RİSKE YÖNELİK DENETİMİN ÖZELLİKLERİ

Riske yönelik denetim uygulamaları yıllardır dünyanın gündeminde genel olarak iç denetim birimi için uygulanması öngörülen bir denetim şekli idi. Çünkü riskleri işletmenin kendi lehine takip etmesi, yönetmesi ve etkilerini yok etmesi gerekmektedir. 2000’li yıllarda yaşanan şirket iflasları ve büyük şirketlerin başvurduğu muhasebe manipülasyonu uygulamaları işlemelerin tam anlamıyla risk yönetimi ve raporlaması yapmadıkları veya yapan bazı işletmelerinde sonuçlarını şeffaf bir şekilde kamuoyuna sunmadıkları ortaya çıkmıştır. Şunu da belirtmek gerekir ki, iç denetçilerin en temel özelliklerinden birisi bağımsız olmalarının gerekliliğidir. Ancak bu çoğu zaman ister büyük işletmede olsun isterse de küçük işletmede olsun pek mümkün olamamaktadır. Çünkü en nihayetinde iç denetçi işletmenin çalışanıdır. Her iç denetçi ve iç denetim için genellenemeyecek bir bilgi olsa da bağımsızlık bazen göz ardı edilmektedir. İşte o noktada yanlış finansal veya faaliyet raporlaması yapılmaktadır. Hatta ABD’de yaşanan Enron olayında o zaman için dünyanın 5 büyük bağımsız denetim şirketinden biriside yolsuzluğa katılmış (göz yumarak) sonrasında da suçu kanıtlanılarak yetkileri iptal edilmiştir. Bu ve benzeri olaylar sadece iç denetçiler için değil, dış denetçiler için de problem olmaya devam edecektir.

Bu nedenlerle işletmelerde sadece belli kalıplar çerçevesinde ve belli kriterlere göre denetim yapılması günümüz işletmelerinin denetiminde yeterli olmamaktadır. Günümüzde eskiye nazaran bir değişiklik de faaliyet raporlamasının zorunlu hale gelmesi ve faaliyet raporunun içinde işletme risklerinin de sunulması zorunluluğudur. İşletme risklerini, kendisi tespit edip, sınıflandırıp, gerekli önlemlerini alarak etkilerini azaltıp bütün bu bahsedilen süreçle ilgili de kamuoyunu bilgilendirmesi şarttır. Burada sorumluluk işletme

127

yönetimine ait olmakla birlikte bu raporlamanın güvenilirliğinin yükümlülüğü dışarıdan objektif bir şekilde kontrol yapabileceği için bağımsız dış denetçilere bırakılmıştır.

Riske yönelik denetim; işletmenin geçmiş ve geleceğine ilişkin faaliyet raporunda sunacağı bütün bilgilerin (riskler ve belirsizlikler dahil) güvenilirliğine ilişkin denetçi görüşüne ulaşabilmek için, muhasebe ilkeleri, ülkedeki yasal mevzuat, işletme yönetmelikleri, işletme hedefleri ve stratejileri, çeşitli performans ölçütleri, sektörel veriler ve iş süreçleri doğrultusunda değerleyip ilgililere sunmak üzere sürekli bir biçimde yılın tamamına yayılmış bir şekilde, gerekirse uzman görüşleri de dahil bütün unsurları dikkate alarak kanıtlar toplayan, bunları değerleyen ve sonuçlarını bütün toplumun faydalanacağı şekilde raporlayan süreçtir.

Tanım incelendiğinde öncelikle baz alınan kriterler çok fazladır. İkinci olarak bütün faaliyetler denetlenir. Yalnız risk raporlamasını denetçi yapmaz.

Denetçi işletmenin sunacağı finansal tablo ve faaliyet raporunu inceler isterse o raporlarda düzeltme yapılmasını talep eder. Yoksa bağımsız denetim raporunda işletmenin riskleri tek tek açıklanmaktadır. Ancak denetçinim istediği düzeltmeler şirket tarafından yapılmazsa denetçi bu konulara raporunda mutlaka yer verecektir. Hatta denetçinin istediği düzeltmeler yapılmazsa denetçi rapordaki görüşünü değiştirebilir.

Bir diğer konu da riske yönelik denetim, süre ile sınırlı değil süreklilik arzeder. Çünkü karmaşık işlemlerin denetimi yalnızca sürekli denetim yapılırsa başarıya ulaşır.

Riske yönelik denetimle ilgili detaylı açıklamalar ISA 315’te yapılmıştır.

Bu standart 3.3.1 ve 3.5 başlıklarında özetlenmiştir. Bunun dışında da planlama, işletmenin sürekliliği, önemlilik standartlarında da risklerin tespiti ve denetimine ilişkin açıklamalar yer almaktadır.

Riske yönelik denetimin özellikleri ve ayrıcalıkları aşağıda kısaca açıklanmıştır.

128

3.1.1. Geçmişe Olduğu Kadar Geleceğe Yönelik Bakış Açısı

Geleneksel muhasebe yaklaşımı temel olarak; geriye dönüktür.

Geçmişte elde edilen kar veya zararlar hesaplanır, analiz edilir fakat geleceğe yönelik belirsizlikler üzerine herhangi bir analiz yapılmamaktadır¹.

Günümüzde dünyada bütün gelişmiş ülkelerde risk raporlaması ve dolayısıyla da riske yönelik denetim zorunlu hale gelmiştir. Çünkü işletme yönetiminin sunmak istediği bilgilerle işletmenin diğer ilgililerinin (bilgi alıcılarının) talep ettiği bilgiler her zaman farklılık arzeder.

İşte finansal bilgilerin sunulmasında sorumlu olan kişiler ile bilgileri kullanan kişilerin istek ve arzularının (beklentilerinin) farklı olmasına beklentiler boşluğu adı verilmektedir². Burada çok çeşitli nedenler olabilir.

Örneğin işletmenin yöneticileri işletmeyi daha fazla büyütmek isterken, ortaklar temettü tahsil etmek isteyebilir. Ya da işletme genellikle muhtemel risklerini dışarı ile paylaşmak istemez. Bunun sebebi dışarıdaki ilgilileri korkutmamaktır. Piyasadaki tedarikçiler, müşteriler veya kreditörler ise işletmenin geleceğine ilişkin tüm bilgilerinin sunulmasını beklerler. Bu uyumsuzluk veya farklı beklentiler hep sürüp gidecektir.

Bu noktada günümüzde geleceğe ilişkin bilgilerin şeffaf bir şekilde sunulmasını temin etmek için riske yönelik denetim anlayışı gelişmiştir.

Riske yönelik denetimde işletmenin bütün faaliyetleri, geleceğine ilişkin beklenti ve riskleri, bütçeleri, proforma bilançoları ve proforma gelir tablolarının bir bütün olarak denetlenir.

3.1.2. Yıllık veya Ara Dönemlere İlişkin Olma Yerine Sürekli ve Eşzamanlı Olma

Riske yönelik denetimi geleneksel denetimden ayıran en büyük özelliklerden birisi de, geleneksel denetimin belli süreler dahilinde yapılması, sürekli denetimin ise belli süreye sınırlandırılmayıp bütün yıl boyunca ve süreçleri takip etme şeklinde yapılma gerekliliğidir.

1 Crouhy, Galaı ve Mark, 2001:29.

2 Gray ve Manson, 2000, McHugh ve Rowe, 1996.

129

Sürekli denetim; fiziki belge olmaksızın, eş zamanlı olarak muhasebe sistemi altında finansal tablo sunumunun ortaya çıkmasını sağlayacak şekilde, elektronik denetim kanıtları toplamaya yönelik sistematik bir süreçtir³. Görüldüğü gibi sürekli denetim, işletme varlıklarının korunmasında, zamanında ve güvenilir finansal tabloların oluşturulmasında ve veri bütünlüğünün korunmasında gerçek zamanlı olarak muhasebe ve diğer işlemlerin etkinliğini belirlemeye yönelik kanıtların toplanması sürecidir⁴. Sürekli denetim bilgisayar destekli, kullanımı kolay uygulamalar bütünüdür.

Günümüzdeki teknolojik ortamda bunun yapılması çok kolay olacaktır.

Sürekli denetimin üç ana bileşeni vardır⁵;

- 1) Sürekli kontrol değerlendirmesi yapılması kontrol zaaflarının yok edilmesini sağlar,

- 2) Sürekli risk değerlendirmesi de işletme risklerinin anında kronik hale gelmeden tanımlanmasını muhtemel etkileri için gecikmeden önlem alınmasını sağlayacak ve

- 3) Sürekli izleme de işletmenin risk unsurlarının veya iç ve dış çevresinin hep gözlem altında olması ve işlem süreçlerin yönetimin amaçlarına uygun olarak sürdürülüp sürdürülmediğinin belirlenmesidir.

Günümüzde işletmeler çok fazla büyümüştür. Bunun sonucu işletmelerin işlem sayıları ve faaliyet ağı da çok genişlemiştir. Bu faaliyet ağının belli süreler içinde ve manüel olarak denetimi imkansızdır.

Örneklemede de örnek sayısı azaldıkça denetim riskinin artması kaçınılmazdır.

Bu belirtilen nedenlerle sürekli denetim uygulamaları ve bunun sadece muhasebe denetiminde değil de işletmenin tüm faaliyetlerini kapsayacak şekilde organize edilmesi gerekir. Bu şekilde risklerin önüne geçilmesi çok daha kolay olacaktır.

3 Bayazıtlı, 2002:120.

4 Bayazıtlı, 2002:120.

5 Coderre, 2005:7-8.

130

3.1.3. Hesaplardan Çok Genel İşleyişe, Kullanılan Sistemlere ve Sistemlerin Yetersizliklerinin Belirlenmesine Yönelik Olma

Riske yönelik denetim, geleneksel denetimin aksine hesaplara değil sistemlerin denetimine yönelir. Çünkü işletmelerdeki alt sistemlerde hatalar bulunup telafi edilirse hesaplarda hata olma ihtimali çok azalacaktır.

Sonrasındaki hesapların denetimi aşaması da çok kolay olacaktır.

Burada sistemlerin denetiminden kastedilen de sadece muhasebe sisteminin denetimi değildir. Riske yönelik yapılan bir denetimde denetçi, önce iç kontrol sisteminden başlamak üzere, işletmenin muhasebe sistemi, üretim sistemi, pazarlama sistemi, bilgi yönetim sistemi, örgüt yapısı ve işletmenin kurumsallaşma yapılanması ve en önemlilerinden birisi olarak da risk yönetim sisteminin denetimini üstlenecek bu denetimi gerçekleştirmek için gereken özen ve titizliği gösterecektir. Özellikle hata şeklinde nitelendirilen ve kasıt olmaksızın raporlarda yanlış bilgi sunulmasına neden olan işlemlerin hemen hemen tamamı işletmedeki çeşitli sistemlerin çalışmaması veya aktif olmaması nedeniyle ortaya çıkmaktadır.

İşletmelerdeki bu şekilde karmaşa ve net olmayan ortamlar hatalarla kalmamakta ve hile yapılmasını da cesaretlendirici unsur olmaktadır⁶. Sonra hile girişimleri sistemsizliği destekleyecek ve işletmelerde bu süreç böylece etkin bir denetim yapmaya elverişsiz bir şekilde sürüp gidecektir.

Özellikle günümüzde işletmeler bilgisayar yoğun çalışmaktadırlar.

Dolayısıyla bilgi sisteminin daima güncelleştirilmesi ve iç veya dış olumsuz etmenlere karşı koruma altına alınmış olması gerekir. Çünkü bilgi sisteminde oluşacak bir hasar veya bilgi kaybı, işletmelerin zaman zaman telafi edemeyeceği olumsuz sonuçlara yol açmaktadır.

Bağımsız denetçi riske yönelik denetim yaparken işletmenin risk kaynağı olabilecek ne varsa kontrolden geçirmek durumundadır. Bu noktada birçok işlem veya sistem rakamsal olmadığı için denetimi kolay olmayabilir.

Bu durumlarda muhasebe kapsamında olmayan birçok teknik denetimde

6 Hile riski değerlemesi ve hileleri bulmanın denetim etkinliğindeki rolü hakkında bilgi için bkz.:

Kiracı, 2005:103-126

131

kullanılabilir. Burada ölçü işletmelerin dikkate aldığı miktarlar, uzunluklar ve hatta kalite olabilir. Dolayısıyla performans ölçümü için ilgili sektör hatta işletmede kullanılan performans ölçüm yöntemlerini denetçinin de bilmesi ve bu ölçülerden yararlanması gerekir⁷.

3.1.4. Belirli Kesimlere Yönelik Olmaktan Çok Tüm Karar Alıcılarına Yönelik Olma

Geleneksel denetim sonucunda düzenlenen finansal raporlar veya denetçi görüşü sadece belli kesimlere hitap etmektedir. Bu çoğu zaman işletme yönetimini bile kapsayamamaktadır. Çünkü işletme yönetiminin kurumsallaşma ve şeffaf bilgi ihtiyacı hissetmemesi ve tam anlamıyla işletmeyi el yordamı ile yönetmeye çalışması denetimin önemini anlamasına engel olacaktır. Özellikle dış denetim zaman zaman yasal zorunluluk olarak algılanmaktadır. Yöneticiler için denetim yapılmış olması bir yükümlülükten kurtulma gibi dahi algılanmaktadır. Çoğu aile şirketi bu şekilde ilerleyememekte ve kabuğunu kıramamaktadır. Dolayısıyla rekabet gücü yeterli bir şekilde gelişmediği için büyüme şansı kapanmış olacaktır.

Günümüzde ise denetim ve şeffaf raporlama anlayışının sadece işletmenin yakın çevresine değil çok geniş bir alana hitap etmesi dünyanın gündemindedir. Hatta bilgi teknolojilerinin de yardımı ile dünyanın; küçük bir işletmenin şubelerinin bilgi akışında olduğu gibi net ve her yöne bilgi akışının sağlanması amaçlanmaktadır.

İnternet ortamında sunulan finansal bilgilere ulaşmak, bilgilerin sunumunda ortak bir format olmaması nedeniyle bezdirici ve maliyetli olabilmektedir. Bunu aşmak için dünyada “Genişleyebilir İşletme Raporlama Dili” (Extensible Business Reporting Language - XBRL) geliştirilmiştir. XBRL, finansal bilgilerin hazırlanması, raporlanması, yayımlanması, denetlenmesi, paylaşımının kolaylaştırılmasının standart duruma getirilmesi için geliştirilen elektronik bir dildir⁸. ABD 2008 yılı itibariyle bu uygulamayı başlatmıştır.

7 İşletmelerde performans ölçümü ve denetimi için ayrıntılı bilgiler için bkz.: Akal, 1992.

8 Uyar ve Çelik, 2006:97.

132

Uygulama sayesinde işletmelerin ve denetçilerin sunduğu raporlar zamanla dünyanın her yerinden aynı formatla kolay ulaşılabilir hale gelecektir.

3.2. UYGULAMA AŞAMASINDA KLASİK DENETİMDEN FARKLARI