DENETİMİ FAALİYETİNDEKİ YERİ VE KATKILARI
AMERİKA BİRLEŞİK DEVLETLERİ
2000’li yılların başında finansal tabloların yanlış beyan edilmesinden kaynaklanan skandallar Sarbanes-Oxley Yasası’nın (Sar-banes-Oxley Act) yayımlanmasına neden olmuştur. Bu yasa, işletmelerin finansal raporlamasına ve yönetimsel kontrollerine ilişkin düzenlemeleri içermektedir.
Halka Açık Şirketlerin Muhasebe Gözetimi Ku-rulu (Public Company Accounting Oversight Board - PCAOB)
SOX yasasının ilgili hükümleri doğrultusun-da kurulan PCAOB, kar amacı gütmeyen idari özerkliğe sahip kuruluş niteliğinde-dir. Kurul tarafından sürdürülen çalışmalar Menkul Kıymetler ve Borsa Komisyonu’nun (Security Exchange Commision - SEC) göze-timine tabidir.
PCAOB, halka açık şirketlerin ve menkul kıymetler ihraç eden işletmelerin doğru ve güvenilir bağımsız denetim raporları
oluş-turmasında gözetim sorumluluğunu üstlen-mektedir. PCAOB’nin temel görevleri; ba-ğımsız denetim faaliyetini gerçekleştirecek kuruluşların kayıt altına alınması, denetim, kalite kontrol ve denetçinin bağımsızlığına yönelik standartların yayımlanması, kayıtlı denetim kuruluşlarının incelenmesi, kuru-luşların ve denetçilerin soruşturma ve disip-lin süreçlerinin gerçekleştirilmesidir.
Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
PCAOB tarafından yayımlanan standart se-tinde iç kontrol sisteminin tasarım ve işleyiş etkinliğinin belirlenmesine yönelik kontrol-ler yer almaktadır. Bilgi sistemkontrol-leri sürecine ilişkin kontrollerin yer aldığı standart grup başlıkları ve ilgili maddeleri aşağıda belirtil-mektedir:
• AS 2100: Denetim Planlaması ve Risk De-ğerlendirmesi (Audit Planning and Risk As-sessment)
Riskli hesap kalemlerinin bilgi sis-temleri uygulamaları ile eşleştirilme-si gerekmektedir.
Bilgi sistemlerine ilişkin riskler ve kontroller bütünleşik denetim yakla-şımında ele alınması gerekmektedir.
Temel iş sürelerinde yer alan bilgi sistemleri kaynaklarının ve kontrol-lerinin tespit edilmesi gerekmektedir.
• AS 2200: Finansal Raporlamada Yer Alan İç Kontrol Sisteminin Denetimi (Auditing Internal Control Over Financial Reporting)
Denetim faaliyetini gözden geçirme çalışmasında bilgi sistemleri kaynak-larının iş akışlarından finansal tablo-lardaki karşılıklarına kadar takip edil-mesi gerekmektedir.
Finansal raporlamadaki iç rin denetimindeki amaç iç kontrolle-rin etkinliği hakkında görüş verilme-sidir.
Finansal raporlama üzerindeki iç
kontrollerin denetimi finansal tablo-ların bağımsız denetimiyle bütünleşik bir şekilde yürütülmelidir. Söz konusu denetimlerin amaçları aynı değildir ancak denetçi çalışmasını her iki de-netimin amaçlarına ulaşacak şekilde planlamalı ve yürütmelidir.
• AS 2300: Yapısal Risklere, Zamana ve Kap-sama Yönelik Denetim Prosedürleri (Audit Procedures in Response to Risks-Nature, Timing and Extent)
Yönetim ile yaşanan problemlerde de-netçinin bilgi sistemleri kaynaklarına erişim sağlayamayabileceği belirtil-mektedir.
Bilgi sistemleri denetimi sürecini yürüten kişilerin yetkinliği
Denetim kapsamındaki işletmelerin bilgi sistemleri denetimini gerçekleştirecek de-netçinin CISA sertifikası fiili olarak aran-maktadır fakat buna ilişkin yasal gereklilik bulunmamaktadır.
Bilgi sistemleri denetimi sürecinin incelenmesi
Bilgi sistemleri denetimi sürecini yürüten kişilerin veya kuruluşların çalışmaları, SOX yasasıyla ilişkin incelemelere tabi tutulmak-tadır. Bu kapsamda kayıt altına alınmış de-netçilerin ve kuruluşlarının denetim süreci, denetim raporu ve denetlenen şirkete ilişkin bilgiler daimi inceleme programı kapsamın-da yer almaktadır.
PCAOB’nin bütünleşik denetim sürecini yü-rüten kişilerden önemle istedikleri aşağıda belirtilmektedir:
• Finansal raporlamada kritik süreçlerin anlaşılması ve çalışma kâğıtlarında bunu kanıtlar nitelikte bulguların yer alması,
• İş akışlarında denetçi görüşünün açık bir şekilde belirtilmesi,
• Çalışma kâğıtlarında yer alan bilginin güncel olması,
• İş akışlarında finansal tablolara etki ede-cek kritik noktaların atlanmaması,
• Önemli maddi hataya sebep olacak un-surların tespit edilmesi.
KANADA
Kanada’da bağımsız denetim faaliyetinin temelleri Kanada Şirketler Yasası (Canada Corporations Act) ile atılmıştır. Bağımsız denetime ilişkin standartların yayımlanma-sı ve bağımyayımlanma-sız denetim sektörünün düzen-lenmesi iki ayrı kurumun sorumluluğunda bulunmaktadır. Bağımsız denetim alanında standartları yayımlama yetkisi Kanada De-netim ve Güvence Standartları Kurulu’nda (Canadian Auditing and Assurance Standar-ds Board), bağımsız denetim faaliyetlerini düzenleyici ve denetleyici yetki ise Kanada Kamusal Hesap Verme Kurulu’ndadır. (Ca-nadian Public Accountability Board).
Kanada Denetim ve Güvence Standartları Ku-rulu (Canadian Auditing and Assurance Stan-dards Board - CAASB)
Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
CAASB, IASSB tarafından yayımlanan ISA standart setini ülke mevzuatına kazandırmış olup bilgi sistemleri denetimi sürecinde bu standart setinde yer alan kontrollerin uygu-lanmasını istemektedir.
Kanada Kamu Gözetimi Kurulu (Canadian Public Accountability Board - CPAB)
CPAB, finansal tablo hazırlayan işletmele-rin denetim faaliyetleri üzeişletmele-rinde kamunun gözetim yetkisinin oluşturulması amacıyla 2003 yılında Kanada Şirketler Yasası (Canada Corporations Act) ile kurulmuştur. CPAB’nin temel görevi; bağımsız denetim alanında et-kili düzenlemelerin yapılarak halka açık şir-ketlerin finansal tablolarının doğruluğuna ve bütünlüğüne ilişkin kamu güvenini sağ-lamaktır.
Bilgi sistemleri denetimi sürecinin incelenmesi
CPAB’nin inceleme yöntemini risk tabanlı yaklaşım oluşturmaktadır. Gerçekleştirilen denetimlerin kalitesi denetim dosyalarının yüksek riskli bölümlerinin incelenmesi ile belirlenmektedir. İnceleme faaliyetlerinin tamamlanmasının ardından, denetimin kali-tesini arttırmak amacıyla denetim kuruluş-ları ile ortak çalışmalar gerçekleştirilmek-tedir.
CPAB, denetim kuruluşlarının bilgi sistem-leri denetimi faaliyetsistem-lerine ilişkin inceleme-lerini gerçekleştirirken ilgili ISA standartları ve COBIT kapsamında hazırlanmış rehber-den faydalanmaktadır. Bilgi sistemleri de-netimi sürecinin incelenmesinde iç kontrol sisteminin değerlendirilme prosedürleri ve kontrol testleri denetim kuruluşlarından sorgulanmaktadır.
CPAB son yıllarda gerçekleştirdiği inceleme faaliyetleri sonucunda işletmenin iç kont-rol sisteminin değerlendirilmesine yönelik prosedürlerin yeniden gözden geçirilmesini denetim kuruluşlarından istemektedir. De-netim ekibinde yer alan üyelerin bilgi sis-temleri kontrollerine ilişkin gerekli eğitim ve rehberlik hizmetlerini alması gerektiği de belirtilmektedir.
ALMANYA
Almanya idari yapısında, denetim standart-larını yayımlama ve bağımsız denetim faa-liyetini düzenleme yetkisi ayrı kuruluşların sorumluluğunda bulunmaktadır. Denetim standartları Almanya Denetçiler Enstitü-sü (Institute of Public Auditors in Germany) tarafından yayımlanmakta iken bu alandaki gözetim yetkisi Denetçi Gözetim Kurumu’na (Auditor Oversight Commission) aittir.
Almanya Denetçiler Enstitüsü (Institute of Public Auditors in Germany - IDW)
IDW, bağımsız denetçiler ve bağımsız dene-tim kuruluşlarının mesleki çıkarlarını koru-mak amacıyla kurulmuş özel statüye sahip enstitü niteliğindedir. Finansal tablo
deneti-minde kullanılan standartlar ve uygulanacak prosedürler IDW tarafından yayımlanmakta-dır. Bu standartların oluşturulma sürecinde teknik komiteler görev almaktadır.
Almanya’nın Avrupa Komisyonu Denetim Di-rektifine tabi olmasından dolayı, ISA standart setini uygulama zorunluluğu bulunmaktadır.
ISA setinin eksik kaldığı bilgi sistemleri de-netimine ilişkin alanlarda, yasal mevzuata ve doğru muhasebe ilkelerine bağlı kalarak kendi ulusal ilave denetim standartlarını oluşturmuştur. Bu kapsamda, finansal tab-loların doğruluğunu ve bütünlüğünü sağ-layacak bilgi sistemleri denetimi sürecinde uygulanmak üzere üç adet denetim standar-dı yayımlanmıştır.
Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
• IDW PS 261: ISA 315, ISA 330 ve ISA 265 ISA standart seti kapsamında yer alan ISA 315: İşletme ve Çevresini Tanımak Suretiyle
“Önemli Yanlışlık” Risklerinin Belirlenme-si ve DeğerlendirilmeBelirlenme-si, ISA 330: Bağımsız Denetçinin Değerlendirilmiş Risklere Karşı Yapacağı İşler, ISA 265: İç Kontrol Eksiklik-lerinin Üst Yönetimden Sorumlu Olanlara ve Yönetime Bildirilmesi standartları bu stan-dart içeriğinde birleştirilmiştir.
• IDW PS 330: Bilgi Sistemleri Ortamında Finansal Tabloların Denetimi
IDW PS 330 standardı bir bütün olarak in-celendiğinde, bilgi sistemleri kontrollerinin değerlendirilmesine ilişkin prosedürleri içermektedir.
Bu standart içeriğinde yer alan temel baş-lıklar aşağıda belirtilmektedir:
• Bilgi Sistemleri Kontrol Testlerinin Amaçları ve Kapsamı
Bilgi Sistemleri Kullanımından Ortaya Çıkan Riskler
Bilgi Sistemleri Kontrollerine Test Yaklaşımı
Bilgi Sistemleri Kontrollerinin Testin-de Risk Temelli Denetim Yaklaşımının Özellikleri
• Bilgi Sistemleri Kontrol Testlerinin Yürü-tülmesi
Denetim İşinin ve Planının Kabulü Bilgi Toplanması
Bilgi Sistemleri Ortamının ve Organi-zasyonunun Test Edilmesi
Bilgi Sistemleri Altyapısın Test Edil-mesi
¾ Fiziksel Güvenlik
¾ Mantıksal Erişim Kontrolleri
¾ Veri Yedekleme ve Harici Depola-ma Prosedürleri
¾ Olağan Durum ve Acil Durum Kri-terleri
¾ İşlevselliğin Korunması
Bilgi Sistemleri Uygulamalarının Test Edilmesi
¾ Program İşlevleri
¾ Seçme, Geliştirme ve Değişiklik Süreçleri
¾ Uygulama
Bilgi Sistemleri Destekli İş Süreçleri-nin Test Edilmesi
Bilgi Sistemlerini İzleme Sisteminin Test Edilmesi
Destek Hizmeti Olarak Sunulan Bilgi Sistemleri Hizmetlerinin Test Edilme-si
• Bilgisayar Destekli Denetim Teknikleri Denetim Tekniklerinin Kullanım
Alan-ları
¾ Bilgi Sistemleri Kontrol Testlerin-de Bilgi Sistemleri Denetim Tek-niklerinin Kullanımı
¾ Maddi Denetim Prosedürlerinde Bilgisayar Destekli Denetim Tek-niklerinin Kullanımı
Bilgisayar Destekli Denetim Faaliyeti Denetim Amaçları Doğrultusunda
İşletmenin Bilgi Sistemleri Yapısının Kullanımı
Bilgisayar Destekli Denetim Teknikle-rinin Kullanılmasında Özel Hususlar
• Belgelendirme ve Raporlama
Söz konusu standart kapsamında, bilgi sis-temlerine ilişkin kontrol testlerinin finansal tablo denetiminin bir aşaması olarak değer-lendirilmektedir. Maddi denetim prosedür-leri belirlenirken, bilgi sistemprosedür-leri kontrolprosedür-leri ve iç kontrol sistemi test sonuçlarının bir bü-tün olarak değerlendirilmesi gerektiği ifade edilmektedir.
• IDW PS 331: ISA402
Bu standart, ISA 402: Hizmet Kuruluşu Kul-lanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar standardının içe-riğinden oluşmaktadır.
Denetçi Gözetimi Kurumu (Auditor Oversight Commision - AOC)
Bağımsız denetim alanında yapılan yasal düzenlemeler Almanya Muhasebeciler Ya-sası’ndaki (German Public Accountants Act) değişikliklere ve Denetçi Gözetim Ku-rumu’nun (Auditor Oversight Commision) kurulmasına neden olmuştur. AOC’nin te-mel görevleri; bağımsız denetim alanında düzenlemeleri gerçekleştirmek, Almanya Muhasebeciler Odası (German Chamber of Public Accountants) ve denetçiler üzerinde bağımsız kamu otoritesi etkisini oluştur-maktır.
Bilgi sistemleri denetimi sürecinin incelenmesi
Finansal raporlamaya ilişkin hile veya usul-süzlük ihbarı aranmaksızın, önceden be-lirlenmiş dönemlerde AOC tarafından in-celeme faaliyetleri gerçekleştirilmektedir.
İnceleme faaliyeti kapsamında; denetim firmasının mesleki rol ve sorumluluklarına uyumu, denetim sürecinde risk ve kontrol yaklaşımları ve iç kontrol sisteminde tespit edilen riskli alanlara karşı yürütülen faali-yetler yer almaktadır.