Kontrol faaliyetleri, işletmelerin amaçlarına ulaşmasını engelleyebilecek riskleri azaltmak, hataları önlemek, gerçekleşen olumsuzlukları tespit etmek ve gerekli durumlarda düzeltici önlemler almak amacıyla oluşturulan politika, prosedür ve uygulamalardır. Etkin bir kontrol sistemi, yönetimin belirlediği hedeflere ulaşılmasını desteklerken aynı zamanda hata, usulsüzlük, kaynak kaybı ve süreçlerin aksaklık risklerini de azaltır (Tuğcu, 2019).
Önleyici Kontroller
istenmeyen olaylar ortaya çıkmadan önce bu olayların gerçekleşme olasılığını azaltmak veya tamamen engellemek amacıyla tasarlanan kontrol faaliyetleridir. Bu kontrollerin temel amacı, hata, ihmal, yetkisiz işlem veya güvenlik ihlali gibi risklerin kaynağında önlenmesidir. Örneğin, işletme içinde görevlerin ayrılığı ilkesinin uygulanması, yetki devri sınırlarının belirlenmesi, sisteme girişlerde kullanıcı adı ve şifre zorunluluğu getirilmesi, sayısal alanlara alfabetik karakter girişinin engellenmesi, yangın söndürme cihazlarının bulundurulması ve güvenlik duvarı kullanılması önleyici kontrol örnekleri arasında yer alır. Önleyici kontroller, risk gerçekleşmeden önce devreye girdiği için işletmeler açısından maliyetleri azaltıcı ve süreç güvenliğini artırıcı bir işleve sahiptir (T.C. Hazine ve Maliye Bakanlığı, 2024; Tuğcu, 2019).
Tespit Edici Kontroller
Meydana gelmiş hata, eksiklik, usulsüzlük ya da güvenlik ihlallerini ortaya çıkarmaya yönelik kontrollerdir. Önleyici kontroller her riski tamamen ortadan kaldıramayacağından, gerçekleşen olumsuzlukların zamanında belirlenmesi işletme açısından büyük önem taşır. Stok kayıtları ile fiili stok sayımları arasında fark bulunması durumunda yapılan incelemeler, yetki limitlerini aşan işlemlerin raporlanması, şüpheli hesap hareketlerinin izlenmesi, iç denetim çalışmaları ve sistem günlüklerinin analiz edilmesi bu kapsamdadır. Bu kontroller sayesinde yönetim, gerçekleşen aksaklıkları görünür hâle getirerek gerekli düzeltici veya telafi edici adımları atabilir (Sakarya Serbest Muhasebeci Mali Müşavirler Odası, 2015; T.C. Hazine ve Maliye Bakanlığı, 2024).
Yönlendirici Kontroller
İşletmede arzu edilen davranışların, sonuçların veya performans düzeyinin ortaya çıkmasını destekleyen proaktif kontrol faaliyetleridir. Bu kontroller, çalışanları belirlenen hedeflere yönlendirmeyi ve örgütsel amaçlarla uyumlu davranışları teşvik etmeyi amaçlar. Rehberler, eğitim programları, performans standartları, teşvik planları, üst yönetimin etik davranışlara örnek olması ve çalışan motivasyonunu artıran uygulamalar yönlendirici kontrollere örnek verilebilir. Bu yönüyle yönlendirici kontroller, yalnızca hataları önlemeye değil, aynı zamanda işletmede olumlu bir kontrol kültürünün oluşturulmasına da katkı sağlar (T.C. Çevre, Şehircilik ve İklim Değişikliği Bakanlığı, 2010; The University of Texas at El Paso, 2017).
Düzeltici Kontroller
Tespit edilen hata, ihmal, ihlal veya aksaklıkların giderilmesine yönelik olarak uygulanan kontrol faaliyetleridir. Bu kontroller, risk gerçekleştikten sonra ortaya çıkan olumsuz sonuçların düzeltilmesini ve benzer durumların yeniden yaşanmaması için gerekli önlemlerin alınmasını hedefler. Yanlış girilen verilerin düzeltilmesi, yetkisiz kullanıcıların sistemden çıkarılması, güvenlik ihlali sonrasında sistemlerin yeniden yapılandırılması, felaket kurtarma faaliyetlerinin uygulanması ve hatalı işlemlerin iptal edilerek doğru kayıtların oluşturulması düzeltici kontrol örnekleridir. Düzeltici kontroller, telafi edici kontrollerle yakından ilişkilidir, çünkü bir hatanın düzeltilebilmesi için öncelikle tespit edilmesi gerekir (T.C. Hazine ve Maliye Bakanlığı, 2024).
Telafi Edici Kontroller
Gerekli bir kontrolün uygulanamadığı veya mevcut kontrolün yetersiz kaldığı durumlarda ortaya çıkabilecek riskleri azaltmak amacıyla kullanılan alternatif kontrol faaliyetleridir. Özellikle çalışan sayısının yetersiz olması, görevlerin ayrılığı ilkesinin tam olarak uygulanamaması veya maliyet sınırlılıkları gibi nedenlerle bazı önleyici kontrollerin kurulamadığı durumlarda telafi edici kontroller önem kazanır. Örneğin, görevlerin ayrılığı sağlanamıyorsa yöneticinin işlemleri yakından izlemesi, detaylı gözden geçirme yapması veya görev rotasyonu uygulaması telafi edici kontrol niteliği taşır. Aynı şekilde, maliyet artışları nedeniyle bütçe hedeflerinden sapma yaşanması hâlinde alternatif tedarikçi araştırılması veya hammadde maliyetlerini azaltıcı önlemler alınması da telafi edici kontrol kapsamında değerlendirilebilir (T.C. Çevre, Şehircilik ve İklim Değişikliği Bakanlığı, 2010.; Tuğcu, 2019).
Caydırıcı Kontroller
İstenmeyen davranışları doğrudan engellemekten çok, kişileri bu davranışlardan uzak durmaya yönelten kontrol faaliyetleridir. Bu kontroller, özellikle yetkisiz erişim, güvenlik ihlali, hile veya usulsüzlük gibi durumların gerçekleşme olasılığını azaltmayı amaçlar. Caydırıcı kontroller, saldırganı sistem üzerinde yasa dışı işlem yapmaması konusunda uyaran ve bu eylemlerin hukuki sonuçlarını ortaya koyan kontrollerdir. Yetkisiz erişim uyarıları, güvenlik kameraları, kullanıcı faaliyetlerinin izlendiğine ilişkin bildirimler, etik kurallar ve disiplin hükümleri caydırıcı kontrol örnekleri arasında yer almaktadır (Rahman, 2021).
Kurtarıcı Kontroller
Bir olay, arıza veya güvenlik ihlali sonrasında sistemlerin yeniden çalışır hâle getirilmesini ve faaliyetlerin olağan düzene döndürülmesini sağlayan kontrol faaliyetleridir. Bu kontroller, olayın meydana gelmesini engellemekten ziyade, olay sonrasında sistemin tekrar üretim ortamına alınmasına odaklanır. Disk arızası sonrasında verilerin yedekten geri yüklenmesi ve bağlantı kaybında sunucunun otomatik olarak başka bir sunucuya devredilmesi örnek olarak verilebilir (The University of Texas at El Paso, 2017).
Kaynaklar
Sakarya Serbest Muhasebeci Mali Müşavirler Odası. (2015). İç denetim. https://www.sakaryasmmmo.org.tr/uploads/files/ic_denetim_2015.doc
T.C. Çevre, Şehircilik ve İklim Değişikliği Bakanlığı. (2010). Süreç yönetimi el kitabı. https://webdosya.csb.gov.tr/db/strateji/editordosya/SUREC_YONETIMI_EL_KITABI2.pdf
T.C. Hazine ve Maliye Bakanlığı. (2024). Kontrol türleri ve kontrol faaliyetleri rehber dokümanı. https://ms.hmb.gov.tr/uploads/sites/23/2024/06/6861-AB3367F054B6B2D7B87B3F566212A030706707A8.doc
Tuğcu, S. (2019). Bağımsız denetim açısından iç denetimin önemi [Yüksek lisans tezi, İstanbul Ticaret Üniversitesi]. https://avesis.ticaret.edu.tr/dosya?id=cee1dbb0-216a-44f5-bd04-9c1421082ecb
Rahman, M. M. (2021). Security and risk assessment of IT defense strategies considering the cyber kill chain. ISACA Journal. https://www.isaca.org/resources/isaca-journal/issues/2021/volume-1/security-and-risk-assessment-of-it-defense-strategies-considering-the-cyber-kill-chain
The University of Texas at El Paso. (2017). Payment Card Industry Data Security Standard (PCI DSS) information security program (Version 3.2). https://www.utep.edu/information-resources/iso/_files/docs/pci%20dss%20information%20security%20policy%20v3.2.pdf