AMERİKA BİRLEŞİK DEVLETLERİ

2000’li yılların başında finansal tabloların yanlış beyan edilmesinden kaynaklanan skandallar Sarbanes-Oxley Yasası’nın (Sar-banes-Oxley Act) yayımlanmasına neden olmuştur. Bu yasa, işletmelerin finansal raporlamasına ve yönetimsel kontrollerine ilişkin düzenlemeleri içermektedir.

Halka Açık Şirketlerin Muhasebe Gözetimi Ku-rulu (Public Company Accounting Oversight Board - PCAOB)

SOX yasasının ilgili hükümleri doğrultusun-da kurulan PCAOB, kar amacı gütmeyen idari özerkliğe sahip kuruluş niteliğinde-dir. Kurul tarafından sürdürülen çalışmalar Menkul Kıymetler ve Borsa Komisyonu’nun (Security Exchange Commision - SEC) göze-timine tabidir.

PCAOB, halka açık şirketlerin ve menkul kıymetler ihraç eden işletmelerin doğru ve güvenilir bağımsız denetim raporları

oluş-turmasında gözetim sorumluluğunu üstlen-mektedir. PCAOB’nin temel görevleri; ba-ğımsız denetim faaliyetini gerçekleştirecek kuruluşların kayıt altına alınması, denetim, kalite kontrol ve denetçinin bağımsızlığına yönelik standartların yayımlanması, kayıtlı denetim kuruluşlarının incelenmesi, kuru-luşların ve denetçilerin soruşturma ve disip-lin süreçlerinin gerçekleştirilmesidir.

Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar

PCAOB tarafından yayımlanan standart se-tinde iç kontrol sisteminin tasarım ve işleyiş etkinliğinin belirlenmesine yönelik kontrol-ler yer almaktadır. Bilgi sistemkontrol-leri sürecine ilişkin kontrollerin yer aldığı standart grup başlıkları ve ilgili maddeleri aşağıda belirtil-mektedir:

• AS 2100: Denetim Planlaması ve Risk De-ğerlendirmesi (Audit Planning and Risk As-sessment)

‚ Riskli hesap kalemlerinin bilgi sis-temleri uygulamaları ile eşleştirilme-si gerekmektedir.

‚ Bilgi sistemlerine ilişkin riskler ve kontroller bütünleşik denetim yakla-şımında ele alınması gerekmektedir.

‚ Temel iş sürelerinde yer alan bilgi sistemleri kaynaklarının ve kontrol-lerinin tespit edilmesi gerekmektedir.

• AS 2200: Finansal Raporlamada Yer Alan İç Kontrol Sisteminin Denetimi (Auditing Internal Control Over Financial Reporting)

‚ Denetim faaliyetini gözden geçirme çalışmasında bilgi sistemleri kaynak-larının iş akışlarından finansal tablo-lardaki karşılıklarına kadar takip edil-mesi gerekmektedir.

‚ Finansal raporlamadaki iç rin denetimindeki amaç iç kontrolle-rin etkinliği hakkında görüş verilme-sidir.

‚ Finansal raporlama üzerindeki iç

kontrollerin denetimi finansal tablo-ların bağımsız denetimiyle bütünleşik bir şekilde yürütülmelidir. Söz konusu denetimlerin amaçları aynı değildir ancak denetçi çalışmasını her iki de-netimin amaçlarına ulaşacak şekilde planlamalı ve yürütmelidir.

• AS 2300: Yapısal Risklere, Zamana ve Kap-sama Yönelik Denetim Prosedürleri (Audit Procedures in Response to Risks-Nature, Timing and Extent)

‚ Yönetim ile yaşanan problemlerde de-netçinin bilgi sistemleri kaynaklarına erişim sağlayamayabileceği belirtil-mektedir.

Bilgi sistemleri denetimi sürecini yürüten kişilerin yetkinliği

Denetim kapsamındaki işletmelerin bilgi sistemleri denetimini gerçekleştirecek de-netçinin CISA sertifikası fiili olarak aran-maktadır fakat buna ilişkin yasal gereklilik bulunmamaktadır.

Bilgi sistemleri denetimi sürecinin incelenmesi

Bilgi sistemleri denetimi sürecini yürüten kişilerin veya kuruluşların çalışmaları, SOX yasasıyla ilişkin incelemelere tabi tutulmak-tadır. Bu kapsamda kayıt altına alınmış de-netçilerin ve kuruluşlarının denetim süreci, denetim raporu ve denetlenen şirkete ilişkin bilgiler daimi inceleme programı kapsamın-da yer almaktadır.

PCAOB’nin bütünleşik denetim sürecini yü-rüten kişilerden önemle istedikleri aşağıda belirtilmektedir:

• Finansal raporlamada kritik süreçlerin anlaşılması ve çalışma kâğıtlarında bunu kanıtlar nitelikte bulguların yer alması,

• İş akışlarında denetçi görüşünün açık bir şekilde belirtilmesi,

• Çalışma kâğıtlarında yer alan bilginin güncel olması,

• İş akışlarında finansal tablolara etki ede-cek kritik noktaların atlanmaması,

• Önemli maddi hataya sebep olacak un-surların tespit edilmesi.

KANADA

Kanada’da bağımsız denetim faaliyetinin temelleri Kanada Şirketler Yasası (Canada Corporations Act) ile atılmıştır. Bağımsız denetime ilişkin standartların yayımlanma-sı ve bağımyayımlanma-sız denetim sektörünün düzen-lenmesi iki ayrı kurumun sorumluluğunda bulunmaktadır. Bağımsız denetim alanında standartları yayımlama yetkisi Kanada De-netim ve Güvence Standartları Kurulu’nda (Canadian Auditing and Assurance Standar-ds Board), bağımsız denetim faaliyetlerini düzenleyici ve denetleyici yetki ise Kanada Kamusal Hesap Verme Kurulu’ndadır. (Ca-nadian Public Accountability Board).

Kanada Denetim ve Güvence Standartları Ku-rulu (Canadian Auditing and Assurance Stan-dards Board - CAASB)

Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar

CAASB, IASSB tarafından yayımlanan ISA standart setini ülke mevzuatına kazandırmış olup bilgi sistemleri denetimi sürecinde bu standart setinde yer alan kontrollerin uygu-lanmasını istemektedir.

Kanada Kamu Gözetimi Kurulu (Canadian Public Accountability Board - CPAB)

CPAB, finansal tablo hazırlayan işletmele-rin denetim faaliyetleri üzeişletmele-rinde kamunun gözetim yetkisinin oluşturulması amacıyla 2003 yılında Kanada Şirketler Yasası (Canada Corporations Act) ile kurulmuştur. CPAB’nin temel görevi; bağımsız denetim alanında et-kili düzenlemelerin yapılarak halka açık şir-ketlerin finansal tablolarının doğruluğuna ve bütünlüğüne ilişkin kamu güvenini sağ-lamaktır.

Bilgi sistemleri denetimi sürecinin incelenmesi

CPAB’nin inceleme yöntemini risk tabanlı yaklaşım oluşturmaktadır. Gerçekleştirilen denetimlerin kalitesi denetim dosyalarının yüksek riskli bölümlerinin incelenmesi ile belirlenmektedir. İnceleme faaliyetlerinin tamamlanmasının ardından, denetimin kali-tesini arttırmak amacıyla denetim kuruluş-ları ile ortak çalışmalar gerçekleştirilmek-tedir.

CPAB, denetim kuruluşlarının bilgi sistem-leri denetimi faaliyetsistem-lerine ilişkin inceleme-lerini gerçekleştirirken ilgili ISA standartları ve COBIT kapsamında hazırlanmış rehber-den faydalanmaktadır. Bilgi sistemleri de-netimi sürecinin incelenmesinde iç kontrol sisteminin değerlendirilme prosedürleri ve kontrol testleri denetim kuruluşlarından sorgulanmaktadır.

CPAB son yıllarda gerçekleştirdiği inceleme faaliyetleri sonucunda işletmenin iç kont-rol sisteminin değerlendirilmesine yönelik prosedürlerin yeniden gözden geçirilmesini denetim kuruluşlarından istemektedir. De-netim ekibinde yer alan üyelerin bilgi sis-temleri kontrollerine ilişkin gerekli eğitim ve rehberlik hizmetlerini alması gerektiği de belirtilmektedir.

ALMANYA

Almanya idari yapısında, denetim standart-larını yayımlama ve bağımsız denetim faa-liyetini düzenleme yetkisi ayrı kuruluşların sorumluluğunda bulunmaktadır. Denetim standartları Almanya Denetçiler Enstitü-sü (Institute of Public Auditors in Germany) tarafından yayımlanmakta iken bu alandaki gözetim yetkisi Denetçi Gözetim Kurumu’na (Auditor Oversight Commission) aittir.

Almanya Denetçiler Enstitüsü (Institute of Public Auditors in Germany - IDW)

IDW, bağımsız denetçiler ve bağımsız dene-tim kuruluşlarının mesleki çıkarlarını koru-mak amacıyla kurulmuş özel statüye sahip enstitü niteliğindedir. Finansal tablo

deneti-minde kullanılan standartlar ve uygulanacak prosedürler IDW tarafından yayımlanmakta-dır. Bu standartların oluşturulma sürecinde teknik komiteler görev almaktadır.

Almanya’nın Avrupa Komisyonu Denetim Di-rektifine tabi olmasından dolayı, ISA standart setini uygulama zorunluluğu bulunmaktadır.

ISA setinin eksik kaldığı bilgi sistemleri de-netimine ilişkin alanlarda, yasal mevzuata ve doğru muhasebe ilkelerine bağlı kalarak kendi ulusal ilave denetim standartlarını oluşturmuştur. Bu kapsamda, finansal tab-loların doğruluğunu ve bütünlüğünü sağ-layacak bilgi sistemleri denetimi sürecinde uygulanmak üzere üç adet denetim standar-dı yayımlanmıştır.

Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar

• IDW PS 261: ISA 315, ISA 330 ve ISA 265 ISA standart seti kapsamında yer alan ISA 315: İşletme ve Çevresini Tanımak Suretiyle

“Önemli Yanlışlık” Risklerinin Belirlenme-si ve DeğerlendirilmeBelirlenme-si, ISA 330: Bağımsız Denetçinin Değerlendirilmiş Risklere Karşı Yapacağı İşler, ISA 265: İç Kontrol Eksiklik-lerinin Üst Yönetimden Sorumlu Olanlara ve Yönetime Bildirilmesi standartları bu stan-dart içeriğinde birleştirilmiştir.

• IDW PS 330: Bilgi Sistemleri Ortamında Finansal Tabloların Denetimi

IDW PS 330 standardı bir bütün olarak in-celendiğinde, bilgi sistemleri kontrollerinin değerlendirilmesine ilişkin prosedürleri içermektedir.

Bu standart içeriğinde yer alan temel baş-lıklar aşağıda belirtilmektedir:

• Bilgi Sistemleri Kontrol Testlerinin Amaçları ve Kapsamı

‚ Bilgi Sistemleri Kullanımından Ortaya Çıkan Riskler

‚ Bilgi Sistemleri Kontrollerine Test Yaklaşımı

‚ Bilgi Sistemleri Kontrollerinin Testin-de Risk Temelli Denetim Yaklaşımının Özellikleri

• Bilgi Sistemleri Kontrol Testlerinin Yürü-tülmesi

‚ Denetim İşinin ve Planının Kabulü ‚ Bilgi Toplanması

‚ Bilgi Sistemleri Ortamının ve Organi-zasyonunun Test Edilmesi

‚ Bilgi Sistemleri Altyapısın Test Edil-mesi

¾ Fiziksel Güvenlik

¾ Mantıksal Erişim Kontrolleri

¾ Veri Yedekleme ve Harici Depola-ma Prosedürleri

¾ Olağan Durum ve Acil Durum Kri-terleri

¾ İşlevselliğin Korunması

‚ Bilgi Sistemleri Uygulamalarının Test Edilmesi

¾ Program İşlevleri

¾ Seçme, Geliştirme ve Değişiklik Süreçleri

¾ Uygulama

‚ Bilgi Sistemleri Destekli İş Süreçleri-nin Test Edilmesi

‚ Bilgi Sistemlerini İzleme Sisteminin Test Edilmesi

‚ Destek Hizmeti Olarak Sunulan Bilgi Sistemleri Hizmetlerinin Test Edilme-si

• Bilgisayar Destekli Denetim Teknikleri ‚ Denetim Tekniklerinin Kullanım

Alan-ları

¾ Bilgi Sistemleri Kontrol Testlerin-de Bilgi Sistemleri Denetim Tek-niklerinin Kullanımı

¾ Maddi Denetim Prosedürlerinde Bilgisayar Destekli Denetim Tek-niklerinin Kullanımı

‚ Bilgisayar Destekli Denetim Faaliyeti ‚ Denetim Amaçları Doğrultusunda

İşletmenin Bilgi Sistemleri Yapısının Kullanımı

‚ Bilgisayar Destekli Denetim Teknikle-rinin Kullanılmasında Özel Hususlar

• Belgelendirme ve Raporlama

Söz konusu standart kapsamında, bilgi sis-temlerine ilişkin kontrol testlerinin finansal tablo denetiminin bir aşaması olarak değer-lendirilmektedir. Maddi denetim prosedür-leri belirlenirken, bilgi sistemprosedür-leri kontrolprosedür-leri ve iç kontrol sistemi test sonuçlarının bir bü-tün olarak değerlendirilmesi gerektiği ifade edilmektedir.

• IDW PS 331: ISA402

Bu standart, ISA 402: Hizmet Kuruluşu Kul-lanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar standardının içe-riğinden oluşmaktadır.

Denetçi Gözetimi Kurumu (Auditor Oversight Commision - AOC)

Bağımsız denetim alanında yapılan yasal düzenlemeler Almanya Muhasebeciler Ya-sası’ndaki (German Public Accountants Act) değişikliklere ve Denetçi Gözetim Ku-rumu’nun (Auditor Oversight Commision) kurulmasına neden olmuştur. AOC’nin te-mel görevleri; bağımsız denetim alanında düzenlemeleri gerçekleştirmek, Almanya Muhasebeciler Odası (German Chamber of Public Accountants) ve denetçiler üzerinde bağımsız kamu otoritesi etkisini oluştur-maktır.

Bilgi sistemleri denetimi sürecinin incelenmesi

Finansal raporlamaya ilişkin hile veya usul-süzlük ihbarı aranmaksızın, önceden be-lirlenmiş dönemlerde AOC tarafından in-celeme faaliyetleri gerçekleştirilmektedir.

İnceleme faaliyeti kapsamında; denetim firmasının mesleki rol ve sorumluluklarına uyumu, denetim sürecinde risk ve kontrol yaklaşımları ve iç kontrol sisteminde tespit edilen riskli alanlara karşı yürütülen faali-yetler yer almaktadır.