View
7
Download
0
Category
Preview:
Citation preview
GTAG® GLOBAL TEKNOLOJİ DENETİM REHBERİ
Sürekli Denetim: Sürekli Güvence Sağlamak
için Sürekli Denetimin ve İzleme Faaliyetlerinin
Koordine Edilmesi
2. Basım
İç Denetçiler Enstitüsü
Global Teknoloji Denetim Rehberi (GTAG®)3:
Sürekli Güvence Sağlamak için Sürekli Denetimin ve İzleme Faaliyetlerinin
Koordine Edilmesi
2. Basım
Mart 2015
GTAG - İÇİNDEKİLER
YÖNETİCİ ÖZETİ .............................................................................................. ..1
GİRİŞ.............................................................................................................. ..3
TEMEL SÜREKLİ GÜVENCE ÇERÇEVESİ .................................................. ..6
OPTİMİZE EDİLMİŞ SÜREKLİ GÜVENCE ÇERÇEVESİ ............................. 11
SÜREKLİ DENETİME İLİŞKİN PRATİK UYGULAMALAR......................... 12
SÜREKLİ DENETİMİN YERLEŞTİRİLMESİ................................................... 15
EK – VAKA ÇALIŞMALARI ......................................................................... 23
YAZARLAR, GÖZDEN GEÇİRENLER VE KATKIDA BULUNANLAR ...... 32
1
Yönetici Özeti
Değişen mevzuat ortamı, artan küreselleşme, operasyonları iyileştirmeye yönelik pazar
baskısı ve hızla değişen iş koşulları, kurumlar için hem finansal hem de operasyonel verilere
yönelik sürekli denetim programları geliştirme ihtiyacı yaratmaktadır.Bu tür programlar, iç
denetim birimini, yönetişimden sorumlu kişilere etkili risk yönetimi ve kontrolü hakkında
sürekli güvence sağlama bakımından desteklemektedir.
Sürekli denetim; teknolojiyle desteklenen ve bir dizi örnek işleme dayanan dönemsel
(periyodik) risk ve kontrol değerlendirmelerinin, yerini daha çok işleme dayanan sürekli
değerlendirmelere bıraktığı yeni bir denetim paradigmasıyla kolaylaştırılan, süregiden risk ve
kontrol değerlendirmelerini kapsar. Sürekli denetim aynı zamanda, güvenlik seviyeleri, sistem
günlüğü oluşturma (logging), olaylar (incidents), yapılandırılmamış veriler ve BT
konfigürasyonlarında yapılan değişiklikler, uygulama kontrolleri ve görevlerin ayrılığına
ilişkin kontroller gibi iş sistemlerindeki aykırılıkları ortaya çıkarabilecek başka veri
kaynaklarının analizini de kapsar.
İç denetim departmanları, sürekli denetimler yoluyla etkinliklerini ve içgörü seviyelerini
önemli ve anlamlı düzeyde arttırabilirler. Sürekli denetimi yerleştirmek için atılması gereken
kilit adımlar aşağıdakileri içerir:
1. Bir sürekli denetim stratejisi oluşturma
2. Rutin kullanıma yönelik veri elde etme
3. Sürekli denetim göstergeleri oluşturma (süregiden risk değerlendirmesi ve süregiden
kontrol değerlendirmesi)
4. Sonuçları raporlama ve yönetme.
Ancak bir sürekli denetim programının tüm gücünü ortaya çıkarmak için, söz konusu sürekli
denetim programının, kurumun operasyonel yönetim ve gözetimsel yönetim fonksiyonlarınca
yürütülen sürekli izleme programlarıyla birlikte koordine edilmesi gerekmektedir.
Kurumlar, ideal olarak üç savunma hatlı bir risk yönetimi ve kontrol çerçevesi kullanırlar.1İlk
savunma hattı; riskleri üstlenen ve yöneten operasyonel yönetim fonksiyonlarını kapsar. İkinci
savunma hattı, riskleri denetleyen, mevzuata uyum ve risk yönetimi departmanları gibi
yönetim fonksiyonlarını içerir. Üçüncü savunma hattı ise, yönetişim, risk yönetimi ve iç
kontrolün etkinliği hakkında tarafsız güvence sağlayan, iç denetim fonksiyonudur. Sürekli
izleme çabaları ilk ve ikinci savunma hatlarının, politika, prosedür ve iş süreçlerinin etkili bir
şekilde işlediğini güvenceye almaya yönelik süregiden çabalarını da kapsar. Bu ise, beklenen
normlara uymayan faaliyetlere ve işlemlere dikkat çekmek üzere uygulanabilir kontrol
hedeflerinin ve güvence iddialarının belirlenmesini ve otomatik testlerin oluşturulmasını
içerir. İç denetim birimi; sürekli denetim faaliyetleri dahilinde, sürekli izleme (monitoring)
faaliyetlerini süregiden testlere tabi tutmak suretiyle, kuruma eşzamanlı olarak sürekli
güvence verebilir.
Sürekli denetim; denetim planı geliştirme, denetim görevi desteği ve denetim bulgularının
takibi için uygulanabilir. İç denetim yöneticileri (İDY); sürekli denetimin, iç denetçilerin
ihtiyaç duydukları kanıtların niteliklerini, zamanlamasını, prosedürlerini ve çaba seviyesini
değiştireceğinin farkında olmalıdırlar. Sürekli denetim, sürekli izleme ve sürekli izlemenin
1 IIA Görüş Açıklaması, Etkili Risk Yönetiminde ve Kontrolünde Üç Savunma Hattı.
2
denetim amaçlı test edilmesi faaliyetlerinin eşgüdümünün sağlanması; iç denetim ve
yönetimin sözkonusu süreçler için yaptıkları yatırımların karşılığını maksimum düzeyde
almalarına ve uyum (compliance) hedeflerine ulaşmasına yardım eder ve kurumun yapısal
sağlamlığını ve rekabetçiliğini geliştirmek ve iyileştirmek için bir fırsat sunar.
Eşgüdümlü bir çaba; risk yönetimi ve kontrolünde bulunan açıkların ve zafiyetlerin vaktinde
bildirilmesini sağlar ve vakitli takip ve sorun giderme çalışmalarının iyileştirildiği ve
geliştirildiği bir ortam yaratır. Kurumun sürekli izleme ve sürekli denetim çabalarının
eşgüdümünün sağlanması; kurumun veri, risk ve kontrollere ilişkin genel bilgisini ve
anlayışını geliştirebilir ve iç denetimin üst yönetime ve kurula etkili bir sürekli güvence
sunma kabiliyetini maksimum düzeye çıkarabilir.
3
GTAG – Giriş
Giriş
İç denetimin, risk yönetiminin ve iç kontrolün etkinliğinin değerlendirilmesine yaklaşımı,
döngüsel olarak yapılan kontrol testleri (çoğunlukla iş faaliyetleri gerçekleştikten aylar sonra)
göz önüne alındığında, geleneksel olarak geriye dönüktür (retrospektif). İç denetimin tarihsel
yaklaşımını değiştirmeye yönelik çabalarını iki faktör yönlendirmektedir:
Kurumun, hızları gittikçe artan değişikliklere ve ortaya çıkan risklere vaktinde cevap
vererek işe ayak uydurması gerekir.
Teknolojideki ilerlemeler süregiden risk değerlendirmelerini ve süregiden kontrol
değerlendirmelerini mümkün kılmıştır.
Bu rehberin ilk baskısı, IIA Global Teknoloji Denetim Rehberi (GTAG®) 3: Sürekli Denetim –
Güvence, İzleme ve Risk Değerlendirmesi; işlemlerin izlenmesine odaklanıyordu ve sürekli
denetim ile Treadway Komisyonu’nu Destekleyen Kuruluşlar Komitesi (COSO) İç Kontrol –
Bütünleşik Çerçeve (1992) arasında uyumu sağlıyordu. Bu ikinci baskı; sürekli denetimi ve üç
savunma hattını, etkili bir risk yönetimi ve kontrolü bahsinde birbiriyle ilişkilendirir ve sadece
işlem verilerini değil, aynı zamanda güvenlik seviyeleri, sistem günlüğü oluşturma (logging),
olaylar, yapılandırılmamış veriler, BT konfigürasyonlarındaki değişiklikler, uygulama
kontrolleri ve görev ayrılığı kontrolleri gibi diğer veri kaynaklarını da içerecek şekilde
odağını genişletir.
İş Açısından Önemi
Pek çok kurumda, yönetim ve kurul, bu üç savunma hattı arasında risk yönetimine ve
kontrolüne ilişkin görevlerin fiili veya algılanan mükerrerliğinin veya yapılan gözden geçirme
ve incelemelerin çakışmasının yarattığı bitkinliğin sinyallerini vermektedir. Sürekli denetim
aşağıdaki faaliyetler yardımı ile sözkonusu bitkinliği hafifletme potansiyeline sahiptir:
İç denetim biriminin gözden geçirme çabaları ile yönetim arasındaki dengeyi optimize
etme.
Kurumun kaynaklarının daha verimli kullanılmasını teşvik etme.
İç kontrollerin yeterliliğini değerlendirme ve yeterlilikle ilgili güvence verme maliyetini
azaltma.
Risklere ve kontrollere ilişkin bir süregiden değerlendirme sunma.
Açıklar ve zafiyetler hakkında vaktinde raporlama yaparak ivedi düzeltici müdahale
fırsatlarını arttırma.
İyileştirmeyi öncelikli hale getirmek için gereken esnekliği sağlama.
İş performansı, riskler ve mevzuata uyum konularının daha iyi anlaşılmasını ve
kavranmasını teşvik etme.
İç Denetimin, kontroller, riskler ve fırsatlar ile ilgili sürekli güvence sağlamasını mümkün
kılma.
İlgili IIA Rehberliği
Sürekli denetim, sürekli izleme ve sürekli güvence konularıyla ilgili olan Uluslararası Mesleki
Uygulamalar Çerçevesi (IPPF) aşağıda sayılanları içermektedir:
4
Standart 1210: Yeterlilik
İç denetçiler, kişisel olarak, sorumluluklarını yerine getirmek için gereken bilgi, beceri ve
diğer vasıflara sahip olmak zorundadır. İç denetim faaliyeti de, toplu olarak, kendi
sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmak
veya bunları edinmek zorundadır.
Standart 2010: Planlama
İç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim faaliyetinin
önceliklerini belirleyen bir risk esaslı plan yapmak zorundadır.
Standart 2120: Risk Yönetimi
İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine
katkıda bulunmak zorundadır.
Standart 2130: Kontrol
İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi
teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır.
2130. A1- İç denetim faaliyeti, kurumun yönetişim, operasyon ve bilgi sistemleriyle ilgili
risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak
değerlendirmek zorundadır:
Kurumun stratejik hedeflerine ulaşması,
Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
Faaliyetlerin ve programların etkinliği ve verimliliği,
Varlıkların korunması,
Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
Standart 2320: Analiz ve Değerlendirme
İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını uygun analiz ve değerlendirmelere
dayandırmak zorundadır.
Uygulama Önerisi (PA) 2320-4: Sürekli Güvence
GTAG 14: Kullanıcılar Tarafından Geliştirilen Uygulamaların Denetimi
GTAG 16: Veri Analizi Teknolojileri
5
Kilit Kavramlara İlişkin Tanımlar
Birinci Savunma Hattı –Riskleri üstlenen ve onları idare eden operasyonel yönetim
fonksiyonlarıdır.
İkinci Savunma Hattı – Risk yönetimi ve mevzuata uyum gibi konuların risk gözetimini
yapan fonksiyonlardır.
Üçüncü Savunma Hattı- bağımsız güvence sunan bir iç denetim fonksiyonudur.
Bilgisayar-destekli Denetim Teknikleri (CAAT) -genelleştirilmiş denetim yazılımı, denetim
yardımcı yazılımları, test verileri, uygulama yazılımı izleme ve haritalama (tracking and
mapping) ve uzman denetim sistemleri gibi, iç denetçilerin bilgisayarlı bilgi sistemlerinin
içine kurulu kontrolleri ve bilgisayar dosyalarında bulunan verileri doğrudan test etmelerine
yardım eden otomatik denetim teknikleri (İç Denetim Güvencesi & Danışmanlık Hizmetleri,
3. Basım, IIA Araştırma Vakfı (The IIA Research Foundation).
Konfigürasyon– yetkilendirmeyi, işlem verilerinin doğruluğunu ve tamlığını şart koşan
kontrol ayarları, güvenlik seviyeleri, parametreleri ve referans verileri. Konfigürasyon
seçenekleri sistem fonksiyonunu, performansını ve otomatik kontrolleri etkiler.
Sürekli Güvence –İç denetim birimi tarafından uygulanan sürekli güvence; sürekli denetim ile
birinci ve ikinci savunma hatlarının sürekli izleme fonksiyonunun test edilmesinin
kombinasyonudur.
Sürekli Denetim –Teknoloji-destekli süregiden risk ve kontrol değerlendirmelerinin
kombinasyonudur.Sürekli denetim; iç denetçilerin bir konuyla ilgili geleneksel geriye dönük
(retrospektif) yaklaşıma kıyasla çok daha kısa bir sürede raporlama yapmalarını sağlamak
üzere tasarlanmıştır.
Sürekli İzleme – İç kontrollerin etkili bir şekilde yürütülüp yürütülmediğini süregiden bir
şekilde izleyen bir yönetim sürecidir (PA 2320-4: Sürekli Güvence).
Süregiden Kontrol Değerlendirmesi – Teknoloji-temelli denetim tekniklerinin kullanımıyla,
iç kontrollerin mevcut durumunun, baz alınan koşula ve kontrol konfigürasyonlarında yapılan
müteakip değişikliklere kıyasla süregiden bir şekilde değerlendirilmesi .
Sürekli Risk Değerlendirmesi –İşletme hedeflerine ulaşılması açısından tehdit oluşturan
risklerin teknoloji-temelli denetim teknikleri kullanılarak süregiden bir şekilde tespit edilmesi
ve değerlendirilmesi.
Teknoloji-temelli Denetim Teknikleri – Genelleştirilmiş denetim yazılımları, test verisi
üreticileri, bilgisayarlı denetim programları, özel denetim yardımcı yazılımları ve CAATlar
gibi herhangi bir denetim aracı. (İç Denetimin Mesleki Uygulamasına İlişkin Uluslararası
Standartlar).
İşlemsel Veriler–Sipariş, fatura veya ödeme gibi genellikle bir iş süreciyle veya ekonomik bir
olayla ilgili dinamik detaylı veri akışıdır.
Yapılandırılmamış Veriler–Bir çalışma tablosunun veya veritabanının belirli bir alanıyla
sınırlandırılmamış verileri ifade eder. Sürekli denetim ve sürekli izleme teknikleriyle
6
sorgulanabilecek yapılandırılmamış veri örnekleri arasında metinler, ses dokümanları,
videolar veya multimedya verileri bulunmaktadır.
Görevler ve Sorumluluklar
Sürekli güvence sağlamak amacıyla sürekli denetim ile sürekli izlemenin uygulanması ve
aralarında eşgüdüm oluşturulması Tablo 1’de ana hatlarıyla belirtildiği gibi, görev ve
sorumlulukların açık bir şekilde anlaşılmasını gerektirir.
Tablo 1: Sürekli Güvenceye İlişkin Görev ve Sorumluluklar
GÖREV SORUMLULUKLAR
İç Denetim Yöneticisi
(İDY) İç denetçilerin kabiliyetleri ve yeterliliklerinin, kullandıkları araçların yeterliliğinin, veri güvenliği
düzenlemelerinin ve gerekli bütçenin sağlandığından emin olarak sürekli denetim faaliyetleri için
güvenilirliği tesis etmek. İç denetim biriminin ve yönetimin görev ve sorumlulukları konusunda iç denetçilere, üst yönetime ve
kurula eğitim vermek. Paydaşların desteğini arttırmak amacıyla çok-yıllık bir stratejiye bağlı kalmak. İç denetimin, sürekli izlemenin etkinliğine ilişkin değerlendirmesinin sonuçlarının iletimini sağlamak.
İç Denetim (Üçüncü
Savunma Hattı) Sürekli denetimi birinci ve ikinci savunma hatlarıyla birlikte planlamak. Sürekli denetimi gerçekleştirmek:
o İddialar ve işletme hedefleri ile mantıksal analiz (analitik) arasında ilişki kurmak. o Risk faktörleri ile kontrol faaliyetlerini birbiriyle uyumlu hale getirmek. o Güvenilir bir danışman olarak, ortaya çıkan işletme risklerini değerlendirmek suretiyle
(işletmeye) değer katmak. Sürekli izlemeye ilişkin denetim testi yapmak. Tamlık, doğruluk ve güvenlik gibi denetim hedefleriyle ilgili sürekli güvence sağlamak. Etkili veri güvenliği düzenlemelerini sürdürmek.
Yönetim (Birinci ve İkinci Savunma
Hattı)
Risk yönetimi ve kontrolünün yeterliliğini ve etkinliğini değerlendirmek amacıyla bir sürekli izleme
faaliyeti tasarlamak ve uygulamak. Süreç uzmanlığından faydalanmak ve riske karşı harekete geçmek. Temel sebepleri (root cause) hedef
alan yönetim çözümleri geliştirmek ve yerleştirmek. (hayata geçirmek). Yönetimin harekete geçme süresini kısaltmak.
GTAG - Temel Sürekli Güvence Çerçevesi
Temel Sürekli Güvence Çerçevesi
Temel sürekli güvence çerçevesi; iç denetim biriminin sürekli denetim sürecini ve sürekli
izleme faaliyetine ilişkin denetim testini kapsar. Etkili risk yönetimi ve kontrol konusunda
üçüncü savunma hattı olarak, iç denetim birimi, kontrol çerçevesinde ilgi gerektiren alanları
tespit ederek, sırası geldiğinde uygulanabilir en yüksek hedef güvencesini kuruma sunmaya
gayret eder.
7
Şekil 1: Temel Sürekli Güvence Çerçevesi
Sürekli Denetim
Sürekli denetim; genelleştirilmiş denetim yazılımı, denetime özel yazılımlarla geliştirilen
çalışma tablosu yazılımı veya komut dosyaları, özel denetim yardımcı yazılımları, CAAT
(Bilgisayar Destekli Denetim Araçları), piyasadaki paket çözümler ve ihtiyaca özel
geliştirilmiş üretim sistemleri gibi teknoloji-temelli denetim teknikleriyle desteklenen
süregiden risk ve kontrol değerlendirmeleri yoluyla gerçekleştirilir.Teknoloji-temelli denetim
tekniklerinin aşağıda belirtilen konuların optimize edilmesi açısından kilit bir rol
oynayabilmeleri için esnek ve ölçeklenebilir nitelikte olmaları gerekir:
İstisnai ve anormal durumların zamanında tespiti
İz (pattern) ve trend(eğilim) analizi
Sınır değerlerine kıyasla detaylı işlem analizi.
Kontrollerin test edilmesi.
Emsaller (akranlar) arasında karşılaştırmalı analiz.
Sürekli denetim, sistemleri; değişiklikler, güvenlik, ortaya çıkan durumlar (incident),
aykırılıklar ve işlemler bakımından analiz ederek, risk göstergelerini tespit etmek ve BT
operasyonlarındaki, BT uygulamalarındaki ve iş süreçlerindeki risk parametrelerini
değerlendirmek için bir yol sunar. Sürekli denetim; iç denetçilerin, verilerin mevcudiyeti ve
işe yararlığı hakkında yorum yapma, uygulama kontrollerini anlama ve otomasyon yoluyla iş
süreçlerini optimize etme kabiliyetlerini arttırır. Etkili bir şekilde kullanıldığında sürekli
denetim:
8
karar vericilerin kullandıkları bilgilerin güvenilir olup olmadıklarını belirleme
amacıyla; tamlık, doğruluk ve yetkilendirme gibi denetim hedeflerine ve bunlarla
ilgili iddialara odaklanır.
ortaya çıkan risk ve kontrol zafiyetlerini saptayabilir.
Temel sürekli güvence çerçevesi kapsamında (syf.7 Şekil 1’e bakınız) sürekli denetim ve
sürekli izleme arasında herhangi bir çakışma yoktur ve ilk ve ikinci savunma hatlarında
sürekli izleme faaliyeti bulunmasa dahi sürekli denetim gerçekleştirilebilir. Ancak sürekli
denetimin uygulanması için gereken olanakların bulunduğu her yerde sürekli izleme
olanakları da mevcuttur. Sürekli izleme olanakları mevcut olup ancak yönetim tarafından
uygulanmıyorsa, bir denetim gözlemi veya tavsiyesi imkânı söz konusu olabilir.
Süregiden Risk ve Kontrol Değerlendirmeleri
Güvence vermeyi sürdürmek ve geleneksel denetim görevleri arasındaki süreyi potansiyel
olarak uzatmak amacıyla, süregiden risk ve kontrol değerlendirmeleri bir arada çalışacak
şekilde tasarlanmalıdır.
Süregiden Risk Değerlendirmesi
Süregiden risk değerlendirmesine; öncül göstergeler, performans ölçütleri, kalite kontrolü ve
görev ayrılığı da dâhil, yönetimin izleme çabalarının sonuçlarına ilişkin bir gözden geçirme de
dâhil edilmelidir. Süregiden risk değerlendirmesi, teknoloji-temelli denetim teknikleri
kullanarak aşağıda sayılan amaçlarla sürekli olarak riskleri tespit eder ve değerlendirir:
Kendi geçmiş performansına kıyasla ve işletme içerisinde faal olan diğer süreçlerle
veya sistemlerle karşılaştırmalı olarak, tek bir süreç içerisindeki trendleri,
karşılaştırmaları ve aykırılıkları analiz etmek ve incelemek.
Yönetimin risklere ne derece iyi cevap verdiğini ve ortaya çıkmakta olan risklere
ilişkin ileriye dönük bir bakış açısını ne derece sağladığını göstermek için aykırılıkları
birbiriyle ilişkilendirmek ve analiz etmek.
Denetim kapsamının odağını belirlemek açısından potansiyel risk maruziyetlerini
vurgulamak (dönemsel veya gerçek-zamanlı)
Hâlihazırda artan miktarda risk alıyor veya anormal bir hızda değişiyor olma olasılığı
bulunan işletme birimlerinde, bölgelerde veya süreçlerde aykırı değerleri tespit etmek.
Kontrollerin bulunmadığı veya yeterli olmadıkları alanları öne çıkarmak ve böylece iç
denetçileri spesifik alanlarda daha kapsamlı ve titiz kontrol değerlendirmeleri
yapmaya yönlendirmek..
İş açısından kritik çalışma tablolarını ve kullanıcılar tarafından geliştirilen diğer
uygulamaları yönetmek.2
Gelecekteki riskleri tahmin etmek ve öngörmek.
Süregiden risk degerlendirmesi sonuçları, denetim planına ve süregiden kontrol
değerlendirme faaliyetlerine girdi teşkil eder.
2 Daha fazla bilgi için, “GTAG 14:Kullanıcılar Tarafından Geliştirilen Uygulamaların Denetimi.
9
Süregiden Kontrol Değerlendirmeleri
Süregiden kontrol değerlendirmeleri; iç kontrolleri sürekli olarak baz alınan koşul ile ve
kontrol konfigürasyonlarında yapılan müteakip değişikliklerle kıyaslayarak değerlendirir ve
Şekil 2’de gösterildiği gibi otomatik kontroller, BT genel kontrolleri ve manuel kontroller
arasındaki ilişkiyi dikkate alır. Her durumda, denetçi alışılmadık izlerin (pattern)veya
aykırılıkların mevcut olup olmadığına bakmalıdır. Devamlı kontrol değerlendirmesi;
İDY’lerin kontrol ihlalleri veya eksiklikleriyle ilgili yönetime erken bir uyarıda bulunmalarını
sağlar.
Şekil 2: Süregiden Kontrol Değerlendirmesi
İş Süreci
Kontrol Hedefleri
Otomatik (Uygulama) Kontrolleri
Değişiklikler
Güvenlik
Olaylar (incidents)
Aykırırılıklar ve İşlemler
BT Genel Kontrolleri: Veritabanı
İşletme Sistemi
Ağ
Devamlı kontrol değerlendirmelerinin gerçek zamanlı olarak yürütülmesi gerekmez. Analiz
sıklığı risk seviyesine, iş süreci döngüsüne ve yönetimin kontrolleri izleme derecesine göre
belirlenmelidir. Örneğin:
Kartlı satışların analizleri, kredi kartı şirketinden işlem listesi alındıktan sonra, ayda
bir kez yapılabilir.
Bordro (kontrolleri), her ödeme döneminde doğrudan maaş yatırım işlemleriyle
eşzamanlı olarak işleme konabilir.
Çift fatura veya ödeme olup olmadığına dair testler her gün yapılabilir.
Otomatik kontrollerde yapılan değişiklikler nadir olmaktadır ve BT rutin serbest
bırakma döngüsüyle eşzamanlı olarak izlenebilir.
İşletim sistemine yapılan yamalar üç ayda bir incelenebilir.
Bazı durumlarda, bir denetçi ilk kontrol testini yapabilir ve izleme görevinin yönetime
geçişini sağlayabilir.
Sürece göre düzenlenen Süregiden kontrol değerlendirmesi sonuçları,
Denetim hedeflerini desteklemelidir.
Aşağıda belirtilenleri bildirmelidir:
o Güvenliğe ilişkin imkân ve kabiliyetler gibi kilit kontrol durumlarını
o Otomatik kontrollerde yapılan değişiklikler
Kontrol Hedeflerini Tanımlayın:
Yetki
Tamlık
Doğruluk
Kilit Kontrolleri Belirleyin
Baz Alınan Koşul ile ilgili Kontroleri Değerlendirin
(Hâlâ Aktif ve İşler Durumda)
ve Müteakip Değişiklikler için Ölçün
10
Sürekli İzleme
Yönetim sürekli izleme kapasitesini üstlenmeli ve uygulamalıdır. Yönetimin kontrolleri
sürekli izlemek için kullandığı tekniklerin çoğu, iç denetçilerin kullandıkları sürekli denetim
tekniklerine benzerdir. Sürekli izleme ilkeleri arasında:
Amaç – işletme hedefini ve kritik başarı faktörlerini dikkate alın.
Risk –kurumun başarısını önleyecek olası engelleri belirleyin.
Cevap – çeşitli veri kaynaklarını birbiriyle karşılaştırın ve yapılandırılabilir koşullar,
değişiklikler, sistem olay günlüğü (event logging), finansal işlemler ve
yapılandırılmamış veriler gibi yeni ortaya çıkan riskleri keşfedin ve kanıtlarla
destekleyin.
Zamanlama – kontrol sorunlarını gerçek zamanlı olarak tespit edin.
Eylem – Düzeltici eylem için eksiklikleri takip edin.
Etkili kullanıldığında, sürekli izleme,
Kontrol sorunlarını vakit kaybetmeden tespit etme ve azaltma kabiliyetini arttırabilir.
Hata ve suiistimal olaylarını azaltabilir.
Operasyonel verimliliğini arttırabilir.
Maliyet tasarrufu sağlamanın yanı sıra fazla ödemeleri ve gelir kayıplarını azaltarak
karlılığı iyileştirebilir.
İyileşen müşteri hizmetleri kalitesi ve bütünlüğüyle müşteri memnuniyetini arttırabilir.
11
GTAG - Optimize Edilmiş Sürekli Güvence Çerçevesi
Optimize Edilmiş Sürekli Güvence Çerçevesi
Bazı durumlarda, iç denetçiler, risk yönetimini ve kontrol süreçlerini oluşturmaya yardım
ederek riskleri ve kontrolleri üstlenen ve yöneten fonksiyonlara (savunmanın birinci hattı) ve
riskleri ve kontrolleri izleyen ve denetleyen fonksiyonlara (savunmanın ikinci hattı) yardımcı
olabilir. Teknoloji destekli sürekli denetim teknikleri, sürekli izleme çabalarının birinci ve
ikinci savunma hattında benimsendiklerinde ve bu sürekli izleme çabalarının
güvenilirliklerinden ve risklere karşı duyarlılıklarından emin olunduğunda, sürekli güvence
optimize edilmiş olur.
Şekil 3: Optimize Edilmiş Sürekli Güvence Çerçevesi
Yönetim, sürekli denetim tekniklerini, sürekli izleme için benimsediğinde, ince bir ayrım
çizgisi ortaya çıkmaktadır; çünkü sürekli izleme ile sürekli denetim arasında ve ikinci ve
üçüncü savunma hattı arasında bir çakışma potansiyeli bulunmaktadır. Sürekli denetim
teknikleri yönetime geçtiğinde, iç denetçilerin sürekli izlemeyle ilgili bir sahiplik rolü
üstlenmemelerine dikkat edilmelidir; zira aksi durumda tarafsızlıklarının zedelendiği
varsayılabilir.
Sürekli Denetim/Sürekli İzleme İlişkisi
Sürekli denetim ve sürekli izleme arasında ters bir ilişki vardır. Üç savunma hattının tamamı
risk yönetiminin ve kontrolünün ölçülmesine ve güçlendirilmesine katkıda bulunur. İç
denetim; yönetimin ortaya koyduğu sürekli izlemenin yeterliliği ve tutarlılığını baz alarak
sürekli denetimin kapsamını ayarlamalıdır. Birinci ve ikinci savunma hatlarının ortaya
koyduğu sürekli izlemede eksikler veya tutarsızlıklar varsa, iç denetim birimi, syf. 12 şekil
4’te gösterildiği gibi, sürekli denetim çabalarını buna uygun olarak arttırmalıdır.
12
Şekil 4: Sürekli Denetim ve Sürekli İzleme Çabaları Arasındaki İlişki
Yönetimin sürekli izleme çalışmalarını yerleştirmediği alanlarda, denetçiler, sürekli denetim
tekniklerini kullanarak detaylı testlerin kapsamını genişletmelidirler. Birinci ve ikinci
savunma hattı uçtan uca iş süreçlerinde kapsamlı bir şekilde sürekli izleme çalışması
yürütüyorsa, iç denetim biriminin, aksi durumda sürekli denetim kapsamında uygulanacak
detaylı tekniklerin aynısını uygulamasına gerek olmayabilir. Bunun yerine, iç denetçiler
sürekli izleme sürecinin güvenilir olup olmadığını belirlemeye yönelik prosedürler
uygulamalıdır. Bu prosedürlerin kapsamında aşağıda sayılanlar yer alır:
Tespit edilen anormalliklerin ve bunlara karşı yönetimin cevabının gözden geçirilmesi.
Yönetimin iyileştirme tedbirlerini yürürlüğe koymak ve sürdürme kararının gözden
geçirilmesi.
Sürekli izleme sürecinin kendisine ilişkin kontrollerin gözden geçirilmesi ve test
edilmesi:
o Güvenlik
o Değişiklik kontrolü
o BT operasyonları
Bu prosedürler, CAAT’lerin güvenilirliğini değerlendirmeye yönelik normal denetim
sürecinde uygulanan BT genel kontrol testlerine ve gösterilen özene benzer prosedürlerdir.
GTAG-Sürekli Denetime Yönelik Pratik Uygulamalar
Sürekli Denetime Yönelik Pratik Uygulamalar
Sürekli denetim; denetim faaliyetlerini denetim süreci boyunca destekler. Şekil 5’te
gösterildiği gibi, denetim planı geliştirme, denetim görevi desteği ve denetim önerisi takibi
gibi faaliyetlere sürekli denetim uygulanabilir.Bunun yanı sıra, İDY; risk yönetimi, mevzuata
uyum, etik ve güvenlik gibi sürekli denetimle güçlü bağlantıları olan birkaç ikinci savunma
hattı fonksiyonunun mevcut olduğunun farkına varmalıdır. İç denetim birimi; sürekli
denetimin, ikinci savunma hattı fonksiyonlarını değerlendirmek ve bu fonksiyonların ürettiği
bilgileri kullanmak için nasıl geliştirilip güçlendirilebileceğini belirlemelidir.
13
Denetim Planı Geliştirme
Denetim planı geliştirme aşamasında, sürekli denetim, denetçilerin risklere karşı daha duyarlı
bir denetim evreni oluşturmalarına ve sürdürmelerine yardım eder. Denetimler; bir, iki veya
üç yıllık standart çevrimlere göre planlanmak yerine, denetimlerin sıklığı; risklere,
komplekslik düzeyine, risklerin yaygınlığına ve değişiklik hızına göre belirlenmelidir. Sürekli
denetim; iç denetimin risklerdeki ve potansiyel risk maruziyet durumlarındaki değişiklikleri
çok çabuk tespit etmesine yardım eder.
Süregiden risk değerlendirmesinin Uygulanması
Veri analizleri; özel denetimlerin veya alanların plana dâhil edilmesini sağlamak amacıyla
öncül göstergelerin geliştirilmesini desteklemek için kullanılır. Örneğin, öncül göstergelerin
işaret ettiği süregiden risk değerlendirmesi;ziyaret edilecek yerleri seçmek, denetim
hedeflerine ve kapsamına odaklanmak, yıllık denetim planına özel denetimleri veya
kuruluşları dâhil etmek veya riskin yeterli bir açıklama olmadan önemli ve anlamlı düzeyde
arttığı bir kuruluşun süreçlerinin vakit kaybetmeden akışları boyunca incelenmesi
(walkthrough) için geniş kapsamlı bir denetimle güçlendirilebilir. Denetim planı geliştirme
sırasında Süregiden risk değerlendirmesine yönelik pratik uygulamaların örnekleri arasında:
Denetim planları geliştirmeye ilişkin daha stratejik bir bağlam uygulanması ve risk
profilleri değiştiğinde, planda Süregiden düzenlemeler yapılması.
Sınırlı miktardaki yüksek vasıflı denetim kaynaklarının, kurum için en büyük risk
maruziyetlerini temsil eden aykırılıklara tahsis edilmesi.
Yönetimin risk hafifletme faaliyetlerinin değerlendirilmesi.
İç denetim evreni için odak alanlarının ve stratejik temaların geliştirilmesi.
Tek tek her denetim görevinin kapsamı ve hedefleri.
Bir işletme denetim planı geliştirmek için, süregiden risk değerlendirmesini güçlendirmek ile
bir denetim görevini desteklemek arasındaki en önemli fark gereken bilgilerin ayrıntı
seviyesidir. Denetim planı geliştirirken, aykırılıkları tespit etmek ve kaynakları buraya
yönlendirmek için özet düzeyde bilgiler yeterli olabilir. Buna karşın, bir iç denetim görevinin
kapsamını ve hedeflerini desteklemek amacıyla riskleri tespit etmek ve kontrolleri test etmek
için muhtemelen daha ayrıntılı bilgiler gerekecektir.
Şekil 5: Denetim Süreci Boyunca Sürekli Denetim
14
Denetim Görevi Desteği
Sürekli denetim; denetimin saha çalışmasının çok önemli ve gerekli bir parçası olabilir ve
sürekli denetim teknikleri genellikle denetim görevleri sırasında gelişir ve olgunlaşır.
Denetçiler; risk etkenlerini keşfettikçe ve denetim analizlerini ve iyileştirme çabalarını
değerlendirdikçe sürekli denetim tekniklerini tasarlarlar ve değiştirirler. Sürekli denetim,
denetçilerin
Risklere daha iyi odaklanmaları için görev kapsamını geliştirmelerini,
Denetim hedefine sadece karşılaştırma verileri yoluyla ulaşılamadığı durumlarda
denetim testi yapmalarını,
Risk göstergelerini tespit etmek ve kritik kontrolleri değerlendirmek amacıyla verileri
daha detaylı incelemelerini ve
Anormal durumlar ve aykırılıklar üzerinden suiistimal, israf ve kötüye kullanım
belirtilerini saptamalarını sağlar.
Denetim analizleri ve sürekli denetim; kapsam, zamanlama ve amaç bakımlarından
birbirinden ayrılırlar.
Denetim analizleri normalde,
o Spesifik bir görevin kapsamına ve programına bağlıdır.
o Bir görevin kalitesini iyileştirmek için tasarlanmışlardır.
Yapılan analizlere ve önceki denetimlerden elde edilen derslere dayanan sürekli
denetim teknikleri; sistematik olarak ve sıklıkla bir denetim görevinin kapsamı veya
zaman programı dâhilinde veya ötesinde uygulanır ve trendler, izler (pattern) ve
aykırılıklar hakkında zamanında bildirimlerde bulunurlar.
Süregiden risk değerlendirmesinin Uygulanması
Bir görev sırasında, iş sürecini daha iyi anlamak için Süregiden risk değerlendirmesi
kullanılabilir. Örneğin, alacaklılar hesabı (AP) konusunda, ödeme türlerinin incelenmesi ile,
elektronik fon transferlerinin bir AP ofisi tarafından yapıldığı ve çeklerin bir başka AP ofisi
tarafından hazırlandığı öğrenilebilir.. Bu bilgi, denetçinin her bir tesisteki AP sürecinidaha iyi
anlamasını ve ilgili riski buna göre değerlendirmesini sağlar.
Süregiden Kontrol Değerlendirmelerinin Uygulanması
Bir denetim görevi sırasında süregiden kontrollere ilişkin pratik uygulamalar arasında,
İşlem verilerinin incelenmesi (örn. izin verilen limiti aşan veya yasaklı satıcıların yer
aldığı tüm satın alma kartı işlemlerine bayrak işareti konulması)
Konfigürasyonların değerlendirilmesi:
o Sistemlerin, konfigüre edilebilir otomatik kontrollerin ne durumda olduklarını
tespit etmeye yönelik sorgulanması. .
o Onay düzeylerinin ve erişim kapasitelerinin gözden geçirilmesi.
Program ve parametre değişikliklerinin değerlendirilmesi.
Olay ve hata yönetiminin incelenmesi.
Özetlenmiş verilerin gözden geçirilmesi (örn. Bir kart sahibinin aylık toplam işlem
tutarının 10.000 Amerikan dolarından fazla olduğu ve kart sahibinin satın alma
biriminde yer almadığı durumlarda).
15
Karşılaştırmalı analiz kullanılması (örn. aynı iş sınıflaması dâhilinde yer alan
çalışanlara kıyasla toplam fazla mesai ödemesi miktarı ve aşırı ya da yetkisiz fazla
mesai tespit eşiği).
Defter-i kebir bakiyelerinin test edilmesi (örn. Silinen borçlarda artış yaşanması gibi
sıradışı durumları tespit etmek amacıyla bakiyesinde önceki yıla kıyasla %25’ten fazla
bir fark olan hesapların belirtilmesi suretiyle).
Satın alınan, stoklanan, üretilen veya satılan tüm maddeler için güncel malzeme
güvenliği veri sayfalarının tutulup tutulmadığına ilişkin mevzuata uyum testi.
Her durumda, denetçiler potansiyel nedeni değerlendirmek ve gereken takibi daha çabuk ve
potansiyel olarak daha kolayca yapmak için detayları hızlıca derinlemesine inceleyebilirler.
Denetim Bulgularının Takibi
Süregiden risk değerlendirmesininUygulanması
Denetim bulgularını takip etmek amacıyla Süregiden risk değerlendirmesini güçlendirmek ve
geliştirmek, sürekli iyileşme ve yükselen performansı güvence altına alma açısından güçlü bir
araçtır.Bir görev sonrasında, denetçiler, önerilerin hayata geçirilip geçirilmediğini ve
iyileştirme planlarının istenilen etkiyi yaratıp yaratmadığını belirlemek için süregiden risk
değerlendirmesini güçlendirebilirler.
Başarılı iyileştirme çalışmalarını değerlendirmek için yönetimin eylem planlarında
performans göstergeleri belirlenmelidir. Performans göstergeleri bir baz (başlangıç çizgisi)
oluşturmayı ve önerilerin yerleştirilmesinden (hayata geçirilmesinden) önce ve sonra
sonuçları karşılaştırmayı daha da kolaylaştırır. İdeal olarak sistematik bir biçimde
ölçülebilecek uygun göstergeler bulmak için denetçiler yönetimle işbirliği yapmalıdır.
GTAG - Sürekli Denetimin Yerleştirilmesi
Sürekli Denetimin Yerleştirilmesi
Sürekli denetimin başarılı bir şekilde yerleştirilmesi (hayata geçirilmesi); başlangıçta en kritik
işletme sistemlerini ele alan liderlik, değişim yönetimi ve aşamalandırılmış bir yaklaşım
gerektirir. Her kurumun kendisine özgü bir işleyişi olmasına karşın, sürekli denetim
geliştirilirken ve desteklenirken dikkatlice planlanması ve yönetilmesi gereken bazı ortak
faaliyetler bulunmaktadır (Bakınız Tablo 2).
16
Tablo 2: Sürekli Denetimin Yerleştirilmesine İlişkin Kilit Adımlar
SÜREKLİ DENETİMİN YERLEŞTİRİLMESİNE İLİŞKİN KİLİT ADIMLAR
1. BİR SÜREKLİ DENETİM STRATEJİSİ OLUŞTURUN
Birinci ve ikinci savunma hattı ile işbirliği yapın.
Öncelikler belirleyin ve yönetimin desteğini kazanın.
Süregiden göstergelerini tanımlamak için yıllık denetim planını uygun hale getirin.
2. RUTİN KULLANIM İÇİN VERİ ELDE EDİN
Üretim ortamının rutin erişime açılmasını sağlayın.
Analiz imkânları geliştirin.
Denetime ilişkin teknik becerileri ve bilgiyi oluşturun.
Veri kaynaklarının güvenilirliğini değerlendirin.
Verileri hazırlayın ve doğrulayın.
3. SÜREKLİ DENETİM GÖSTERGELERİ İNŞA EDİN
SÜREGİDENRİSK DEĞERLENDİRMESİ
Risk göstergeleri geliştirin.
Artan risk seviyelerini ölçmek için analizler
tasarlayın.
SÜREGİDEN KONTROL DEĞERLENDİRMESİ
Kontrol hedefleriyle bağlantı kurun.
Kilit kontroller belirleyin.
Baz alınan koşulu ve kontrollerde yapılan
değişiklikleri değerlendirin.
4. SONUÇLARIN RAPORLANMASI VE YÖNETİLMESİ
Yinelenebilir bir metodoloji oluşturun.
Sonuçları raporlayın.
Yönetim faaliyetini kolaylaştırın.
Sürekli izlemeye uyum sağlayın ve sürekli denetim stratejisini buna uygun hale getirin.
Tablo 2’de verilen faaliyetlerin sırası değişiklik gösterebilir ve belirli bir denetimi
desteklemek için sürekli denetim geliştirilirken, burada tanımlanmayan diğer faaliyetlerin
gerçekleştirilmesi gerekebilir.
Bir Sürekli Denetim Stratejisi Oluşturma
İDY , onaylanmış bir talimat, görev veya iç denetim tüzüğü yoluyla verilen yetkiyle hem kısa
vadeli hem de uzun vadeli bir sürekli denetim stratejisi oluşturmalıdır. Örneğin, kısa vadeli bir
strateji, mevzuata uyum denetimlerini desteklemek amacıyla sürekli denetimle ilgili giriş
niteliğinde tanıtıcı bilgiler içerebilir. Fakat iş performansındaki iyileşmeler gibi ek faydalar da
eşit derecede önemli ve anlamlı olabilir. Kilit faaliyetler ilerleyen kısımlarda belirtildiği
gibidir.
Birinci ve İkinci Savunma Hatlarıyla Koordinasyon
İş hattının ve BT’nin sürekli denetimle ilgili onayını ve desteğini teşvik etmek için birinci ve
ikinci savunma hatlarıyla işbirliği yapılmalıdır. İç denetim; uçtan uca iş sürecini ve birbirine
bağımlı BT kontrollerini ele almalıdır. İş sistemlerinin ve işlem verilerinin güvenilirliği
sadece iç kontrol çerçevesi ve finansal raporlamanın doğruluğu açısından değil, aynı zamanda
işletme operasyonlarının verimliliği açısından da azami önemdedir. Bu nedenle, iş
sistemlerinin ve verilerin güvenilirliğini, doğruluğunu ve kullanılabilirliğini güvenceye almak
İDY ve üst yönetim için kilit hedeflerden biri olmalıdır. Sürekli denetim, risk yönetiminin ve
17
kontrolünün değerlendirilmesini kolaylaştırmak suretiyle bu hedefe ulaşılmasına katkıda
bulunabilir.
Öncelikleri Belirleyin ve Yönetimin Desteğini Kazanın
Sürekli denetim; üretim uygulamalarına ve verilerine sürekli erişimin olmasını gerektirir.
Güvenilir teknolojiye sahip olmak, önemli yatırımlar yapılmasını ve yerleştirmek (hayata
geçirmek) için uzun yıllara dayanan çabaların ortaya konulmasını gerektirebilir. Bu yüzden,
kurulun ve üst yönetimin desteği olmazsa olmaz niteliktedir. İki veya daha fazla yıla
yayılacak şekilde aşamalandırılmış bir strateji, hızı ve beklentileri yönetmeye yardım edecek
ve sürekli denetim teknolojilerinin ve metodolojilerinin faydalarını adım adım ve istikrarlı bir
şekilde gösterecektir.
Süregiden Göstergeleri Tanımlamak için Denetim Planını Uyumlu Hale Getirin
Tedarikten Ödemeye veya Müşteriden Tahsilata gibi mega süreç alanları için bir yol haritası
geliştirin ve ardından sürekli denetim tekniklerini ilgili üç risk kategorisine göre gruplandırın:
BT operasyonları, uygulamaları ve iş süreci işlemleri. Risk ve kontrol göstergelerine ilişkin
spesifikasyonlar hazırlamak için denetim analizlerini geliştirin. Müteakip süregiden
değerlendirmelerde kullanmak adına, süreç alanlarını belirleyecek ve kilit risk göstergeleri
(KRI) ile kontrol tedbirlerini tanımlayacak bir iç denetim planı koordine edilmelidir. Denetim
ekipleri ve yönetim; planlanmış denetim görevleri sayesinde işletme hedefleriyle ilgili riskleri
ve kontrolleri değerlendiren öncül göstergeleri (leading indicators) ve artçıl (lagging)
göstergeleri işbirliğiyle değerlendirebilir. Daha sonra ileriye dönük spesifikasyonlar
geliştirmek amacıyla denetim görevi sonuçları güçlendirilmelidir (Şekil 6’ya bakınız).
Rutin Kullanım İçin Veri Elde Edin
Sürekli denetim tamamen teknik bir konu değildir. Ancak uzun vadeli başarı elde etmekiçin
kolaylaştırıcı teknolojilerin seçimi son derece önemlidir. Sürekli denetim stratejisi yazılım
çözümlerinin seçilmesine yol göstermelidir. İDY, sürekli denetim için gereken teknolojilerin
seçimi sırasında kurumun BT portföyünde yer alan teknolojileri ve imkânları dikkate
almalıdır. Program ile kurumun bilişim ortamı ve kilit işletme sistemlerine dair gelecek
planları arasında bağlantı kurmak önemlidir. Denetime özel analitik yazılım çözümleri
esneklik sağlar ve ana bilgisayarlarda bulunan mevcut sistemler, müşteri/sunucu, İnternetle
etkinleştirilen sistemler veya SAP, Oracle ve diğer çekirdek iş sistemleri gibi işletme kaynak
uygulamaları da dâhil çeşitli veri türlerini okuyabilir. Daha fazla bilgi için, IIA GTAG 16:
Veri Analizi Teknolojileri başlıklı rehbere bakınız. Kilit faaliyetler aşağıda belirtilen şekilde
tanımlanmaktadır.
Üretim Ortamına Rutin Erişim Oluşturun
İç denetim biriminin, işletme sistemlerinin verilerine erişiminin ve bu verileri kullanmasının
üretim ortamının ve ilgili sistemlerin çalışma performansını olumsuz etkilemediğini ve
denetim teknolojisinin işletmenin BT ortamıyla uyumlu olduğunu doğrulamak için İDY
yönetimle işbirliği yapmalıdır. İç denetim, ilgili gizlilik mevzuatını3 değerlendirmeli ve
üretim ortamında uygulanan standartları karşılayan veya onların ötesine geçen gizlilik ve
güvenlik standartlarını sağlamalıdır.
3 Daha fazla bilgi için, IIA Uygulama Rehberi’nin “Gizliliğe İlişkin Risklerin Denetimi” bölümüne bakınız.
18
Analiz İmkânlarını Geliştirin
İzlemeyi faaliyete geçirmeden önce, sürekli denetim stratejisiyle ve işletme hedefleriyle
uyumlu olarak analiz imkânları oluşturun. Otomatik kayıtlarda yapılan değişiklikler, sistem
güvenliği, olaylar, aykırırılıklar ve işlemler gibi göstergelerden oluşan bir kombinasyona
dayanan sürekli denetim kanıtları, genellikle yeterince ikna edicidir.
Şekil 6: Risk ve Kontrol Göstergeleri için İleriye Dönük Spesifikasyonlar Geliştirin
İşletme sistemlerinin sahipleriyle yapılan görüşmeler; sürekli denetime en uygun transfer
yöntemini, programı ve veri protokolünü belirlemek konusunda iç denetçilere yardımcı
olabilir.
Denetim için Gereken Teknik Becerileri ve Bilgileri Oluşturun
Standart 1210 uyarınca, iç denetim biriminin sorumluluklarını yerine getirebilmesi için
gereken bilgileri, becerileri ve diğer yetkinlikleri ortaklaşa taşıması veya edinmesi gerekir.
Sürekli denetim geliştirilip sahaya yerleştirildikçe değişen düzeylerde BT uzmanlığına ihtiyaç
duyulacaktır. Örneğin, yerleştirme çalışmalarının ilk aşamalarında:
Parametre hassasiyeti, analiz derinliği ve başka faktörler çok sayıda bayraklanmış işlem
ortaya çıkarabilir. Kontroller iyileştirildikçe, analiz kusurları giderildikçe ve sürekli
denetim olgunlaştıkça, sonuçları ayırt etmek için gereken iş yükü azalacaktır.
Verilerin yorumlanması sırasında elde edilen sonuçlar hataya eğilimli olabilir.
Yanlışlıklar, işletme sistemlerinin yeterince anlaşılmamasından ve tanınmamasından
kaynaklanabileceği gibi yapılan testlerin doğasından da kaynaklanabilir.
19
BT uzmanlığını arttırmak için,
Kilit veri alanlarını ve veri unsurlarını gözden geçirin.
Verilere uygulanan fonksiyonlarca oluşturulan meta verileri gözden geçirin.
Verilerin zamanlamasının iyi olduğundan emin olun.
Söz konusu bilgi güncel mi?
Bu bilgi hangi sıklıkla güncelleniyor?
En son güncelleme ne zamandı?
Bilginin tam ve doğru olup olmadığını belirleyin.
Denetçinin varsayımlarını ve analizini uygulama programlayıcılarla doğrulayın.
Önceden yapılmış araştırmalar veya denetim raporları (örn. sentaktik, semantik ve
pragmatik veri doğruluğu) da dahil, makullük, düzeltme kontrolleri ve başka kaynaklarla
karşılaştırma gibi çeşitli testler yaparak verilerin doğruluğunu teyit edin.
İç denetim görevlerinden elde edilen bilgileri geliştirin.
Veri Kaynaklarının Güvenilirliğini Değerlendirin
Veri güvenilirliği, başarılı bir sürekli denetimin yerleştirilmesi açısından kritik öneme sahiptir
ve baz alınan denetim (başlangıç değerleriyle karşılaştırmalı olarak yapılan) ile
değerlendirilmelidir. BT genel kontrollerine tâbi bir üretim ortamından elde edilen veriler, son
kullanıcılar tarafından geliştirilen uygulamalardan elde edilen verilerden daha güvenilirdir.
Güvenilirlik seviyesi arttıkça, denetim riskini kabul edilebilir bir seviyeye indirmek için
gereken test ve doğrulama seviyesi azalır. Daha fazla bilgi için, GTAG 14: Kullanıcılar
Tarafından Geliştirilen Uygulamaların Denetimi başlıklı rehbere bakınız.
Verileri Hazırlayın ve Değerlendirin
Analiz öncesinde verilerin doğruluğunu güvence altına almak için sağlam veri onaylama
imkânları ve kriterleri geliştirin. Sürekli denetimin en güçlü yönlerinden biri, kurum içerisinde
çeşitli sistemlerden veri elde etmek ve daha ileri bir çapraz platform analizi için bu bilgileri
ilişkilendirmektir. Birbirinden farklı sistemlerden elde edilen verilerin birleştirilmesi,
güvenilir olmayan işlemleri bir kenara ayırmak ve verileri standart bir denetim formatında
hazırlamak için veri onaylaması yapılmasını gerektirir. Otomatik veri akışları onaylama
süresini kısaltabilir ve analiz sıklığını artırabilir.
Sürekli Denetim Göstergeleri Oluşturun
Denetim planına entegre edilmiş bir yol haritası oluşturun. Önceki geleneksel denetimlerden
çıkarılan derslere ve elde edilen spesifikasyonlara dayanan sürekli denetim teknikleri
tasarlayın ve oluşturun.
20
Süregiden risk değerlendirmesi
Standart 2120 ile uyumlu olarak, sürekli denetim, denetçilerin “risk yönetim süreçlerinin
etkinliğini değerlendirmelerini ve iyileştirilmesine katkıda bulunmalarını” sağlar. Süregiden
bir risk değerlendirmesi açısından kilit faaliyetler ve mülahazalar arasında:
Risk göstergeleri geliştirin:
o Riskleri tespit etmek, değerlendirmek ve onlara cevap vermek amacıyla kilit
işletme süreçlerini ve yüksek-riskli alanları destekleyen veriler kurumun çeşitli
düzeylerinde toplanmalı ve analiz edilmelidir.
o Kolayca ölçülebilen ve değişikliğe duyarlı risk göstergeleri geliştirmek için
işletme sahipleriyle ve BT uzmanlarıyla işbirliği yapın.
o Risk değerlendirmesi sonuçlarını, denetim planının yanı sıra münferit denetim
kapsamını ve hedeflerini de potansiyel olarak değiştirecek seviyede
güçlendirin.
Artan risk seviyelerini ölçmek için analizler tasarlayın.
o KRI’ler (Kilit Risk Göstergeleri)
Kuruluşun zaman içinde geçirdiği değişikliğin kapsamına
odaklanmalıdır (trend belirlemeyi kolaylaştırmak için KRI’ler
tasarlanmalıdır).
Süreç-odaklı öncül göstergeler ile belirti niteliginde (semptomatik)
artçıl göstergelerin bir kombinasyonu olmalıdır.
Yeterli sayıda tespit edilmelidir ki, rutin karşılaştırma sırasında
belirtilen risk toleransı seviyesini aşan düzeyde risk alan aykırı
oluşumlar izole edilebilsin.
Süregiden Kontrol Değerlendirmesi
Süregiden kontrol değerlendirmeleri; baz alınan koşulları ve ardısıra konfigürasyonda yapılan
değişiklikleri değerlendirerek, otomatik uygulama kontrollerine ve BT genel kontrollerine
ilişkin bağımsız bir analiz imkânı sağlar. BT kontrolleri; verilerde semptomatik hatalar ortaya
çıkmadan önce bozulduğu için, Süregiden kontrol değerlendirmesinin kullanımı İDY’lerin
kontrol ihlalleri veya eksiklikleri hakkında yönetime erken uyarı sunmalarını sağlar. Aşağıda
sayılanlar, süregiden bir kontrol değerlendirmesi gerçekleştirilirken dikkate alınan kilit
faaliyetler ve mülahazalardandır:
Diğer kontrol hedefleriyle ilişkilendirin.
o Mevcut denetim programının her adımını otomatikleştirme eğilimine karşı
durun. Bunun yerine, daha üst-düzey kontrol hedefleriyle ilişkili daha az analiz
tanımlayın.
o Süregiden kontrol değerlendirmesinin gerçek gücü; ilgili güvenceyi etkili bir
şekilde ve vaktinde sunmasında yatmaktadır.
o BT genel kontrolleri, otomatik kontrollerin süregiden güvenilirliğini
güvenceye aldığından, BT genel kontrollerinin ve otomatikleştirilmiş
uygulama kontrollerinin değerlendirilmesi, güvence verme ve uyum sürecini
optimize etme açısından ayrılmaz bir parçadır.
o Otomatik kontroller; işlemlerin doğruluğunu, tamlığını ve yetki dâhilinde
olmasını sağlayacak şekilde uygulamaların içine yapılandırılırlar. Kurum
21
yönetimi ve teknoloji uzmanlarıyla görüşmeler yaparak otomatik kontrollere
ilişkin bir birikim edinin.
Kilit kontrolleri belirleyin.
o Bir iş senaryosunu süreç boyunca inceleyin (walkthrough), ve hangi konularda
aksilikler yaşanabileceğini düşünün. Otomatik tekniklerin; işlemlerin
yetkilendirilmesini, tamlığını ve doğruluğunu kontrol etmek için sistem içinde
nasıl tasarlandıklarını ve konfigüre edildiklerini saptayın.
o Konfigüre edilmiş kontrollerin güncel ve baz alınan koşullarını belirlemek ve
tasarlandıkları kadar etkili çalışıp çalışmadıklarını değerlendirmek için
sistematik bir şekilde soruşturun.
o Otomatik ve konfigüre edilebilir kontrollerde çok sık olmaması gereken
değişiklikleri izleyin. İyi konfigüre edilmemiş veya sık değiştirilen otomatik
kontroller denetçilerin kontrol faaliyetlerinin etkinliğine duydukları güveni
azaltır.
Kontrollerin baz alınan koşullarını değerlendirin.
o Kilit iş süreçleri, ilgili kontrol hedefleri ve otomatik kontroller tanımlanır
tanımlanmaz, kritik kontrol noktalarını (en fazla etki/risk) belirlemek için
bunlar arasında sıralama yapın.
o Kritik kontrol noktaları konusunda, her kontrol hedefi için uygun analizler
tanımlayın.
o Konfigüre edilmiş otomatik kontrollerin güncel durumlarını baz alınan
durumla karşılaştırarak değerlendirin.
o Önceki baz alınan durum denetiminden bu yana konfigüre edilmiş otomatik
kontrol durumunun değişip değişmediğini saptayın.
o Konfigüre edilmiş otomatik kontrollerde yapılan değişikliklerin sıklığını ve
kapsamını değerlendirin.
o İşlem etkinliğini desteklemek için işlem istisnalarını birbirine. uyumluhale
getirin.
Örneğin, Şekil 7, müşteriden-tahsilata iş süreci için bir süregiden kontrol değerlendirmesini
göstermektedir.
Şekil 7: Müşteriden-Tahsilata Süregiden Kontrol Değerlendirmesi
22
Sonuçları Rapor Edin ve Yönetin
İç Denetim, sürekli denetim göstergelerini tasarlayıp oluşturduktan sonra, süregiden risk ve
kontrol değerlendirmelerini denetim evreniyle bağlantılı olarak programlamalıdır. Süregiden
değerlendirmeler; sürekli denetim tekniklerinin sonuçlarını analiz etmeli ve gerektikçe
dikkatlice inceleyip tavsiyeleri raporlamalıdır.
Ortaya çıkan ürünler, doğrudan bir grafikle karşılaştırmadan risk ve kontrole ilişkin veri
görüntüleme eğilimlerine kadar uzanabilir (lütfen eklere bakınız). Bu süreç tekrarlayan bir
süreçtir ve denetçiler birinci ve ikinci savunma hatlarıyla işbirliği yaptıkça sürekli
denetim/sürekli izleme konusundaki yetkinlik artar. Başarılı sürekli denetim/izleme
programları vaktinde karar vermeyi, koordine edilmiş eylem planlarını ve başarılı sorun
çözümlerini teşvik eder.
Tekrarlanabilir Bir Metodoloji Oluşturun
Sonuçların yönetimine ilişkin bir metodoloji, tespit edilen istisnaların zamanında ele
alındıklarını ve çözümlendiklerini güvenceye almak için, aşağıda sayılan adımları içermelidir:
1. Riskleri artan bir isabetle değerlendirmek için, istisnaları gözden geçirin ve ayırt edin.
2. Tasarım, uygulama veya her ikisindeki kontrol zafiyetlerini tespit etmek için, bir kök
neden analizi yapın. Sorunun temelinde yatan nedenleri ele almak; tekrarlanan
istisnaları engelleyebilir, daha iyi tavsiyeler verilmesini sağlayabilir ve sürekli denetim
metodolojisinin katma değerini vurgulayabilir.
3. Çözüm için bir tavsiye geliştirin.
4. Yönetimin çözüm için uygulamayı düşündüğü eylem planını kaydedin ve izleyin.
Sonuçları Raporlayın
Büyük boyutlu ve hassas bilgiler içeren dosyaları e-posta yoluyla göndermek yerine, sürekli
denetim sonuçlarının bir web sitesinde yayımlanması daha uygundur. Raporlama stratejileri;
sadece istisnaları bir ağ sürücüsü üzerinde bulunan paylaşımlı bir dosyaya aktarmaktan e-
posta bildirimlerine, iş akışı iyileştirme takiplerine, gösterge tablolarına (dashboard) ve veri
görüntülemeye kadar çeşitlilik gösterir. Birinci, ikinci ve üçüncü savunma hatlarının,
yönetimin ve kurulun ihtiyaçlarını karşılamak için çeşitli raporlama stratejileri kullanılabilir..
Sürekli denetim sonuçlarının raporlanması konusunda kilit önemdeki mülahazalar arasında
aşağıda sayılanlar yer almaktadır:
Bir ağ sürücüsüne sürekli izlemeyi ve sürekli denetimi desteklemek için gereken
ölçüde detaylı bir dizi kapsamlı raporu düzenli olarak yayımlamayı.
İstisnai sonuçları güvenli bir veritabanında saklamayı.
Eğilim bilgilerini web-tabanlı bir gösterge tablosunda veya ısı haritasında (heat map)
göstermeyi.
Yönetimin Faaliyetlerini Kolaylaştırın
Her eylem planının, iyileştirme aşamasından sorunun çözümüne kadar sorumlu bir sahibi
olmalıdır. İstisnai durumlar çözümlenmelerinin ardından betimlenmeli ve raporlanmalıdır ve
müteakip sürekli izleme faaliyeti, iyileştirmenin ne kadar iyi ele alındığını değerlendirmelidir.
23
Sürekli İzlemeyle Uyumlu Hale Getirin ve Sürekli Denetim Stratejisini Uygun Hale
Getirin.
Sürekli denetim; risk maruziyetindeki ve kontrol ortamındaki değişikliklere karşı esnekliğini
ve duyarlılığını korumalıdır. İDY Yeni önceliklere ve konulara ayak uydurmak için sürekli
denetim programı stratejisini yenilemelidir. Ek kontrol noktalarının veya risk maruziyetlerinin
ilave edilmesi gerekebilir ve diğerlerinin yönetimin sürekli izleme çabalarına geçişi
sağlanabilir. Zaman içinde, eşiklerin ve çeşitli analizler için öngörülmüş kontrol testlerinin ve
parametrelerin sıkılaştırılması veya gevşetilmesi gerekebilir. Hayata geçirilmesinin ardısıra
İDY ; sürekli izlemenin, yönetimin şirket çapında risk yönetimi ve performans ölçümü gibi
diğer projelerinde sağladığı faydaları kaydetmelidir. Denetçilerin ve diğer güvence
sağlayıcıların istifade ettikleri faydaların miktarının belirlenmesi; yatırım kazancını belgeler,
kurumun itibarını güçlendirir ve daha fazla yatırım ve stratejik kalkınma için fonlamaya
ilişkin haklı gerekçeler sunar.
GTAG - Ek – Vaka Çalışmaları
Ek - Vaka Çalışmaları
Bu ek; sürekli denetimin üç pratik uygulama alanını gösterir:
Vaka A.1 Uygulama Kontrollerine İlişkin Süregiden Kontrol Değerlendirmesi
Vaka A.2 Bir Personel Gider Sisteminin Süregiden Kontrol Değerlendirmesi
Vaka A.3 Bir Manuel Yevmiye (muhasebe) Kayıt Sürecine İlişkin Süregiden Risk
Değerlendirmesi
A.1 – Uygulama Kontrollerine İlişkin Süregiden Risk Değerlendirmesi
Uygulama kontrolleri; işlemlerin tamlığını, doğruluğunu ve yetki dâhilinde uygulanmasını
sağlamak üzere konfigüre edilir. Uygulama kontrollerinin otomatikleştirilmesi, aşağıdaki
soruları yanıtlamaları konusunda denetçilere ve uyum uzmanlarına yardımcı olabilir:
Otomatik kontrollerde hangi sıklıkla değişiklik yapılır?
Uygulama veya BT ekibi herhangi bir güncelleme veya yama uyguladı mı?
Herhangi bir önemli iş sürecinin konfigürasyonu değiştirildi mi?
Yapılan herhangi bir değişiklik uygulamanın çalışma şeklini etkileyebilir mi?
Bu sorulara verilecek yanıtlar daha ileri testlere ihtiyaç olup olmadığını ortaya çıkarır ve
denetim verimliliğini ve etkinliğini potansiyel olarak arttırır.
Bu vaka çalışmasında, uygulama kontrollerine ilişkin bir süregiden kontrol değerlendirmesi
ile kontrol testi mesaisinde bir önceki yıla kıyasla 6.000 iş saati azalma kaydedilmesi arasında
bir ilişki vardı. İç denetçiler; yönetim, BT, dış denetçiler ve uygulama sahipleri gibi kilit
paydaşların desteğini kazandıktan sonra, kontrol konfigürasyonunun, otomatik veri
özütlemenin (data extraction) ve kıyaslama (benchmarking) sonuçlarının kilit bileşenlerini
tespit ettiler.
24
Kontrol Konfigürasyonunun Kilit Bileşenlerinin Tespit Edilmesi
Süregiden kontrol değerlendirmesi yapılmasına yönelik atılan ilk adım; programlar, ekranlar,
web sayfaları ve tablolar dâhil uygulama kontrol fonksiyonunda içinde yer alan kilit
bileşenleri belirlemekti. Daha sonraki adımlar veri özütlemenin (data extraction) nasıl
otomatikleştirileceğini ve kontrollerin değiştirilip değiştirilmediğini belirlemekti.
Uygulamanın Veri Özütlemesini Otomatikleştirin
Piyasada çeşitli ticari veri özütleme araçları mevcuttur. Ancak söz konusu durumda, firmanın
kendisi tarafından geliştirilen bir veri özütleme aracı kullanıma hazırdı ve bu da, sürekli
denetimin yerleştirilme maliyetini düşürdü. Veri özütleme aracı seçildikten sonra, bazı
kararların alınması gerekiyordu:
Kontrol verilerinin, baz alınan verilerle karşılaştırılmak üzere uygulamadan hangi
sıklıkla alınması gerektiği,
Veri geçmişinin kim tarafından saklanması gerektiği ve nerede saklanacağı,
Kontrol verilerinin önceki baz alınan denetim verileriyle kıyaslanması sırasında,
uygulamada yapılan değişikliklerin önem ve anlamının değerlendirilmesinden ve
hangi kontrollerin yeniden test edilmesi gerektiğine karar verilmesinden kimin
sorumlu olacağı.
Şekil 8: Uygulama Kontrolleri – Karşılaştırma Raporu
Karşılaştırma Sonuçları
Veriler özütlendikten sonra, bir baz periyodu esas alınarak karşılaştırıldı. Karşılaştırma
raporu; baz periyodundan itibaren değişikliğe konu olan kilit otomatik kontrolleri ve
değişiklik türünü tanımladı (Şekil 8’e bakınız). İdeal olarak, uygulama kontrolleri
değiştirilmemelidir.
25
Denetçiler kilit öneme sahip kontrolleri seçtiler ve yapılan değişiklikleri değerlendirmek için
ayrıntılı inceleme yaptılar. Uygun olduğu durumlarda, karşılaştırma raporları, ya daha ileri
kontrol testlerinin gerekmediğine dair kanıt sunmak için ya da yeniden test yapılması
gerektiği tespitini desteklemek amacıyla denetim çalışma sayfalarına dâhil edildi. Bu yolla,
yapılan karşılaştırma (benchmarking) çalışması,mümkün olan durumlarda yönetimin sürekli
izleme çabalarıyla yeniden-test sürecine risk-temelli bir yaklaşım kazandırdı ve böylelikle
ilave bir verimlilik sağlamış oldu.
Süregiden kontrol değerlendirmesinin yerleştirilmesinin ardından, uygulama kontrollerinin
%58’inin geçerliliği test yapılmasına gerek duyulmadan onaylanabildi. Geriye kalan %42’i
içinden %16’sı yılın ilk yarısında test edildi ve %26’sı ise yılın ikinci yarısında yeniden test
edildi. Uygulama kontrolü testi için gereken zaman 6.300 iş saatinden 352 iş saatine düştü ki
bu da önceki yıldan yıla %94’lük bir düşüşe tekabül etmektedir (Şekil 9’a bakınız).
A.2 – Personel Gider Sistemine İlişkin Süregiden Kontrol Değerlendirmesi
Sürekli denetim; çok sayıda kullanıcının erişiminin bulunduğu yüksek hacimli sistemlere
uygulandığı zaman potansiyel olarak en fazla etkinliği gösterir. Bu durum, iç denetçilerin bir
personel gider sistemi denetimine sürekli denetim tekniklerini nasıl uyguladıklarını
göstermektedir.
Arkaplan ve Zorluklar
Personel gider sistemlerinin önceki denetimleri zaman alıyordu, işyükü bakımından ağırdı ve
denetim kapsamı da kimi zaman yaşanan kaynak sıkıntıları nedeniyle sınırlıydı. Personel
gideri sistemi; girilen verilerin kalitesini kontrol altında tutmak ve gider onaylama sürecini
başlatmak için çeşitli seviyelerde uygulanan çok sayıda otomatik kontrolün bulunduğu kural-
temelli bir sistemdi. Örnekler arasında şunlar yer almaktaydı:
Bir gider ibrazı kontrolü
o Aynı tarih, kategori ve miktar için çift gider girilirse, sistem kullanıcıya bir
uyarı verip yöneticinin aktif onayını talep ediyordu ve işlemin gözden
geçirilmesi için bayrak işareti koyuyordu.
Aktif onay kontrolleri:
o Riskli işlemler bir sorumlu tarafından gözden geçirilinceye kadar
bekletiliyordu.
o Bir çalışan kendi hazırladığı raporu kendisi onaylayamıyordu.
Kontroller, genellikle, sınırlamalar veya yetkiler hakkındaydı, ancak girilen verilerin
geçerliliğini veya doğruluğunu daima kontrol etmiyordu. Kasıtsız veya kasıtlı yanlış
kategorizasyon veya bir çalışanın sisteme girdiği yanıltıcı yorumlar tespit edilemeyebiliyordu.
Kural-temelli sistemin etkinliği,
Gider kalemini sisteme giren çalışanın hassasiyetine ve dürüstlüğüne,
Yöneticilerin söz konusu gideri zamanında gözden geçirip onaylamalarına veya
reddetmelerine bağlıydı.
26
Bu zorluklarla karşı karşıya kaldıklarında, iç denetçiler, gider işlemlerinin doğruluğunu ve
geçerliliğini test etmenin en iyi yolunu bulmaya çalıştılar.
Şekil 9: Tasarruf Edilen Toplam Çalışma Saati (Mesai)
Sürekli Denetim Çözümü
Özetle, iç denetçiler aşağıda belirtilenlere karar verdiler:
1. Kredi kartı işleminin detayları kartı çıkaran kuruluşta mevcuttu ve alınabiliyordu ve
elektronik gider sistemi verileriyle kartı çıkaran kuruluşun bilgilerinin karşılaştırılması
bu giderlerin geçerliliğine ilişkin daha iyi bir resim sunabilirdi.
2. Kartı çıkaran kuruluşun bildirdiği veriler elektronik gider sistemi verileriyle personel
numarası, faturalandırma tarihi ve miktarı bazında eşleştirildikten sonra, , gider
kategorizasyonu ve yorumlar, işlemin gerçekleştiği işyerinin koduyla ve işlem
açıklamasıyla karşılaştırılabilirdi. Örneğin, bir ayakkabı dükkânına ait işyeri koduyla
yapılan, ancak gider kaydında yemek olarak kayıtlı bir işlem tespit edilebilirdi.
3. Kartı çıkaran kuruluş; belirli satıcı sınıflarını hedeflemesi için isteğe göre
ayarlanabilen ve aylık veya üç aylık programlara göre çalıştırılabilen “şüphe
uyandıran raporlar” sundu.
Kontrol eksikliklerine, anormal durumlara ve olası suiistimal ve kötüye kullanım durumlarına
işaret eden kırmızı bayraklı işlemleri tanımlamak için kullanılan sürekli denetim tekniklerine
ait örnekler aşağıda sunulmaktadır. Burada miktarı belirtilmemesine karşın, raporlanan
değerlere bakıldığında, iç denetçiler önceki elektronik gider sistemi denetimlerine kıyasla,
veri elde etmek, veri analizi gerçekleştirmek ve sonuçları dikkatle incelemek ve gözden
geçirmek için gereken süreyi kısalttılar.
Şüpheli Harcama Parametreleri
İşyeri kodu, personel ve kuruluş bazında özetlenen tüm şüpheli harcamaların tanımlanması.
27
Kısıtlanmış İşletmelerde Şüpheli Harcamalar
Kısıtlanmış işletmelerde bir çalışanın harcamaları olarak geri faturalandırılan tüm gider
faaliyetlerinin tespiti. Kısıtlanmış işletmeler; yasal tedarikçi adları, adres eşleştirme ve gider
olarak kaydedilen faaliyetlerle şahsi faaliyetlerin bir arada kayıtlı olduğu tesisler, toplam para
değeri yüksek olan bölünmüş işlemler ve sınırlandırılmış faaliyetlere ilişkin anahtar sözcükler
(örn. çocuklar, hastane, gece kulübü, beyefendi, kumarhane, premium üyelik ve yükseltme)
gibi göstergelerle tespit edildi.
Yanlış Kategorizasyon Özeti
Asılsız bir şekilde yemek veya eğlence olarak kategorize edilmiş yemek-dışı tüm giderlerin
(örn. giysi giderleri) tespiti.
Sınırlandırılmış Kalemler
İşlem açıklaması bölümünde kısıtlanmış işletmelerle ilgili anahtar sözcüklerin (örn. çocuklar,
hastane, gece kulübü, beyefendi, kumarhane, premium üyelik ve yükseltme) tespit
edilmesi.Bu analiz türü, genellikle, bir veri analizi yazılımı kullanılmasını gerektirir.
28
Yasaklı Kelime İşlem Açıklaması 1 İşlem Açıklaması 2 Personel
Kimlik No.
Faturalandırma
Tarihi
Tutar
(ABD
Doları)
ÇOCUK KIDS TOON AMMAN JORDAN AMMAN 23.000 ÜRDÜN DİNARI
ÇEVRİLMİŞTİR
12345678 12-01-2015 32.49
HASTANE AL KINDI SPECIALIZED HOSPITAL WLL
MANAMA
5,000 BAHREYN
DİNARI ÇEVRİLMİŞTİR
34567891 22-01-2015 13.26
GECE KULÜBÜ BC OF NOLA 274600029 NEW ORLEANS LA REF# ID6155 BAR/
GECE KULÜBÜ15/01/15
23456789 12-01-2015 225.00
Başlıca Belgesiz Giderler
Faturasız ibraz edilen her gider kategorisinden yüksek meblağlı giderlerin tespit edilmesi.
Yaşadığı Şehirde Kart Hareketi
Kart hamilinin fatura adresinde veya yaşadığı şehirde ya da bu yerlerin civarında devam eden
kart hareketlerinin tespit edilmesi.
Otel Faturası
Harcama kalemi, çalışan ve otele göre özetlenen tüm şüpheli otel folyosu harcamalarının
tespit edilmesi. Bunlar, şirketin gider politikası gereği (personele) geri ödenmeyen, toplam
otel ücreti içinde gizlenmiş kalemleri içeriyordu.
Havayolu Ücretleri
Harcama açıklaması/kategorisi ile tedarikçinin ücret açıklaması arasında uyumsuzluğun söz
konusu olduğu tüm uçak seyahati harcamalarının tespit edilmesi. Mesela, havayolu veya bagaj
masrafı olarak kaydedilen koltuk veya kabin konfor sınıfını yükseltme gibi kalemler.
Borcu Vadesinde Ödenmemiş Kartlarda Şahsi Kart Hareketi
Daha önce borçları vadelerinde ödenmeyen hesaplarda devam eden tüm şahsi kart
hareketlerinin tespit edilmesi.
Şahsi ve Faturalandırılmayan Hesap Hareketi
Kart dökümlerinde yer alan ancak gider yazılmamış şahsi harcamaların, gider yazılmış nakit
harcamaların içeriği ile kıyaslanarak tanımlanması.
29
Bölünmüş Giderler
İşlemlerin eşik limitlerini atlatmak maksadıyla yapılma ihtimal bulunan bölünmüş giderlerin
tespit edilmesi. Bu analiz; aynı satıcıyla ve aynı ücretlendirme tarihinde gerçekleştirilen
işlemler aranarak yapıldı. Çift yazılmış olabilecek giderleri incelemede kullanılan yapısal
fonksiyonelliğe sahip veri analizi araçları oldukça faydalı görülmüştür.
Personel Kimlik
No.
Tedarikçi No. Tedarikçi Adı İşyeri Kodu Ücretlendirme
Tarihi
Tutar
(ABD Doları)
12345678 9945845279 EL ARRIERO
STEAKHOUSE
YEMEK YENEN
YERLER/RESTORANLAR
11-02-2015 450.00
12345678 9945845279 EL ARRIERO
STEAKHOUSE
YEMEK YENEN
YERLER/RESTORANLAR
11-02-2015 300.00
23456789 9903904407 WORLD CAR SA ARABA KİRALAMA – TÜMÜ 13-02-2015 225.00
23456789 9903904407 WORLD CAR SA ARABA KİRALAMA – TÜMÜ 13-02-2015 175.00
A.3 – Bir Manuel Yevmiye Kayıt (MYK) Sürecinin Süregiden Risk Değerlendirmesi
Süregiden süreç seviyesindeki bir risk değerlendirmesi,
İlgili başlangıç işleminden kaynaklanan yeni ve ortaya çıkmakta olan riskleri kısa bir
süre içinde tespit edebilir.
Denetçilerin anormal trendleri saptamalarına ve hem kümülatif etkiyi hem de risk
altındaki toplam değeri değerlendirmesine yardım edebilir.
Bu durum, iç denetim tarafından bir Süregiden MYK süreci risk değerlendirmesi geliştirmek
ve uygulamak için atılan adımlara dikkat çeker.
1. Süreci Anlamak
Süregiden bir risk değerlendirmesi geliştirmenin ilk adımı ilgili süreci tüm yönleriyle
anlamaktı. Bu durum için, denetçiler, tüm popülasyonu, mevcut raporları, standart olmayan
alanları ve diğer süreçlere bağımlılık durumunu anlayabilmek amacıyla kurum dışında
araştırmalar yaptılar ve hem yönetimden hem de süreç sahiplerinden konuyla ilgili bilgi
aldılar.Bir sonraki adım, MYK sürecini etkileyebilecek risk özelliklerini içeren bir veritabanı
prototipi oluşturmaktı.
2. Bir Risk Veritabanı Prototipi Oluşturmak
Bir risk veritabanı prototipi oluşturmak amacıyla analitik ve istatistik araçları geliştirilip
güçlendirildi. Bu veritabanı; veri doğruluğunu, tamlığını ve mantıksal isabetliliğini kontrol
eden yinelenen bir süreç izlenerek geliştirildi. Örneğin, MYK risk veritabanının özellikleri
arasında aşağıda sayılanlar bulunuyordu:
Risk Sonuçları
MYK’nın net kâr üzerindeki etkisi
MYK’nın gelir ve giderler üzerindeki etkisi
MYK’nın nakit ve diğer varlıklar üzerindeki etkisi
MYK’nın pasifler üzerindeki etkisi
30
Risk Göstergeleri
Üyeliği sona erdirilmiş veya yetkisiz kullanıcılar tarafından oluşturulan MYK’ler
Ay veya sene kapanışlarından sonra oluşturulan MYK’ler
Tatillerde oluşturulan MYK’ler
Yeterli görevler ayrılığı olmaksızın oluşturulan MYK’ler
Dokümantasyon veya onay olmaksızın gönderilen oluşturulan MYK’ler
Yüksek değerli MYK’ler
Bölünmüş işlem MYK’leri
3. İstatistiksel Teknikleri Kullanarak Bilinmeyen Riskleri ve Aykırılıkları Tespit
Etmek
Yeni riskleri ve ortaya çıkmakta olan riskleri tespit etmek amacıyla istatistiksel teknikler
uygulandı ve bu da sürpriz faktörünü potansiyel olarak azalttı. Grid, küme, Benford Yasası,
regresyon ve “olursa-ne-olur” analizleri (What-if analysis) yapıldı.
Grid analizi; popülasyonu iki bağımsız değişken olan %MYK ve dolar mizanına (TB$)
göre kategorilere ayırmak (segment) için kullanıldı. Aşağıda gösterilen ızgara (grid)
şemada 10 ülke, en riskli olanların yanı sıra en iyi uygulamaları paylaşan ve en iyi
performansı gösteren ülkelerin de bir bakışta görünmesini sağlamak amacıyla kategorilere
ayrıldı.
Küme analizi, popülasyonu kategorilere ayırmak ve parasal değerin yüksek olması, tatilde
oluşturulmuş olması ve yılsonu işlemleri gibi çeşitli değişkenler kullanılarak riskli işlem
kümelerini tespit etmek için kullanıldı.
31
Benford Yasası; anormal, uydurulmuş veya suiistimal potansiyeli taşıyan işlem izlerini
saptamak için kilit nümerik alanlarda bulunan bazı sayıların tekrar sıklığını analiz etmek
için kullanıldı. Bir ülke için anormal eğilim (trend) analizi aşağıdadır.
Regresyon analizi, aykırırılıkları tespit etmek için kullanıldı. Aşağıda verilen örnekte,
regresyon analizi, aykırırılıkların gözlemlendiği ülkeleri mizan üzerindeki toplam MYK
değerini kullanarak tespit etti.
%95 Güven Aralığı
En İyi Uyum Doğrusu
32
“Olursa-ne-olur” (what-if) analizleri, değişkenler arasında ileride gelişebilecek ilişkileri
tahmin etmek için kullanıldı.
4. Raporlama Çabaları Konusunda İşbirliği Yapmak
Süregiden risk değerlendirmesi, elde edilen sonuçları grafikler, tablolar ile denetim
raporlarında ve gösterge tablolarında kullanılan başka görsellere otomatik olarak yerleştirmek
için tasarlandı. Denetim gösterge tabloları sistematik olarak oluşturuldu ve ardından da bu
süreç, yönetim gösterge tablolarını da kapsayacak şekilde genişletildi. Bu işlem, yönetim için
rapor hazırlamak ve sonuçları yayımlamak konusunda gereken verilerin ve mesainin iki katına
çıkmasını önledi. Yönetim, kilit performans göstergelerini daha iyi izleyebildi. İşbirliği, iç
denetçilerin yönetimin sürekli izleme çalışmalarının sonuçlarını anlamalarına yardımcı oldu.
İç denetim birimi, bağımsızlığını korumaya ve riskleri sahiplenmemeye özen gösterdi. Sürekli
izleme raporları, yönetimin eylem planları için bilgi akışı sağladı ve dolayısıyla suiistimalleri
engellemeye ve sürprizleri önlemeye yönelik gelişmiş imkânlar sağlıyordu.
Yazarlar, Gözden Geçirenler ve Katkıda Bulunanlar
Yazarlar:
Bradley C. Ames, CPA, CRMA, CISA
Roy D’Cunha, ACMA, CIA, CISA, CGMA
Patricia Geugelin-Dannegger
Peter B. Millar
Sajay Rai, CPA, CISSP, CISM
Andrew Robertson, CRMA
Thomas Steeves, CISA
Gözden Geçirenler ve Katkıda Bulunanlar:
David Coderre
Carrie Gilstrap, CISA
Steven Hunt, CBM, CGEIT, CIA, CISA, CRISC, CRMA
Steven E. Jameson, CIA, CCSA, CFSA, CRMA
Peter Schraeder
Dragon Tai, CIA, CISA, CCSA, CRMA
Jaroslaw B. Tarbaj, CISA
33
Enstitü Hakkında
1941 yılında kurulan İç Denetçiler Enstitüsü (IIA), global genel merkezi Altamonte Springs,
Florida, ABD’de bulunan bir uluslararası meslek derneği ve kuruluşudur. IIA, iç denetim
mesleğinin global sesi, tanınmış ve kabul görmüş otoritesi, benimsenmiş lideri, baş
savunucusu ve baş eğitmenidir.
Tamamlayıcı Rehberler Hakkında
Tamamlayıcı Rehberler, iç denetim faaliyetlerinin yürütülmesi hakkında detaylı rehberlik
sağlar. Bu rehberlik; süreç ve prosedurler, araçlar ve teknikler, programlar, adım-adım
yaklaşımlar kadar ilgili alanları ve sektörel bazda spesifik konuları kapsar.
Yeni UMUÇ’un Temmuz 2015’te yürürlüğe girmesinden itibaren, bütün Uygulama
Rehberleri, Global Teknoloji Denetim Rehberleri (GTAGs) ve BT Risklerinin
Değerlendirilmesine Yönelik Rehberler (GAITs) otomatik olarak Tavsiye Edilen
Tamamlayici Rehber katmanina dahil oldu.
Global Teknoloji Denetim Rehberleri (GTAGs) doğrudan mesleki dil kullanılarak yazılmış
olup, bilgi teknolojileri (BT) yönetimi, kontrolü ve güvenliği ile ilgili güncel konuları ele alır.
IIA tarafından onaylanarak sunulmuş diğer kılavuz içerikler için, lütfen
https://global.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx adresindeki web sitemizi ziyaret ediniz.
Sorumluluğun Reddi Beyanı
IIA, bu dokümanı sadece bilgilendirme ve eğitim amacıyla yayımlamaktadır. Bu kılavuz
dokümanı, belirli özel münferit durumlara ve sorunlara kesin cevaplar vermek gibi bir amaç
taşımamaktadır ve sadece bir kılavuz olarak kullanılması amaçlanmaktadır. IIA, sizin bu özel
durum ve olaylar hakkında daima ve doğrudan doğruya bağımsız uzman tavsiyeleri almanızı
önerir. IIA, sadece bu kılavuza dayanarak karar alan kimseler nedeniyle herhangi bir
sorumluluk kabul etmez.
Telif hakkı:
Telif hakkı ® 2015 Uluslararası İç Denetçiler Enstitüsü.
Çoğaltma izni için lütfen guidance@theiia.org adresinden IIA ile temas kurunuz.
Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, USA. All Rights reserved.
Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan
çevirinin – değiştirilmesi onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır.
Bu dokümanın hiçbir parçası, IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi
bir sistemde saklanamaz veya herhangi bir formatta paylaşılamaz, herhangi bir elektronik,
mekanik, fotokopi, kayıt veya farklı bir yöntemle çoğaltılamaz.
Recommended