İç kontrol; bir kurumun yönetimi ve personeli tarafından hayata geçirilen tamamlayıcı bir süreç olup aşağıda sıralanan hedefleri gerçekleştirmek suretiyle; kurumun misyonunu başarması için riskleri göğüslemek ve makul bir güvence sağlamak üzere tasarlanmıştır:

- Faaliyetleri düzenli, ahlak kurallarına uygun, ekonomik, verimli ve etkin biçimde gerçekleştirme,

- Hesap verme sorumluluğunun gerektirdiği yükümlülükleri yerine getirme,

-  Yürürlükteki yasalara ve yönetmeliklere uyma,

- Kayıplara, kötü kullanıma ve hasarlara karşı kaynakları koruma.

Gelişim Süreci:

İç kontrol ile ilgili en temel kaynak COSO Raporu olarak da bilinen ve orijinal ismi Internal Control-Integrated Framework (İç Kontrol-Bütünleşik Çerçeve) olan bir çalışma raporudur.

COSO (Commitee on Sponsoring Organizations) 1985 yılında finansal tablolardaki hata ve hilelerin nedenlerini araştırmak ve engellemek için kurulmuş, bir özel sektör girişimidir. Özel sektör girişimi olmakla birlikte bu çatı altında kamuda iç kontrol düzenlemelerine yönelik önemli araştırmalar ve öneriler gerçekleştirilmiştir. Kurucu başkanı James C. Treadway’den dolayı Treadway Komisyonu olarak da bilinmektedir.

Bu girişim 5 meslek örgütünden oluşmaktadır. Bu örgütler Amerika Muhasebe Derneği (American Accounting Association), Amerika Mali Müşavirler Enstitüsü (American Institute of Certified Public Accountants), Uluslararası Finansal Yöneticiler Birliği (Financial Executives International), Yönetim Muhasebecileri Enstitüsü (Institute of Management Accountants) ve İç Denetçiler Enstitüsüdür (The Institute of Internal Auditors). Girişimde yer alan meslek örgütlerinin üyeleri finansal yönetim, iç denetim, iç kontrol sistem çalışmalarında doğrudan yer aldıklarından yapılan düzenlemeler önemli bir boşluğu doldurmuştur.

COSO küpü ya da piramidi olarak bilinen model iç kontrol uygulamalarında referans olarak kullanılmaktadır.

Kontrol Ortamı: Kontrol ortamı iç kontrol sistemi uygulamalarının üzerine inşa edildiği ve yönetildiği bir alan/değerler bütünüdür. İç kontrol ortamının asıl kaynağını kurumun geçmişi, kurumsal kültür ve yönetim felsefesi oluşturmaktadır. İç kontrol ortamını oluşturan unsurlar şunlardır:

- Dürüstlük ve etik değerler,

- Üst yönetimini tutum ve davranışları, yönetim felsefesi ve çalışma şekli,

- İnsan kaynakları yönetimi ve politikaları,

- Liyakatin esas alınması,

- Örgüt yapısı,

- Yetki ve sorumlulukların tahsisi.

Kontrol ortamı iç kontrol uygulamalarını doğrudan etkileyen etik değerler, insan kaynakları yönetimi, organizasyon yapısı gibi alanları kapsamaktadır. Etkin ve verimli bir iç kontrol sistemi için bu alanların doğru şekilde yönetilmesi gerekmektedir.

Risk Değerlendirme: Alınan her karar, gerçekleştirilen her işlem beraberinde bazı riskleri getirmektedir. Kurumlar büyüklükleri, içinde bulundukları sektör, organizasyon yapıları, yönetim biçimleri, sundukları ve ürün hizmetler ne olursa olsun çeşitli risklerle karşılaşmaktadırlar. Risk iş hayatının doğasında var olan bir olgudur. Riskin olmadığı bir çalışma ortamı mümkün değildir. Bu yüzden yöneticiler riskleri sıfırlamaya değil, riskleri en aza indirmeye, ortaya çıkabilecek risklerin etkilerini sıfırlamaya odaklanmalıdırlar. Risklerin belirlenebilmesi için de öncelikle kurumsal hedeflerin belirlenmiş olması gerekmektedir. Belirlenen hedefler doğrultusunda kurumun üstlenebileceği/göğüsleyebileceği risk iştahına/düzeyine karar vermek ise üst yönetimin sorumluluğundadır. Kurumsal hedefler doğrultusunda ortaya çıkması muhtemel riskler belirlenmeli, bu risklerin nasıl yönetileceğine karar verilmelidir. Kurumsal süreçlerde ve faaliyetlerde riskli alanlar olarak belirlenmiş konulara ayrı bir özen gösterilmeli ve kontrol faaliyetleri bu süreçlere titizlikle yerleştirilmelidir.

Kontrol Faaliyetleri: Yönetsel faaliyetlerin belirlenmiş ilke ve stratejilere uygun bir şekilde gerçekleştirilmesinde yöneticilere yardımcı olan politika ve yöntemlerdir. Kontrol faaliyetleri ile kurumsal risklerin yönetilmesi amaçlanmaktadır. Kontrol faaliyetleri gerek politika, kültür, değerleri gibi soyut olgular ile onay, belge düzeni, formlar gibi somut olguları kapsamaktadır. Kontrol faaliyetleri kurumun tüm süreçlerine ve faaliyetlerine yerleştirilebilecek işlemler olup, dinamik ve esnek karakterlidirler. Kurumsal süreçler ve faaliyetler göz önünde bulundurularak değişen koşullara uyum sağlayabilecek şekilde tasarlanmalıdırlar. Yetki ve sorumlulukların belirlenmesi, onay silsilesi, tahakkuk, hesap mutabakatları, görev ayrımı, kurum varlıklarının korunması (fiziki ve kaydi), operasyonel süreçlerin gözden geçirilmesi, denetim işlemleri gibi faaliyetler kontrol faaliyetlerine örnek olarak gösterilebilir.

Bilgi ve iletişim: Bilgi ve iletişim, iç kontrol uygulamalarının kullanacağı ve üreteceği bilgiler ile bu bilgilerin paydaşları arasındaki iletişimi kapsamaktadır. Bilgi sistemleri aracılığıyla iç kontrole ilişkin finansal ve finansal olmayan bilgileri içeren raporlar hazırlanır. Bu raporların kaynağı ve sunulacağı makam kurum içinden olduğu gibi kurum dışından da olabilmektedir. İç kontrol sisteminin doğru, zamanlı, ekonomik, nesnel bilgiler ile beslenmesi temel şarttır. Diğer taraftan iç kontrol uygulamalarının sonuçlarının paydaşlarla paylaşılması da gerekmektedir. Bu bağlamda yürütülecek iletişim çalışmaları dikey ve yatay iletişim kanallarını kapsamalıdır. Özellikle üst yönetim, iç kontrol uygulamalarını desteklediğini vurgulamak, iç kontrol sisteminin etkinliğinin arttırılmasında bütün çalışanların rolünü önemli olduğunu onlara hissettirmek için kurum içi iletişim yollarını kullanmalıdırlar.

İzleme: İzleme faaliyetinin temel amacı iç kontrol sisteminin performansı hakkında sağlıklı bir değerlendirme yapmaktır. İç kontrol uygulamalarının kalitesini değerlendirmek ve iç kontrol sisteminin güncel koşullara uyum sağlayacak şekilde değiştirilip değiştirilmediği izleme faaliyetleri ile anlaşılmaktadır. İç kontrol sisteminin izlenmesi sürekli izleme, özel değerlendirme ya da her ikisinin bir arada kullanılmasıyla gerçekleştirilebilir.