Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
1
BİLGİ TEKNOLOJİLERİ GENEL KONTROL
EKSİKLİKLERİNİN DEĞERLENDİRİLMESİ
İÇİN REHBER (BTRDR-GAIT)
İç Denetim MESLEKİ REHBERLİK
Enstitüsü Standardı Oluşturmak
2
BT Genel Kontrol Eksikliklerinin Değerlendirilmesi İçin BTRDR
Finansal raporlamayla ilgili iç kontrollerin Sarbanes-Oxley Kanunu’nun 404. Maddesi kapsamında değerlendirilmesi ile ilgili bir
BTGK (ITGC) eksiklikleri değerlendirme yaklaşımı
İç Denetçiler Enstitüsü Mart 2008
3
İçindekiler
1. Giriş ................................................................................................................................................. 4
2. İlkeler............................................................................................................................................... 9
3. Değerlendirme Süreci .................................................................................................................... 14
4. Terimler Sözlüğü ........................................................................................................................... 22
5. EK: BTRDR (GAIT) Metodolojisi ................................................................................................ 28
4
1. GİRİŞ
Arka plan
2004 senesinde, dokuz farklı yeminli mali müşavirlik firmasına bağlı temsilciler, Georgia
Eyalet Üniversitesi’nden bir profesörün iştirakiyle, Kontrollerde Karşılaşılan İstisna ve
Eksikliklerin Değerlendirilmesiyle İlgili Bir Çerçeve geliştirip yayımladılar.1 Bu çerçeve,2
finansal raporlama üzerindeki iç kontrol (ICFR) sisteminin eksikliklerinin; önemli zayıflıklar
ya da ikinci derecede önemli eksiklikler teşkil edip etmediğinin değerlendirilmesi konusunda
denetim firmalarına ve yöneticilere rehberlik etmektedir.
ABD Sarbanes-Oxley Kanunu (2002) 404. Maddede geçen değerlendirmelerle ilgili standartlar
ve uygulamalar, 2004 senesinden beri geniş ölçüde değişikliğe uğramıştır. 2004 çerçeve
referansları Denetim Standardı No. 2 (AS 2) yerine, Denetim Standardı No. 5 (AS 5)
getirilmiştir; ikinci derecede önemli eksikliğin tanımı değiştirilmiş ve bu arada üç yıllık
uygulama deneyimi kazanılmıştır.
Bunlara ek olarak diğer bir gelişme de BTRDR (GAIT) Metodolojisi’nin takdimidir.3 Bu
doküman, BT genel kontrolleriyle (BTGK’ler-ITGC’s) ilgili risklerin ABD Menkul Kıymetler
ve Borsa Komisyonu (SEC) veya ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nca
(PCAOB) önerilen yukarıdan aşağıya, risk-esaslı kapsam tayin etme sürecini4 izleyerek nasıl
tayin edilmeleri gerektiğini açıklamaktadır.
BTRDR serisinde yer alan uygulama rehberleri; finansal tablo riskleri, işletme süreçleri
içindeki anahtar kontroller, otomatik kontroller ve diğer kritik BT işlevleri ve BTGK kapsamına
giren anahtar kontroller arasındaki ilişkileri ortaya koymaktadır. BTRDR metodolojisi, finansal
tablolarla ilgili olarak yapılan önemli yalan ve yanlış beyanları zamanında önlemeyi veya tespit
etmeyi sağlamak için gereken BTGK kontrollerini tayin etme ve değerlendirme konusunda
şirketlere yardımcı olur.
Bu uygulama rehberi, BTGK eksikliklerini değerlendirme konusunda güncel bir yaklaşım
sağlayarak,5 söz konusu eksikliklerin önemli zayıflıkları veya ikinci derecede önemli
eksiklikleri temsil edip etmediklerini değerlendirme konusunda denetçilere veya yönetime
yardımcı olur. Bu rehberde tartışılan görüşler daha da genişletilip güçlendirilebilir.
İç Denetim Enstitüsü (IIA) sponsorluğunda geliştirilip hazırlanmış olan bu uygulama rehberini
oluşturan ekipte, dış denetim firmalarına bağlı temsilciler de bulunmaktadır. Bu rehber ve
1 En yeni sürümü, Aralık 2004 tarihinde yayımlanan 3 numaralı sürümdür. (BTRDR (GAIT): Bilgi Teknolojileri
Risk Değerlendirme Rehberi) 2 Bu çerçevenin Menkul Kıymetler ve Borsa Komisyonu (SEC) veya Halka Açık Şirketler Muhasebe Gözetim
Kurulu’nca (PCAOB) resmen kabul edilmiş olmadığı unutulmamalıdır. 3 BTRDR, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir ve
İç Denetim Enstitüsü tarafından Ocak 2007 tarihinde yayımlanmıştır. BTRDR Metodolojisinden alınan pasajlar bu
uygulama kılavuzunun sonunda kaynak göstermek amacıyla sunulmaktadır. Bu ilgili dokümanın tam ve eksiksiz
versiyonuna www.theiia.org internet sitesi üzerinden ulaşabilirsiniz. 4 SEC ve PCAOB, 2005 senesinde takip eden dönemde uygulanması için bir yukarıdan aşağıya, risk-esaslı
yaklaşım önermişler ve bu yaklaşım önerisini hem SEC yönetim kılavuzlarına hem basın açıklamalarına hem de
AS 5’e eklemişlerdir. 5 Bu uygulama kılavuzu, BTGK kontrollerini ilgilendiren eksikliklerin kapsamına girmeyen diğer eksikliklerin
değerlendirilmesinde kullanılmaya uygun bir çerçevede oluşturulmamıştır.
5
tanımladığı metodoloji, yönetim, dış denetim firmaları, iç denetçiler ve diğer paydaşlar
tarafından Sarbanes-Oxley Kanunu 404. Maddeye tâbi değerlendirme sürecinde kullanılabilir.
Burada sunmuş olduğumuz metodolojinin SEC6 ve PCAOB kılavuzlarına uygun ve onlarla
tutarlı olduğuna inanıyoruz.
6 Örneğin, BTGK kontrollerinin rolü hakkındaki SEC kılavuzunda yapılan tanımlamalar, yalnızca BTRDR ile
tutarlı olmakla kalmayıp, aynı terim ve kavramların birçoğunu da içermektedir.
6
Yukarıdan Aşağıya Yaklaşımın Kapsam Belirleme Sürecine Etkisi
Yukarıda da belirtildiği gibi, hem SEC hem PCAOB, değerlendirip test etmek için anahtar
kontrollerin tayini gibi konular da dahil olmak üzere, Sarbanes-Oxley Kanunu 404. Maddeyle
ilgili çalışmaların kapsamının belirlenmesinde yukarıdan aşağıya, risk-esaslı bir yaklaşım
kullanılmasını önermektedir.7 BTRDR, anahtar BTGK kontrollerinin tayin edilmesini de bu
yaklaşımın kapsamına sokmaktadır.
Yukarıdan aşağıya yaklaşım, finansal tablolarla ilgili önemli yanlış beyanları önlemek veya
tespit etmek için oluşturulan anahtar kontrollerden (yani, kurum seviyesinde ve birim
seviyesinde; manuel, otomatik ve BTGK) müteşekkil kontrol kombinasyonlarını tayin eder.
Bu anahtar kontrollerden birinin veya birden fazlasının başarısız olması halinde, ilgili
kontrollerden oluşan kontrol grubu, önemli hataların8 önlenmesi veya tespit edilmesi yönünde
makul güvence sağlamaya devam edemeyebilir.
Ancak kontrol başarısızlıkları farklı düzeylerde olabilir (örneğin, işlemlerin sadece belirli bir
kısmında başarısız olunması; değişiklik onaylarının sistemlerin tümü için değil de sadece bir
kısmı için başarıyla uygulanması gibi) ve dolayısıyla ilgili başarısızlığın boyutları yapılan
değerlendirme sırasında anlaşılmalı ve dikkate alınmalıdır.
Öte yandan, kapsam tayin sürecinin hatalı yürütülmesi; lüzumsuz, birbiriyle çakışan veya
gerçekte anahtar öneme sahip olmayan kontrollerin kapsanmasına neden olabilir. Örneğin,
kontrol hedefinin geçerleme (validasyon) olduğu durumlarda, birden çok onaya tâbi olan
belgelenmiş bir kontrolde, kontrol hedefine ulaşmak için onaylardan sadece birini almak yeterli
olabilir.
Anahtar BTGK kontrolleriyle ilgili olanlar dahil anahtar kontrol başarısızlıklarını değerlendiren
bir denetçi, bu başarısızlıkların neden önemli zayıflıklar teşkil ettiğinden ziyade neden önemli
zayıflıklar teşkil etmediğinin ispat yükümlülüğünü taşımalıdır. Bu hususta görülen odur ki;
önemli hataları önlemek veya tespit etmek için anahtar kontrollere ihtiyaç duyulmakta ve zaten
bu yüzden anahtar kontroller olarak adlandırılmakta, dolayısıyla bu kontroller başarısız
olduğunda önemli zayıflıkların ortaya çıkma olasılığı büyük olmaktadır.
7 PCAOB ve SEC, sırasıyla AS 5 ve kılavuzlarda farklı terimler kullanmaktadırlar. Örneğin, PCAOB ve SEC aynı
kavramı tanımlamak için sırasıyla önemli hesaplar ve finansal raporlama elemanları terimlerinden
faydalanmaktadırlar. Bu dokümanda, AS 5’te geçen terimler esas alınmaktadır. 8 Bu dokümanda kullanılan önemli hata terimi, mali tablolardaki önemli yanlış beyanlar terimiyle eşanlamlıdır.
7
Genel Özet
Metodoloji, Bölüm II’de ele alınan altı değerlendirme ilkesine dayanmaktadır.
DEĞERLENDİRME İLKELERİ
1. BTGK eksikliklerinin değerlendirilmesi için, finansal tablolar ile eksiklik görülen
anahtar BTGK kontrolleri arasındaki güven zincirinin anlaşılması gerekir.
2. Önemli bir zayıflığın varlığı konusunda iki test geçilmelidir: (a) olasılık ve (b) etki
(yani, finansal tablolardaki potansiyel yanlış beyanlar)
3. Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için,
değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede
belirli adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında
olasılık ve etki testleri gerçekleştirilir.
4. Aynı BTGK kontrol hedefiyle ilgili bütün BTGK eksiklikleri, bir grup halinde
değerlendirilmelidirler.
5. Aynı anahtar otomatik kontrollerle, anahtar raporlarla veya diğer kritik işlevlerle
ilişkili olup ulaşılamayan BTGK kontrol hedefleri bir grup halinde
değerlendirilmelidirler.
6. Bir arada değerlendirme ilkesi, aynı önemli hesap veya özel durum açıklamasıyla
ilgili manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin
bir grup halinde değerlendirilmelerini gerektirir.
Değerlendirme süreci, aşağıda gösterildiği gibi 10 adımdan oluşmaktadır. Bu adımlar, Bölüm
3'te ayrıntılarıyla ele alınmaktadır.
8
9
2. İLKELER
1. BTGK eksikliklerini değerlendirmek için, finansal tablolar ile eksiklik oluşan anahtar
BTGK kontrolleri arasındaki güven zinciri anlaşılmalıdır.
Sarbanes-Oxley Kanunu 404. Maddede belirtilen amaçlarla ilgili olarak BTGK kontrol
eksikliklerinde yapılan değerlendirme, bu eksikliklerin finansal tablolarda bulunan ancak
saptanamayan hataları temsil edip etmedikleriyle ilgili bir risk değerlendirmesidir. Gelgelelim
BTGK eksikliklerinin finansal tablolar ile doğrudan bir ilişkisi yoktur. Aşağıda açıklanan güven
zinciri, bu bağlantıyı ve dolayısıyla BTGK eksiklikleri ile finansal tablolar arasındaki olası
etkileşimi yansıtmaktadır.
Finansal tablolar ve anahtar BTGK kontrolleri arasındaki güven zinciri, tersi yönde olması
dışında, hangi anahtar BTGK kontrollerinin kapsama alınması gerektiğini tanımlamak için
izlenen yukarıdan aşağıya bir yaklaşımda geçerli olan mantıksal bağın aynısıdır.9
Anahtar BTGK kontrolleri, yukarıdan aşağıya, risk-esaslı bir yaklaşım çerçevesinde
seçilmelidirler. Süreç, aşağıda gösterildiği gibi özetlenebilir:
Önemli hesapların, yerlerin ve ilgili iddiaların tayin edilmesi.
Önemli hesaplarda önemli hatalar olmasını önlemek veya tespit etmek için gereken
şirket- ve birim-seviyesindeki işletme kontrollerinin tayin edilmesi.
Tayin edilen şirket- ve birim-seviyesindeki anahtar kontrollerden bazıları, otomatik
uygulama kontrolleridir ya da otomatik işlevlere (örneğin, anahtar raporlar,
hesaplamalar, güncellemeler, vb.) dayanan kontrollerdir. BT’nin bu kritik işleviyle ilgili
süregelen işlemler için BTGK’ler temel alınabilir.
Kritik BT işlevi, önemli uygulamalar arasındadır.
Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek, otomatik kontrollerin (veya anahtar
raporların, vb.) her biriyle ilgili olarak BTGK’lerde hangi noktalarda risk bulunduğu ve
bu risklere yönelik uygun BTGK kontrol hedefleri tayin edilir.
BTGK kontrol hedeflerinin her birine ulaşmak için gereken anahtar BTGK’lerin tayin
edilmesi.
Uygulamalarda işlevlere güvenmenin yanı sıra, yetkisiz değişikliklerden dolayı veri
güvenliği de bir risk oluşturabilir. Bu risk değerlendirilirken, bir yetkisiz değişikliğin
şirket- veya birim-seviyesindeki kontrollerle tespit edilemeyebileceği ve finansal
tablolarda önemli bir hataya yol açabileceği dikkate alınmalıdır. Değerlendirme, önemli
işletme süreçleri ve büyük işlem sınıflarına giren her uygulamayı kapsar. Yetkisiz
değişiklik sonucunda bu gibi önemli bir hatanın oluşması mümkün ya da en azından
makul ölçüde olası10 olarak görülüyorsa, ilgili BTGK kontrol hedefleri ve münferit
anahtar BTGK kontrolleri tayin edilirler.
9 SEC yönetim kılavuzları ve PCAOB AS 5 dokümanı dahil SEC ve PCAOB dokümanlarında tartışılan yukarıdan
aşağıya yaklaşıma, BTGK süreçlerine dahil olan anahtar kontrolleri belirleme faaliyetiyle nasıl devam
edilebileceği ve bu faaliyetin yukarıdan aşağıya yaklaşımın kapsamına nasıl alınabileceği hakkında daha fazla bilgi
almak için BTRDR Metodolojisine bakılmalıdır. 10 Terimler Sözlüğünde bulunan tanıma bakınız.
10
Güven zinciri, yani münferit BTGK kontrolleri ve finansal tablolar arasındaki bağlantı,
yukarıda sergilenen ilişkinin tam tersi yönde işler:
Münferit BTGK’ler, BTGK kontrol hedefleriyle ilgilidiler. BTGK başarısızlıkları
doğrudan doğruya bu hedeflere ulaşılmasına engel oluşturan bir etki yaratabilir. Bir
kontrol hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrolün tayin edilmiş
olabileceği ve BTGK’lerden birindeki başarısızlık veya zayıflamanın her zaman ilgili
kontrol hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.11
Yapılan ilk risk değerlendirmesi, belirli BTGK hedeflerine ulaşılamamasının nedeninin
kontrol başarısızlıkları olup olmadığı üzerinedir. BTGK kontrol hedeflerinde başarısız
olunup olunmadığı değerlendirilirken, bir kontrol hedefini ilgilendiren tüm anahtar
BTGK eksiklikleri bir grup halinde dikkate alınmalıdırlar.
BTGK’ler arasında yer alan telafi edici veya hafifletici kontroller, eksikliklerin etkisini
azaltıyorsa, kontrol hedefine dair başarısızlığın otomatik kontrollerin düzgün işlemesi
açısından önemli bir risk teşkil edecek ölçüde olup olmadığı, muhakeme edilerek
belirlenmelidir.
BTGK kontrol hedeflerinin her biri; finansal tablolardaki önemli hataları önlemek veya
tespit etmek için gerekli olan yukarıdan aşağıya, risk-esaslı kapsam belirleme süreci
sırasında tayin edilen bir veya daha fazla otomatik uygulama kontrolüyle, diğer kritik
BT işlevleriyle (örneğin, teknik olarak kontrol olmayan ancak daima planlandığı gibi
faaliyet göstermesi gereken ve bu yüzden kritik BT işlevleri adı altında otomatik
kontrollerin kapsamına sokulan hesaplamalar ve güncellemeler) veya yetkisiz veri
değişikliği riskleriyle ilgilidir. Bir BTGK kontrol hedefinde başarısız olunması, bu
anahtar otomatik kontroller açısından bir risk teşkil eder. Otomatik kontrolle ilgili tüm riskler değerlendirilmelidir. Bu değerlendirme, altta yatan
BTGK süreçlerindeki başarısızlıklardan dolayı planlandığı gibi faaliyet göstereceğine
dair güvence verilemeyen otomatik uygulama kontrolleri veya diğer işlevlerin tayin
edilmesini kapsar. Bu değerlendirme kapsamında, hangi verilerin önemli yanlış
beyanlarla sonuçlanabilecek bir yetkisiz değişiklik riski altında oldukları da tayin edilir. Kritik BT işlevleri genelde birden çok BTGK kontrol hedefine eirişilmesine bağlı
olduğu için, başarısız olunan BTGK kontrol hedeflerinden doğan risklerin etkileri
birleşik olarak veya bir arada değerlendirilmelidirler.
Anahtar otomatik işletme kontrolleriyle ya da veri güvenliğiyle ilgili potansiyel bir
eksiklik - ya da güvence eksikliği, finansal tablolar açısından olası bir riski temsil eder.
Daha sonra, verilerin bozulma potansiyeli, uygulama kontrolleri veya diğer kritik BT
işlevlerindeki potansiyel eksikliklerle ilgili olarak finansal tablolara dair tüm riskler
değerlendirilir. Bu değerlendirme muhakemeye dayandırılır ve işletme süreçleri
kapsamında telafi edici veya hafifletici kontroller bulunup bulunmadığı göz önünde
tutulur.
11 Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda
bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir.
11
Güven zinciri aşağıda gösterilmektedir.
12
2. Önemli bir zayıflık karşısında, iki test geçilmelidir: (a) olasılık ve (b) etki (yani, finansal
tablolardaki yanlış beyan potansiyeli).
Olasılık testi, kontrol eksikliğinden kaynaklanan bir finansal tablo hatası bulunmasının en
azından makul ölçüde olası olmasını gerektirir.
Etki testinde, potansiyel hatanın önemli bir yanlış beyan olup olmadığı belirlenir.
İki test de geçilmelidir: En azından makul bir ölçüde, önemli bir yanlış beyanın bulunma
olasılığı olmalıdır.
İkinci derecede önemli bir eksikliğin önemli bir zayıflıktan daha düşük bir risk seviyesine
tekabül ettiği unutulmamalıdır (yani, önemli bir yanlış beyan bulunmasına dair makul
olasılıktan daha düşüktür). Ancak ikinci derecede önemli eksikliklerle ilintili olsa dahi, finansal
tablolarla ilgili bir risk yönetim kuruluna bağlı denetim komitesine gerekçe açıklaması yapmayı
gerektirecek kadar ciddi bir risktir. Bu gibi durumlar karşısında karara varmak için olasılık ve
etki testlerinden ziyade muhakeme gücüne başvurulmalıdır.
3. Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için,
değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede belirli
adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında olasılık ve
etki testleri gerçekleştirilir.
Yukarıda 1 numaralı ilkede de tartışıldığı ve güven zinciri diyagramında örneklendirildiği gibi,
değerlendirme süreci üç adımdan oluşur:
a. Bir veya daha fazla BTGK kontrol hedefine ulaşma konusunda bir başarısızlık var
mıdır?
b. Varsa, otomatik kontroller, anahtar raporlar veya diğer kritik BT işlevlerinden herhangi
biri bu aksaklıktan dolayı zarar görmüş mü (yani, bu unsurların daima tasarımlarına
uygun faaliyet gösterecekleri konusunda bir güvence verilemediği durumlar)?
c. Böyle bir zarar varsa, otomatik kontrolün hataları önlemek veya tespit etmek konusunda
başarısız olmasına bağlı olarak bir önemli yanlış beyanda bulunulması makul ölçüde
olası mıdır?
Yalnızca bu üç sorunun hepsinin cevabının evet olduğu durumlarda, BTGK eksiklikleri,
finansal tabloları ilgilendiren önemli bir yanlış beyanın önlenememesine veya tespit
edilememesine yol açmaları mümkün ya da en azından makul ölçüde muhtemel12 sorunlar
olarak değerlendirilmelidirler. Diğer bir deyişle;
BTGK kontrollerindeki başarısızlığın bir veya daha fazla BTGK kontrol hedefine
ulaşılamamasına neden olması, bir veya daha fazla anahtar otomatik uygulama kontrolünün (veya anahtar raporlar, vb.)
tasarımlarına uygun etkili bir işlememesi ve/veya finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit edilememesi mümkün ya
da en azından makul ölçüde olası olmalıdır.
12 Bu dokümanda, makul ölçüde muhtemel ve makul ölçüde olası ifadeleri editöryel nedenlerden ötürü eşanlamlı
olarak kullanılmaktadır. Bunların her ikisi de aynı anlama gelmekte ve Terimler Sözlüğünde makul olasılık başlığı
altında tanımlanmaktadır.
13
4. Aynı BTGK kontrolüyle ilgili tüm BTGK eksiklikleri, bir grup halinde
değerlendirilmelidirler.
1 ve 3 numaralı ilkelerde tartışıldığı gibi, finansal tablolarla ilgili risk, dolaylı bir risktir.
Yalnızca BTGK kontrol hedefine ulaşma konusunda başarısız olunduğunda, önemli eksiklik
potansiyeli bulunduğu düşünülmelidir. Bu tip bir değerlendirmeyi yapmak için, ilgili tüm
BTGK başarısızlıkları birlikte değerlendirilerek bir veya birden fazla BTGK kontrol hedefinde
başarısız olunup olunmadığı hakkında bir görüş oluşturulmalıdır.
5. Ulaşılamayan BTGK kontrol hedefleri arasından aynı anahtar otomatik kontroller,
anahtar raporlar veya diğer kritik işlevlerle ilgili olanlar, bir grup halinde
değerlendirilmelidirler.
Güven zincirindeki son bağlantı, finansal tablolarda önemli hatalar olmasını önlemek ya da bu
gibi hataları tespit etmek için gereken kritik BT işlevlerinden – anahtar otomatik kontroller,
anahtar raporlar ve diğer kritik işlevlerden (örneğin, güncellemeler, arayüzler ve hesaplamalar)
oluşmaktadır.
Kritik BT işlevinin başarısız olma riski değerlendirilirken, bu işlevle ilgili olan ve ulaşılamayan
bütün BTGK kontrol hedefleri dikkate alınmalıdır.
Genelde, otomatik bir kontrolle ilgili BTGK kontrol hedefi başarısızlıkları arttıkça, bu otomatik
kontrolün tasarlandığı şekilde işlememe olasılığı da artar. Ayrıca, bir otomatik kontrolün
başarısız olma olasılığı yükseldikçe, finansal tabloları ilgilendiren bir hatanın önlenememesi
veya tespit edilememesi olasılığı da yükselir.
6. Bir arada değerlendirme ilkesi, aynı önemli hesap veya dipnot açıklamasıyla ilgili
manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin bir grup
halinde değerlendirilmelerini gerektirir.
Bu ilke, AS 5’te açık ve net bir ifadeyle tanımlanmaktadır:
Aynı finansal tablo hesap bakiyesi veya dipnot açıklamasını ilgilendiren birden
çok kontrol eksikliğinin bulunması, yanlış beyanda bulunma olasılığını arttırır
ve bu eksikliklerin şiddeti tek başlarına daha az olsa dahi, birlikte bir önemli
zayıflık oluşturacak kadar büyük olabilir. Dolayısıyla, denetçi, aynı önemli
hesap veya dipnot açıklaması, önemli iddia veya iç kontrol unsurunu ilgilendiren
münferit kontrol eksikliklerinden doğan etkilerin hep beraber önemli bir
zayıflığa neden olup olmadıklarını belirlemelidir.13
Yukarıdan aşağıya, risk-esaslı kapsam tayini yaklaşımında, işletme süreçlerindeki (örneğin,
satın alım-ödeme, sipariş-ödeme veya özkaynak süreçleri) önemli hataları önlemek veya tespit
etmek için gereken manuel ve otomatik kontrollerin bileşimi tayin edilecektir. Değerlendirmeyi
yapan kişi, bozulan kritik BT işlevlerinden her birini ayrı ayrı ele almalı ve ilintili önemli hesap
ve dipnot açıklamalarını tayin etmelidir. Daha sonra, etkili olsun ya da olmasın, ilgili tüm
manuel ve otomatik kontrollerin toplu olarak etkinliği değerlendirilmeli ve önemli yanlış beyan
riski bulunup bulunmadığı belirlenmelidir.
13 65. fıkradan alıntılanmıştır.
14
3. DEĞERLENDİRME SÜRECİ
Değerlendirme Ekibi
BTGK eksikliklerinin finansal tablolar üzerindeki etkisi, güven zinciri çerçevesinde gösterildiği
gibi dolaylı bir etkidir. Buna binaen, BTGK eksiklikleriyle ilgili değerlendirme, sadece BTGK
ile ilgili teknik meselelerin değil, aynı zamanda işletme süreçleri, dönem sonu süreçleri ve
finansal tabloların da anlaşılmasını gerektirir.
Bu bağlamda, değerlendirmeyi yapan personel, güven zincirinde yer alan tüm aşamaları bütün
olarak anlamış olmalıdır. Ekibin her bir üyesi değerlendirme sürecinin her aşamasında rol
alabilecek olsa da, sürecin ilk adımları büyük oranda BTGK kontrollerinin anlaşılmasına, takip
eden adımlar ise daha çok işletme süreçleri ve kontrollerine dayanır.
Kontrol Eksikliklerinin Tayini
Kontrol eksiklikleri, kontrollerin tasarımları değerlendirilirken ya da test aşamasında tayin
edilebilir. Aşağıda tartışılan süreçte, genelde olan bu olduğu için, eksikliğin kontrollerde
yapılan testler sırasında tayin edilmiş olduğu varsayılır, dolayısıyla süreç de buna göre
anlatılmıştır. Eksiklik, kontrolün tasarımında yapılan inceleme sonucunda anlaşılmışsa, 1
numaralı adımı gerçekleştirmeye gerek yoktur.
Adım-Adım Süreç
1. Test istisnalarının münferit bir istisnayı olmayıp, bir kontrol başarısızlığını temsil
ettiğini teyit et.
Az sayıda test istisnası bulunuyorsa, bu her zaman bir kontrol başarısızlığı anlamına gelmez.
Kontrolün gerçekleştirildiği kütlenin büyüklüğüne bağlı olarak, istisna içermeyen başka bir
örneklem kullanılarak, testi yapan kişi tarafından istisnanın münferit olduğunun görülmesi
sağlanabilir.
Testi yapan kişi, kontrolün ve test tasarımının anlaşılıp anlaşılmadığını teyit etmek üzere
yönetimle birlikte test sonuçlarını gözden geçirmelidir. Kontrolün kendisinin ve nasıl
çalıştığının yanlış anlaşılmış olmasından ileri gelen bir başarısızlık yaşanmış olabilir; bu
durumda, test yeniden tasarlanmalı ve gerçekleştirilmelidir.
Öte yandan, ilgili kontrol hedefini ya da ele alınan riski karşılamak için gerek duyulan kontrol
unsurlarının hangileri olduğunun anlaşılması da önemlidir. Test, bu anahtar unsurların
incelenmesini sağlayacak bir tarzda tasarlanmalıdır. Örneğin, bir kontrol hedefinde, belirli bir
işlemin yönetim tarafından yetkilendirilmiş olmasının gerektiği belirtilmiş olabilir. Gelgelelim
operasyonel nedenlerden ötürü bu süreçte birden fazla gözden geçirme ve onay (örneğin, iki
farklı yönetim seviyesinden) bulunabilir. Buna bağlı olarak, anahtar kontrol, iki farklı onay
seviyesini içeriyor olabilir. Onaylardan biri alınmamışsa, bir sonraki gözden geçirme
neticesinde, kontrol hedefine ulaşmak için tek bir yöneticiden onay alınmasının yeterli olduğu
ortaya çıkarılabilir. Bu gibi bir durumda yapılması gereken, kontrolün başarısız olduğunu
söylemekten ziyade, anahtar kontrol için verilen tanımlamayı, operasyonel nedenlerden ötürü
gerekli görülen ek onay katmanlarını ihraç etmeksizin, kontrol hedefine ulaşmak için yeterli
olan onayı açıkça gösterecek şekilde değiştirmek olacaktır.
15
Test istisnaları bir kontrol eksikliğini temsil etmiyorlarsa, değerlendirme süreci sonlandırılır.
2. Test edilen kontrollere dayanan BTGK kontrol hedef(ler)ini tayin et.
Bir veya daha fazla BTGK kontrol hedefinin gerektirdiği değerlendirme sürecinin planlanması
ve kapsam tayini aşamasında yapılan tespitlere dayandığı için, tüm anahtar BTGK kontrolleri
test edilir. BTGK anahtar kontrollerindeki başarısızlıklar değerlendirilirken atılması gereken ilk
adım, bu kontrollere dayanan BTGK kontrol hedeflerini belirlemektir. Daha sonra, bir veya
daha fazla anahtar BTGK kontrolündeki başarısızlığın, BTGK kontrol hedeflerine
ulaşılamadığı yönünde yorumlanmasını gerektirip gerektirmediğini belirlemek üzere BTGK
kontrol hedeflerinin her biri değerlendirilecektir. Bir kontrolün her biri risk altında olabilecek
olan birden fazla BTGK kontrol hedefine bağlı olabileceği unutulmamalıdır.
3. BTGK kontrol hedef(ler)ine ulaşılıp ulaşılmadığını belirle.
Ortada bir önemli zayıflık ya da ikinci derecede önemli eksiklik bulunup bulunmadığı, münferit
bir BTGK kontrolündeki başarısızlığa değil, BTGK kontrol hedeflerine ulaşılıp ulaşılmadığına
bağlı olarak belirlenir. İlke 1’de yürütülen tartışmada ve güven zincirinde gösterildiği gibi:
Münferit BTGK kontrolleri, BTGK kontrol hedefleriyle ilintilidir. BTGK başarısızlıkları,
doğrudan doğruya ilgili kontrol hedeflerine ulaşılamamasına neden olabilir. Bir kontrol
hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrol tanımlanmış olabileceği ve bu
BTGK kontrollerinden birindeki başarısızlık veya bozulmanın her zaman ilgili kontrol
hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.14
İlk risk değerlendirmesi, belirli BTGK hedeflerinde başarısız olunmasına kontrol
eksikliklerinin sebep olup olmadığı üzerine yapılır. BTGK kontrol hedeflerinde başarısız
olunup olunmadığı değerlendirilirken, bir kontrol hedefini ilgilendiren bütün anahtar BTGK
eksiklikleri bir grup halinde dikkate alınmalıdır.
Bu değerlendirmenin iki yönü vardır:
a. Telafi Edici15 BTGK Kontrolleri
Bir BTGK kontrol hedefine ulaşılmasında birden çok anahtar BTGK kontrolünün rol
oynadığı durumlarda, bir veya daha fazla kontrolün güçlü yanları ile başka bir
kontrolün zayıf yanlarının telafisi mümkün olabilir.
Örneğin, veritabanı yöneticisinin (VTY) finansal sistemlere (yani, borçlar, alacaklar,
stoklar, duran varlıklar hesapları vb. dahil büyük defter ve yardımcı defterler) erişimini
kısıtlamaya yönelik bir kontrol hedefiyle ilgili olarak iki adet anahtar kontrol
tanımlanmış olabilir. İlk kontrolde VTY yetkileri tanımlı VTY’lerle sınırlandırılırken,
ikincisi, büyük defter verilerine erişimi izlemeye yarayan bir kontrol olabilir. İlk
anahtar kontrolde eksiklik oluşursa, sadece ikinci kontrolde başarıya ulaşılması bile,
büyük defter sistemiyle ilgili kontrol hedefinin başarıldığı yönünde bir sonuca varmak
için yeterli olabilir. Diğer yandan, izleme kontrolünün kapsamı borçlar veya stoklar
hesabında yapılan değişiklikler gibi erişim faaliyetlerini içine alacak ölçüde
14 Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda
bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir. 15 Telafi edici kontroller terimi, tamamlayıcı ve hafifletici kontrolleri kapsar.
16
genişletilmemişse, bu gibi yardımcı defterler açısından kontrol hedefine ulaşılamadığı
yönünde bir sonuca varılması muhtemeldir.
Başka bir örneğe göre, büyük defter uygulamasında yalnızca onaylı olan
değişikliklerin yapılmasını sağlamakla ilgili bir kontrol hedefine dayanan üç farklı
kontrol bulunabilir. İlk kontrol, tüm değişiklik taleplerinin şirket iç kontrolörü
tarafından onaylanması; ikinci kontrol, tüm değişliklerin uygulamaya konmadan önce
BT birimine bağlı bir değişiklik kontrol heyetince onaylanması; üçüncü kontrol ise,
tüm değişikliklerin muhasebe bölümü tarafından test edilmesiyle ilgili olabilir. Şirket
kontrolörünün onayı çoğu durumda alınmasa bile, diğer iki kontrol sayesinde sağlanan
güvence seviyesi, kontrol hedefine yine de ulaşılmış olduğu yönünde bir kanaate
varmak için yeterli olabilir.16
Telafi edici BTGK kontrolleri ele alınırken, bu kontrollerin tasarlandığı gibi etkin şekilde
işlediğine dair bir güvence ortaya konmalıdır. Bu genelde, test edilmiş veya güvence altına
alınmış olan anahtar BTGK kontrolleriyle sınırlandırılır.
b. Birden Çok Anahtar Kontrolde Başarısızlık Oluşması
Genellikle, bir BTGK kontrol hedefini ilgilendiren birden çok anahtar kontrol
başarısızlığının görüldüğü durumlarda, bu kontrol hedefinin başarısız olarak
değerlendirilme ihtimali daha fazladır. Birden çok kontrol başarısızlığının kontrol
hedefine ulaşılamamasıyla sonuçlanan, azaltılamamış bir risk durumu yaratıp
yaratmadığı, muhakeme edilerek belirlenmelidir.
Bu değerlendirme, muhakeme etmeyi gerektirir. Anahtar BTGK kontrolleri hesaba katılarak
yapılan değerlendirmede BTGK kontrol hedeflerine ulaşılmış olduğu yönünde bir sonuca
varılırsa, değerlendirme süreci sonlandırılır.
4. Finansal açıdan önemli uygulamalardan hangilerinin kontrol hedeflerine ulaşılmasına
bağlı olduğunu tayin et.
Değerlendirilen BTGK kontrol hedefleri belirli bir bağlamda ele alınmalıdırlar. Kontrol
hedeflerinin içerdikleri finansal açıdan önemli uygulamalar ve BT işlevleri hakkında güvence
sağlamaları gerekir ve farklı uygulamalara konu olan aynı BTGK kontrol hedefiyle ilgili farklı
sonuçlara varılması muhtemeldir. Örneğin, Unix yönetici erişiminin sınırlandırılmasını
sağlamakla ilgili bir kontrol hedefine bazı sunucularda yer alan uygulamalar için
ulaşılamamışken, başka sunucularda yer alan uygulamalar için ulaşılmış olabilir.
5. BTGK kontrol hedefine ulaşma konusundaki başarısızlığın rutin işlemlerle tespit
edilebilmesi mümkün ya da en azından makul ölçüde olası mı, değil mi, belirle.
BTGK kontrollerinin doğası gereği, bu kontrollerdeki başarısızlıklar derhal görünür bir
niteliktedir. Örneğin, antivirüs koruma sistemini güncelleme konusundaki başarısızlık hemen
16 Değerlendirme sürecinde, bir riskle ilgili olarak aynı işlevi gören ve bu yönden çakışan iki veya daha fazla yani
lüzumsuz kontrollerin bulunduğu tespit edilebilir. Bu kontroller, Bölüm 404 genel değerlendirmesi açısından
kontrol başarısızlığı olarak ifade edilebilecek bir riski azaltmak amacıyla kapsam tayini sürecinde ihtiyaten
oluşturulmuş olabilirler. Bu kontroller, yukarıdan aşağıya, risk-esaslı bir süreçten faydalanılmadığı için verimsiz
bir kapsam tayini sürecinin sonucu da olabilirler. Eğer ikinci olasılık geçerliyse, kapsam tayini sürecini yeniden
ele almak ve lüzumsuz kontrolleri kapsam dışına çıkartmak gerekebilir.
17
fark edilir. Eğer bu güncelleme başarısızlığı ağda bulunan bir enfeksiyondan (virüsten)
kaynaklanıyorsa, kullanıcı işlevlerinde neden olacağı bozulmadan dolayı birçok durumda
derhal fark edilecektir. Satıcı tarafından sağlanan ağ işletim sisteminde yapılan güncellemeleri
test edilmesi konusundaki başarısızlık diğer bir örneği teşkil eder. Değerlendirmeyi yapan kişi,
bunun finansal açıdan önemli uygulamalarla ilgili işlevler açısından tespit edilemeyen bir
başarısızlıktan ziyade, ilgili sürücüler ve onlar üzerindeki uygulamalarda geniş çaplı ve açıkça
görünür bir başarısızlığa yol açmasının daha olası olup olmadığını tartmalıdır.
Değerlendirmede, makul bir kişinin; incelenmekte olan belirli durum ve koşullarda, ilgili
kontrol başarısızlığından kaynaklanan olumsuz bir gelişmenin rutin işlemler çerçevesinde tespit
edilebilmesinin mümkün ya da en azından makul ölçüde olası olmadığı yönünde bir sonuca
varıp varmayacağı göz önünde tutulmalıdır.
Bir BTGK kontrol hedefine ulaşamama gibi bir sorun bulunmadığı sonucuna varılırsa, bunun
anlamı, görülen istisnanın sadece bir kontrol eksikliği olduğudur.17
6. Ulaşılamamış BTGK kontrol hedefleri açısından hangi kritik BT işlevlerinin risk altında
olduğunu tayin et.18
Yapılan değerlendirmede, ulaşılamadığı belirlenen kontrol hedefleri arasından aynı anahtar
otomatik kontrol, anahtar rapor veya diğer kritik işlevlerle ilgili olanlar önce tek tek ve ardından
gruplar halinde ele alınırlar. Belirli bir anahtar otomatik kontrolü ilgilendiren kontrol
hedeflerinden ulaşılamayanlar ne kadar fazla ise otomatik kontrolün kendisinin yerine
getirilememiş olması da kadar olasıdır.
Test edilecek BTGK kontrolleriyle ilgili planlama ve kapsam tayininde, anahtar otomatik
kontrollerin her biri için ulaşılması gereken BTGK kontrol hedeflerinin hangileri olduğu
saptanacaktır. BTGK kontrol hedeflerine ulaşılamaması sonucunda bu başarısızlıkların her
birinden ayrı ayrı etkilenen otomatik kontrolleri belirlemek için, düzenleme belgeleri
(dokümantasyon) gözden geçirilmelidir.
Bu adım, iş süreçlerinin ve otomatik kontrollerin oynadığı rollerin vb. anlaşılmasını gerektirdiği
için, değerlendirme ekibinde, BTGK riskleri hakkında bilgi ve birikime sahip kişiler de
bulunmalıdır.
Değerlendirme sürecinde gelinen bu aşamada, BTGK kontrol hedeflerine ulaşılamamasından
dolayı otomatik kontroller, anahtar raporlar, vb. unsurlardaki başarısızlığın finansal tablolar
açısından yarattığı risk(ler) dikkate alınır. Dolayısıyla, bu aşamada değerlendirme ekibinin
bütün üyeleri katkı sağlamalıdır.
7. Risk altındaki kritik BT işlevlerinin her biri açısından, BTGK kontrol hedeflerine
ulaşma konusundaki başarısızlık(lar)ın, işlevlerle ilgili tespit edilemeyen bir
başarısızlığa neden olması makul ölçüde olası mıdır, belirle.
17 Lüzumsuz kontroller için yürütülen tartışmaya benzer yönde bir değerlendirme olarak, başarısızlığı derhal fark
edilebilecek olan kontrollerin kapsama alınmalarının nedeni, kapsam tayini sürecinin etkin olmayan, verimsiz bir
tarzda yürütülmüş olması olabilir. Böyle bir durumda, kapsam yeniden değerlendirilmeli ve bu kontrollerin
kapsam dışına çıkartılmasının üzerinde durulmalıdır. 18 BTGK testleriyle ilgili çalışmanın kapsamını tanımlamak üzere BTRDR Metodolojisi kullanılıyorsa, hazırlanan
BTRDR belgelerinde, otomatik kontroller, anahtar raporlar, vb. unsurlar arasından hangilerinin değerlendirmeye
alınan BTGK kontrol hedefiyle ilgili olduklarını gösteren bir açıklama da bulunmalıdır.
18
Bu noktada, kritik BT işlevlerinin (anahtar otomatik kontroller, raporlar, vb.) yerine
getirilemeyeceğini ve bu başarısızlığın tespit edilemeyeceğini gösteren en azından makul
ölçüde olası olup olmadığını değerlendirmek için muhakeme gücüne başvurulur.
Aşağıda belirtilen unsurlar dikkate alınmalıdır:
a. Aynı kritik BT işlevlerini ilgilendiren BTGK kontrol hedeflerinde birden
fazla başarısızlık yaşanmış mıdır?
Genelde, otomatik kontroller veya diğer kritik işlevlerin yerine
getirilmesinde bir başarısızlıkla karşılaşma olasılığı, bir dizi BTGK kontrol
hedefiyle ilgili birden fazla riskin bulunduğu durumlarda artacaktır. BTGK
kontrol hedefi başarısızlıklarının doğa ve niteliğinin, kritik BT işlevlerini her
zaman düzgün şekilde yerine getirme güvencesi yönünden BTGK
kontrollerine güvenilmeyeceğine işaret edip etmediğini değerlendirmek için
muhakeme gücüne başvurulmalıdır.
b. İşlevlerdeki başarısızlığın, örneğin bir telafi edici bir iş kontrolü sayesinde
zamanında tespit edilmeleri makul ölçüde olası mıdır?
Risk altındaki işlevin bir anahtar rapor olduğu ve tanımlanan riskin raporun
oluşturulamaması olduğu durumları düşünün. Raporun oluşturulamadığını
tespit etmek için, anahtar raporu incelemeye yönelik bir manuel anahtar
kontrol yapılması yeterli olacaktır. Gelgelelim, eğer söz konusu risk, rapor
içeriğinin eksik veya yanlış olmasıyla ilgiliyse, manuel inceleme
prosedürünün hataları tespit etmek için yeterli olup olmadığı, incelemenin
yürütüldüğü ilgili durumun belirli koşul ve olgularına bağlı olacaktır.
c. Kritik BT işlevlerinde daha önceden herhangi bir başarısızlıkla karşılaşılmış
olup olmadığını bir risk göstergesi olarak ele alın.
Anahtar otomatik kontrollerde geçmişte karşılaşılmış ve zamanında tespit
edilememiş olan başarısızlıkların bulunması, gelecekte bu kontrollerde
başarısızlık riskini arttıran bir gösterge olarak ilk bakışta göze çarpar.
Geçmiş başarısızlıkların ne kadar hızlı tespit edildikleri ve benzeri ancak
anahtar öneme sahip olmayan işlevlerde başarısızlık yaşanmış olup olmadığı
dahil, bu risk göstergesini değerlendirmek için muhakeme gücüne
başvurulmalıdır. Örneğin büyük defter sistemini ilgilendiren anahtar
otomatik kontroller ve anahtar raporlar varsa, büyük defter sistemi
dahilindeki farklı işlevlerde geçmişte başarısızlıklarla karşılaşılmış olması
ilgili bir noktayı teşkil edebilir. Finansal tabloları ilgilendiren önemli yanlış
beyanların önlenmesi veya tespit edilmesi hususunda temel alınan işlevlere
ilişkin risk seviyesi belirlenirken, içinde bulunulan belirli koşullar ve
gerçekler dikkate alınmalıdır.
Herhangi bir kritik işlevle ilgili tespit edilemeyen bir başarısızlığın bulunması makul ölçüde
olası değilse, o halde söz konusu olan yalnızca bir kontrol eksikliğidir.
19
8. Hem kritik BT işlevleri hem de diğer işletme kontrollerinin nasıl yürütüldükleri dikkate
alındığında, bir başarısızlığın finansal tablolarda önemli bir yanlış beyana neden
olması makul ölçüde olası mıdır?
Değerlendirme süreci, kritik işlevlerde başarısızlık olasılığının en azından makul ölçüde var
olduğunu ortaya koymuştur. Gelinen bu noktada, kurum seviyesindeki19 ve birim seviyesindeki
ilgili tüm manuel ve diğer otomatik anahtar kontrollerin etkinliği dahil konuyla ilgili bütün
gerçekler ve koşullar göz önünde tutularak, oluşan başarısızlığın finansal tablolarda tespit
edilemeyen önemli bir hataya yol açmasının mümkün ya da en azından makul ölçüde olası olup
olmadığını değerlendirmek için muhakeme gücüne başvurulur.
İlke 1’de anlatıldığı üzere:
BTGK başarısızlığının bir veya daha fazla BTGK kontrol hedefine
ulaşılamamasına neden olması; bir veya daha fazla anahtar otomatik uygulama kontrolünün (veya
anahtar raporlar, vb.) tasarlandığı gibi etkili bir şekilde işlememesi
ve/veya finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit
edilememesi mümkün ya da en azından makul ölçüde olası olmalıdır.
Değerlendirmede; yalnızca kritik işlevlerde bir başarısızlık olma riski üzerinde durulmamalı,
bunun yanı sıra, bir önemli hesap veya dipnot açıklamasıyla ilgili bütün kontrollerin etkinliği
de dikkate alınmalıdır. Bu bağlamda göz önünde tutulması gereken unsurlar şunlardır:
Aynı hesap veya dipnot açıklamasını ilgilendiren birden çok kontrol
başarısızlığı olup olmadığı.
Adım 3’te anlatıldığı gibi, birden çok kontrol başarısızlığının bulunması, önemli
bir yanlış beyan riskinin arttığını gösteriyor olabilir. Buna karşın, yapılan
değerlendirmede kontrol eksikliklerinin kendilerine özgü doğası ve nitelikleri
dikkate alınmalıdır. Eğer birbiri ile ilişkili değillerse (örneğin, aynı kişilerce
veya aynı sistem kullanılarak gerçekleştirilmiyorlarsa), aynı dönem içerisinde
birden çok hata olma olasılığı düşük seviyede olabilir. Örneğin, birbiriyle ilgisiz
iki kontrolün her biri ayrı ayrı %10 olasılıkla 1 milyon ABD tutarında bir hataya
neden olma riski taşıyorsa, olasılık teorisine göre, bunların aynı zamanda
meydana gelme ve toplamda 2 milyon ABD tutarında bir hataya yol açma
olasılığı sadece %1’dir. Fakat bu iki kontrol birbirleriyle ilişkiliyseler, 2 milyon
ABD tutarında bir hata oluşma olasılığı çok daha yüksek olabilir.
BTGK eksiklikleri, birden fazla otomatik kontrolü ya da diğer kritik BT
işlevlerini ilgilendiren BTGK kontrol hedeflerine ulaşılamaması yönünde bir
etki sergileyebilir. Bu otomatik kontrollere duyulan güvenin azaldığı
düşünülüyorsa, ortak sebep bunların (yani, anahtar BTGK kontrolleri ve kontrol
hedefleri) birbirleriyle ilişkili olmasıdır.20
19 Şirket seviyesi ve kurum seviyesi terimleri aynı anlama gelmektedir. 20 Bu durum, bir çeşit kümelenme biçimi olarak değerlendirilebilir. Başkaları ise, bunun BTGK kontrollerinin
yayılmacı tabiatından kaynaklandığını öne sürerler (yani, bir BTGK kusuru, birden çok işletme süreci kontrolünü
ve birden çok önemli hesabı etkileyebilir).
20
Bir veya birden fazla kontrol eksikliğinden, birden çok önemli hesabın
etkilenip etkilenmeyeceği.
Yukarıda da kaydedildiği gibi, tek bir BTGK eksikliği birden fazla hesapla ilgili
çok sayıda hatanın kök sebebi olabilir. Bu durum, ya etkilenen kritik BT
işlevlerinin birden fazla önemli hesapta hata oluşmasının önlenmesi veya oluşan
hataların tespit edilmesiyle ilgili olmasından ya da oluşan eksiklikten etkilenen
birden çok otomatik kontrolün ve dolayısıyla birden çok hesabın bulunmasından
kaynaklanabilir.
Değerlendirme ekibi, önemli bir zayıflık düzeyine ulaşan bir risk kümelenmesi
bulunup bulunmadığını ele almalıdır.
Telafi edici veya hafifletici kontrollerin var olup olmadığı.
Adım 3’te, finansal tablolarla ilgili önemli bir hata olma olasılığının telafi edici
kontroller sayesinde nasıl düşürülebileceği anlatılmaktadır. Bu telafi edici
kontrollerin, üzerlerine yüklenen güven verme fonksiyonunu yerine getirme
konusunda etkili oldukları saptanmış olmalıdırlar.
Eğer bir önemli zayıflık tayin edilirse, değerlendirme sürecine tüm kümelenme etkilerinin
dikkate alındığı Adım 10 ile devam edilir.
9. Söz konusu riskin, önemli bir zayıflığı temsil edecek kadar yüksek düzeyde olmasa da,
yönetim kuruluna bağlı demetim komitesine ikinci derecede önemli bir eksiklik olarak
açıklanmasını gerektirip gerektirmediğini değerlendir.
SEC ve PCAOB, ikinci derecede önemli eksiklikleri aşağıda gösterildiği gibi tanımlamışlardır:
“…önemli bir zayıflıktan daha düşük şiddette seyreden, ancak yine de şirketin
finansal raporlamasının gözetiminden sorumlu kimselerin dikkatine sunulmak
için yeterince önemli olan ve finansal raporlama üzerindeki iç kontrol sisteminde
görülen bir eksiklik ya da bir eksiklikler kümesi.”
Bu değerlendirme, değerlendirme ekibinin muhakeme gücünü kullanmasını gerektirecektir.
BTGK eksikleri, finansal raporlama dışındaki alanlarla ilgili riskler (örneğin, operasyonel
etkinlikle ilgili ya da gizli bilgilerin korunmasıyla ilgili riskler) üzerinde potansiyel bir etki
gösterdikleri için, yönetimin yaptığı değerlendirme kapsamında ilgili tüm riskleri ele almasını
ve denetim komitesiyle bunlar hakkında tartışma yürütmesini tavsiye ediyoruz.
10. Finansal tablolarla ilgili kontrol risklerinden oluşabilecek tüm kümelenmelerin dikkate
alınıp değerlendirilmiş olduğunun teyit edilmesi de dahil olmak üzere, konuyu toparla
ve bir makul kişi21 incelemesi gerçekleştir.
Finansal raporlama iç kontrol (ICFR) sistemi üzerinde yapılan değerlendirmede, bu sistemin
önemli yanlış beyanların zamanında önlenmesini ya da tespit edilmesini sağlama yönünde
21 SEC ve PCAOB rehberlerinde, makul kişi teriminin yerine basiretli memur terimi kullanılmaktadır, ancak bu
terimlerin anlamları ve kullanım amaçları aynıdır.
21
makul bir güvence sunup sunmadığı ele alınır. Bunun için değerlendirme ekibinin bütün
eksiklikleri ve özellikle bunların kök sebeplerini bir bütün olarak dikkate alması ve aşağıdaki
sorulara cevap bulması gerekir: İç kontrol sisteminde zayıflıkların var olup olmadığı. Varsa, bunlar ve kök sebepleri
gerektiği şekilde tayin edilmiş midir?
Bütün risk kümelenmeleri tayin edilip ele alınmış mıdır?
Makul bir kişi, işletmenin tabiatını, finansal tablolarla ilgili büyük riskleri ve anahtar
kontrollerin kuvvetli ve zayıf yönlerini göz önünde tutarak yaptığı değerlendirmede, önemli
bir yanlış beyan riskinin makul ölçüde olası olduğuna kanaat getirir mi?
Deneyimler, kontrol eksikliklerinin kök sebeplerinin genellikle aynı olduğunu göstermektedir
(örneğin, yeterli personeli bulunmayan bir BT güvenlik birimi, bir bütün olarak değişiklik
yönetiminde disiplin eksikliği ya da teknik muhasebe deneyimi ve kavrayışında eksiklik).
Değerlendirme ekibi, böyle bir durumda, altta yatan bu meselenin birleşik veya kümelenmiş
etkisinin, önemli bir zayıflığı ya da ikinci derecede önemli bir eksikliği temsil edip etmediğini
değerlendirmelidir. Kök sebebin tayin ve gerektiği gibi rapor edilmesi de önemli bir noktadır,
zira , zayıflıklar yalnızca kök sebepleri ele alındığında etkili şekilde giderilebilirler.
Bu aşamaya kadar yapılan değerlendirme kapsamında, tam olarak hepsi olmasa da kümelenmiş
mesele tiplerinin bazıları üzerinde durulmuştur. Bu bağlamda ele alınan hususlar aşağıda
sıralanmaktadır. Birden fazla anahtar BTGK eksikliği ve bunların tek bir BTGK hedefi üzerindeki etkisi
(Adım 3'te).
Birden fazla BTGK kontrol hedefine ulaşılmasında başarısız olunması ve bunların tek bir
otomatik kontrol veya bir diğer kritik BT işlevi üzerindeki etkisi (Adım 7a'da).
Manuel, otomatik ve başka tip kontrollerden oluşan kombinasyonlar dahil birden fazla
kontrol başarısızlığı ve bunların finansal tablolar üzerindeki etkisi (Adım 8'de).
Aynı kök sebepten kaynaklanan eksiklikler (yukarıda).
Değerlendirme ekibi, bütün kontrol eksikliklerini gözden geçirmeli ve tamamının
incelenmesinden sonra, başkaca ikinci derecede önemli eksiklikler ya da önemli zayıflıklar
bulunmadığını teyit etmelidir. Örneğin, makul bir kişinin yönetimin iç kontrol sistemine verdiği
ağırlığın yetersiz olduğu yönünde görüş bildirmesine neden olacak kadar çok kontrol eksikliği
var mıdır?
Makul bir kişi ya da diğer adıyla SEC ve PCAOB tarafından önerilen basiretli bir memur,
tarafından yapılan gözden geçirme, nihai ihtiyati adımı teşkil eder. Bu gözden geçirmenin
amacı, yapılan değerlendirmenin gereğinden fazla koruyucu veya saldırgan olmadığından emin
olunmasını sağlamak ve yanı sıra, raporlamanın yapıldığı tarihteki iç kontrol sisteminin sahip
olduğu kaliteyi doğru yansıtan bir değerlendirmeye ulaşılmış olmasını teyit etmektir.
22
4. TERİMLER SÖZLÜĞÜ
Terimler Tanımlar
Uygulama
kontrolü
"Uygulama seviyesindeki riskler için oluşturulan uygulama kontrolleri,
sistemin içinde kurulmuş bilgisayarlı kontroller veya manuel olarak
gerçekleştirilen kontroller formunda olabilecekleri gibi, bunların bir bileşimi
biçiminde de olabilirler. Uygulama kontrollerine verilebilecek örnekler
arasında, belgelerin bilgisayar ortamında eşleştirilmesi (satın alma siparişi,
fatura ve mal alındı raporu), bilgisayarın ürettiği çıktının kontrolü ve
imzalanması ve istisna raporlarının üst yönetim tarafından gözden
geçirilmesi sayılabilir." (Uluslararası Bilişim Teknolojileri Yönetim ve
Denetim Enstitüsü Derneği - ISACA, Uygulama Sistemleri Gözden
Geçirmeleri, belge G14)
Otomatik
uygulama
kontrolü
Yukarıda tanımlandığı gibi, uygulama kontrolleri, "sistemin içinde kurulmuş
bilgisayarlı kontroller, manuel olarak gerçekleştirilen kontroller ve bunların
bir birleşimi biçiminde olabilirler." Burada kullanılan otomatik uygulama
kontrolleri terimi, ISACA tarafından yapılan tanımlamada kullanılan
bilgisayarlı kontroller terimiyle eşanlamlıdır.
Kontrol
"İş hedeflerine ulaşılacağı ve istenmeyen olayların önleneceği ya da tespit
edilip düzeltileceği yönünde makul güvence sağlamak üzere tasarlanıp
oluşturulmuş politikalar, prosedürler, uygulamalar ve organizasyonel
yapılar." (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri - COBIT
Terimler Sözlüğü)
Kontrol
eksikliği
Finansal raporlama iç kontrol (ICFR) sisteminde yer alan bir kontrolün
tasarımı ya da işleyişi, atandıkları birimlerde ilgili rutin faaliyetleri yerine
getiren yönetim veya çalışanlara, yanlış beyanları zamanında önleme ya da
tespit etme olanağı sağlamıyorsa, ortada bir kontrol eksikliği vardır.
Kontrol
başarısızlığı
Bir anahtar kontrol yetersiz düzeyde tasarlanmışsa ya da etkili şekilde
işlemiyorsa, ortada bir kontrol başarısızlığı vardır.
Kritik BT
işlevleri
Kritik BT işlevleri arasında aşağıda sayılanlar bulunur:
Anahtar otomatik kontroller
Anahtar manuel kontrollerin doğru ve düzgün faaliyet göstermeleri için
esas alınan BT işlevi
Anahtar raporlar
Muhasebe kayıtlarıyla ilgili, tespit edilemeyerek finansal tablolarda bir
önemli hata oluşmasına sebebiyet verebilecek, hesaplamalar ya da büyük
deftere geçirme gibi diğer kritik işlevlerdeki bir başarısızlık. Bazı
kaynaklarda bunun için programlı muhasebe prosedürleri terimi
kullanılır.
23
Terimler Tanımlar
Kurum
düzeyinde
kontrol
Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) kontrolleri,
kurum düzeyinde kontroller ve ayrıntı/süreç düzeyinde (birim düzeyinde)
kontroller olarak iki grup altında toplamaktadır. Diğerine kıyasla kurum
düzeyindeki riskler, organizasyonun bütünü ve birden fazla ayrıntı/süreç
düzeyindeki kontrolün etkinliği üzerinde etki edebilecek olmalarından ötürü
doğası gereği daha yayılmacı risklerdir.
Kurum seviyesi terimi, şirket seviyesi terimiyle eşanlamlıdır.
Finansal
açıdan
önemli
Finansal açıdan önemli uygulamalarda, anahtar otomatik uygulama
kontrolleri, anahtar raporlar ve diğer anahtar otomatik süreçler dahil,
finansal raporlama sürecinin bütünlüğünü güvenceye alma konusunda
esas alınan işlevler bulunur. Bu işlevler doğru, düzgün ve tutarlı bir
çerçevede faaliyet gösteremiyorlarsa, önlenemeyen veya tespit
edilemeyen önemli bir yanlış beyan bulunması en azından makul ölçüde
olasıdır. Bir işlev önemli yanlış beyanların saptanması veya önlenmesi
açısından mutlaka gerekli olduğu taktirde bu tanımlama kapsamındadır
(örneğin, bir anahtar kontrolün parçası olarak).
Finansal açıdan önemli veriler, rutin uygulama kontrolleri atlatılmak
suretiyle (örneğin, bir BTGK başarısızlığı sonucunda) yetkisiz
değişikliklerden etkilenmeleri durumunda, önlenemeyen veya tespit
edilemeyen önemli bir yanlış beyana neden olmaları mümkün ya da en
azından makul ölçüde olası olan verilerdir. Bu gibi durumlarla finansal
veriler kapsamında karşılaşılabileceği gibi, otomatik bir prosedürün
tutarlı işleyiş göstermesi konusunda temel alınan verilerde de
karşılaşılabilir.
ICFR
Finansal raporlama üzerindeki iç kontrol (sistemi)
IIA
İç Denetim Enstitüsü (IIA), global merkez binası Altamonte Springs, Fla.,
Birleşik Devletler adresinde bulunan ve 122.000'i aşkın üyesi olan bir
uluslararası meslek örgütüdür. IIA, dünya genelinde, sertifikasyon, eğitim,
araştırma ve teknolojik rehberlik hizmetleri veren, iç denetçilik mesleği
alanındaki lider kurum olarak tanınır.
BTGK
(ITGC)
Bilgi teknolojileri genel kontrolleri (BTGK'ler), genelde BT birim ve
kuruluşlarına ait BTGK süreçleri üzerindeki kontrollerdir. Geniş anlamıyla
BTGK'ler, işlemlerin yapılmasını ve otomatik kontrollerin hayata
geçirilmesini sağlayan işlevler ve benzeri uygulamaların, geliştirilmesini ve
takiben sürdürülmesini güvence altına alırlar. Aynı zamanda, bu
uygulamaların düzgün işleyiş gösterdiklerinden ve verilerin ve programların
yetkisiz değişikliklere karşı korunduklarından emin olunmasını sağlarlar.
24
Terimler Tanımlar
Anahtar
kontrol
Başarısız olması durumunda, finansal tabloları ilgilendiren önemli bir
hatanın zamanında önlenemeyecek veya tespit edilemeyecek olmasını
mümkün ya da en azından makul ölçüde olası hale getiren bir kontroldür.
Diğer bir deyişle, önemli hataların zamanında önlenmesi veya tespit edilmesi
konusunda makul düzeyde güvence sağlayan kontrol, bir anahtar kontroldür.
Başarısızlık, münferit nitelikte olabileceği gibi, aynı zaman dilimi içerisinde
başarısız olma olasılığı bulunan başka kontrollerle birlikte de görülebilir.
İkinci durum, literatürde kümeleşme terimi ile anılır. Tek bir kontroldeki
başarısızlık muhtemelen önemli bir yanlış beyana yol açmaz, ama aynı
dönem içerisinde birden fazla kontroldeki başarısızlık, bu riski uzak olasılık
mertebesinden daha üst bir seviyeye çıkarır. Kümeleşme durumunda,
kontrollerin aynı dönem içerisinde başarısız olmalarının muhtemel olması
gerekir; bunun nedeni, örneğin, bu kontrollerin aynı zaman dilimi içerisinde
aynı bilgisayar sistemi kullanılarak veya aynı kişi tarafından
gerçekleştirilmiş olmasıdır.
Bir hatanın zamanında tespit edilmesi önemli bir husustur. Aksi takdirde,
finansal tablolar SEC komisyonuna gönderildikten sonra tespit edilen hatalar,
finansal tabloların yeniden düzenlenmesini gerektirebilir.
PCAOB, 5 numaralı denetim standardında, anahtar kontrollerin esasını
aşağıda gösterildiği gibi tanımlamaktadır:
"Denetçi, öne sürülen her önemli iddiayla ilgili yanlış beyan riskinin,
şirket bünyesindeki kontroller kapsamında yeterli düzeyde ele alınıp
alınmadığı hakkında bir sonuca varması açısından önemli bir yer
tutan bu kontrolleri test etmelidir."
Anahtar
rapor
Genellikle sistem içerisinde oluşturulmuş, bir anahtar kontrol kapsamında
kullanılan bir rapordur. Bir raporun bir anahtar rapor sayılması için aşağıdaki
koşulları karşılaması gerekir:
Raporda yapılan bir hata, tespit edilememesi halinde, örneğin
raporda yer alan bilgilerin bir işlem (örneğin, bir yevmiye kaydı)
oluşturmak için kullanılmasından ya da raporun yapılan kontrolün
temelini teşkil eden bir unsur olarak (örneğin, vadesi geçmiş
alacaklara yönelik bir gözden geçirme) kullanılmasından dolayı
önemli bir hataya neden olabilir.
Kontrolün manuel yürütülen kısmı kapsamında, raporda yapılan bir
hatanın tespit edilebilir olması mutlak değildir.
25
Terimler Tanımlar
Önemli
zayıflık
ICFR sistemindeki, şirketin yıllık ya da ara dönem finansal tablolarında
önemli bir yanlış beyanın zamanında önlenememesini veya tespit
edilememesini makul ölçüde olası kılan bir eksiklik ya da bir eksiklikler
birleşimi.
PCAOB
ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu (PCAOB), halka açık
şirketlerde çalışan denetçilerin gözetim ve yönetimini yerine getirmek üzere
Sarbanes-Oxley Kanunu uyarınca kurulmuş kâr amacı gütmeyen bir özel
hukuk tüzel kişisidir. Hedefini, "bilgilendirici, adil ve bağımsız denetim
raporlarının hazırlanmasında yatırımcıların çıkarlarını ve kamu yararını
korumak" olarak açıklamaktadır.
Her ne kadar bir özel hukuk tüzel kişisi niteliğinde olsa da, PCAOB, devletin
sahip olduğuna benzer birçok düzenleyici işleve sahiptir. Bu konumu,
PCAOB'yi, Birleşik Devletler'de menkul kıymetler borsasını ve finans
piyasalarının diğer unsurlarını düzenleyen özel teşebbüse ait öz-düzenleme
kurumlarıyla benzer bir niteliğe kavuşturur.
Basiretli
memur
Bakınız: makul kişi
Makul
güvence
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja
bakılabilir: "Komisyon'un uygulama kurallarında atıf yapılan 'makul
güvence' kavramı, Yabancı Ülkelerde Yolsuzluk Uygulamaları Kanunu'nda
(FCPA) (1977) benzer bir dille açıklanır. Makul güvence ve makul ayrıntı
kavramları, Menkul Kıymetler ve Borsa Kanunu Madde 13(b) Fıkra (7)'de,
'kendi işlerini yerine getirirken basiretli memurları tatmin edecek düzeyde
ayrıntı seviyesi ve güvence derecesi' olarak tanımlanırlar. Komisyon,
'makullük' kavramını uzun bir süreden beri 'şirket kayıtlarıyla ilgili mutlak
bir kesinlik standardı' olarak ele almamaktadır. Ayrıca, Komisyon 'makullük'
standardını nesnel bir standart olarak tanımasının yanı sıra, bir sertifikasyon
kuruluşunun 404. Madde ve Komisyon kurallarının uygulanışı konusunda
neyin 'makul' olduğu hakkında karar verirken belirli bir aralıkta inisiyatif
kullanabilecek kadar öznel hareket edebileceğini de kabul eder. Dolayısıyla,
404. Maddenin uygulanışı bağlamında ele alınan 'makul', 'makul ölçüde' ve
'makullük' kavramları, sabit tek bir çıkarımı veya metodolojiyi yansıtmazlar,
daha ziyade, bir sertifikasyon kuruluşunun makul bir çerçevede aldığı
kararlara dayanak teşkil etmeye uygun olası tüm davranışları, çıkarımları
veya metodolojileri kapsarlar."
Makul kişi
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja
bakılabilir: "ICFR sistemindeki bir eksikliğin veya eksiklik kümesinin şiddeti
değerlendirilirken, yönetim, kendi işlerini yerine getirirken basiretli
memurları tatmin edecek ve işlemlerin finansal tabloların Genel Kabul
Görmüş Muhasebe İlkeleri ve Uygulamalarına (GAAP) uygun bir çerçevede
hazırlanmalarına olanak tanımak için gerektiği gibi kayıt altına alındıkları
yönünde bir makul güvence vermelerini sağlayacak düzeyde ayrıntı seviyesi
ve güvence derecesinin ne olduğunu belirlemelidir."
26
Terimler Tanımlar
Makul
olasılık
Bu terimle ilgili olarak PCAOB AS 5'te şu ifadeye yer verilir: "Finansal
Muhasebe Standartları Kurulu (FASB) 'Beklenmedik Olaylarda Muhasebe'
(FAS 5) başlıklı 5. Açıklamasında kullanıldıkları anlamlarıyla, bir olayın
olma ihtimali makul ölçüde olası ya da muhtemel olduğunda, bu standartta
kullanıldığı anlamıyla, bir olayın olması için bir makul olasılık vardır." SEC
kılavuzunda da aynı tanım yer almaktadır.
Konu hakkında FAS 5'te yer verilen ifadeler ise şöyledir: "Bu Açıklama
metninde geçen muhtemel, makul ölçüde olası ve uzak olasılık terimleri,
ihtimal aralığındaki farklı olasılık düzeylerini aşağıda gösterildiği gibi
tanımlamak için kullanılmaktadırlar:
a. Muhtemel: Olay veya olaylar büyük olasılıkla olacaktır.
b. Makul ölçüde olası: Olay veya olayların olma olasılığı, 'büyük
olasılıkla' denilemeyecek kadar düşük, ama aynı zamanda, 'uzak
olasılık' denilemeyecek kadar da yüksektir.
c. Uzak olasılık: Olay veya olayların olma olasılığı düşüktür."
SEC
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), ana sorumlulukları
Federal Menkul Kıymetler Kanunu’nu uygulatmak ve menkul kıymetler
sektörünü düzenlemek olan bir devlet kurumudur. SEC, 1934 yılında
çıkarılan Menkul Kıymetler ve Borsa Kanunu 4. Maddesi (günümüzde,
Birleşik Devletler Kanunnamesi 15. Başlık 78d Maddesi olarak geçmektedir)
uyarınca kurulmuştur. SEC, kurulmasına önayak olan 1934 Kanununun yanı
sıra, 1933 Menkul Kıymetler Kanunu, 1939 Tröst Senedi Kanunu, 1940
Yatırım Şirketleri Kanunu, 1940 Yatırım Danışmanlığı Şirketleri Kanunu,
2002 ABD Sarbanes-Oxley Kanunu ve yürürlükteki diğer kanunları da
uygular.
İkinci
derecede
önemli
eksiklik
İkinci derecede önemli bir eksiklik, önemli bir zayıflıktan daha düşük bir
şiddette seyreden, ancak yine de şirketin finansal raporlamasının gözetim ve
yönetiminden sorumlu olanların dikkatine sunulmalarını gerektirecek kadar
önemli olan ve ICFR sisteminde görülen bir eksiklik ya da çeşitli
eksikliklerden oluşan bir eksiklik kümesidir.
27
Terimler Tanımlar
Yukarıdan
aşağıya
yaklaşım
Yukarıdan aşağıya yaklaşım, PCAOB AS 5'te aşağıda gösterildiği gibi
tanımlanmaktadır:
"Denetçi, finansal raporlama üzerindeki iç kontrol sistemi
kapsamında test edeceği kontrolleri seçerken yukarıdan aşağıya bir
yaklaşım kullanmalıdır. Yukarıdan aşağıya bir yaklaşım finansal
tablo seviyesinden başlar ve denetçi ilk önce finansal raporlama
üzerindeki iç kontrol sistemiyle ilgili genel riskler hakkında bilgi
edinir. Akabinde, denetçi, kurum seviyesindeki kontrollere odaklanır
ve önemli hesap ve dipnot açıklamaları ile bunlarla ilgili önemli
iddialara doğru çalışmasını genişletir. Denetçi, bu yaklaşım
sayesinde, finansal tablolar ve bağlantılı dipnot açıklamaları
kapsamında önemli yanlış beyanlarda bulunulmasının makul ölçüde
olası olduğu hesaplara, dipnot açıklamalarına ve iddialara
odaklanabilir. Daha sonra, denetçi, şirkette izlenen süreçlerle ilgili
riskler hakkındaki birikimini ve edindiği bilgileri doğrular ve öne
sürülen önemli iddiaların her biriyle ilgili olarak, değerlendirilen
yanlış beyan risklerini yeterli düzeyde ilgilendiren kontrolleri test
etmek üzere seçer."
BTGK kontrolleriyle ilgisi bakımından yukarıdan aşağıya yaklaşım hakkında
yürütülen kısa bir tartışma için BTRDR Metodolojisi ile ilgili bir sonraki
bölüme de bakınız.
28
5. EK: BTRDR (GAIT) Metodolojisi
Aşağıdaki metin, İç Denetim Enstitüsü internet sitesinde (http://www.theiia.org) yer alan
"GAIT Metodolojisi" başlıklı bölümden alınmıştır.
Yöneticiler İçin Özet
SEC ve PCAOB, Sarbanes-Oxley Kanunu 404. Maddesinin kapsamını ve bununla ilgili anahtar
kontrolleri tanımlamak için yukarıdan aşağıya, risk-esaslı bir yaklaşım izlenmesini
önermektedirler. Bu öneri, söz konusu yaklaşım finansal raporlamayla ilgili daha muhtemel ve
önemli risklere odaklanan etkin bir değerlendirmeye olanak sağladığı için yapılmış olup genel
kabul görmektedir.
IIA ve PCAOB gibi kurumlar, şirket seviyesindeki anahtar kontrollerin tayin edilmesine
yardımcı olmak için yol gösterici bilgiler sunmaktadır. ISACA gibi kurumlar da, BT birim ve
kuruluşları kapsamındaki kontrollerin nasıl değerlendirilmeleri gerektiği konusunda ilave
rehberler çıkartmışlardır. Gelgelelim, BT birim ve kuruluşlarıyla ilgili kontrollere (BT genel
kontrolleri veya BTGK'ler) yönelik çalışmaların kapsamının önerilen yukarıdan aşağıya, risk-
esaslı yaklaşım izlenerek nasıl belirleneceği konusu hâlâ tam olarak netlik kazanmış değildir.
BTGK süreçlerinde faaliyet gösteren anahtar BTGK kontrolleri, finansal tablolar ve önemli
hesaplar seviyesinden başlayarak BTGK kontrollerine doğru ilerleyen yukarıdan aşağıya, risk-
esaslı bir yaklaşım kullanılarak tayin edilmez ise aşağıdaki riskler açığa çıkar.
Değerlendirilen ve test edilen kontroller kritik nitelikte olmadığında, gereksiz maliyet
ve kaynak kullanımı ortaya çıkar.
Kritik nitelikteki kontroller hiç test edilmediği ya da gerekenden geç bir zamanda test
edildiği taktirde, değerlendirme veya denetim açısından bir risk oluşturur.
Bu metodoloji, ICFR sistemine bağlı anahtar kontrollerin kapsamının yukarıdan aşağıya, risk-
esaslı bir çerçevede belirlenmesinin bir parçası ve devamı olarak, BTGK içerisinden anahtar
kontroller tayin edilirken hem yönetim hem de dış denetçilerce kullanılabilecek bir kapsam
tayin mekanizması sağlar. PCAOB AS 5'te, SEC açıklayıcı kılavuzunda (Haziran 2007
tarihinde yayımlanmıştır) ve "Sarbanes-Oxley Kanunu 404. Maddesi: İç Kontrol Uygulayıcıları
Tarafından Yönetim İçin Hazırlanan Bir Rehber" başlıklı IIA kılavuzunda tarif edilen
metodolojiyle tutarlıdır.
Bu metodoloji, bir kurumun gereksinimlerine göre uyarlanabilecek yapısal bir usavurma
sürecini temsil eder. Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek işletme süreci risklerinin
ve ilgili anahtar kontrollerin tayin edilmesi, metodolojinin başlangıç noktasını oluşturur.
Finansal tablolarla ilgili bu riskler, bir kontrol veya güvenlik başarısızlığının işletme süreçleri
bakımından büyük önem taşıyan başka bir kontrol başarısızlığına yol açarak finansal tablolarda
önemli yanlış beyanların oluşma olasılığını büyük ölçüde arttırabileceği BTGK süreçleriyle
ilgili riskleri tayin etmek suretiyle bir sonraki seviyeye taşınırlar.
Metodolojide, belirli anahtar kontroller tayin edilmez. Bunun yerine, tayini gereken anahtar
kontrolleri ilgilendiren BTGK süreçleri ve ilgili BT kontrol hedefleri tayin edilir. BTRDR
kullanıcıları, belirli anahtar BTGK kontrollerini saptayıp daha sonra değerlendirmek için
COBIT gibi başka araçlardan da faydalanacaklardır.
29
BTGK süreçlerinin taşıdığı risklerin tayini, önemli hesaplar ve ilgili işletme süreçleriyle
başlayan ve yukarıdan aşağıya yaklaşımın devamıyla ilgili bir eylem olduğu için, iş ve BT
uzmanlarından oluşan karma bir ekip tarafından gerçekleştirilmelidir. İş uzmanları tek başlarına
BT ile ilgili teknik unsurları anlayamazlar ve aynı şekilde, BT uzmanları da tek başlarına BT
işlevlerine duyulan güvenin boyutlarını yeterli düzeyde kavrayamayabilirler.
BTRDR ve Yukarıdan Aşağıya Yaklaşım
Aşağıdaki şekil, Sarbanes-Oxley Kanunu 404. Maddesine tâbi anahtar BTGK kontrollerini
metodolojiyi kullanarak tanımlamak için kullanılan bir yukarıdan aşağıya, risk esaslı süreçte
atılması gereken adımlar gösterilmektedir. AS 5'te tartışılan adımlar ile BTRDR Metodolojisi
kapsamında tarif edilen müteakip adımlar arasındaki ilişki ortaya konmaktadır.
Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte
Springs, Florida 32701-4201, USA. All Rights reserved.
Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte Springs,
Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi
onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası, IIA
Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya herhangi bir
formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir yöntemle
çoğaltılamaz.
30