Vergi, Maliye, Ekonomi, Sosyal Güvenlik, Ticaret Hukuku Hakkındaki Herşey

Muhasebe ve Denetim

Dr. A. Engin ERGÜDEN
27 Ocak 2021Dr. A. Engin ERGÜDEN
5204OKUNMA

Farklı ve Özellikli Denetim Alanı-Bilgi Teknolojileri (BT) Denetimi

Son yüzyılda dünyada yaşanan aşağıdaki gelişmelerin doğal sonucu olarak iş dünyası daha karmaşık bir yapıya dönüşmüştür:

  • Küreselleşme ve buna bağlı iş ortamının karmaşıklığının artması,
  • Büyük değişimlere neden olan yeni ve yıkıcı teknolojilerin geliştirilmesi ve bu teknolojilerin kullanımının yaygınlaşması,
  • Küresel krizlerin ve suiistimallerin artması vb.

Dünyadaki bu VUCA (Volatility, Uncertainity, Complexity, Ambiguity- Değişkenlik, Belirsizlik, Karmaşıklık, Muğlaklık) ortamında denetimin ve denetimin etkinliğinin önemi artmıştır. Bu gelişmelere paralel olarak; Bilgi Teknolojilerinin iş ortamındaki kullanımının ve -yeni teknolojilerle birlikte- iş sitemlerinin karmaşıklığının artması geleneksel denetim yöntemlerinin yansıra yeni bir denetim yönetimin ya da disiplinine ihtiyacı doğurmuştur. Bu denetim yöntemidisiplini Bilgi Teknolojileri Denetimidir.

BT Denetiminin Kısa Tarihçesi

1980’li yıllarda kişisel bilgisayarlar ve 1990’lı yıllarda da internet kullanımı önce ABD’de sonra Avrupa’da yaygınlaşmıştır. Belki de Bilgi Teknolojilerinde yaşanan bu gelişmeler ile etkileşimli olarak yine o yıllarda, dünyadaki politik ve ekonomik sistemlerde yaşanan özgürlük ve küreselleşme eğilimli değişimler ile ülkeler arasındaki politik, ekonomik ve kültürel etkileşimler de artmış; bu durum BT’de yaşanan değişimlerin 2000’li yıllarda tüm dünyaya yayılmasına neden olmuştur. Bu hızlı değişim BT’nin etkin kullanımı anlamında faydalar sağlamış olsa da beraberinde bazı olumsuzlukları ve riskleri de getirmiştir. İşte bu alanda çıkan fırsatları ve riskleri etkin yönetebilmek için Bilgi Teknolojilerinin kontrolü ve denetimi de eş zamanlı olarak önem kazanmıştır.

Aslında BT Denetimi kavramının ortaya çıkması ABD’de daha eskilere, 1960’ların ortasına dayanmaktadır. 1960 yılların başında ticari kullanım için mainframe olarak adlandırılan büyük ve pahalı bilgisayarlar kullanılmaktaydı. Maliyetlerinden ve karmaşıklıklarından dolayı bu bilgisayarların kullanımı o yıllarda çok yaygın değildi. Bu bilgisayarları kullanabilmek için gerekli know-how’a sahip çok az sayıda insan bulunmaktaydı. Ancak 1960’larda bilgisayar teknolojisinde yaşanan gelişmeler ile daha küçük ve az maliyetli bilgisayarlar üretilmeye başlanmış ve bu nedenle bilgisayar kullanımı kurumsal anlamda artmaya başlamış; bilgisayarların en çok kullanıldığı bölümler ilk etapta muhasebe bölümleri olmuştur.

Şirketler zamanla farklı sistemler ve muhasebe yazılımları kullanmaya başlamışlardır. Bilgisayar kullanımının artması, raporlama sürelerinin kısalması, verilere daha hızlı erişilmesi gibi konular denetçiler için avantajlar sağlasa da kayıtların ve verilerin doğruluğu ile ilgili riskler, farklı ve karmaşık sistemler üzerinde denetim yapma zorunluluğu gibi dezavantajlar da ortaya çıkmıştır. İşte bu gelişmeler ilk defa Genel Denetim Yazılımı (GAS: Generalized Audit Software) kavramını gündeme getirmiş, şirketler kendi denetim yazılımlarını geliştirmek zorunda kalmışlardır. 1968 yılına gelindiğinde AICPA (American Institute of Certified Public Accountants)’in o zamanın denetim firmalarının da (big eight, günümüzde dört tanesi kaldığı için big four olarak anılıyorlar) desteği ile Elektronik Veri Prosesi (EDP: Electronic Data Process) Denetimi kavramını geliştirdiklerini görüyoruz. Hatta bu çalışmaların sonunda Auditing&EDP adında kılavuz bir kitap da yazılmıştır. Bu kitapta genel olarak EDP denetimlerinin nasıl dokümante edileceği ve iç kontrol incelemelerinin nasıl yapılacağına dair örnek uygulamalar yer almaktaydı.

Yine bu tarihlerde EDP denetçilerinin, EDPAA (Electronic Data Processing Auditors Association) adında amacı EDP denetim standartlarının, prosedürlerinin ve kılavuzlarının geliştirilmesi olan bir dernek kuruyorlar. 1977’de ise bu dernek tarafından Kontrol Hedefleri (Control Objectives) diye anılan ve BT denetiminin nasıl yapılacağını, standartlarını, kontrollerini ve süreçlerini içeren kılavuzun ilk sürümü yayınlanmıştır. Aslında bu kılavuz şu an için ISACA (Information Systems Audit and Control Association, 1994 yılında EDPAA adını ISACA olarak değiştirmiştir.) tarafından geliştirilen Bilgi ve İlgili Teknoloji için Kontrol Hedefleri (CobiT: Control Objectives for Information and Related Technology) standardının da temelini oluşturmaktadır.

BT Denetim Süreci

Öncelikli olarak; denetim sürecinin doğru işetilebilmesi için mutlaka denetim yönetmeliği (audit charter) ya da denetim hizmet sözleşmesi hazırlanmalı; bu yönetmelik içerisinde:

  • Denetimin İşlevi
  • Amacı
  • Sorumluluklar
  • Yetkiler
  • Hesap verebilirlik

Mesleki ve Profesyonel Bağımsızlık gibi konular açık olarak tanımlanmalıdır. Denetim Yönetmeliği içerisinde yer alan aşağıdaki konulara dikkat edilmelidir:

Mesleki Bağımsızlık,

Denetimle ilgili bütün konularda, BT denetçisi davranış, düşünce ve karar verme süreçlerinde denetlenen kurumdan bağımsız olmalıdır.

Kurumsal Bağımsızlık

BT Denetim işlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır

Mesleki Etik ve Standartlar

BT denetçisi, denetim yaparken yürürlükteki ulusal veveya uluslararası Meslek Etik Kurallarına bağlı kalmalıdır. BT denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını ve düzenlemelerini gözeterek gereken mesleki özeni göstermelidir.

BT Denetiminde Suistimal, Hile ve Yaslara Uyum

BT Denetçisi denetim sürecinde suiistimal, hile ve yasalara uyum risklerini ve bu risklerle ilgili kontrolleri de incelemelidir. Denetlenen organizasyonda suiistimal, hile ve yasalara uyum ile ilgili kontrollerin olması veveya etkin uygulanıyor olması bu tür risklerin varlığını ya da olma olasılığını etkilemeyebilir. Kontroller tanımlanmış ve hatta etkin uygulanıyor olsa da BT denetçisi; ilgili riskleri –gerçekleşme olasılıklarını ve kritikliklerini de dikkate alarak-analiz etmeli ve gerektiği durumlarda raporlamalıdır. Bu tür riskler ile ilgili şüphe ve iddialar, mutlaka doğruluğu ve geçerliliği inkâr edilemeyecek kanıtlara dayalı olmalıdır.

Suistimal, hile ve uygunsuzluk ile risklerin belirlenebilmesi için testler uygulanmalı, doğru ve yeterli örneklem seçilmeli ve test edilmelidir.

BT denetçisi suistimal, hile vb. riskler ve bu tür ihlallerin varlığı, ipuçları ya da belirtileri ile ilgili yeterli bilgiye sahip olmalıdır. Genel olarak belirtiler ve analiz teknikleri aşağıdaki gibi özetlenebilir:

  • En düşük ya da en yüksek değerler
  • En sık ya da en az yapılan işlemler
  • Kontrollerde onay mekanizmalarına tabi sınır değerlere yakın, bu değerlerin altındaki değerler. (Örneğin 100.000 $’ın üstündeki satın alma işlemleri için ikinci bir onay gerekiyorsa 99.000, 99.500, 99.999 gibi değerler şüphelidir). Bu tür değerler sıkça yapılmışsa suistimal riski yüksektir (Birbirine yakın tarihlerde 99.000, 99.500 vb işlemler sıkça gerçekleştirilmesi büyük ihtimalle işlemleri gerçekleştiren şahıs ya da şahıslar kontrol değerini ihlal etmeden suistimal gerçekleştirmektedir.)
  • Benford Analizi: Benford'un savı, birinci-tamsayı savı olarak da anılır. Buna göre birçok pratik gerçek hayat verileri kaynakları bir seri sayı listesi olarak verilirse en çok kullanılan ilk rakam (1/3 olasılıkla) 1'dir ve diğer ilk rakamlara gelince kullanılan tamsayıların değerlerinin olasılığı gittikçe azalma gösterir. Örneğin ilk sayının 9 olması olasılığı 1/20'den daha küçüktür. Bu ifadenin dayanağı, pratik gerçek dünya ölçümlerinin genellikle logaritma olarak dağıldığı ve bunun bir sonucu olarak genel olarak pratik gerçek dünyada ölçme suretiyle ele geçen değerlerin logaritmalarının dağılımının genel olarak tekdüze dağılım olduğudur
  • Gelir ya da giderlerin saklanması, yanlış veri üretilmesi, üretilen verilerin doğruluğunun saptanamaması
  • Veri kalitesi ile ilgili kontrollerde zayıflık
  • Yetkilendirme ve onay mekanizmalarında zayıflık
  • Belgesiz işlemler
  • Fiyatların ya da maliyetlerin sıkça değiştirilmesi ve güncellenmesi,
  • Fiyat ve maliyetlerde normal olmayan artışlar ya da azalışlar
  • Mükerrer ödemeler,
  • Üretilmesi gereken raporların çeşitli gerekçelerle yayınlanmaması ya da geciktirilmesi
  • Denetim süreci geciktirmeye yönelik davranışlar
  • Denetimden kaçma
  • Sadece tek bir tedarikçinin karşılayabileceği şartnameler hazırlanması
  • Çeşitli ve çoğu zaman tutarsız ya da doğru olmayan bahaneler üreterek (En sık kullanılan bahaneler: bizim şirketi en iyi tanıyan tedarikçi, bizim sektördeki tek tedarikçi, bize yakın tek tedarikçi, daha önce çok iş yaptık vb.) hep aynı tedarikçi ile çalışma
  • Çalışanların mal varlığında gözle görülür aşırı zenginleşmeler
  • İhbar sayısındaki artış vb.

İlgili riskler ile ilgili mevcut kontrollerin etkinliği incelenmeli ve test edilmelidir. Olası kontrol zayıflıkları raporlanmalıdır.

BT denetçisi; ilgili ihlallerle karşılaştığında- gerekli testler ve analizler sonucu-ihlalin kesin olduğuna hükmederse-riskin büyüklüğüne ve aciliyetine göre –denetimin bitmesini beklemeden-gerekli raporlamayı ve bildirimi ilgili mercilere yapmalıdır.

Suiistimal, hile ya da yasalara uyum ile ilgili ihlaller tespit edildiğinde- yönetim ile ihlaller arasındaki ilişki de dikkate alınarak- yönetimdeki uygun mercilere ivedilikle bilgi verilmeli ve akabinde bu tür bulgular ivedilikle raporlanmalıdır. Gerektiği durumlarda, normal denetim yerine suiistimal denetimi istenmelidir. Suiistimal durumlarında normal denetim süreçlerinin uygulanması hukuki açıdan sakıncalı durumlar yaratabilmektedir. Sorgulama, ifade alma, kanıt tespiti gibi süreçlerde suiistimal denetimi yöntemlerinin uygulanması daha doğru olacaktır.

Suiistimal, hile ya da benzeri nedenlerle denetime devam edilememesi ya da denetimin geciktirilmesi söz konusu olduğunda denetim sonlandırılmalı ve durum gerekli mercilere raporlanmalıdır. 

BT Kontrolleri

BT Kontrolleri genel olarak aşağıdaki süreçleri içerir:

  • Stratejik ve Operasyonel Planlar
  • Bütçe ve Maliyet Yönetim, Portföy ve Yatırım Yönetimi
  • YazılımSistem Geliştirme ve Satın alma
  • Organizasyonel ve Yönetsel Yapı
  • BT kaynaklarına erişim, BT kaynaklarını kullanım ve yönetimi
  • Operasyonel prosedür ve politikalar
  • Bilgi ve veri güvenliği yönetimi,
  • Risk Yönetimi
  • Kalite kontrol prosedürleri
  • Fiziksel erişim prosedürleri
  • İş SürekliliğiFelaket Kurtarma prosedürleri
  • Ağ Yönetimi
  • Veritabanı Yönetimi
  • Tedarikçi Yönetimi 

BT Denetim Süreci

BT Denetim Süreci temel olarak aşağıdaki adımlardan oluşmaktadır:

1. Planlama-Risk Bazlı Denetim Planlaması:

BT Denetiminde risk planlaması son derece önemlidir. Denetim kaynakların doğru planlanması denetimin etkinliğini arttırmaktadır. Bu aşamada denetim planının risk bazlı yapılması;

  • Denetim kaynakların daha etkin ve doğru kullanılmasını,
  • Denetim risklerinin azaltılmasını,
  • Risklerin etkin denetlenmesini
  • Risklerin üst yönetime etkin raporlanmasını
  • Denetim planındaki olası değişikliklerin etkin yönetilmesini sağlamaktadır.

2. Denetim Saha Çalışması

Saha çalışmasında önemli konular aşağıdaki gibidir:

  • Örnekleme
  • Test ve Analiz Yöntemleri
  • Delil

3. Raporlama

Raporlar, denetim sırasında tespit edilen bulgular, bulgu tanımları, risk derecesi, düzeltici aksiyonlar ve aksiyon son teslim tarihleri gibi önemli detayları içermelidir. Raporlar denetim ile ilgili olan taraflarla paylaşılmalı, denetimle ilgili olmayan taraflar ile paylaşılması söz konusu olursa kurum üst düzey yönetimi bilgilendirilmeli ve üst yönetimin onayı ile dağıtım yapılmalıdır.

4. Denetim Sonrası İzleme-Aksiyon Takip

Denetim raporunun görüşülmesi sonucu kararlaştırılan aksiyon planları, aksiyon son teslim tarihleri dikkate alınarak izlenmeli ve aksiyonların kararlaştırıldığı gibi tamamlanıp tamamlanmadığı gözlenmelidir.

BT Denetim Standartları-COBIT (Control Objectives For Information Related Technology)

ISACA (Information Systems Audit and Control Association) tarafından geliştirilmiş BT ile ilgili kontrol gereksinimleri, teknik konular ve iş riskleri arasındaki ilişkiyi tanımlayan bir çerçeve standarttır.

CobiT’i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek doğru olur. CobiT’in diğer bir özelliği de, içerisindeki süreçlerin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir. Esas olarak kontrol hedeflerinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır. Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir. Örnek vermek gerekirse, DS5 Sistem Güvenliğinin Sağlanması sürecinde sistemlere ve bilgiye erişen kişilerin kimliklerinden emin olunması gerektiği belirtilir. Ancak bunun yapılması için kullanılabilecek yöntemlerden (kullanıcı adı/şifre, biyometrik kimlik doğrulama, token, fiziksel sınırlama vb) bahsedilmez. Uygulama sırasında bu tür kontrol örneklerine ihtiyaç duyulabileceği göz önünde bulundurularak ISACA tarafından “CobiT Control Practices” adında CobiT’e ek bir kılavuz dokümanı yayınlanmıştır.

CobiT aşağıdaki genel özellikleri gösterir:

  • Bilgi Teknolojilerinin şirketin iş (ticari) amaçlarına hizmet etmesi gerektiğini benimser,
  • BT stratejisi ile iş stratejisinin uyumunu sağlamaya çalışır,
  • Bu özellikleriyle modern BT Yönetiminin kabul görmüş kurallarını içerir,
  • İçerisindeki 34 süreç ile neredeyse tüm BT fonksiyonlarını kapsar,
  • Diğer BT yönetimi standartları ile (ISO, ITIL, CMMI, MOF, vb.) uyumludur,
  • Her sektörden ve her boyuttaki şirket tarafından kullanılabilir,
  • Denetim, süreç iyileştirme, süreç yönetimi, ölçüm, karşılaştırma vb. farklı kullanım amaçları vardır.

COBIT 4.1 Domain Yapısı 

CobiT 4.1. denetim çerçevesi temel olarak dört ana süreç (domain) içermektedir: PO- Planlama ve Organizasyon (PO-Plan and Organise), AI-Edinim ve Kurulum (AI- Acquire and Implement), DS-Hizmet ve Destek (DS-Deliver and Support) ve ME- İzleme ve Değerlendirme (ME-Monitor and Evaluate). Ana süreçler de aşağıdaki alt süreçleri içermektedir:

Farklı ve Özellikli Denetim Alanı-Bilgi Teknolojileri (BT) Denetimi

Yorumlarınızı Bize Yazınız

Soru Sor