Bağımsız Dış Denetim Alanındaki Düzenlemeler

Sermaye Piyasası Kurulu 2006 yılında yürürlüğe koyduğu “Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ⁹” ile ülkemizde yıllardan bu yana uygulanan bağımsız denetim konusunda köklü değişiklikler yapmıştır. Bunun temel amacı, UFRS uygulamaları bakımından uyumun sağlanmış olması ve denetim standartlarında ise böyle bir uyum çalışmasının yapılmamış olmasıdır. Tebliğin hazırlanmasında “uluslararası denetim standartları (UDS)” temel alınmıştır. Tebliğin EK.1 kısmında da tebliğin bölümleri ile UDS arasında eşleştirme yapılmıştır. Bu tebliğ kapsamında;

riskler, denetimi ve raporlanması konularında yapılan açıklamalar kısa bir şekilde tebliğden özetlenecektir:

Öncelikle tebliğin 1. kısmı 3/1. maddesine göre: bağımsız denetiminin amacı; finansal tabloların finansal raporlama standartları doğrultusunda bir işletmenin finansal durumunu ve faaliyet sonuçlarını her yönüyle gerçeğe uygun bir biçimde gösterip göstermediği konusunda bağımsız denetçinin görüş bildirmesini sağlamaktır şeklinde ifade edilmiştir. Bu maddenin 2.

bendinde ise; “bağımsız denetçinin görüşü, finansal tabloların güvenilirlik derecesini yükseltmekle beraber, bu görüş finansal tabloları bağımsız denetime tabi tutulan işletmenin gelecekteki durumu hakkında ve işletme yönetiminin işletmenin faaliyetlerini etkin ve verimli bir biçimde yönettiğine dair bilgi sağladığı şeklinde değerlendirilmez” ifadesine yer verilmiştir. Bu ifadelerden ve tebliğin devamındaki konulardan anlaşılan; bağımsız denetim işletmenin geleceğine yönelik bilgileri (riskleri ve beklentileri) denetleyecek, ancak bunların her yönüyle doğru olduğunu garanti etmek zorunda olmayacaktır. Yine 1. kısmın 6. maddesinde; bu Tebliğ hükümlerine uygun olarak yapılacak bir bağımsız denetimin, finansal tabloların önemli bir

9 SPK Seri:X, No:22, “Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ” 26196 sayılı Resmi Gazete de yayınlanarak yürürlüğe girmiştir. Tebliğin tam metni için bkz.:

http://www.spk.gov.tr/mevzuat/SeriX_No22.pdf, 11.11.2007.

135

yanlışlık içermediği konusunda makul bir güvenceyi sağlayacak şekilde tasarlanacağı belirtilmiştir. Makul güvence, finansal tabloların her yönüyle önemli bir yanlışlık içermediğine dair bir sonuca varmak için yeterli ve uygun bağımsız denetim kanıtının toplanmasıdır.

Tebliğin 2. kısmında denetçi bağımsız olmasının gerektiği ve bağımsızlığı ortadan kaldıran durumlar da açıklanmıştır. Bu kısımdaki 13/4.

maddeye göre; bağımsız denetim işletmeleri ve bağımsız denetçilerinin, bir işletmenin bağımsız denetimini yaptıkları dönemde o işletmenin bedelli veya bedelsiz;

- Muhasebe defterlerini tutmasını,

- Finansal bilgi sistemi kurulması ve geliştirilmesi ile işletmecilik, muhasebe, finans konularındaki uygulamalarla ilgili danışmanlık hizmeti verilmesi, belge düzenlenmesi ve rapor hazırlanmasını,

- İç denetim fonksiyonunu icra etmesi veya desteklemesini, - Yönetim ve insan kaynakları fonksiyonlarının icra edilmesini, - Hukuk danışmanlığı veya bilirkişilik yapmasını,

- Değerleme, aktüarya veya ekspertiz raporları hazırlamasını veya SPKr tarafından müsaade edilmeyen işleri yapmasını yasaklamıştır. Diğer ifade ile belirtilen hususlar, bağımsızlığı ortadan kaldıran işlemler olarak saymıştır. Kısaca, bağımsız denetim işi yapanlar, denetimini yaptıkları işletmelere danışmanlık hizmeti veremezler.

Tebliğin 2. kısım 25. maddesine göre; işletmenin muhasebe sistemi, finansal bilgilerinin kamuya açıklanması, iç kontrol sisteminin işleyişinin gözetimi, bağımsız dış denetçilerin belirlenmesi, denetim yaptırılması vb.

görevler için denetim komitesi kurulması zorunlu hale getirilmiştir. İlgili maddeye göre; hisse senetleri borsada işlem gören ortaklıklar (bankalar hariç); yönetim kurulu tarafından kendi üyeleri arasından seçilen en az iki üyeden oluşan denetimden sorumlu komite kurmak zorundadırlar. Diğer işletmeler de isteğe bağlı olarak denetim komitesi kurabilirler. Denetimden

136

sorumlu komite, faaliyetleriyle ilgili olarak ihtiyaç gördüğü konularda bağımsız uzman görüşlerinden yararlanabilir.

Tebliğin 6. kısmı “Finansal Tabloların Bağımsız Denetiminde Hile ve Usulsüzlükler Konusunda Bağımsız Denetçinin Sorumluluğu” başlığında yayınlanmış ve tebliğde denetçinin, hile ve usulsüzlüklerin önlenmesini sağlayabilmesi için, hile ve usulsüzlüklere neden olabilecek, gerekli bütün inceleme ve risk kaynaklarının denetimini yapması öngörülmüştür.

6. kısmın 5. maddesine göre; hilenin önlenmesinde ve ortaya çıkarılmasında esas sorumluluk işletme yönetimine aittir. İşletmenin dürüstlük ve etik davranış kültürü çerçevesinde; yönetimden sorumlu kişilerin gözetiminde, işletme yönetiminin hile ve usulsüzlükleri önlemek üzere gerekli tedbirleri alması ve uygulanacak yaptırımları belirlemesi gerekir. Bunu yapabilmesi için de yönetimin bütün sıkıntıları önleyecek etkin bir iç kontrol sistemi kurması gerekli kılınmıştır. Şöyle ki; işletmenin faaliyetlerinin düzenli ve etkin bir şekilde yürütülmesini sağlayacak bir kontrol ortamı oluşturmak ve bunun için gerekli politika ve prosedürleri geliştirmek, yönetimden sorumlu kişilerin gözetiminde olmak üzere, işletme yönetiminin sorumluluğundadır. Bu sorumluluk, finansal tablolarda önemli yanlışlıklara sebep olabilecek risklerin yönetilmesi suretiyle, finansal tabloların tüm önemli yönleriyle gerçeği yansıtacak şekilde hazırlanmasını sağlayacak kontrollerin uygulanması ve sürdürülmesine dayalı bir finansal raporlama sürecinin oluşturulmasını da kapsar.

Tebliğin 6. kısmının 10. maddesinde, bağımsız denetçinin, iç kontrol sistemi de dahil olmak üzere işletme, faaliyet koşulları ve çevresiyle olan ilişkileri hakkında fikir sahibi olabilmek amacıyla risk değerlendirme teknikleri uygulaması gerektiği ifade edilmiştir. Buradan çıkan sonuç, artık denetçi sadece finansal tablolardaki rakamlarla değil, işletme çevresi ve risklerle de ilgilenecektir. Yönetimden sorumlu kişiler, risk izleme ve finansal kontrol açısından işletmedeki sistemlerin gözetiminden sorumlu ise, bunun kötü sonuçlar doğurmaması için, denetçinin bu kişilerin sorumluluk alanlarını ve doğabilecek riskleri incelemesi şarttır.

137

Bazı olaylar (risk kaynakları) hile ve usulsüzlük yapılmasını özendirebilir. Örneğin, işletmenin yatırımcılara karlı görünme çabaları, gerçekçi olmayan hedefler ve prim taahhütleri vb. hile yapılmasını doğurabilir.

13. maddeye göre denetçi, bu risk faktörlerini dikkate almalıdır.

Tebliğde riskler ve denetimi ile ilgili en önemli açıklamalar ise 10. kısım

“İşletmenin, Faaliyet Koşullarının ve Çevresiyle Olan İlişkilerinin Anlaşılması ve Bu Konulara İlişkin Önemli Yanlışlık Riskinin Değerlendirilmesi” başlığında yapılmıştır. Bu kısmın 3. ve 4. maddelerine göre; bağımsız denetçinin, finansal tablolarda hata, hile ve usulsüzlükten kaynaklanan önemli yanlışlık riskini değerlendirebilmesi, iç kontrol sistemi de dahil olmak üzere işletmeyi, faaliyet koşullarını ve çevresiyle olan ilişkilerini kavramasını gerektirir. Bu kapsamda bağımsız denetçi;

- Risk değerleme yöntemleri ve iç kontrol sistemi de dahil olmak üzere işletme, faaliyet koşulları ve çevresiyle olan ilişkileri hakkındaki bilgilerin kaynaklarını belirler ve ilişkilerini değerlendirir.

-İşletme yönetiminin sunduğu finansal tablolar ve diğer bilgilerle yaptığı açıklamalardaki önemli yanlışlıkları ortaya çıkarmak üzere; riskin boyutunu, kaynaklarını ve gerçekleşme olasılıklarını dikkate alır.

Bağımsız denetçi, kullandığı tüm risk değerleme yöntemlerini işletmeyi, faaliyet koşullarını ve çevresiyle olan ilişkilerini gerektiği şekilde kavramasını sağlayacak şekilde uygular. Bu amaçlarla denetçi, işletmenin aldığı danışmanlık hizmetlerini, dışarıya hazırlattıkları değerleme (durum) raporlarını ve gazete, internet vb. bilgi kaynaklarını araştırır ve kullanır.

Bağımsız denetçi riskleri anlayabilmek ve kapsamını tespit edebilmek için işletme içindeki bütün grup ve birimlerle de görüşmelidir.

Bu kısmın 6. maddesine göre; bağımsız denetçinin işletmeyi, faaliyet koşullarını ve çevresiyle olan ilişkilerini kavraması aşağıdaki faktörlerle ilişkilidir: Sektör, düzenlemeler, diğer dış faktörler, işletmenin seçtiği ve uyguladığı muhasebe politikaları da dahil olmak üzere işletmenin yapısı, amaçlar ve stratejiler, faaliyet riskleri, işletmenin finansal performansının

138

ölçümü ve gözden geçirilmesi ve iç kontrol. Risk değerlendirme şekli ve zamanlaması, işletmelerin büyüklüğü, denetçinin bilgi birikimi ve profesyonelliğine göre değişir. Dolayısıyla denetçilerin sadece muhasebe konularına hakim olmaları yeterli olmayacaktır. 7. maddeye göre de;

bağımsız denetçinin, finansal raporlama standartları çerçevesinde işletmenin faaliyetleri ile ilgili iç ve dış çevresi hakkında bütün bilgileri edinmesi zorunludur. Bu bilgiler; rekabetçi çevre, tedarikçiler ve müşteri ilişkileri, teknolojik gelişmeler, finansal raporlama esasları çerçevesinde yasal düzenlemeler, yasal ve politik çevre ve sektör ve işletmeyi etkileyen çevresel zorunlulukları ve genel ekonomik durum gibi diğer dış etmenleri içerir.

Görüldüğü gibi muhasebe dışındaki; üretim, pazarlama, bilgi teknolojileri vb.

her konunun denetimi ve anlaşılması zorunluluğu gelmiştir. Çünkü bu konular yanlışlık riskini önemli derecede artırabilir. Madde 8’e göre de denetçi işletme yapısını (ortaklık yapısı, yönetim faaliyetleri, organizasyon yapısı vb.) da iyi bir şekilde incelemek zorundadır. Organizasyondaki hatalar veya işletmenin büyüklüğü risk kaynağıdır.

Yine 10. kısmın 9. maddesi faaliyet risklerini açıklamıştır, bu maddeye göre; bağımsız denetçi, işletmenin amaçlarını, stratejilerini ve bunlara ilişkin finansal tabloların önemli yanlışlık içermesine neden olabilecek faaliyet risklerini kavramak zorundadır. Faaliyet riskleri; işletmenin amacına ulaşmasını ve stratejilerini uygulamasını olumsuz yönde etkileyen her türlü durum, olay, eylem veya eylemsizlikten veya uygun olmayan amaç ve stratejileri ortaya koymaktan kaynaklanır. Faaliyet riskleri geniş bir kapsama sahiptir. Yeni bir ürün üretmekten de kaynaklanabilir, işletmenin itibarının olmamasından da kaynaklanabilir. Denetçi elinden geldiği ölçüde riskleri analiz eder, ancak denetçiden tüm faaliyet risklerini ortaya çıkarması beklenemez. Faaliyet riskleri finansal sonuçlar doğurabilir veya doğurmayabilir, örneğin ekonominin daralması ve aşırı kredili satış alacakların tahsil edilmemesine neden olabilir. Bu riskler denetçi tarafından işletmenin durumu dikkate alınarak değerlendirilir.

139

Tebliğin 10. kısmının 10. maddesi işletme performansının ölçümü ve değerlendirmesi konularını ele almıştır. Bağımsız denetçinin işletmenin performansı hakkında da bilgi sahibi olması zorunlu hale getirilmiştir. İşletme yönetimi tarafından performansı ölçmek için kullanılan bilgiler; bütçe rakamları, varyans analizi, işletmenin bölüm/birim veya faaliyet kollarına ilişkin performans raporlarını ve işletme performansının rakiplerin performansıyla karşılaştırılmasına ilişkin, işletme içinden üretilen temel performans göstergelerini içerir. İşletmenin performansı, derecelendirme kuruluşları ve finansal analistler gibi üçüncü kişiler tarafından da ölçülebilir.

Belirtilen ölçümlere ilişkin raporları bağımsız denetçiler işletme faaliyetlerini anlamaya yönelik olarak kullanırlar. İşletme performansı sektöre göre aşırı iyi gösteriliyorsa bu yönetimin hile yapma olasılığını artırır, denetçinin bu gözle incelemesi gerekmektedir. Bağımsız denetçi, performans ölçümlerinden faydalanacaksa, bunların finansal tablolardaki önemli yanlışlıkları ortaya çıkaracak şekilde tam ve doğru olup olmadığını da dikkate almak zorundadır.

Bu kısmın 13. maddesi iç kontrol sisteminin kapsamı kısmına göre;

risk değerlendirme sürecinde iç kontrol sistemindeki kontroller vasıtasıyla bağımsız denetim kanıtı elde edilebilmesi; işletme personeli ile görüşme yapılmasını, belirli kontrol uygulamalarının gözetimini, rapor ve dokümanların incelenmesini ve finansal raporlama ile ilgili bilgi sistemi işlemlerinin izlenmesini gerektirir. İşletme personeli ile yapılacak görüşme tek başına bağımsız denetimle ilgili iç kontrol sisteminin tasarımı ve işleyişini değerlendirmek için yeterli değildir. Madde 14’te de, bilişim teknolojileri ve b noktadan kaynaklanan risklere değinilmiştir. Bu maddeye göre bilişim teknolojilerinden kaynaklanan risklerin yanı sıra bilgisayar sistemine dahil edilmeyen işlemler de önemlidir. Denetçi sadece bilgisayar denetimi değil, oraya yazılmayan bilgileri de tespit etmek durumundadır. Bilgi teknolojileri ile ilgili riskler; verilerin çalınması veya kötüye kullanılması veya hatalı bilgi girişinin finansal tabloların yanlış düzenlenmesi sonucunu doğurması vb.

risklerdir.

140

Bu kısmın 17. ve 18. maddelerinde işletmenin risk değerlendirme süreci hakkında açıklamalar yapılmıştır. Bağımsız denetçinin, işletmenin finansal raporlamayla ilişkili faaliyet risklerini, bu risklerle ilişkili yapılması gerekenler hakkındaki kararlarını ve bu kararların sonucunu tanımlayabilmesi için, öncelikle işletmenin risk değerlendirme sürecini anlaması gerekir.

İşletmenin risk değerlendirme süreci, riskin nasıl tanımlandığı ve yönetildiğini ifade eder. Bağımsız denetçi, işletme yönetiminin riskleri nasıl tanımladığını, nasıl sınıflandırdığını ve nasıl çözüm önerileri geliştirdiğini iyi bir şekilde anlamak zorundadır. İşletmenin risk değerlendirme süreci, denetçinin yanlışlıkları tespitine katkılar sağlar.

Bağımsız denetçi risklerle ilgili işletme yönetimiyle görüşür. Bağımsız denetçi, bağımsız denetim sırasında, işletme yönetimi tarafından tespit edilemeyen önemli yanlışlıkları ortaya çıkarmışsa ve bu önemli yanlışlık işletmenin risk değerlendirme sürecinde tanımlanamamış ve ortaya çıkarılamamışsa, bağımsız denetçi; işletmenin risk değerlendirme sürecinin neden bu riski ortaya çıkarmakta başarısız olduğunu, bu çerçevede işletmenin risk değerlendirme sürecinin etkinliğini sorgulamak zorundadır. Bu noktada aksamalar tespit etmişse yönetime bildirmelidir.

Tebliğin yine 10. kısmının 22. maddesinde; bağımsız denetimde özel dikkat gerektiren önemli riskler açıklanmıştır. Buna göre; Bağımsız denetçi, bağımsız denetimde özel dikkat gerektiren riskleri belirlemek zorundadır.

Önemli risklerin belirlenmesi, bağımsız denetçinin mesleki kanaatine bağlıdır. Bağımsız denetçi, risklerin yapısı, birden çok yanlışlığa neden olacak riskleri içeren muhtemel bir yanlışlığın büyüklüğü ve riskin gerçekleşme olasılığını tespit eden belirlenmiş kontrollerin etkilerini, bunların özel denetim gerektiren hususlar olması sebebiyle mesleki yargısının dışında tutar. Sistematik olarak işleme tabi tutulan rutin ve basit işlemler, daha düşük yapısal riske sahip olduğundan, önemli yanlışlık riskine yol açma olasılıkları düşüktür. Önemli riskler, genellikle önemli yanlışlıklara neden olabilecek faaliyet risklerinden kaynaklanır. Maddenin devamında bağımsız denetçinin risklerin yapısını nasıl belirleyeceği de açıklanmıştır. Örneğin bu risklerin,

141

işlemlerin karmaşıklığından, yönetimin veya çalışanların hilelerinden, ekonomik koşullar veya güncel gelişmelerden, finansal bilgilerin subjektif belirlenmesinden, riskin olağandışı faaliyetlerden vb kaynaklanıp kaynaklanmadığının denetçi tarafından araştırılarak belirlenmesi gerekir.

Yukarıda açıklanmış olan risklerin denetimi ve denetçi sorumluluğuna atıflar yapılmak üzere risklere; tebliğin 20. kısmı “Muhasebe Tahminlerinin Bağımsız Denetimi”, 21. kısmı “Makul Değer Hesaplamaları ve Bunlara İlişkin Kamuya Yapılan Açıklamaların Bağımsız Denetimi”, 24. kısmı “İşletmenin Sürekliliği” (burada sürekliliği tehlikeye sokabilecek işlemler açıklanmıştır ki bunlar zaten risk denetiminin konusudur), 27. kısmı “Bağımsız Denetim Çalışmalarında İç Denetim Çalışmalarından Yararlanılması” ve 28 kısmı

“Bağımsız Denetim Çalışmalarında Uzman Çalışmalarından Yararlanılması”

başlıklarında da zaman zaman değinilmiştir.