İç Denetim Türleri

İşletmelerde iç denetim; risk ve kontrol değerleme faaliyetlerine destek sağlar, işletme faaliyetlerini izler, faaliyetlere ilişkin risk ve kontrol faaliyetleri ile ilgili önerilerde bulunur, kontrollerin uygunluğunu ve etkinliğini test eder.⁷¹

İç denetim türleri genel olarak şu şekilde sıralanabilir;

- Finansal (mali) denetim, - Uygunluk denetimi,

68 Bilge ve Kiracı, s.10.

69 Özgür Çatıkkaş, "İşletmelerde Mali Tablo Hileleri", Denetişim Dergisi, Sayı:8, 2011, s.29.

70Aktaran Bilge, Kiracı, s.10, ACFE, 21.05.2012,

http://www.acfe.com/uploadedFiles/ACFE_Website/Content/ documents/rttn-european.pdf.

71 Adiloğlu, s.18.

- Faaliyet (operasyonel - performans) denetimi, - Hile (yolsuzluk) denetimi,

- Bilgi sistemleri (teknolojileri) denetimi, - Sistem denetimi.

Burada özellik arz eden denetim türlerinden, hile (yolsuzluk), bilgi teknolojileri ve sistem denetimine ilişkin kısa açıklamalara aşağıda yer verilmiştir;

- Hile (Yolsuzluk) Denetimi: IIA tarafından hazırlanan UMUÇ’un “Terimler Sözlüğü” kısmında Suistimal (Fraud) şu şekilde tanımlanmıştır: Hile, sahtekarlık, emniyeti kötüye kullanma ile nitelendirilebilecek hukuk dışı fiillerdir. Bu fiiller, sadece şiddet tehdidi veya fiziki güç kullanımının gerçekleştirilmesine bağlı değildir.

Suistimaller para, mal veya hizmet sağlamak, hizmet kaybından veya ödeme yapmaktan kaçınmak veya şahsıyla veya işle ilgili bir avantaj elde etmek amaçlarıyla çeşitli taraflar ve kurumlar tarafından gerçekleştirilebilir.⁷² İşletme içindeki hilenin potansiyel büyüklüğü ile orantılı olarak, iç denetçiler iç kontrol sistemlerinin uygunluk ve yeterliliğinin değerlendirmesini yaparak hilenin önlenmesinde yönetime yardımcı olma sorumlulukları vardır.⁷³

- Bilgi Sistemleri (Teknolojileri) Denetimi: Ülkemizde de kamu kesimi ve özel sektör, teknolojideki bu gelişmelere bağlı hızlı bir dönüşüm süreci içinde bulunmakta, faaliyetlerinin büyük bir kısmını gerçekleştirirken bilgisayarlardan yararlanmaktadırlar. Bu gelişim, işlemlerin daha hızlı ve etkin bir şekilde yapılmasına imkân tanımaktadır. Ancak, teknolojide yaşanan bu hızlı değişimin yararları yanında neden olduğu bazı olumsuzluklar da söz konusudur. Bunların başında, önceden yazılı olarak gerçekleştirilen işlemlerin sanal ortama taşındıktan sonra izlenme, kontrol altına alınma ve denetlenmesinin güçleşmesi gelmektedir. Öte yandan, sistemlerin daha karmaşık bir yapıya dönüşmesi, işletmelerin bilgi teknolojileri ile ilgili risklerinin türleri ve bunların içerikleri üzerinde olumsuz etkiler doğurmakta, yeni risk faktörleri oluşturmaktadır.⁷⁴

Bilgi teknolojilerinin denetimi, denetlenen birimin bilgi sistemlerinin güvenli olup olmadığının denetlenmesidir. Bu denetim türü ayrıca, denetlenen bilgi

72 UMUÇ, Uluslararası Standartlar, s.29.

73 Practice Advisory, IIA, 1220-1:Proficiency and Due Professional Care, https://na.theiia.org/

standards- guidance /recommended-guidance/pages/practice-advisories.aspx. (15.05.2013).

74 İzzet Gökhan Özbilgin, "Bilgi Teknolojisi Denetimi ve Uluslararası Standartlar", Sayıştay Dergisi, Sayı:49, s.123.

sisteminde depolanan veri ve bilgilerin yeterliliğini ve doğruluğunu değerlendirmek için kullanılır. Bilgi sistemlerinin güvenliği, depolanmış bilgilerin yanlış kullanılmasının, zarara uğratılmasının ya da yok edilmesinin önlenme derecesi olarak tanımlanabilir.⁷⁵

Uluslararası düzeyde, elektronik bilgi ortamında denetim ile ilgili temel olarak dört kuruluşun çalışmaları ön plana çıkmaktadır. Bunlar;

- IFAC “Uluslararası Muhasebeciler Federasyonu” (International Federation of Accountants)

- AICPA “Amerikan Sertifikalı Muhasebeciler Enstitüsü” (American Institute of Certified Public Accountant)

- ISACA “Bilgi Sistemleri Denetimi ve Kontrolü Derneği” (Information System Auditing Control Association)

- IIA “Amerikan İç Denetçiler Enstitüsü” (Institute of Internal Auditor)’dır.⁷⁶ Günümüzde muhasebecilik alanında en büyük mesleki birlik olan IFAC

“Uluslararası Muhasebeciler Federasyonu” (International Federation of Accountants) denetim üzerine getirdiği standartlar (ISA-International Standarts on Auditing) ile ve bunların sürekli olarak geliştirilmesiyle ilgili olarak faaliyet gösteren en büyük kuruluştur. IFAC tarafından elektronik bilgi ortamlarında denetim ile ilgili 401 no.lu “Bilgi İşlem Sistemleri Ortamında Denetim (Auditing in a Computer Information System Environment)” denetim standardı yayımlanmıştır ve bu standart elektronik bilgi ortamında denetimin asli ilkelerini ve önemli prosedürlerini belirtmektedir. Bu standart Aralık 2004 tarihinde yürürlükten kaldırılmış ve yerine 315 no.lu “İşletmeyi ve çevresini tanıyarak maddi hata risklerinin değerlenmesi”(Understanding the entity and its environment and assesing the risks of material misstatements), 330 no.lu “Değerlenen riskler karşısında denetçinin uygulayacağı prosedürler”(The auditors procedures in response to assessed risks) ve 500 no.lu “Denetim kanıtları”(Audit evidence) standartları gelmiştir.⁷⁷

Elektronik bilgi ortamlarında denetim ile ilgili düzenlemeleri olan diğer bir kuruluşta AICPA“Amerikan Sertifikalı Muhasebeciler Enstitüsü” (American

75 Bilge ve Kiracı, s.13.

76Yakup Selvi ve diğerleri, Elektronik Bilgi Ortamlarında Muhasebe Denetimi, http://zirve.academia.edu/BoraSenyigit/Papers/1208095/ELEKTRONIK_BILGI_ORTAMLARINDA _MUHASEBE_DENETIMI_Doc._Dr._Yakup_SELVI_Ars._Grv._Ahmet_TUREL, (15.03.2013), s.9.

77 Selvi ve diğerleri, s.10.

Institute of Certified Accountants)’dir. Jagdish Pathak ve Mary R. Lind’e göre; resmi bir meslek kuruluşu olan AICPA denetim faaliyetlerinin yürütülmesinde önemli rol oynamaktadır. AICPA içerisinde yer alan Denetim Standartları Kurulu (Auditing Standards Board) ilgili standartları yayınlamaktadır. AICPA’nın Aralık 1996 da yayımladığı 80 no.lu “Kanıt Niteliği Taşıma”(Evidential Matter) standardı elektronik kanıtların geçerliliği, tamlığı ve dürüstlüğü ile ilgili sorulara cevap verir. Ayrıca AICPA’nın bu konu ile ilgili olarak yayımlamış olduğu 94 no.lu “Finansal tabloların denetiminde bilgi teknolojisinin denetçinin iç kontrol sistemini değerlendirmesine olan etkisi” (The effect of ınformation tecnology on the Auditor’s consideration of internal control in a financial statement audit) standardı denetçilere elektronik bilgi işlem sisteminin işletmenin iç kontrol sistemini nasıl etkilediğini anlatmakta ve bu ortamlardaki iç kontrol sisteminin anlaşılması ve kontrol riskinin değerlenmesini konusunda yol göstermektedir. 94 no’lu bu standart finansal tabloların denetiminde 1 Haziran 2001 tarihinden itibaren geçerli olmuştur.⁷⁸

Elektronik bilgi ortamlarında denetim ile ilgili düzenlemeleri olan diğer bir başka kuruluşta ISACA “Bilgi Sistemleri Denetimi ve Kontrolü Derneği”(Information Systems Audit and Control Association)’dir. Bu kuruluşun hem elektronik bilgi ortamlarının denetimi ile ilgili standartları hem de bu konu ile ilgili mesleki standartları bulunmaktadır. Ayrıca bu kuruluşun bağlı kuruluşu olan Bilgi Teknolojileri Yönetimi Enstitüsü (IT Governance Institute)’nün elektronik bilgi ortamlarındaki denetimin uygulanmasına yönelik rehber niteliğinde COBIT 8 Control Objectives for Information and related Technology) isimli bir yayını bulunmaktadır.⁷⁹

Ayrıca IIA’in de bu konu ile ilgili rehber niteliğinde çalışmaları bulunmaktadır. IIA, iç denetim mesleği uygulamaları ile ilgili uluslararası standartlar yayımlamaktadır. İç denetçinin niteliği ile ilgili standartlarda “iç denetçilerin verilen görevi yerine getirebilmek için bilgi teknolojileri ve kontrolleriyle ilgili kilit bilgilere ve mevcut teknoloji tabanlı denetim tekniklerine sahip olmaları gerektiği ancak, bütün iç denetçilerin, asıl sorumluluğu bilgi teknolojileri denetimi olan denetçiler kadar uzmanlığa sahip olması beklenmediği belirtilmektedir.”⁸⁰

78 Aktaran Selvi ve diğerleri, s.10.

79 Selvi ve diğerleri, s.10.

80 Selvi ve diğerleri, s.10.

- Sistem Denetimi: Genel olarak, kurumların iç kontrol sistemlerinin yeterliliği ve etkinliğinin değerlendirilmesidir.

İç denetim, iç kontrol sisteminin yeterliliği, etkinliği ve işleyişiyle ilgili olarak yönetime bilgiler sağlar, değerlendirmeler yapar ve önerilerde bulunur… İç kontrolün incelenip değerlendirilmesi ve en üst yöneticiye güvence sağlanması, iç denetimin fonksiyonları kapsamındadır. İç denetimin kendisi, örgütün iç kontrol sisteminin bir parçasıdır ve iç denetimin kapsamına yalnızca finansal kontrol değil, iç kontrolün bütün yönleri girer.⁸¹