DENETİMİ FAALİYETİNDEKİ YERİ VE KATKILARI
BİRLEŞİK KRALLIK
Finansal Raporlama Kurulu (Financial Repor-ting Council - FRC)
Uluslararası alanda yaşanan finansal skan-dalların ardından, 2002 yılında finansal raporlama ve kurumsal yönetime ilişkin düzenlemeler idari otoriteler tarafından yapılmıştır. Bu düzenlemeler kapsamında kurumsal yönetim standartları belirlenmiş olup muhasebe ve denetim uzmanlık alan-ları güçlendirilmiştir. Söz konusu alanalan-ları düzenleme ve denetleme sorumluluğu ba-ğımsız kamu otoritesi FRC’ye verilmiştir.
FRC’nin temel görevleri aşağıda belirtil-mektedir:
• Kamu yararına yönelik bağımsız denetim faaliyetini yürüten firma incelemeleri,
• Muhasebe ve denetim standartlarının ya-yımlanması,
• Birleşik Krallık Kurumsal Yönetişim Ya-sası ile diğer yasalar ve rehberlerin oluş-turulması,
• İşletmelerin finansal raporlama kalitesi-nin gözden geçirilmesi.
Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
Bilgi sistemleri denetimi faaliyeti bağımsız denetim süreci kapsamında gerçekleştiğin-den, ISA standart setinin ilgili kontrolleri bilgi sistemleri denetimi sürecinde kullanıl-maktadır.
Bilgi sistemleri denetimi sürecini yürüten kişilerin yetkinliği
İşletmenin finansal raporlamasına ilişkin bilgi sistemleri uygulamalarını ve
kontrolle-rini denetleyecek kişilerde yasal gereksinim aranmamakta olup bu kişilerin uluslararası mesleki yetkinlik sertifikasına (CISA) sahip olup olmadığına bakılmaktadır.
Bilgi sistemleri denetimi sürecinin incelenmesi
Denetim faaliyetinin incelenmesinde, bilgi sistemleri denetimine ilişkin çalışmalar in-celeme faaliyetlerinin bir parçası olarak ka-bul edilmektedir. Kurul tarafından görevlen-dirilen inceleme ekiplerinde bilgi sistemleri denetimi tecrübesine ve yetkinliğine sahip kişiler yer almaktadır.
İSVİÇRE
Federal Denetim Gözetimi Kurumu (Federal Audit Oversight Authority - FAOA)
2005 yılında çıkarılan Denetçilerin Yetkilen-dirilmesi ve Gözetimine Yönelik Federal Yasa (The Federal Act on the Licensing and Over-sight of Auditors) ile FAOA, bağımsız denetim faaliyetinde bulunan denetçilere ve denetim kuruluşlarına lisans vermekle ve gözetimle-rini sağlamakla yetkilendirilmiştir.
FAOA’nın temel görevleri aşağıda belirtil-mektedir:
• Denetçilere, denetim uzmanlarına ve de-netim firmalarına lisanslama faaliyetleri,
• Mevcut denetim standartlarının onayla-narak ülke mevzuatına kazandırılması, düzeltilmesi ve mevzuattan çıkarılması veya kurul tarafından belirlenecek ilave standartların benimsenmesi,
• İhlalin büyüklüğüne bağlı olarak, disip-lin/yönetimsel veya cezai kovuşturmaya yönelik resmi soruşturmaların başlatıl-ması, denetçilere, uzmanlara ve denetim kuruluşlarına yaptırım olarak uygulatıl-ması.
Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
Finansal tablo denetimi kapsamında ger-çekleştirilen bilgi sistemleri denetimi
süre-cinde kullanılan standartları ve rehberleri yayımlama yetkisi FAOA’ye aittir. İsviçre’de bilgi sistemleri denetimi sürecinde kullanı-lan standartlar ISA standart seti ve İsviçre Denetim Standartları (Swiss Auditing Stan-dards - SAS) kapsamında yer almaktadır. Bu standartlarda yer alan temel kontroller aşa-ğıda belirtilmektedir:
• ISA/SAS 200
Denetimin konusunu oluşturan tüm alanlar-da, bilgi sistemleri denetçisi özde ve sözde denetlenen kuruluşa karşı bağımsız olmalı-dır. Bilgi sistemleri denetçisi denetim faali-yetini sürdürebilecek bilgi ve yeteneğe karşı-lık gelen mesleki yeterlilik seviyesine sahip olmalıdır.
• ISA/SAS 300
Bilgi sistemleri denetçisinin denetimin amaçlarını karşılayabilmek ve yürürlükte olan yasalar ve mesleki denetim standart-larıyla uyumu sağlayabilmek amacıyla bilgi sistemleri denetiminin kapsam planlama-sını yapması gerektiği belirtilmektedir. Bilgi sistemleri denetçisinin riske dayalı denetim yaklaşımını uygulaması gerektiği ve belirle-nen risklere karşı hangi işlemleri yapacağı belirtilmektedir.
• ISA/SAS 500
Denetimin amaçlarına ulaşabilmek amacıy-la bilgi sistemleri denetçisi yeterli, güveni-lir ve ilgili kanıtları denetim süresince elde etmelidir. Denetim bulguları ve sonuçları kanıtın yorumlanması ve analiziyle destek-lenebilir nitelikte olmalıdır. Denetim süre-cinin, gerçekleştirilen denetim faaliyetini ve bilgi sistemleri denetçisinin bulgularını ve sonuçlarını destekleyen denetim kanıtını içerecek şekilde belgelendirilmesi gerek-mektedir.
• SAS 890
Denetçi, finansal raporlamada iç kontrol or-tamının var olduğunu tasdik etmelidir. Uy-gulama kontrolleri, süreç kontrolleri ve bilgi sistemleri genel kontrolleri denetçi tarafın-dan test edilmelidir.
Bilgi sistemleri denetimi sürecinin incelenmesi
FAOA tarafından bilgi sistemleri denetimi incelemeleri sürekli inceleme ve dosya bazlı inceleme faaliyetleri kapsamında gerçekleş-tirilmektedir. Bağımsız denetim kuruluşları-na yönelik temel inceleme faaliyeti; yetkilen-dirilme belgelerini, denetçi bağımsızlığına yönelik prosedürleri ve kalite güvence siste-mini içermektedir. Dosya bazlı inceleme faa-liyeti ise kamu yararını ilgilendiren işletme-lerin denetim sürecinde kullanılan çalışma kâğıtlarının incelenmesinden oluşmaktadır.
AVUSTRALYA
Avustralya’da 2001 yılında çıkarılan Menkul Kıymetler ve Yatırımlar Komisyonu Yasa-sı (Australian Securities and Investments Commission Act) doğrultusunda işletmele-re, menkul kıymetleişletmele-re, finansal raporlama ve denetim gereksinimlerine yönelik kurul-lar oluşturulmuştur.
Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu (Australian Securities and Invest-ments Commision - ASIC)
ASIC, sermaye piyasasını ve bağımsız dene-tim faaliyetlerini düzenlemek amacıyla ku-rulmuştur. Avustralya Hazine Bakanlığı’na idari olarak bağlı olup bağımsız kamu kuru-luşu niteliğindedir.
ASIC’in temel görevleri aşağıda belirtilmek-tedir:
• Denetçilerin ve denetim kuruluşlarının kayıt altına alınması ve eğitime tabi tu-tulmaları,
• Finansal raporların denetlenmesine yö-nelik faaliyetlerin düzenlenmesi.
Bilgi sistemleri denetimi sürecinin incelenmesi
ASIC tarafından bağımsız denetim kuruluş-larında gerçekleştirilen inceleme faaliyetleri öncesinde tespit edilen riskli alanlara iliş-kin bilgi sistemleri uzman görüşünün alın-masını gerektirmektedir. Riskli alanların
belirlenmesinde sermaye piyasasını önemli ölçüde etkileyeceği ön görülen denetim gö-rüşleri dikkate alınmaktadır.
Komisyon tarafından yürütülen inceleme fa-aliyetleri neticesinde denetim kuruluşların-dan istenenler aşağıda belirtilmektedir:
• Denetçinin işletmeyi ilk gözden geçirme sürecinin bütün temel kontrolleri ve iş süreçlerini kapsaması,
• Test kapsamına alınacak bilgi sistemleri kontrollerinin bilgi sistemleri uzmanları tarafından belirlenmesi,
• Bilgi sistemleri uygulama ve genel kont-rollerine yönelik ilave çalışmalarda bulu-nulması,
• Analitik prosedürlere dayalı olarak ger-çekleştirilen maddi testlerin iddia olarak öne sürülen risklere cevap verebilecek nitelikte olması,
• Uygulanmakta olan kontrollerin ve finan-sal veri üretilmesinde yer alan uygula-maların iyi analiz edilmesi.
Denetim ve Güvence Standartları Kurulu (Au-diting and Assurance Standards Board - AASB) Bilgi sistemleri denetimi sürecine ilişkin yayımlanan/kullanılan standartlar
Avustralya’da bağımsız denetim sürecinde kullanılan standartlar Avustralya Denetim ve Güvence Standartları Kurulu tarafından yayımlanmaktadır. Bilgi sistemleri denetimi sürecinde ISA standart seti kapsamındaki prosedürler uygulanmaktadır.
SONUÇ
Uluslararası kuruluşların ve ülke uygula-malarının yaklaşımında bilgi sistemleri de-netimi yapısı; bütünleşik denetim faaliyeti kapsamında yürütülen, finansal raporlama-da hata ve hileye yönelik risklerin ve kontrol-lerin değerlendirilmesinde etkin rol oynayan süreç olarak kabul görmektedir. İşletme-lerin temel iş süreçİşletme-lerinde bilgi sistemleri yapısının ekseriyetle yer alması ve finansal
raporlamadaki yanlışlıklar doğrultusunda skandalların yaşanması uluslararası kuru-luşları ve ülke idari yönetimlerini bilgi sis-temleri denetimi faaliyetine ilişkin düzenle-meler yapmaya yöneltmiştir.
Çalışma kapsamındaki uluslararası mesleki kuruluşlardan IFAC ve ISACA’nın, ülke oto-ritelerinden ise PCAOB (Amerika Birleşik Devletleri) ve IDW’nin (Almanya) bilgi sis-temleri denetimine ilişkin prosedürleri içe-ren standartlar yayımladıkları belirlenmiştir.
Finansal tablo denetimlerinde standart seti olarak kullanılan IFAC (ISA) ve PCAOB’nin standartları bilgi sistemleri denetimine yö-nelik karşılaştırmalı olarak incelendiğinde;
ISA standart setinin finansal raporlamadaki hata ve hileye ilişkin risk değerlendirmesin-de yeterli prosedürleri sağlarken bilgi sis-temleri kontrollerinin değerlendirilmesin-de yetersiz kaldığı tespit edilmiştir. PCAOB
standartları ise finansal raporlamaya ilişkin kontrollerin değerlendirilmesinde etkin gü-vence sağlarken risk değerlendirme aşama-sında yetersiz kaldığı tespit edilmiştir.
Uluslararası alanda bilgi sistemleri deneti-mi sürecine yönelik mesleki yetkinliğin be-lirlenmesinde çoğunlukla CISA sertifikası-nın arandığı tespit edilmiştir.
Ülke otoriteleri tarafından gerçekleştirilen inceleme faaliyetleri kapsamında; bilgi sis-temleri ortamını da kapsayan finansal rapor-lamaya ilişkin risk değerlendirme süreçleri, iç kontrol yapısının etkinliğinin belirlenme-sine yönelik çalışmalar, finansal raporla-mada bilgi sistemleri ortamının ne ölçüde yer aldığının belirlenmesi faaliyeti ve önemli maddi hataya sebep olabilecek bilgi sistem-leri kaynaklarının tespiti denetçilerden veya denetim kuruluşlarından sorgulanmaktadır.
AFM. (2016). IFIAR 2016 Member Profile - AFM. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_The-Netherlands.pdf adresinden alındı
APAK/AOC. (2016). IFIAR 2016 Member Profile - APAK/AOC. IFIAR: https://www.ifiar.org/IFIAR/
media/Documents/General/About%20Us/2016_Member_Profile_Germany.pdf adresinden alındı
ASIC. (2016). IFIAR 2016 Member Profile - ASIC. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_Australia.pdf adresinden alındı Auditing Standards. (2016). PCAOB: https://pcaobus.org/Standards/Auditing/Pages/
ReorgStandards.aspx adresinden alındı
CPAB. (2016). IFIAR 2016 Member Profile - CPAB. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_Canada.pdf adresinden alındı Deloitte Academy. (2014). BT Denetimine Giriş Eğitimi Dokümanı.
Ernst & Young. (2015). Süreç ve Uygulama Kontrolleri Eğitimi Dokümanı.
FAOA. (2016). IFIAR 2016 Member Profile - FAOA. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_Switzerland.pdf adresinden alındı FRC. (2016). IFIAR 2016 Member Profile - FRC. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_United-Kingdom.pdf adresinden alındı
Gantz, S. (2014). The Basics of IT Audit.
H3C. (2016). IFIAR 2016 Member Profile - H3C. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_France.pdf adresinden alındı
IDW. (2002). IDW Auditing Standard: The Audit of Financial Statements in an Information Technology Enviroment (IDW AuS 330).
ISACA. (2015). CISA Review Manual 26th Edition.
IT Governance Institute. (2006). IT Control Objectives for Sarbanes-Oxley (2. b.).
IT Governance Institute. (2007). COBIT 4.1 - Executive Summary. ISACA: https://www.isaca.
org/Knowledge-Center/cobit/Documents/COBIT4.pdf adresinden alındı
Maastricht Accounting, Auditing and Information Management Research Center. (2009).
Evaluation of the Differences Betweeen International Standards on Auditing (ISA) and the Standards of the US Public Company Accounting Oversight Board (PCAOB).
PCAOB. (2016). IFIAR 2016 Member Profile - PCAOB. IFIAR: https://www.ifiar.org/IFIAR/media/
Documents/General/About%20Us/2016_Member_Profile_United-States.pdf adresinden alındı