dokümanları, en genel ifadelerle; yönetim politikaları, planlar, programlar, teşkilat şemaları, yetki ve sorumluklara ilişkin prosedürler, etik bildirimleri, performans değerlendirme raporları olarak sayılabilir. Bunlara; rehberler, broşürler, el kitapları gibi yönlendirici ve eğitici dokümanlar eklenebilir.

Çok küçük bir organizasyon yapınız var ise, teşkilat şemasını çizelge olarak sunmaya gerek duymayabilirsiniz. Organizasyon yapısı büyüyüp fonksiyonlar karmaşıklaştıkça, teşkilat şemaları da eş değer detayda geliştirilir. Hatta büyük organizasyonlar için sadece fonksiyonlar arası hiyerarşik yapılanmayı gösteren yapısal teşkilat şemaları yerine, fonksiyonel hatta kadroları gösteren teşkilat şemaları tercih edilmelidir. Doğru yorumlandığında ve kullanıldığında teşkilat şemaları yönetim için, kurum hakkında çok önemli mesajlar verir. Fonksiyonların etkili dağıtılıp dağıtılmadığı, fonksiyonlar arasında çakışan görevler olup olmadığı, faaliyetlerin fonksiyonlar içerisinde bütüncül olarak yürütülüp yürütülmediği, birbirleri ile sıkı iletişim halinde olması gereken fonksiyonlar, birlikte ve ayrı yürütülmesi gereken faaliyetler teşkilat şemaları üzerinden kolayca okunabilmekte, yöneticilere önemli bir perspektif sağlayabilmektedir.

Yönetimin bakış açısını yansıtan politika belgeleri, kurum kültürünü ve çalışma prensiplerini en genel şekilde tanımlayan dokümanlardır. Yönetimin nasıl bir çalışma ortamı istediği, temel hedef ve prensiplerin neler olduğu konusunda bilgi sağlar. Çalışanların görev ve sorumluluklarını yerine getirirken, yönetim tarafından uymaları beklenen temel gereklilikler, hedefler, sınırlar ve kısıtlar konusunda çalışanlara rehberlik eder. Her bir fonksiyonun yetki ve sorumluluklarının neler olduğu, bu yetkiyi kullanma şekli ve sorumlulukların gerekleri yönetim tarafından bildirilen politika belgelerinde yer alır. Talimatlar, genelgeler, yönergeler, güvenlik ve gizlilik politikaları, yetki devri prosedürleri söz konusu belgelere örnek olabilir. Bu belgeler, yönetim ile çalışan ve üst yönetim ile diğer yöneticiler arasında doğru iletişimi sağlamak için önemlidir. Ancak bu belgelerin kurum fonksiyonları ve faaliyetleri ile uyumlu olması, uygulanabilir olması, gereklilikleri karşılıyor olması, anlaşılabilir ve her kademedeki yönetici ve personel tarafından ulaşılabilir olması gerekir. Bu belgeler yönetim ortamını tanımlayarak iç kontrol sistemini destekliyor olmakla birlikte, politikalara uygunluğun izlenmesi ve değerlendirilmesi ile birlikte sistemin etkinliği konusunda da bir bilgi sağlar; sistemdeki boşluklar, aksaklıklar ve yönetsel zafiyetleri izlemek için denetime bir araç sunarlar.

Plan ve programlar, iç kontrol sistemi için en önemli dokümanlardandır. Geleneksel yönetim yaklaşımının beş unsurunun - planlama, organize etme, yönlendirme, koordine etme ve denetim-  başlangıç noktası planlamadır. Plan yapmak; çalışmayı basitleştirir, çalışanlara yol haritası sunar, bu açıdan hem plan yapıcıların hem de uygulayıcıların işini kolaylaştırmış olur. Fonksiyonlar arasında birliği ve koordinasyonu sağlar. Kaynaklar hedeflere uygun şekilde dağıtılmış ve hedefler kurumun önceliklerine göre belirlenmiş olacağından; kaynakların etkili ve verimli kullanımını konusunda güvence sağlanmış olur. Planlar orta ve uzun vadeli stratejik konulara ilişkin olacağı gibi, günlük faaliyetleri düzenleyen taktiksel planlar şeklinde de olabilir. Her iki plan türü de kurum içindeki keyfi uygulamaları önleyecek, faaliyet performanslarının ölçülmesi ve değerlendirilmesi konusunda yönetime bir araç sunacaktır. Çalışanlar için kendilerinden ne beklendiği, hangi önceliklere göre çalışmaları gerektiği, kaynakları ne şekilde kullanmaları gerektiğine ilişkin bir yönlendirici olurken, yönetim için işlerin istenilen şekilde yürüyüp yürümediği konusunda bilgi sağlanabilecektir.

Yönetimin yetki ve sorumluluklara ilişkin beyanları ya da bu konuda düzenlenen prosedürler, çalışma alanının sınırlarını net olarak belirleyecektir. Yetki ve sorumlulukların belirlenmesine yönelik yapılacak çalışmalar aynı zamanda kurumda bir kontrol kültürü ve kontrol bakış açısı da sağlamış olacaktır. Yetki ve sorumluluklara ilişkin oluşturulacak dokümantasyon çalışmasında; çakışan görevler, birbirlerinden ayrı yürütülmesi gereken görevler, belirli limitler dahilinde yürütülmesi gerekenler, birden fazla kişinin bir arada kullanması gereken yetkiler ile birlikte; bu yetkiler üzerinde uygulanması gereken raporlama ve kontrol mekanizmaları da belirlenmiş olacaktır. Çalışanlar, yetki ve sorumluluklarının kapsamı ve sınırını bilerek güvenli bir çalışma ortamı edinmiş olurken, yönetim devrettiği tüm yetki ve sorumlulukları çeşitli yönetim kademeleri aracılığı ile izleyebilecektir. Yetki ve sorumlulukların açıkça belirlenmiş olması hesap verilebilirlik için de son derece önemlidir. Her bir yönetici yetki alanı dahilinde yaptığı işlemler konusunda hesap vermekle mükellef olacaktır. Limit dahilinde yapılan ayrıştırmalar ve onay mekanizmaları ile yüksek ölçekli suiistimaller önlenecektir. Üst yönetim ile alt kademe yöneticiler arasındaki bilgi ve iletişim kanalı net bir şekilde tanımlanmış olacaktır. Ayrı yürütülmesi gereken görevlere ilişkin görevler ayrılığı prensiplerinin belirlenmesi ile uygulama süreçleri üzerinde gerekli noktalarda kontroller oluşturulması; hata, hile ve suistimallere yönelik caydırıcılık sağlayacaktır. Hata, hile ve suiistimalin meydana gelmesi halinde, tespiti için de önemli bir mekanizma oluşacaktır.  

Risk envanterleri, risklere yönelik oluşturulacak kontrol prosedürleri, eylem planları iç kontrol dokümantasyonları arasında hem önem hem de içerik açısından dikkate değer bir yere sahiptir. Kurumun risklerini önceden tahmin ederek kayıt altına alması; bu riskleri azaltmaya yönelik kontrol faaliyetlerini belirlemesi ve yetersiz kontrol alanlarını tespit etmesi; iyileştirilmesi gereken alanlara ilişkin aksiyon planları hazırlaması hedeflerin ve faaliyetlerin güvence altına alınması açısından son derece önemlidir. Bu kayıtlar, yönetime, kurum içinde ve dışında iş hedeflerinin gerçekleştirilmesine engel olabilecek durumların bir listesini sunarken; yönetim, kurumun bu engellerle baş edebilme kabiliyeti açısından da önemli bir bilgi edinmiş olur. Çalışanlar için, görev ve sorumluluklarını yerine getirirken uygulamaları gereken kontroller ile işlerini kurumsal hedeflere, politika ve prosedürlere uygun şekilde yerine getirebilmek, uyum yükümlülüklerini sağlayabilmek için ihtiyaç duydukları kontroller hakkında bir rehber oluşturulur. Faaliyetler üzerinde sürekli izlenmesi ve değerlendirilmesi gereken alanların açıkça tanımlanmış olması, denetim fonksiyonu açısından da önemli ölçüde verimlilik sağlar.

Performans raporları, hem hesap verebilirlik hem de kurumun kaynaklarının ne derece etkili, ekonomik ve verimli kullanıldığı konusunda bilgi sağlamaları açısından oldukça önemlidir. Performans raporları, bütçe ve muhasebe bilgilerini içeren mali raporlar olabileceği gibi mali olmayan hedefleri içeren raporlar da olabilir. Yönetim bu raporlar doğrultusunda, hangi alanlarda ne derece başarılı olunduğu, sapmaların var olduğu alanlar ve sapmaların nedenleri hakkında bilgi sahibi olur. Performans raporları aracılığı ile sağlanacak uygulama geri bildirimi ile ek kontrole ihtiyaç duyulan alanlar tespit edilerek gerekli iyileştirmeler yapılabilir. Faaliyetlerden sorumlu yetkililerin, faaliyetlerin yönetimi ve kaynak kullanımı açısından, ne derece başarılı olduğu konusunda, hem kurum içi üst amirlere hem de kamuoyuna yapılacak raporlamalar ile hesap verebilirlik sağlanmış olur.

İş prosedürleri de bu kapsamda önemli yer tutan dokümantasyonlardır. Tanımlanmış iş süreçleri, iç kontrol açısından, uygulamaların, yönetim tarafından belirlenen politika ve prosedürler ile yasal mevzuata uyumunun sağlanmasına yardımcı olan araçlardır. Özellikle karmaşık ve detaylı iş süreçlerine yönelik olarak hazırlanacak prosedürler, hata yapma ihtimalini azaltarak iş verimliliğini artıracaktır. Tanımlanmış iş süreçleri üzerinde, kontrol edilmesi gereken alanların neler olduğu, yetki ve sorumlulukların doğru dağıtılıp dağıtılmadığı, ayrı yürütülmesi gereken iş adımlarının neler olduğu vb. daha kolay ve doğru şekilde belirlenebilecektir. Tanımlanmış iş süreçleri, işin doğru yapılış şekli hakkında çalışanlar için önemli bir referanstır. Bu şekilde keyfi uygulamalar büyük ölçüde önlenmiş olacaktır.

Görüleceği gibi, iç kontrol sistemi uygulamaları içerisinde, kurumlarca ‘‘Sadece dokümantasyon’’ olarak görülen birçok şey aslında sistemin kendisini oluşturur. Dokümantasyon olmadan iç kontrol sistemi kurulabilir mi? Sorusuna tabi ki olumlu cevap verilebilir. Diyelim ki küçük bir organizasyonsunuz ve işler son derece yolunda gidiyor. Mükemmel yetkinlikte ve son derece dürüst çalışanlara sahipsiniz. İç kontrol sistemi için, yetkinlik ve dürüstlük en önemli iki husustur. Çünkü sistemin en önemli etkileyicisi insan unsurudur. Ancak mevcut çalışanları, sonsuza kadar kurumda tutmak mümkün değildir. Hastalık, emeklilik, ölüm, istifa, nakil vb. sebeplerle ile çalışanlar kurumdan zaman içinde ayrılacaklardır. Yeni gelen çalışanın, eş değer derecede yetkinlik ve dürüstlüğe sahip olacağından emin olamazsınız. Sahip olsa bile; kurum kültürüne alışması, kurumun yönetim biçimini anlaması ve benimsemesi için rehber dokümanlara her zaman ihtiyaç duyarsınız. Bu nedenle, aslında, en kıymetli olan, yetkin ve dürüst çalışanlarının bilgi, tecrübe ve yetkinliklerini kurumsal bir sistem içerisine aktarılmasını ve devamlılığını sağlamak olacaktır.

Asıl kritik nokta, ne derece dokümantasyona ihtiyacımız olduğuna ve bu dokümantasyonu nasıl en doğru ve verimli şekilde kullanabileceğimize karar verebilmektir. Bu aşamada iç kontrol sisteminin etkinlik, ekonomiklik ve verimlilik amacının gözden kaçırılmaması iyi bir yol gösterici olacaktır. Üretilecek dokümanlar, faaliyetlerle uyumsuz ve faaliyetleri olumsuzluk yaratacak ölçüde kısıtlayacak dokümanlar olmamalıdır. Kurumun ihtiyaçları göz önünde bulundurularak mümkün olan en uygun ölçüde dokümantasyon sağlanmalı, oluşturulan prosedürler kontrol sistemine değer katacak nitelikte olmalıdır. Tabi ki; yapılan tüm bu çalışmaların doğru kanallardan iletiliyor olması ve iletildiğinden emin olunması için bir bilgi işlem alt yapısına ihtiyaç duyulacağı neredeyse kesindir. Dokümantasyon, kağıt üzerinde kaldığı zaman geçerliliğini yitirme, kaybolma, gözden kaçırılma ihtimali çok yüksektir. İç kontrol sistemine ilişkin oluşturulan tüm dokümantasyonun bir otomasyon sistemi kullanılarak saklanması, mümkünse üretilmesi, hazırlanması, izlenmesi ve değerlendirilmesi sistemin verimliliğine önemli katkılar sağlayacaktır.

Yukarıda iç kontrol sistemi için gerek duyulan ve dokümantasyon gerektiren bazı uygulamalara yer verilmiştir. Bu listeye onlarcasını daha eklemek mümkün. Bu açıdan gereklilikleri belirlerken, kontrol ve denetim çok önemli iki fonksiyondur. İç kontrol sistemine ilişkin olarak yapılan çalışmalar, uzun vadeli bir bakış açısıyla, yeterli kontrol sağlıyor ve yönetime yeterli kontrolün sağlandığına ilişkin olarak güvence verebiliyorsa -ki yönetim, bu güvenceyi büyük ölçüde, performans raporları ve denetim değerlendirmeleri üzerinden alacaktır- denetim açısından gerekli ortamı sağlıyor ve denetim maliyetlerini önemli ölçüde azaltıyor ise makul güvence sağlayan bir iç kontrol sistemi için yeterli hazırlığınız var demektir.