Bilgi Güvenliği
Tüm önemli bilgiler için bilgi güvenliğinin sağlanması işletme yönetiminin sorumluluğundadır. İç. Denetim ise bilgi güvenliğinin sağlanmasındaki riskleri değerlendirir. İç denetim yöneticisinin bilgi güvenliği konusundaki iç ve dış riskleri analiz etmek üzere yeterli denetim kaynağına sahip olması sağlanmalıdır.
Yönetim, iç denetimi bilgi güvenliğine yönelen mevcut tehditler konusunda uygun şekilde bilgilendirmelidir. İç denetim, geçmiş ve gelecekteki saldırılara karşı etkinliği ölçerek değerlendirmelidir. Konuyla ilgili yönetici birimler uygun şekilde bilgilendirilmelidir.
İç denetçiler aynı zamanda bilgi güvenliği uygulamalarını belirli aralıklarla değerlendirmelidirler. Bu değerlendirmelere istinaden yeni veya geliştirilmiş kontroller önerilir ve denetim sonuçlarıyla ilgili raporlar düzenlenir.
İşletmenin Bilgi Güvenliği Yapısının İncelenmesi
Özel bilgilerin saklanması konusu çoğu ülkede yasal düzenlemelere bağlanmıştır. Kişisel bilgilerin saklanması;
a) kişisel mahremiyet,
b) mekanın mahremiyeti,
c) iletişim mahremiyeti
d) bilgilerin mahremiyeti konularını kapsamına alır.
Kişisel bilgilerin ve mahremiyetin korunmasında yapılacak hatalar işletme için önemli yasal neticeler doğurabilir.
İşletme yönetimi bilgi güvenliği altyapısını oluşturarak ve gözlemleyerek kişisel bilgilerin güvenliğinin sağlanmasından birinci derece sorumludur. İç denetçiler mevcut yapıyı değerlendirir, riskleri tanımlar ve düzeltici öneriler geliştirir. Bunu yaparken iç denetçilerin kanunları, düzenlemeleri, uygulamaları, hukuk biriminin görüşlerini ve IT bölümünün güvenlik uygulamalarını değerlendirmesi gerekir. İç denetçinin bu süreçteki rolü, programın yürütülmesi, risklerin ortaya konması ve denetim çalışmalarını kapsayabilir. Ancak faaliyetle ilgili sorumluluk yüklenilmesi bağımsızlığa zarar verebilir.
İç denetçi şu konularda bilgi toplamalıdır; a) toplanan kişisel bilgiler, b) bilgileri toplama yöntemleri, c) bu bilgiyi kullanma amaçları ve d) ilgi yasal düzenlemeler.
İç denetçi bilgi güvenliği yapısını değerlendirebilecek bilgi ve kapasiteye sahip olmalıdır.
Denetim Çalışmasında Kişisel Bilgilerin Kullanılması
Bilgi teknolojilerindeki gelişmeyle birlikte kişisel bilgilere erişimle ilgili risklerde artış olmuştur. Bu sebeple kanunlarda kişisel bilgilerin güvenliğinin sağlanmasına ilişkin düzenlemelere yer verilmeye başlanmıştır.Kişisel bilgiler bir kişinin kendine has özel bilgilerini kapsar.
Denetçi uygulamadaki tüm yasal düzenlemelere uygun davranmalıdır. Bazı görevlerde kişisel bilgilerin kullanılması veya bu bilgilere erişilmesi yasal veya uygun olmayan durumlar yaratabilir.
26 Ekim 2010 Salı
10 Ağustos 2010 Salı
STRATEJİK MALİYET YÖNETİMİ
Üretim teknolojilerinin değişmesi, ürün yaşam süresinin kısalması, Ar-Ge maliyetlerinde artış, ürün maliyet yapısında değişmeler gibi sebeplerle geleneksel maliyet muhasebesi uygulamaları günümüzün rekabetçi ortamında işletmelerin ihtiyaçlarını karşılamakta yetersiz kalabilmektedir. Maliyet muhasebesinden elde edilecek bilgilerin yalnızca üretilmiş bulunan mal ve hizmetlerin maliyetlerini saptayan bir yapıda olmak yerine işletmelerin rekabet stratejilerini belirlemelerinde yol gösterici ve destekleyici bir fonksiyon icra etmeleri gereği doğmuştur. Maliyet muhasebesinden beklenen bu yeni fonksiyonlar Stratejik Maliyet Yönetimi kavramlarını ortaya çıkarmıştır. Stratejik Maliyet Yönetimi, maliyetleri saptama ve verimliliğin kontrol edilmesi ile birlikte işletmenin rekabet gücünün korunması amacıyla maliyetlerin düşürülmesi konularında sürekli olarak yürütülen çalışmaları belirten bir kavramdır. Bu kapsamda yönetim muhasebesi uygulamalarının, stratejik işletme yönetimi yaklaşımı ile uyumlu hale getirilmesi söz konusudur.
Stratejik Maliyet Yönetimi; maliyetlerin etkili bir biçimde yönetimini, işletmenin dış çevresini ve işletme dışındaki dış çevre etmenlerini de dikkate alarak hareket edilmesini, düşük maliyetlere ulaşarak maliyet önderliği veya üstün ürünleri pazara sürerek ürün farklılaştırma stratejileriyle hareket edilebilirliği içeren maliyet analizini ve ürün maliyetlerinin hesaplanmasında faaliyetlerin dikkate alınmasını ve dağıtımların faaliyetlere göre faaliyet ölçüleri yardımıyla gerçekleştirilmesini öngören bir sistemi ifade etmektedir.
Stratejik Maliyet Yönetimi araçları olarak çeşitli yöntemler geliştirilmiştir. Söz konusu yöntemlerin belli başlı olanları aşağıdaki gibi sıralanabilir:
- Hedef Maliyetleme
- Faaliyet Tabanlı Maliyetleme
- Ürün Yaşam Dönemi Maliyetleri
- Maliyet Kıyaslama (Cost Benchmarking)
Sayılan yöntemlerden Hedef Maliyetleme yaklaşımı çalışmamızın konusu oluşturduğundan ilerleyen bölümlerde ayrıntılı olarak açıklanmıştır. Diğer stratejik maliyet yönetimi araçları ile ilgili olarak aşağıda kısaca açıklamalarda bulunulmuştur.
1. Faaliyet Tabanlı Maliyetleme
Mal ve hizmetlerin üretilmesinde işletmeye giren kaynakların çeşitli faaliyetlerde kullanılması ve bu faaliyetler sonucunda ürünün ortaya çıkması söz konusudur. Dolayısıyla üretimde esas olan kaynaklar değil bu kaynakların kullanıldığı faaliyetlerdir.
Faaliyet Tabanlı Maliyetleme yaklaşımına göre, kârlılığa ulaşmada ideal yol faaliyetlerin yönetimidir. Faaliyetlerin yönetilmesi amacı ise, faaliyet tabanlı bilgilere olan gereksinmeyi ortaya çıkartır. Faaliyet Tabanlı Maliyetleme Yöntemi, gerçekleştirilen faaliyetleri tanımlar, bu faaliyetlerle ilgili maliyetleri izler ve bu faaliyetlere ait maliyetlerin mamullere yüklenmesinde çeşitli maliyet dağıtım anahtarları kullanır. Bu dağıtım anahtarları, mamullerle ilgili faaliyet tüketimlerini yansıtır.
Kaynakların mal ve hizmet üretimi için ne şekilde tüketildiğinin ortaya konması ve faaliyetlerin maliyetleri üzerine yoğunlaşılması sayesinde işletmede maliyetlerin ne şekilde davrandığı ve maliyetlerin daha çok hangi faaliyetler neticesinde ortaya çıktığı daha iyi anlaşılabilmektedir. Bu sayede işletmeler maliyetlerini daha somut olarak faaliyetlerine ait maliyetleri kontrol edebilmektedirler.
Faaliyet Tabanlı Maliyetleme Yöntemi, işletmelerde temel faaliyet bilgileri ve bu faaliyetlerin ortaya koyduğu maliyet bilgileri ile uğraşmaktadır. Bu bilgiler, işletmede meydana gelebilecek değişikliklerin maliyetleri nasıl etkileyebileceği konusunda yöneticilere bilgi sağlamakta ve işletmelerin yönetim kontrol sistemlerini etkilemektedir.
2. Ürün Yaşam Dönemi Maliyetleri
Stratejik işletme yönetimi anlayışının gelişimi neticesinde ürün maliyetleri ile sadece üretim aşamasında ilgilenen geleneksel maliyet yaklaşımı işletmelerin stratejik amaçlarını desteklemekte yetersiz kalmıştır. Üretimin başlamasından önce katlanılan maliyetlerin önemli boyutlara ulaşması tasarım ve geliştirme gibi maliyetleri; mamulün tüketiciye yarattığı değerin göz önüne alınması da satış sonrası maliyetleri gündeme getirmektedir.
Ürünün yaşam dönemine üretim açısından bakmak mamul ömrü boyunca katlanılan maliyetleri göz önüne almayı gerektirir. Araştırma ve geliştirme aşamasında katlanılan planlama, tasarım ve test maliyetleri; üretim aşamasındaki dönüşüm maliyetleri ve ürünün satışıyla ilgili dağıtım, reklam, garanti, satış sonrası hizmetler gibi maliyetler yaşam dönemi maliyetleri kapsamında değerlendirilir.
Yaşam dönemine tüketim ömrü açısından da bakılabilir. Tüketim ömrü açısından satın alma, çalıştırma, bakım ve hurdaya çıkarma olarak dört aşamadan söz edilebilir. Bu nedenle müşteri tatmini denildiğinde sadece satın alma maliyetinden söz edilemez. Satın alma işleminden sonra katlanılacak maliyetler de müşteriler açısından oldukça önemli olduğundan bu aşamalardaki maliyetlerin denetlenebilmesi de oldukça önemlidir.
Ürün yaşam dönemi maliyetleri “değer zinciri” kavramıyla da ilgilidir. Müşteriye sunulan değerin sadece üretim aşamasını değil ürünün kulanım aşamalarını da kapsaması sağlanmalıdır. Bu nedenle mamul ömrünün tamamının ele alınması, mamul ve süreç tasarımları esnasındaki maliyet düşürme fırsatlarının incelenmesi, üretim, lojistik ve satış sonrası tüm faaliyetlerin, bu faaliyetlere ait maliyet etmenlerinin ve faaliyetlerin birbirleri ile olan ilişkilerinin anlaşılması çok önemlidir.
3. Maliyet Kıyaslama (Cost Benchmarking)
Kıyaslama (Benchmarking) kavramı işletme yönetiminde kullanılan yaklaşımlardan biri olarak işletmenin rakiplerinin en iyi uygulamalarını belirleyerek kendi süreçlerini yenilemesi ve iyileştirmesi çabalarıdır. Maliyet kıyaslama yaklaşımı da işletmenin kendi ürün maliyetlerini rakiplerle kıyaslaması ve stratejik amaçları doğrultusunda gereken iyileştirmeleri yapmasıdır.
Maliyet kıyaslama yaklaşımının diğer stratejik maliyet yönetimi araçları içerisinde hedef maliyetleme yaklaşımına yakın özellikler gösterdiği söylenebilir. Hedef maliyetlemede üretilen mamullerin maliyetine ilişkin geleceğe dönük bir belirleme söz konusudur. Maliyet kıyaslamada ise işletmenin mevcut maliyet yapısının rakiplerle kıyaslanması yapılır. Tabi ki bu maliyetler konusunda yapılan kıyaslamanın üretim süreçlerinin değerlendirilmesini ve iyileştirilmesini beraberinde getireceği söylenebilir.
Stratejik maliyet yönetimi çalışmaları, yukarıda değinilen yöntemlerden de görüldüğü üzere, mamulün tasarımı aşamasından başlayarak hammadde ve diğer girdilerin sağlanması, üretim aşamaları, ürünün müşteriye ulaştırılması ve ürünün ömrünü tamamlamasına kadarki zaman sürecinin tümünü göz önüne almak durumundadır. Bütün bu unsurlar ürünün yaşam dönemi boyunca müşteri açısından yaratacağı değerin arttırılması ve maliyetlerin düşürülmesine odaklanmalıdır.
Ürün yaşam dönemi maliyetlerinin saptanması ve müşteri için değerin maksimize edilmesi, maliyetlerin daha doğru bir şekilde saptanması amacıyla faaliyet tabanlı maliyetleme yönteminin kullanılması, maliyetlerin ve süreçlerin rakiplerle kıyaslanarak düşürülmesi çabaları stratejik maliyet yönetiminin unsurlarıdır. Bütün bu yaklaşımların pazarı ve müşteri tercihlerini temel alan hedef maliyetleme yaklaşımı çerçevesinde ele alınması gerekir.
Kaynaklar:
YÜZBAŞIOĞLU Nedim, İşletmelerde Stratejik Yönetim ve Planlama Açısından Stratejik maliyet Yönetimi ve Enstrümanları, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 2004 Sayı 12
HACIRÜSTEMOĞLU Rüstem, ŞAKRAK Münir, Maliyet Muhasebesinde Güncel Yaklaşımlar, Türkmen Yayınları, İstanbul, 2002
KARACAN Sami, ASLANOĞLU Suphi, Faaliyet Tabanlı Maliyetleme Yönteminin Temel Mali Tablolar Üzerindeki Etkileri. Muhasebe ve Denetime Bakış Dergisi. Eylül 2005
BRADLEY Gerry, MAZIERIN Con, An Introduction to Activity Based Costing and Activity Based Budgeting, www.tefma.com/infoservices/papers/2002_AAPPA_Brisbane/G_Bradley.pdf
BASIK Feryal Orhon, TÜRKER İpek, Stratejik Maliyet Analizi ve Yönetimi, V. Ulusal Üretim Araştırmaları Sempozyumu, İstanbul Ticaret Üniversitesi, 25-27 Kasım 2005
Stratejik Maliyet Yönetimi; maliyetlerin etkili bir biçimde yönetimini, işletmenin dış çevresini ve işletme dışındaki dış çevre etmenlerini de dikkate alarak hareket edilmesini, düşük maliyetlere ulaşarak maliyet önderliği veya üstün ürünleri pazara sürerek ürün farklılaştırma stratejileriyle hareket edilebilirliği içeren maliyet analizini ve ürün maliyetlerinin hesaplanmasında faaliyetlerin dikkate alınmasını ve dağıtımların faaliyetlere göre faaliyet ölçüleri yardımıyla gerçekleştirilmesini öngören bir sistemi ifade etmektedir.
Stratejik Maliyet Yönetimi araçları olarak çeşitli yöntemler geliştirilmiştir. Söz konusu yöntemlerin belli başlı olanları aşağıdaki gibi sıralanabilir:
- Hedef Maliyetleme
- Faaliyet Tabanlı Maliyetleme
- Ürün Yaşam Dönemi Maliyetleri
- Maliyet Kıyaslama (Cost Benchmarking)
Sayılan yöntemlerden Hedef Maliyetleme yaklaşımı çalışmamızın konusu oluşturduğundan ilerleyen bölümlerde ayrıntılı olarak açıklanmıştır. Diğer stratejik maliyet yönetimi araçları ile ilgili olarak aşağıda kısaca açıklamalarda bulunulmuştur.
1. Faaliyet Tabanlı Maliyetleme
Mal ve hizmetlerin üretilmesinde işletmeye giren kaynakların çeşitli faaliyetlerde kullanılması ve bu faaliyetler sonucunda ürünün ortaya çıkması söz konusudur. Dolayısıyla üretimde esas olan kaynaklar değil bu kaynakların kullanıldığı faaliyetlerdir.
Faaliyet Tabanlı Maliyetleme yaklaşımına göre, kârlılığa ulaşmada ideal yol faaliyetlerin yönetimidir. Faaliyetlerin yönetilmesi amacı ise, faaliyet tabanlı bilgilere olan gereksinmeyi ortaya çıkartır. Faaliyet Tabanlı Maliyetleme Yöntemi, gerçekleştirilen faaliyetleri tanımlar, bu faaliyetlerle ilgili maliyetleri izler ve bu faaliyetlere ait maliyetlerin mamullere yüklenmesinde çeşitli maliyet dağıtım anahtarları kullanır. Bu dağıtım anahtarları, mamullerle ilgili faaliyet tüketimlerini yansıtır.
Kaynakların mal ve hizmet üretimi için ne şekilde tüketildiğinin ortaya konması ve faaliyetlerin maliyetleri üzerine yoğunlaşılması sayesinde işletmede maliyetlerin ne şekilde davrandığı ve maliyetlerin daha çok hangi faaliyetler neticesinde ortaya çıktığı daha iyi anlaşılabilmektedir. Bu sayede işletmeler maliyetlerini daha somut olarak faaliyetlerine ait maliyetleri kontrol edebilmektedirler.
Faaliyet Tabanlı Maliyetleme Yöntemi, işletmelerde temel faaliyet bilgileri ve bu faaliyetlerin ortaya koyduğu maliyet bilgileri ile uğraşmaktadır. Bu bilgiler, işletmede meydana gelebilecek değişikliklerin maliyetleri nasıl etkileyebileceği konusunda yöneticilere bilgi sağlamakta ve işletmelerin yönetim kontrol sistemlerini etkilemektedir.
2. Ürün Yaşam Dönemi Maliyetleri
Stratejik işletme yönetimi anlayışının gelişimi neticesinde ürün maliyetleri ile sadece üretim aşamasında ilgilenen geleneksel maliyet yaklaşımı işletmelerin stratejik amaçlarını desteklemekte yetersiz kalmıştır. Üretimin başlamasından önce katlanılan maliyetlerin önemli boyutlara ulaşması tasarım ve geliştirme gibi maliyetleri; mamulün tüketiciye yarattığı değerin göz önüne alınması da satış sonrası maliyetleri gündeme getirmektedir.
Ürünün yaşam dönemine üretim açısından bakmak mamul ömrü boyunca katlanılan maliyetleri göz önüne almayı gerektirir. Araştırma ve geliştirme aşamasında katlanılan planlama, tasarım ve test maliyetleri; üretim aşamasındaki dönüşüm maliyetleri ve ürünün satışıyla ilgili dağıtım, reklam, garanti, satış sonrası hizmetler gibi maliyetler yaşam dönemi maliyetleri kapsamında değerlendirilir.
Yaşam dönemine tüketim ömrü açısından da bakılabilir. Tüketim ömrü açısından satın alma, çalıştırma, bakım ve hurdaya çıkarma olarak dört aşamadan söz edilebilir. Bu nedenle müşteri tatmini denildiğinde sadece satın alma maliyetinden söz edilemez. Satın alma işleminden sonra katlanılacak maliyetler de müşteriler açısından oldukça önemli olduğundan bu aşamalardaki maliyetlerin denetlenebilmesi de oldukça önemlidir.
Ürün yaşam dönemi maliyetleri “değer zinciri” kavramıyla da ilgilidir. Müşteriye sunulan değerin sadece üretim aşamasını değil ürünün kulanım aşamalarını da kapsaması sağlanmalıdır. Bu nedenle mamul ömrünün tamamının ele alınması, mamul ve süreç tasarımları esnasındaki maliyet düşürme fırsatlarının incelenmesi, üretim, lojistik ve satış sonrası tüm faaliyetlerin, bu faaliyetlere ait maliyet etmenlerinin ve faaliyetlerin birbirleri ile olan ilişkilerinin anlaşılması çok önemlidir.
3. Maliyet Kıyaslama (Cost Benchmarking)
Kıyaslama (Benchmarking) kavramı işletme yönetiminde kullanılan yaklaşımlardan biri olarak işletmenin rakiplerinin en iyi uygulamalarını belirleyerek kendi süreçlerini yenilemesi ve iyileştirmesi çabalarıdır. Maliyet kıyaslama yaklaşımı da işletmenin kendi ürün maliyetlerini rakiplerle kıyaslaması ve stratejik amaçları doğrultusunda gereken iyileştirmeleri yapmasıdır.
Maliyet kıyaslama yaklaşımının diğer stratejik maliyet yönetimi araçları içerisinde hedef maliyetleme yaklaşımına yakın özellikler gösterdiği söylenebilir. Hedef maliyetlemede üretilen mamullerin maliyetine ilişkin geleceğe dönük bir belirleme söz konusudur. Maliyet kıyaslamada ise işletmenin mevcut maliyet yapısının rakiplerle kıyaslanması yapılır. Tabi ki bu maliyetler konusunda yapılan kıyaslamanın üretim süreçlerinin değerlendirilmesini ve iyileştirilmesini beraberinde getireceği söylenebilir.
Stratejik maliyet yönetimi çalışmaları, yukarıda değinilen yöntemlerden de görüldüğü üzere, mamulün tasarımı aşamasından başlayarak hammadde ve diğer girdilerin sağlanması, üretim aşamaları, ürünün müşteriye ulaştırılması ve ürünün ömrünü tamamlamasına kadarki zaman sürecinin tümünü göz önüne almak durumundadır. Bütün bu unsurlar ürünün yaşam dönemi boyunca müşteri açısından yaratacağı değerin arttırılması ve maliyetlerin düşürülmesine odaklanmalıdır.
Ürün yaşam dönemi maliyetlerinin saptanması ve müşteri için değerin maksimize edilmesi, maliyetlerin daha doğru bir şekilde saptanması amacıyla faaliyet tabanlı maliyetleme yönteminin kullanılması, maliyetlerin ve süreçlerin rakiplerle kıyaslanarak düşürülmesi çabaları stratejik maliyet yönetiminin unsurlarıdır. Bütün bu yaklaşımların pazarı ve müşteri tercihlerini temel alan hedef maliyetleme yaklaşımı çerçevesinde ele alınması gerekir.
Kaynaklar:
YÜZBAŞIOĞLU Nedim, İşletmelerde Stratejik Yönetim ve Planlama Açısından Stratejik maliyet Yönetimi ve Enstrümanları, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 2004 Sayı 12
HACIRÜSTEMOĞLU Rüstem, ŞAKRAK Münir, Maliyet Muhasebesinde Güncel Yaklaşımlar, Türkmen Yayınları, İstanbul, 2002
KARACAN Sami, ASLANOĞLU Suphi, Faaliyet Tabanlı Maliyetleme Yönteminin Temel Mali Tablolar Üzerindeki Etkileri. Muhasebe ve Denetime Bakış Dergisi. Eylül 2005
BRADLEY Gerry, MAZIERIN Con, An Introduction to Activity Based Costing and Activity Based Budgeting, www.tefma.com/infoservices/papers/2002_AAPPA_Brisbane/G_Bradley.pdf
BASIK Feryal Orhon, TÜRKER İpek, Stratejik Maliyet Analizi ve Yönetimi, V. Ulusal Üretim Araştırmaları Sempozyumu, İstanbul Ticaret Üniversitesi, 25-27 Kasım 2005
2 Ağustos 2010 Pazartesi
İÇ DENETİM FAALİYETİNDE ÖZ DEĞERLENDİRME
İç denetim faaliyetinin kendini değerlendirmesi günlük rutin faaliyetlerden birisi olmalıdır. Değerlendirme çalışmaları; iç denetim çalışmalarının gözden geçirilmesi, cheklist’ler, geribildirim alınması ve bütçeler yoluyla sağlanabilir.
Periyodik değerlendirmeler rutin yapılanlar dışındaki iç denetimin standartlara ve düzenlemelere uygunluğu, etkinliği ve verimliliğinin değerlendirilmesi çalışmalarını içerir. Periyodik değerlendirmeler içerisinde aşağıdaki unsurlar sayılabilir.
- Sürekli gözden geçirme dışında menfaat sahiplerinden daha doğrudan bir geribildirim alınması (anket veya mülakat yoluyla v.b.)
- Kendi kendini değerlendirme (self-assessment)
- İç denetimin diğer denetim mesleğindeki profesyoneller tarafından değerlendirilmesi
- Denetim mesleğindeki profesyoneller tarafından incelenmek üzere iç denetim biriminin materyalleri ve belgeleri hazırlaması,
- Benchmarking
İç denetim yöneticisi; değerlendirme sonucu ulaşılan sonuçları, aksiyon planlarını ve uygulama ile ilgili diğer bilgileri, üst yönetim, yönetim kurulu ve dış denetçilerle paylaşır.
Performans ölçüm süreci aşağıdaki unsurları içermektedir. Bu ölçütlerin kullanımı iç değerlendirmenin bir unsurudur.
- Kritik performans göstergelerinin belirlenmesi (Menfaat sahiplerinin memnuniyeti, denetim süreçleri, yenilikçilik ve yeterlilik)
- Performans kategorileriyle ilgili stratejilerin ve ölçülerin belirlenmesi
- Performans ölçüleriyle ilgili gözden geçirme, analiz ve raporlama için bir süreç oluşturulması
Performans ölçüm kriterleri iç denetim biriminin büyüklüğü ile organizasyonun bulunduğu endüstri vb. spesifik konular dikkate alınarak belirlenmelidir. Stratejilerin ve ölçülerin belirlenmesinde aşağıdaki esaslardan faydalanılabilir;
- Mesleki standartlar
- Organizasyonun ve iç denetim biriminin stratejik planları
- Kanunlar, yasal düzenlemeler ve diğer düzenlemeler
- İç denetim biriminin misyonu ve yönetmeliği,
- Menfaat sahiplerinin tatmin düzeyinin analiz edilmesi
İç denetim biriminin müşterileri durumundaki ana menfaat sahipleri; yönetim kurulu, üst yönetim ve operasyonel yöneticiler gibi iç müşterilerle yasal düzenleyici kurumlar ve dış denetçiler gibi dış müşterileri kapsar. İç denetim yöneticisi iç denetimin faaliyetleriyle ilgili menfaat sahiplerini ve bunların ihtiyaç duyabileceği ürün ve hizmetleri belirlemelidir. Daha sonra bu menfaat sahiplerinin çalışmalardan tatmin olup olmadıkları belirlenir. Tatmin düzeyinde düşüklük olması durumunda aksiyon planları oluşturulur. Bu süreçle ilgili olarak; menfaat sahipleriyle olan ilişkiler, organizasyonun niteliği ve yasal düzenlemelerin derecesi konuları göz önüne alınır.
Denetim süreçleriyle ilgili performans ölçüm kategorilerinin tanımlanmasında İç denetçiler enstitüsünün performans standartları ile iç denetim biriminin yönetmeliği dikkate alınır. Bunlara örnek olarak; risk değerlendirme/denetim planlaması, denetimin planlanması ve yürütülmesi, sonuçların iletilmesi ve raporlama konuları verilebilir.
Yenilikçilik ve yeterlilik (innovation and capabilities) konularında performans ölçüm kategorilerinin belirlenmesinde Nitelik ve Performans standartları göz önünde bulundurulur. Bunlara örnek olarak ise; eğitim, teknoloji kullanımı ve endüstri bilgisi verilebilir.
Ölçüm kriterleri belirlenen amaçların gerçekleştirilmesini motive edecek ve başarı düzeyinin ölçülmesine uygun şekilde belirlenmelidir. Performans ölçüleri; standartlarla, stratejik amaçlarla, kanun ve yasal düzenlemelerle uyumlu olmalıdır. Ölçüler sayısal olabileceği gibi nitelik üzerine de olabilir.
Ulaşılan sonuçlar anahtar menfaat sahiplerine raporlanmalıdır. Ayrıca denetim komitesine yıllık faaliyet raporu sunulmalıdır.
Periyodik değerlendirmeler rutin yapılanlar dışındaki iç denetimin standartlara ve düzenlemelere uygunluğu, etkinliği ve verimliliğinin değerlendirilmesi çalışmalarını içerir. Periyodik değerlendirmeler içerisinde aşağıdaki unsurlar sayılabilir.
- Sürekli gözden geçirme dışında menfaat sahiplerinden daha doğrudan bir geribildirim alınması (anket veya mülakat yoluyla v.b.)
- Kendi kendini değerlendirme (self-assessment)
- İç denetimin diğer denetim mesleğindeki profesyoneller tarafından değerlendirilmesi
- Denetim mesleğindeki profesyoneller tarafından incelenmek üzere iç denetim biriminin materyalleri ve belgeleri hazırlaması,
- Benchmarking
İç denetim yöneticisi; değerlendirme sonucu ulaşılan sonuçları, aksiyon planlarını ve uygulama ile ilgili diğer bilgileri, üst yönetim, yönetim kurulu ve dış denetçilerle paylaşır.
Performans ölçüm süreci aşağıdaki unsurları içermektedir. Bu ölçütlerin kullanımı iç değerlendirmenin bir unsurudur.
- Kritik performans göstergelerinin belirlenmesi (Menfaat sahiplerinin memnuniyeti, denetim süreçleri, yenilikçilik ve yeterlilik)
- Performans kategorileriyle ilgili stratejilerin ve ölçülerin belirlenmesi
- Performans ölçüleriyle ilgili gözden geçirme, analiz ve raporlama için bir süreç oluşturulması
Performans ölçüm kriterleri iç denetim biriminin büyüklüğü ile organizasyonun bulunduğu endüstri vb. spesifik konular dikkate alınarak belirlenmelidir. Stratejilerin ve ölçülerin belirlenmesinde aşağıdaki esaslardan faydalanılabilir;
- Mesleki standartlar
- Organizasyonun ve iç denetim biriminin stratejik planları
- Kanunlar, yasal düzenlemeler ve diğer düzenlemeler
- İç denetim biriminin misyonu ve yönetmeliği,
- Menfaat sahiplerinin tatmin düzeyinin analiz edilmesi
İç denetim biriminin müşterileri durumundaki ana menfaat sahipleri; yönetim kurulu, üst yönetim ve operasyonel yöneticiler gibi iç müşterilerle yasal düzenleyici kurumlar ve dış denetçiler gibi dış müşterileri kapsar. İç denetim yöneticisi iç denetimin faaliyetleriyle ilgili menfaat sahiplerini ve bunların ihtiyaç duyabileceği ürün ve hizmetleri belirlemelidir. Daha sonra bu menfaat sahiplerinin çalışmalardan tatmin olup olmadıkları belirlenir. Tatmin düzeyinde düşüklük olması durumunda aksiyon planları oluşturulur. Bu süreçle ilgili olarak; menfaat sahipleriyle olan ilişkiler, organizasyonun niteliği ve yasal düzenlemelerin derecesi konuları göz önüne alınır.
Denetim süreçleriyle ilgili performans ölçüm kategorilerinin tanımlanmasında İç denetçiler enstitüsünün performans standartları ile iç denetim biriminin yönetmeliği dikkate alınır. Bunlara örnek olarak; risk değerlendirme/denetim planlaması, denetimin planlanması ve yürütülmesi, sonuçların iletilmesi ve raporlama konuları verilebilir.
Yenilikçilik ve yeterlilik (innovation and capabilities) konularında performans ölçüm kategorilerinin belirlenmesinde Nitelik ve Performans standartları göz önünde bulundurulur. Bunlara örnek olarak ise; eğitim, teknoloji kullanımı ve endüstri bilgisi verilebilir.
Ölçüm kriterleri belirlenen amaçların gerçekleştirilmesini motive edecek ve başarı düzeyinin ölçülmesine uygun şekilde belirlenmelidir. Performans ölçüleri; standartlarla, stratejik amaçlarla, kanun ve yasal düzenlemelerle uyumlu olmalıdır. Ölçüler sayısal olabileceği gibi nitelik üzerine de olabilir.
Ulaşılan sonuçlar anahtar menfaat sahiplerine raporlanmalıdır. Ayrıca denetim komitesine yıllık faaliyet raporu sunulmalıdır.
12 Temmuz 2010 Pazartesi
İÇ DENETİMDE PLANLAMA
İç denetim birimi için planlama işlevi iç denetim yönetmeliği ve organizasyonel amaçların gereğidir. Planlama yapılarak denetimle ilgili amaçlar, çalışma planları, personel ve finansal bütçeler, faaliyet raporlar oluşturulur. Çalışma planları neyin, ne zaman ve ne kadar sürede yapılacağına cevap verir.
Çalışma planlarında nelere öncelik verileceğine önceki denetim sonuçlarından işletmenin faaliyetlerindeki önemli değişikliklere kadar çeşitli faktörlerin gözden geçirilmesi sonucu karar verilir. Denetim için belirlenen amaçların; plan ve bütçelerle uyumlu, ölçülebilir, belirli bir tarih ve kriter içerecek şekilde olması önemlidir.
Denetim Planlarının Risklerle İlişkilendirilmesi
İç denetim bplanları belirlenen riskler temelinde oluşturulmalıdır. Amaç riskleri azaltacak bilgileri sağlamaktır. Riskleri belirlemek amacıyla değişik risk modelleri kullanılabilir. Çoğu risk modeli risk faktörleri (kontrollerin kalitesi, önemlilik v.b.) esas alınarak oluşturulmuştur.
Denetim çalışmalarına konu alınacak denetim evreni işletmenin stratejik planının unsurlarını içerebilir. Dolayısıyla; genel iş hedefleri, risk alma iştahı, amaçlara ulaşmanın zorlukları, risk yönetimi faaliyetlerinin sonuçları gibi unsurlar denetim konusuna girebilir. Denetim evreni ve denetim planı gerektiğinde güncellenmelidir.
Denetim sırasında yapılacak testler risklerin önemlilik ve olasılıklarına göre oluşturulmalıdır. Ayrıca raporlamalar da risklerin önemi ve sonuçlarını tanımlayacak şekilde olmalıdır. Risklerle ilgili kontrollerin yeterliliği ile ilgili olarak iç denetim yöneticisi tarafından yıllık olarak raporlama yapmalıdır.
Planların Duyurulması
İç denetim yöneticisi en azından yıllık olarak iç denetim biriminin çalışma planı, personel ve finansal bütçesini üst yönetim ve yönetim kurulu ile paylaşarak onaylarını almalıdır. Ayrıca dönem içerisindeki önemli değişiklikler aynı şekilde onaya sunulmalıdır.
Onaylanan planlar önemli değişikliklerle birlikte üst yönetime iç denetim faaliyetinin amaçlarının ve planlarının organizasyon amaçlarına ulaşılmasını destekleyecek nitelikte olduğu konusunda bilgi vermelidir.
Çalışma planlarında nelere öncelik verileceğine önceki denetim sonuçlarından işletmenin faaliyetlerindeki önemli değişikliklere kadar çeşitli faktörlerin gözden geçirilmesi sonucu karar verilir. Denetim için belirlenen amaçların; plan ve bütçelerle uyumlu, ölçülebilir, belirli bir tarih ve kriter içerecek şekilde olması önemlidir.
Denetim Planlarının Risklerle İlişkilendirilmesi
İç denetim bplanları belirlenen riskler temelinde oluşturulmalıdır. Amaç riskleri azaltacak bilgileri sağlamaktır. Riskleri belirlemek amacıyla değişik risk modelleri kullanılabilir. Çoğu risk modeli risk faktörleri (kontrollerin kalitesi, önemlilik v.b.) esas alınarak oluşturulmuştur.
Denetim çalışmalarına konu alınacak denetim evreni işletmenin stratejik planının unsurlarını içerebilir. Dolayısıyla; genel iş hedefleri, risk alma iştahı, amaçlara ulaşmanın zorlukları, risk yönetimi faaliyetlerinin sonuçları gibi unsurlar denetim konusuna girebilir. Denetim evreni ve denetim planı gerektiğinde güncellenmelidir.
Denetim sırasında yapılacak testler risklerin önemlilik ve olasılıklarına göre oluşturulmalıdır. Ayrıca raporlamalar da risklerin önemi ve sonuçlarını tanımlayacak şekilde olmalıdır. Risklerle ilgili kontrollerin yeterliliği ile ilgili olarak iç denetim yöneticisi tarafından yıllık olarak raporlama yapmalıdır.
Planların Duyurulması
İç denetim yöneticisi en azından yıllık olarak iç denetim biriminin çalışma planı, personel ve finansal bütçesini üst yönetim ve yönetim kurulu ile paylaşarak onaylarını almalıdır. Ayrıca dönem içerisindeki önemli değişiklikler aynı şekilde onaya sunulmalıdır.
Onaylanan planlar önemli değişikliklerle birlikte üst yönetime iç denetim faaliyetinin amaçlarının ve planlarının organizasyon amaçlarına ulaşılmasını destekleyecek nitelikte olduğu konusunda bilgi vermelidir.
6 Temmuz 2010 Salı
İÇ DENETİMİN FELSEFESİ - 2
Lawrance B. Sawyer’ın “The Internal Auditor” derginin Ağustos 1995 sayısındaki makalesinden özetlenmiştir.
6. Size ilk söylenene inanmayın!İç denetçiler öncelikle bilgi toplayıcıdırlar. Bilgiler yazılı evrak olarak veya sözlü şekilde alınabilir. Özellikle sözlü alınan bilgilerin doğruluğu kontrol edilmelidir. Bilgi alınan kişi konuya hakim olmayabilir, yalan söyleyebilir, yanılabilir vs. Sebepleri çoğaltmak mümkündür. Aynı şekilde belgelerde yer alan bilgilerin de doğruluğunun ve mantıklılığının kontrol edilmesi gerekir.
7. Soru sormayı bilmek gerekİç denetçilerin bilgi toplarken kullandıkları en önemli araçlardan birisi sorular sormaktır. Bu yüzden soru sormayı bilmek gerekir. En basit görülen soruların dahi sorulmasından çekinilmemeli. Bazen basit sorulardan önemli bulgular çıkabilir.
Denetçiler kesinlikle varsayımlardan uzak durmalıdırlar. Karışıklıklar varsayımlardan türer. Varsayımlara dayalı cevaplar kabul edilmemeli, detaya inilerek konu netleştirilmelidir. Ayrıca hiçbir görüşmeye hazırlıksız gidilmemelidir. Muhakkak konuyla ilgili ön çalışma yapılmalıdır.
En tecrübeli ve bilgili denetçiler bile bir fonksiyonun/faaliyetin/birimin etkin ve verimli olup olmadığını bilemeyebilir veya bunu değerlendirmede zorluk yaşayabilir. Ancak ilgili yönetici sorumlusu olduğu alanı bilmek zorundadır. Sorulabilecek en etkili sorulardan birisi yöneticinin birimin faaliyet sonuçlarından tatmin olup olmadığıdır. Denetlenen birim veya faaliyetle ilgili en etkili iç kontrol bilgili bir yöneticidir. Yöneticinin konusuna hakimiyeti denetimin kapsamını planlamada denetçi için temel bir göstergedir.
8. Kurum kültürü ve politikalar genelde kurallara ve düzenlemelere galip gelir
Politikalar, kurum içerisinde gücün kullanımını, kültür ise yerleşmiş gelenekleri ve alışkanlıkları ifade eder. Her ne kadar doğru kurallar oluşturulsa da şirketin politika ve kültürü bir süre sonra bu kuraların işleyişine engel olabilir. Denetim biriminin başındaki kişinin organizasyondaki politika ve kültürün denetim sonuçlarının uygulanmasını engelleyebileceğini göz önüne alması uygun olur. Denetim sonuçları için yönetim ikna edilirken yerleşik politikaların anlaşılmış olması gerekir.
9. Başkalarını eleştirirken denetçi önce kendine bakmalıdır
Daha önce belirtildiği gibi denetim eleştirme işidir. Denetlenen kişilerin eleştiriye pek sıcak bakmadıkları gibi denetçinin herhangi bir eksikliğini yakaladıklarında denetçiyi eleştirmekten geri kalmayacakları unutulmamalıdır. Hataları ve yanlışları engellemek denetçi için ek zaman maliyetidir ancak sonuçları buna değer. Aşağıda temel hatalar ve engellenmesiyle ilgili tavsiyeler verilmiştir.
Denetim Tespitleri: Denetimde yapılan tespitlerin; eğer belirli standartlara açık şekilde aykırılıklar varsa ispatı kolay olacak, eğer aykırılıklar o kadar net değilse itirazlar gelebilecektir. Bunun için her bir tespitle ilgili tüm süreç tam olarak belgelendirilmeli ve ispata hazır olunmalıdır.
Kapanış Görüşmesi: Kapanış görüşmesi sırasında denetlenen taraf bazı tespitlere veya tespitlerin tümüne itiraz edebilir. Rapordaki tüm tespitlerin kısa sürede müzakere edilebilmesi ve ispatı için raporla çalışma kağıtlarının referanslı olması faydalıdır.
Denetim Raporu: Denetim raporu yapılan işin nihai çıktısıdır ve hatasız olmalıdır. Taslak raporla uyumu, numaralandırma, başlıklar, referanslar, yazım hataları gibi hususlar ikinci bir göz tarafından incelenmelidir.
Bakış Açısı (Perpective): Denetim raporu ile ilgili son konu bakış açısıdır. Pek çok organizasyonda denetim raporları yalnızca hata ve eksiklikleri belirtecek şekilde düzenlenmektedir. Ancak olması gereken konusunda bir bakış açısı sunmamaktadır. Raporda olması gerekene dair bakış açısı sunmak denetim hakkında olumlu bir izlenim yaratacaktır.
10. Murphy iyimser düşünmüş!
Murphy’nin şu deyişi ünlüdür: “Eğer bir şeyin yanlış gitme ihtimali varsa, gidecektir.” Murphy biraz iyimser konuşmuş. Bazen yanlış gitmesi imkansız sanılan şeyler de yanlış gidebilir. Dolayısıyla iç denetçi her zaman her şeye hazırlıklı olmalıdır.
6. Size ilk söylenene inanmayın!İç denetçiler öncelikle bilgi toplayıcıdırlar. Bilgiler yazılı evrak olarak veya sözlü şekilde alınabilir. Özellikle sözlü alınan bilgilerin doğruluğu kontrol edilmelidir. Bilgi alınan kişi konuya hakim olmayabilir, yalan söyleyebilir, yanılabilir vs. Sebepleri çoğaltmak mümkündür. Aynı şekilde belgelerde yer alan bilgilerin de doğruluğunun ve mantıklılığının kontrol edilmesi gerekir.
7. Soru sormayı bilmek gerekİç denetçilerin bilgi toplarken kullandıkları en önemli araçlardan birisi sorular sormaktır. Bu yüzden soru sormayı bilmek gerekir. En basit görülen soruların dahi sorulmasından çekinilmemeli. Bazen basit sorulardan önemli bulgular çıkabilir.
Denetçiler kesinlikle varsayımlardan uzak durmalıdırlar. Karışıklıklar varsayımlardan türer. Varsayımlara dayalı cevaplar kabul edilmemeli, detaya inilerek konu netleştirilmelidir. Ayrıca hiçbir görüşmeye hazırlıksız gidilmemelidir. Muhakkak konuyla ilgili ön çalışma yapılmalıdır.
En tecrübeli ve bilgili denetçiler bile bir fonksiyonun/faaliyetin/birimin etkin ve verimli olup olmadığını bilemeyebilir veya bunu değerlendirmede zorluk yaşayabilir. Ancak ilgili yönetici sorumlusu olduğu alanı bilmek zorundadır. Sorulabilecek en etkili sorulardan birisi yöneticinin birimin faaliyet sonuçlarından tatmin olup olmadığıdır. Denetlenen birim veya faaliyetle ilgili en etkili iç kontrol bilgili bir yöneticidir. Yöneticinin konusuna hakimiyeti denetimin kapsamını planlamada denetçi için temel bir göstergedir.
8. Kurum kültürü ve politikalar genelde kurallara ve düzenlemelere galip gelir
Politikalar, kurum içerisinde gücün kullanımını, kültür ise yerleşmiş gelenekleri ve alışkanlıkları ifade eder. Her ne kadar doğru kurallar oluşturulsa da şirketin politika ve kültürü bir süre sonra bu kuraların işleyişine engel olabilir. Denetim biriminin başındaki kişinin organizasyondaki politika ve kültürün denetim sonuçlarının uygulanmasını engelleyebileceğini göz önüne alması uygun olur. Denetim sonuçları için yönetim ikna edilirken yerleşik politikaların anlaşılmış olması gerekir.
9. Başkalarını eleştirirken denetçi önce kendine bakmalıdır
Daha önce belirtildiği gibi denetim eleştirme işidir. Denetlenen kişilerin eleştiriye pek sıcak bakmadıkları gibi denetçinin herhangi bir eksikliğini yakaladıklarında denetçiyi eleştirmekten geri kalmayacakları unutulmamalıdır. Hataları ve yanlışları engellemek denetçi için ek zaman maliyetidir ancak sonuçları buna değer. Aşağıda temel hatalar ve engellenmesiyle ilgili tavsiyeler verilmiştir.
Denetim Tespitleri: Denetimde yapılan tespitlerin; eğer belirli standartlara açık şekilde aykırılıklar varsa ispatı kolay olacak, eğer aykırılıklar o kadar net değilse itirazlar gelebilecektir. Bunun için her bir tespitle ilgili tüm süreç tam olarak belgelendirilmeli ve ispata hazır olunmalıdır.
Kapanış Görüşmesi: Kapanış görüşmesi sırasında denetlenen taraf bazı tespitlere veya tespitlerin tümüne itiraz edebilir. Rapordaki tüm tespitlerin kısa sürede müzakere edilebilmesi ve ispatı için raporla çalışma kağıtlarının referanslı olması faydalıdır.
Denetim Raporu: Denetim raporu yapılan işin nihai çıktısıdır ve hatasız olmalıdır. Taslak raporla uyumu, numaralandırma, başlıklar, referanslar, yazım hataları gibi hususlar ikinci bir göz tarafından incelenmelidir.
Bakış Açısı (Perpective): Denetim raporu ile ilgili son konu bakış açısıdır. Pek çok organizasyonda denetim raporları yalnızca hata ve eksiklikleri belirtecek şekilde düzenlenmektedir. Ancak olması gereken konusunda bir bakış açısı sunmamaktadır. Raporda olması gerekene dair bakış açısı sunmak denetim hakkında olumlu bir izlenim yaratacaktır.
10. Murphy iyimser düşünmüş!
Murphy’nin şu deyişi ünlüdür: “Eğer bir şeyin yanlış gitme ihtimali varsa, gidecektir.” Murphy biraz iyimser konuşmuş. Bazen yanlış gitmesi imkansız sanılan şeyler de yanlış gidebilir. Dolayısıyla iç denetçi her zaman her şeye hazırlıklı olmalıdır.
22 Haziran 2010 Salı
İÇ DENETİMİN FELSEFESİ - 1
Lawrance B. Sawyer’ın “The Internal Auditor” derginin Ağustos 1995 sayısındaki makalesinden özetlenmiştir.
1. Gittiğiniz yeri eskisinden daha iyi bir hale getirin
İç denetimden beklenen nedir? İç denetim tanımında ve literatürde değişik yorumlar görünse de nihai olarak şu sonuca varabiliriz: iç denetim; bir kurumun patronu eğer zamanı ve bilgisi olsaydı süreçlerde iyileştirme adına neler yapacak idiyse onları yapmaktır. Bu, iç denetçiyi üst yönetimin yerine koyar. İç denetçinin amacı gittiği kurumda bir şeylerin eskisinden daha iyi olmasını sağlamaktır. Faaliyetlerin daha verimli olması için bir yol bulmak, bir suiistimali ortaya çıkarmak, riskli noktaları belirlemek gibi işlerin tümü kurumun eskisinden daha iyi bir noktaya gelmesine yardım edecektir.
2. Diz üstü çökmüşken uygun adım yürünmez!
İç denetimin kendisinden beklenen görevleri yapabilecek gerekli etkinliğe sahip olması, uygun bir otoritenin desteği ile mümkündür. Üst yönetimin, yönetim kurulunun destekleri ve kurum içinde saygı duyulan ve etkili bir birime raporlama yapılması gereklidir.
İç denetime sağlanan destek kesin ve görünür olmalıdır. İç denetime statü sağlayacak, gerekli bilgi ve personele engelsiz erişimini mümkün kılacak bir yönetmelik işin temelidir. Yönetmeliğin üst yönetimce onaylanması gerekir. Denetim bulgularına yönetim tarafından önem verilmelidir.
Tüm bunların olabilmesi için ise iç denetim biriminin ne yaptığını bilen, objektif ve etkili imajını oluşturması ve koruması gereklidir.
3. Hedefleri/Amaçları iyi bilmek gerekir
Denetlenen her bir faaliyetin, şirketin veya birimin amacı, misyonu, hedefi doğru bir şekilde kavranmalıdır. Burada operasyonel amaçlardan söz etmiyoruz. Her bir denetim konusunun temelinde yatan ana amacı anlamak lazımdır.
Örneğin “Ticari Borçlar” hesabının izlenmesinin amacı sorulduğunda çoğu kişi fatura ödemelerinin takip edilmesi şeklinde cevap vermektedir. Oysa temelde düşünüldüğünde bu anlayış yanlıştır. Ticari Borçlar hesabının amacı ödemelerin yapılmasını veya yapılmamasını belirlemektir. Bu hesapta izlenen bakiyelerin işletmeye gerçekten alınmış ve gerekli niteliklere sahip girdileri içermesi gerekir. Denetim sırasında ticari borçlar hesabına bu gözle bakılmalıdır.
4. Yaptığınız işin sonuçlarını satamazsanız hiçbir şey değişmez!
İç denetimin temel işlevi eleştirmektir. Ancak kimsenin eleştirilmeyi sevdiği söylenemez. İç denetimin bir yönü de yapılan denetim sonucunda alınması gereken düzeltici önlemleri uygun bir dille ve ikna edici şekilde kabul ettirmektir. Denetlenen tarafla karşılıklı olarak problemlerin çözümüne yönelik bir ortaklık oluşturulması önemlidir. Bu da yapılan işin satılmasıdır. Bu satış denetlenen kuruma ilk giriş anından düzeltici faaliyetlerin yapılmasına kadar devam eder.
5. Bulunan her eksiklik derinlemesine araştırıldığında “iyi yönetim” ilkelerinden birisinin ihlal edildiği ortaya çıkacaktır
Peter Drucker’a bir seferinde ABD’deki şirketlerin yalnızca %3-5’inin doğru yönetildiğine dair sözü hatırlatıldığında “o gün fazla iyimser konuşmuşum” şeklinde cevap verdiği söylenir. Denetimde bulunan eksikliklerin derinlemesine araştırıldığında “iyi yönetim” prensiplerinden ayrılmalar olduğu görülecektir.
Örnek olarak ticari borçlar hesabını alalım. Bir firmada ticari borçlar hesabı yapılan alımlar neticesinde ödenecek tutarları gösterir. Bu alımların onaylı olması gerekir. Üretim bölümünün tedarikçiyle direkt temasa geçerek talep yaptığı, daha sonra satın almaya onaylattığı bir süreç sağlıklı değildir. Burada kime ne ödeneceği satın alma biriminin sorumluluğundadır. Yönetimin temel prensibi “yetki ve sorumlukluların orantılı olması” olduğuna göre alımları da satın alma bölümünün yapması gerekir.
1. Gittiğiniz yeri eskisinden daha iyi bir hale getirin
İç denetimden beklenen nedir? İç denetim tanımında ve literatürde değişik yorumlar görünse de nihai olarak şu sonuca varabiliriz: iç denetim; bir kurumun patronu eğer zamanı ve bilgisi olsaydı süreçlerde iyileştirme adına neler yapacak idiyse onları yapmaktır. Bu, iç denetçiyi üst yönetimin yerine koyar. İç denetçinin amacı gittiği kurumda bir şeylerin eskisinden daha iyi olmasını sağlamaktır. Faaliyetlerin daha verimli olması için bir yol bulmak, bir suiistimali ortaya çıkarmak, riskli noktaları belirlemek gibi işlerin tümü kurumun eskisinden daha iyi bir noktaya gelmesine yardım edecektir.
2. Diz üstü çökmüşken uygun adım yürünmez!
İç denetimin kendisinden beklenen görevleri yapabilecek gerekli etkinliğe sahip olması, uygun bir otoritenin desteği ile mümkündür. Üst yönetimin, yönetim kurulunun destekleri ve kurum içinde saygı duyulan ve etkili bir birime raporlama yapılması gereklidir.
İç denetime sağlanan destek kesin ve görünür olmalıdır. İç denetime statü sağlayacak, gerekli bilgi ve personele engelsiz erişimini mümkün kılacak bir yönetmelik işin temelidir. Yönetmeliğin üst yönetimce onaylanması gerekir. Denetim bulgularına yönetim tarafından önem verilmelidir.
Tüm bunların olabilmesi için ise iç denetim biriminin ne yaptığını bilen, objektif ve etkili imajını oluşturması ve koruması gereklidir.
3. Hedefleri/Amaçları iyi bilmek gerekir
Denetlenen her bir faaliyetin, şirketin veya birimin amacı, misyonu, hedefi doğru bir şekilde kavranmalıdır. Burada operasyonel amaçlardan söz etmiyoruz. Her bir denetim konusunun temelinde yatan ana amacı anlamak lazımdır.
Örneğin “Ticari Borçlar” hesabının izlenmesinin amacı sorulduğunda çoğu kişi fatura ödemelerinin takip edilmesi şeklinde cevap vermektedir. Oysa temelde düşünüldüğünde bu anlayış yanlıştır. Ticari Borçlar hesabının amacı ödemelerin yapılmasını veya yapılmamasını belirlemektir. Bu hesapta izlenen bakiyelerin işletmeye gerçekten alınmış ve gerekli niteliklere sahip girdileri içermesi gerekir. Denetim sırasında ticari borçlar hesabına bu gözle bakılmalıdır.
4. Yaptığınız işin sonuçlarını satamazsanız hiçbir şey değişmez!
İç denetimin temel işlevi eleştirmektir. Ancak kimsenin eleştirilmeyi sevdiği söylenemez. İç denetimin bir yönü de yapılan denetim sonucunda alınması gereken düzeltici önlemleri uygun bir dille ve ikna edici şekilde kabul ettirmektir. Denetlenen tarafla karşılıklı olarak problemlerin çözümüne yönelik bir ortaklık oluşturulması önemlidir. Bu da yapılan işin satılmasıdır. Bu satış denetlenen kuruma ilk giriş anından düzeltici faaliyetlerin yapılmasına kadar devam eder.
5. Bulunan her eksiklik derinlemesine araştırıldığında “iyi yönetim” ilkelerinden birisinin ihlal edildiği ortaya çıkacaktır
Peter Drucker’a bir seferinde ABD’deki şirketlerin yalnızca %3-5’inin doğru yönetildiğine dair sözü hatırlatıldığında “o gün fazla iyimser konuşmuşum” şeklinde cevap verdiği söylenir. Denetimde bulunan eksikliklerin derinlemesine araştırıldığında “iyi yönetim” prensiplerinden ayrılmalar olduğu görülecektir.
Örnek olarak ticari borçlar hesabını alalım. Bir firmada ticari borçlar hesabı yapılan alımlar neticesinde ödenecek tutarları gösterir. Bu alımların onaylı olması gerekir. Üretim bölümünün tedarikçiyle direkt temasa geçerek talep yaptığı, daha sonra satın almaya onaylattığı bir süreç sağlıklı değildir. Burada kime ne ödeneceği satın alma biriminin sorumluluğundadır. Yönetimin temel prensibi “yetki ve sorumlukluların orantılı olması” olduğuna göre alımları da satın alma bölümünün yapması gerekir.
9 Haziran 2010 Çarşamba
YARATICI MUHASEBE (CREATIVE ACCOUNTING) KAVRAMI
Yaratıcı muhasebe kavramı (creative accounting) literatürde kar yönetimi, karın istikrarlı hale getirilmesi, agresif muhasebe uygulamaları ve aldatıcı finansal raporlama gibi finansal bilgi manipulasyonu yöntemlerinin tamamını kapsamak üzere kullanılmaktadır. Diğer bir ifade ile, yaratıcı muhasebe uygulamalarının tanımı ve içeriği konusunda bir konsensüs bulunmamaktadır. Dolayısıyla yaratıcı muhasebe, finansal bilgi manipulasyonu yöntemlerinin bir karışımıdır. Bununla birlikte yaratıcı muhasebe uygulamalarının bilanço, gelir tablosu ve nakit akım tablosu gibi finansal tablo kalemlerinin sınıflandırılması üzerinde yoğunlaştığı söylenebilir.
Yaratıcı muhasebe; muhasebe prensipleri, ilkeleri ve kurallarının yasal sınırlar içerisinde fakat mali tabloların sunumunu yanıltıcı hale getirmek amaçlı yorumlanması ve bu şekilde kullanılmasıdır. Yaratıcı muhasebe uygulamaları yasal düzenlemeler içerisinde yapılmaktadır. Burada temel nokta muhasebe ilkelerinden özün önceliği kavramıdır. Yaratıcı muhasebe, özün önceliğini bir tarafa bırakarak işlemin şekli unsuruna öncelik vermektedir. Bu şekilde davranmak suretiyle işlemin şekli unsurları, işlemin özünü gizlemek amacıyla kullanılmaktadır.
Burada değinilmesi gereken bir diğer kavram da “kar yönetimi”dir. Kar yönetimi; şirketin yönetiminin, istikrarlı ve tahmin edilebilir finansal sonuçlar ortaya koyabilmek amacıyla, uyguladığı “mantıklı ve yasal” kararlar olarak tanımlanabilir. Şirketlerin başlıca yaratıcı muhasebe uygulamaları da kar rakamına yönelik olmaktadır.
Yaratıcı muhasebe uygulamaları sadece kar rakamını değiştirmek olarak algılanmamalıdır. Finansal tabloların manipule edilmesinin amaçları arasında şunlar sayılabilir.
- Karı yüksek, giderleri düşük göstermek,
- Finansal analizde kullanılan oranları manipule etmek,
- Finansal riski gizlemek,
- Yönetimin performansını yüksek göstermek.
Yaratıcı muhasebe uygulamaları genellikle finansal tablo kalemlerinin sınıflandırılma şeklini değiştirerek finansal tabloların olduğundan daha iyi görünmesini sağlamaya çalışır. Yapılan işlemler yasal olmakla birlikte finansal tablo kullanıcılarını yanıltmaya yöneliktir.
Aşağıda yer alan durumlar yaratıcı muhasebe uygulamalarına örnek olarak gösterilebilir:
- Fiktif gelir yaratılması veya gelirin tahakkuk etmeden muhasebeleştirilmesi,
- Faiz giderlerinin agresif bir şekilde aktifleştirilmesi ve amortisman sürelerinin uzatılması,
- Varlık ve yükümlülüklerin gerçeğe aykırı olarak açıklanması,
- Olağan ve olağan üstü giderlerin birbiri içine yazılması gibi yöntemlerle gelir tablosu kalemlerinin sınıflandırmasını değiştirilmesi,
- Nakit akımlarının iyi gösterilmesi amacıyla yatırımlardan veya diğer faaliyetlerden sağlanan nakit akımlarını faaliyetlerden sağlanmış gibi gösterilmesi.
Kaynaklar
- Cemal KÜÇÜKSÖZEN , Güray KÜÇÜKKOCAOĞLU, Finansal Bilgi Manipulasyonu, www.baskent.edu.tr/~gurayk/kisiselearningmanupilation2.pdf
- Duncan WILLIAMSON, Creative Accounting, www.duncanwill.co.uk
www.swlearning.com/pdfs/chapter/0324223250-1.pdf
Yaratıcı muhasebe; muhasebe prensipleri, ilkeleri ve kurallarının yasal sınırlar içerisinde fakat mali tabloların sunumunu yanıltıcı hale getirmek amaçlı yorumlanması ve bu şekilde kullanılmasıdır. Yaratıcı muhasebe uygulamaları yasal düzenlemeler içerisinde yapılmaktadır. Burada temel nokta muhasebe ilkelerinden özün önceliği kavramıdır. Yaratıcı muhasebe, özün önceliğini bir tarafa bırakarak işlemin şekli unsuruna öncelik vermektedir. Bu şekilde davranmak suretiyle işlemin şekli unsurları, işlemin özünü gizlemek amacıyla kullanılmaktadır.
Burada değinilmesi gereken bir diğer kavram da “kar yönetimi”dir. Kar yönetimi; şirketin yönetiminin, istikrarlı ve tahmin edilebilir finansal sonuçlar ortaya koyabilmek amacıyla, uyguladığı “mantıklı ve yasal” kararlar olarak tanımlanabilir. Şirketlerin başlıca yaratıcı muhasebe uygulamaları da kar rakamına yönelik olmaktadır.
Yaratıcı muhasebe uygulamaları sadece kar rakamını değiştirmek olarak algılanmamalıdır. Finansal tabloların manipule edilmesinin amaçları arasında şunlar sayılabilir.
- Karı yüksek, giderleri düşük göstermek,
- Finansal analizde kullanılan oranları manipule etmek,
- Finansal riski gizlemek,
- Yönetimin performansını yüksek göstermek.
Yaratıcı muhasebe uygulamaları genellikle finansal tablo kalemlerinin sınıflandırılma şeklini değiştirerek finansal tabloların olduğundan daha iyi görünmesini sağlamaya çalışır. Yapılan işlemler yasal olmakla birlikte finansal tablo kullanıcılarını yanıltmaya yöneliktir.
Aşağıda yer alan durumlar yaratıcı muhasebe uygulamalarına örnek olarak gösterilebilir:
- Fiktif gelir yaratılması veya gelirin tahakkuk etmeden muhasebeleştirilmesi,
- Faiz giderlerinin agresif bir şekilde aktifleştirilmesi ve amortisman sürelerinin uzatılması,
- Varlık ve yükümlülüklerin gerçeğe aykırı olarak açıklanması,
- Olağan ve olağan üstü giderlerin birbiri içine yazılması gibi yöntemlerle gelir tablosu kalemlerinin sınıflandırmasını değiştirilmesi,
- Nakit akımlarının iyi gösterilmesi amacıyla yatırımlardan veya diğer faaliyetlerden sağlanan nakit akımlarını faaliyetlerden sağlanmış gibi gösterilmesi.
Kaynaklar
- Cemal KÜÇÜKSÖZEN , Güray KÜÇÜKKOCAOĞLU, Finansal Bilgi Manipulasyonu, www.baskent.edu.tr/~gurayk/kisiselearningmanupilation2.pdf
- Duncan WILLIAMSON, Creative Accounting, www.duncanwill.co.uk
www.swlearning.com/pdfs/chapter/0324223250-1.pdf
3 Mayıs 2010 Pazartesi
İŞLETMELERDE HİLELER VE ORTAYA ÇIKARTILMASI
Hilenin Tanımı ve Kapsamı
Uluslararası Denetim Standartları (ISA-240) hileyi aşağıdaki şekilde tanımlamaktadır:
“Hile; işletmenin yöneticileri, çalışanları veya işletme ile ilgili üçüncü kişilerin bir veya daha fazlası tarafından kendilerine adil olmayan ve illegal bir avantaj sağlamak üzere giriştikleri kasıtlı ve aldatıcı davranışlardır. Denetçi açısından mali tablolarda yapılan kasıtlı yanlışlıklar; hileli mali raporlama ve işletme varlıklarının amaç dışı kullanımı olmak üzere iki türdür.”
Yapılan eylem;
- Gizlidir,
- Hile yapan kişinin işletmedeki görevine duyulan güvene zarar verir,
- Hile yapan kişiye doğrudan ya da dolaylı finansal fayda sağlamak amaçlı yapılır,
- İşletme varlıkları, gelirleri veya ihtiyatlarına mal olmaktadır.
Muhasebe işlemlerinde ve mali raporlamada yapılan yanlışlıklar hata ve hile olmak üzere iki sebepten kaynaklanabilir. Hata ve hile kavramlarını birbirinden ayıran temel faktör yapılan yanlışlıktaki kasıt unsurudur. Hata; mali tablolarda ve muhasebe işlemlerinde kasıt olmadan meydana gelen yanlışlıkları belirtmektedir.
Çalışanları Hile Yapmaya İten Sebepler
Bir kişinin çalıştığı işletmeyi dolandırmasına neden olarak bilinen veya bilinemeyen çok çeşitli unsurlar olabilir. Bu unsurlar kısaca; baskı, fırsat ve haklı gösterme olarak özetlenebilir.
Baskı unsuru, çalışanın kendisi açısından, hile yapma konusunda sebepler oluşmasıdır. Bunlar arasında kötü alışkanlıklar, harcamaların artması, iyi yaşama arzusu gibi sebepler sayılabilir. Fırsat ise hileli davranışın yapılmasını engelleyen işletme içi tedbirlerin zayıflığından kaynaklanır. Son unsur olan haklı gösterme ise çalışanın zihninde yapılan davranışın haklı olduğuna dair bir algının oluşması ve davranışın rasyonel hale getirilmesi çabasıdır.
Hilelerin Önlenmesi ve Ortaya Çıkartılması
Hilenin önlenmesi çalışmaları her işletmenin dikkate alması gereken bir konudur. Bu aşama henüz hile ortaya çıkmadan oluşturulacağından olayda daha önemli bir rol almaktadır. Hile gerçekleştikten sonra bunun ortaya çıkartılması daha zor, zahmetli ve maliyetli olmaktadır. İşletmeler hile eyleminin “Fırsat” ayağını kontrol altına almak zorundadır. Bunun için; etkili bir iç kontrol sistemi kurulması ve işletme içerisinde etik değerler ve dürüstlüğün ön plana çıktığı bir davranış tarzının yerleştirilmesi önemlidir.
Hileler meydana geldikten sonra ortaya çıkartılması hilelerin önlenmesinden daha zordur. Hile kasıtlı bir davranış olduğundan genelde gizleme unsurunu da içerisinde taşır. Bu sebeple denetimlerde ortaya çıkartılması oldukça güçleşmektedir.
İşletmelerde hilelerinin ortaya çıkartılması eylemi, hileli olabilecek belirtilerin, göstergelerin (Red Flags) tanımlanması ile başlar. Bir çalışanın yaşam düzeyinde aşırı yükselmeler, bir belgenin kayıp olması, muhasebe kayıtlarında olmaması gereken bir durumun ortaya çıkması, analitik incelemelerde anormal bir durumun saptanması bir zimmete para geçirmenin belirtisi olabilir. Bunlara ek olarak çalışanlar veya üçüncü kişiler tarafından yapılan ihbarlar hilelerin ortaya çıkartılmasında çok yüksek bir paya sahiptir.
Uluslararası Denetim Standartları (ISA-240) hileyi aşağıdaki şekilde tanımlamaktadır:
“Hile; işletmenin yöneticileri, çalışanları veya işletme ile ilgili üçüncü kişilerin bir veya daha fazlası tarafından kendilerine adil olmayan ve illegal bir avantaj sağlamak üzere giriştikleri kasıtlı ve aldatıcı davranışlardır. Denetçi açısından mali tablolarda yapılan kasıtlı yanlışlıklar; hileli mali raporlama ve işletme varlıklarının amaç dışı kullanımı olmak üzere iki türdür.”
Yapılan eylem;
- Gizlidir,
- Hile yapan kişinin işletmedeki görevine duyulan güvene zarar verir,
- Hile yapan kişiye doğrudan ya da dolaylı finansal fayda sağlamak amaçlı yapılır,
- İşletme varlıkları, gelirleri veya ihtiyatlarına mal olmaktadır.
Muhasebe işlemlerinde ve mali raporlamada yapılan yanlışlıklar hata ve hile olmak üzere iki sebepten kaynaklanabilir. Hata ve hile kavramlarını birbirinden ayıran temel faktör yapılan yanlışlıktaki kasıt unsurudur. Hata; mali tablolarda ve muhasebe işlemlerinde kasıt olmadan meydana gelen yanlışlıkları belirtmektedir.
Çalışanları Hile Yapmaya İten Sebepler
Bir kişinin çalıştığı işletmeyi dolandırmasına neden olarak bilinen veya bilinemeyen çok çeşitli unsurlar olabilir. Bu unsurlar kısaca; baskı, fırsat ve haklı gösterme olarak özetlenebilir.
Baskı unsuru, çalışanın kendisi açısından, hile yapma konusunda sebepler oluşmasıdır. Bunlar arasında kötü alışkanlıklar, harcamaların artması, iyi yaşama arzusu gibi sebepler sayılabilir. Fırsat ise hileli davranışın yapılmasını engelleyen işletme içi tedbirlerin zayıflığından kaynaklanır. Son unsur olan haklı gösterme ise çalışanın zihninde yapılan davranışın haklı olduğuna dair bir algının oluşması ve davranışın rasyonel hale getirilmesi çabasıdır.
Hilelerin Önlenmesi ve Ortaya Çıkartılması
Hilenin önlenmesi çalışmaları her işletmenin dikkate alması gereken bir konudur. Bu aşama henüz hile ortaya çıkmadan oluşturulacağından olayda daha önemli bir rol almaktadır. Hile gerçekleştikten sonra bunun ortaya çıkartılması daha zor, zahmetli ve maliyetli olmaktadır. İşletmeler hile eyleminin “Fırsat” ayağını kontrol altına almak zorundadır. Bunun için; etkili bir iç kontrol sistemi kurulması ve işletme içerisinde etik değerler ve dürüstlüğün ön plana çıktığı bir davranış tarzının yerleştirilmesi önemlidir.
Hileler meydana geldikten sonra ortaya çıkartılması hilelerin önlenmesinden daha zordur. Hile kasıtlı bir davranış olduğundan genelde gizleme unsurunu da içerisinde taşır. Bu sebeple denetimlerde ortaya çıkartılması oldukça güçleşmektedir.
İşletmelerde hilelerinin ortaya çıkartılması eylemi, hileli olabilecek belirtilerin, göstergelerin (Red Flags) tanımlanması ile başlar. Bir çalışanın yaşam düzeyinde aşırı yükselmeler, bir belgenin kayıp olması, muhasebe kayıtlarında olmaması gereken bir durumun ortaya çıkması, analitik incelemelerde anormal bir durumun saptanması bir zimmete para geçirmenin belirtisi olabilir. Bunlara ek olarak çalışanlar veya üçüncü kişiler tarafından yapılan ihbarlar hilelerin ortaya çıkartılmasında çok yüksek bir paya sahiptir.
1 Nisan 2010 Perşembe
RİSK YÖNETİMİNDE İÇ DENETİMİN ROLÜ
Risk Yönetimi Süreci
Risklerin yönetilmesi işletme yönetiminin sorumluluğundadır. İşletme yönetimi süreçlerin uygulamada olduğunu, uygunluğunu ve etkinliğini güvence altına almalıdır. İç denetçiler uygulamaları inceler, değerlendirir, raporlar ve geliştirici önerilerde bulunur. Ayrıca danışmanlık görevi yürütürler.
Risk yönetimi süreçlerinin incelenmesi ve raporlanması büyük öneme sahiptir. Süreçler konusunda derinlemesine bilgi sahibi olmak denetimin planlanması aşamasında oldukça yardımcı olacaktır. İç denetim yöneticisi, iç denetim faaliyetinin risk yönetimi sürecindeki rolünü doğru şekilde anlamalıdır. İç denetimden beklenen roller yazılı hale getirilmelidir. Sorumluluklar ve faaliyetler koordine edilmeli ve belgelendirilmelidir.
İşletme üst yönetimi ve denetim komitesi iç denetimin risk yönetimi konusundaki rolünün ne olacağına karar verirler.
Risk yönetimi süreci olmayan işletmelerde iç denetçiler, risk yönetimi sürecinin oluşturulması ile ilgili tavsiyelerde bulunmalıdırlar. İç denetçinin sürecin oluşturulmasındaki aktif rolü, danışmanlık faaliyetinin yanında güvence fonksiyonunu da içerebilir. Ancak bu ikinci durum tarafsızlığa zarar verebilir. Aktif rol almak demek risk yönetim görevini üstlenmek anlamına gelmemelidir.
Risk Yönetim Sürecinin Uygunluğunun Değerlendirilmesi
Risk yönetim sürecinin uygunluğunu değerlendirmek için iç denetçi şu konularda karar vermelidir:
1) Uygulanan yöntemler ana menfaat sahipleri tarafından anlaşılmış olmalıdır
2) Beş temel amaç belirtilmiş olmalıdır. Bu amalar şu şekildedir: a) Belirlenen risklerin önceliklendirilmesi b) Kabul edilebilir risk seviyelerine karar verilmesi c) Risklerin kabul edilebilir seviyelere düşürülmesi d) sürekli gözetim e) süreç sonuçlarının düzenli aralıklarla raporlanması
Özellikli süreçler işletmenin kültürü, yönetim tarzı ve hedefleri göz önüne alınarak tasarlanmalıdır. Süreçlerin uygunluğu ile ilgili bir yargıya varmadan önce yukarıda sayılan beş temel amaçla ilgili yeterli bilgi toplanmalıdır.
Danışmanlık Görevleri
İç denetçiler verilen danışmanlık hizmetinin amacı ve kapsamı hakkında bilgi sahibi olmalı ve mesleki profesyonelliklerini korumalıdırlar.
Danışmalık hizmetlerinde gözlenen amaç hizmetten faydalananların ihtiyaçlarını karşılamalıdır. Özel amaçlı çalışmalarda denetçiler ek bazı hedefleri de dikkate almalıdırlar. Çalışma programları, çalışmanın amaçlarını ve kapsamını ortaya koymalıdır. Belirlenen kapsam beklenen amaçları gerçekleştirmeye uygun olmalıdır.
Önemli risk alanları ve kontrol zayıflıkları yönetime resmi olarak raporlanmalıdır. Bazı özel durumlarda daha üst seviyelere raporlama yapılması gerekebilir.
Risklerin yönetilmesi işletme yönetiminin sorumluluğundadır. İşletme yönetimi süreçlerin uygulamada olduğunu, uygunluğunu ve etkinliğini güvence altına almalıdır. İç denetçiler uygulamaları inceler, değerlendirir, raporlar ve geliştirici önerilerde bulunur. Ayrıca danışmanlık görevi yürütürler.
Risk yönetimi süreçlerinin incelenmesi ve raporlanması büyük öneme sahiptir. Süreçler konusunda derinlemesine bilgi sahibi olmak denetimin planlanması aşamasında oldukça yardımcı olacaktır. İç denetim yöneticisi, iç denetim faaliyetinin risk yönetimi sürecindeki rolünü doğru şekilde anlamalıdır. İç denetimden beklenen roller yazılı hale getirilmelidir. Sorumluluklar ve faaliyetler koordine edilmeli ve belgelendirilmelidir.
İşletme üst yönetimi ve denetim komitesi iç denetimin risk yönetimi konusundaki rolünün ne olacağına karar verirler.
Risk yönetimi süreci olmayan işletmelerde iç denetçiler, risk yönetimi sürecinin oluşturulması ile ilgili tavsiyelerde bulunmalıdırlar. İç denetçinin sürecin oluşturulmasındaki aktif rolü, danışmanlık faaliyetinin yanında güvence fonksiyonunu da içerebilir. Ancak bu ikinci durum tarafsızlığa zarar verebilir. Aktif rol almak demek risk yönetim görevini üstlenmek anlamına gelmemelidir.
Risk Yönetim Sürecinin Uygunluğunun Değerlendirilmesi
Risk yönetim sürecinin uygunluğunu değerlendirmek için iç denetçi şu konularda karar vermelidir:
1) Uygulanan yöntemler ana menfaat sahipleri tarafından anlaşılmış olmalıdır
2) Beş temel amaç belirtilmiş olmalıdır. Bu amalar şu şekildedir: a) Belirlenen risklerin önceliklendirilmesi b) Kabul edilebilir risk seviyelerine karar verilmesi c) Risklerin kabul edilebilir seviyelere düşürülmesi d) sürekli gözetim e) süreç sonuçlarının düzenli aralıklarla raporlanması
Özellikli süreçler işletmenin kültürü, yönetim tarzı ve hedefleri göz önüne alınarak tasarlanmalıdır. Süreçlerin uygunluğu ile ilgili bir yargıya varmadan önce yukarıda sayılan beş temel amaçla ilgili yeterli bilgi toplanmalıdır.
Danışmanlık Görevleri
İç denetçiler verilen danışmanlık hizmetinin amacı ve kapsamı hakkında bilgi sahibi olmalı ve mesleki profesyonelliklerini korumalıdırlar.
Danışmalık hizmetlerinde gözlenen amaç hizmetten faydalananların ihtiyaçlarını karşılamalıdır. Özel amaçlı çalışmalarda denetçiler ek bazı hedefleri de dikkate almalıdırlar. Çalışma programları, çalışmanın amaçlarını ve kapsamını ortaya koymalıdır. Belirlenen kapsam beklenen amaçları gerçekleştirmeye uygun olmalıdır.
Önemli risk alanları ve kontrol zayıflıkları yönetime resmi olarak raporlanmalıdır. Bazı özel durumlarda daha üst seviyelere raporlama yapılması gerekebilir.
17 Mart 2010 Çarşamba
TURMOB ETİK İLKELER YÖNETMİLİĞİNDE YAPILAN DÜZENLEMELER
Yazan: Mustafa Kocameşe
3568 Sayılı Kanun kapsamında yapılan önemli bir düzenleme TURMOB (Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği ) tarafından yayımlanan “Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik”tir. TURMOB Etik İlkeler Yönetmeliği IFAC tarafından yayımlanan Uluslararası Denetim Standartları ve Etik Kurallar ile uyumlu olarak hazırlanmıştır.
Bu Yönetmeliğin amacı; tüm üyeleri en üst derecede meslekî bilgiye sahip, sosyal sorumluluk bilinci olan, etik değerlere bağlı, rekabet anlayışı daha kaliteli hizmet sunumu biçiminde oluşmuş, güvenilir ve saygın bir meslek mensupları kitlesi oluşturmak hedefine ulaşmak için muhasebe meslek mensuplarının meslekî ilişkilerinde uymaları gereken asgari etik ilkeleri belirlemektir. 3568 sayılı Serbest Muhasebecilik, Serbest Muhasebeci Malî Müşavirlik ve Yeminli Malî Müşavirlik Kanununa göre bir meslek unvanına sahip olan, bağımsız veya bağımlı olarak çalışan tüm meslek mensupları ile bunların oluşturduğu şirketlerin faaliyetleri bu Yönetmelik kapsamındadır.
Yönetmelikte yer alan ve tüm meslek mensuplarının uyması gereken zorunlu temel etik ilkeler şunlardır:
a) Dürüstlük: Meslek mensuplarının tüm meslekî ve is ilişkilerinde doğru sözlü ve dürüst davranmalarıdır.
b) Tarafsızlık: Yanlı veya önyargılı davranarak; üçüncü kişilerin haksız ve uygunsuz biçimde yaptıkları baskıların meslek mensuplarının meslekî kararlarını etkilememesi veya engellememesidir.
c) Meslekî Yeterlilik ve Özen: Meslek mensubunun meslekî faaliyetlerini yerine getirirken teknik ve meslekî standartlara uygun olarak, özen ve gayret içinde davranmasıdır.
ç) Gizlilik: Meslek mensubunun meslekî ilişkileri sonucunda elde ettiği bilgileri açıklamasını gerektirecek bir hak veya görevi olmadıkça üçüncü kişi veya gruplara açıklamaması ve bu bilgilerin meslek mensubunun veya üçüncü kişilerin çıkarları için kullanılmamasıdır.
d) Meslekî Davranış: Meslek mensubunun mevcut yasa ve yönetmeliklere uymasını ve mesleğin itibarını zedeleyecek her türlü davranıştan kaçınmasını ifade etmektedir.
Temel etik ilkelerine yönelik çok sayıda tehdit oluşabilir. Etik ilkelerin uygulanmasına yönelik Yönetmelikte sıralanan tehditler IFAC tarafından yayımlanan Etik Kurallarda belirtilenlerle paraleldir. Bu tehditler yönetmeliğin Birinci Kısım Birinci Bölüm 3. maddesinde aşağıdaki gibi sınıflandırılmıştır.
a) Kişisel Çıkar Tehditleri: Meslek mensubunun kendisinin veya yakın ailesinden bir üyenin finansal veya diğer çıkarları sonucu ortaya çıkabilecek tehditlerdir.
b) Yeniden Değerlendirme Tehditleri: Daha önceden alınmış bir kararın o karardan sorumlu meslek mensubu tarafından yeniden değerlendirilmesi nedeniyle oluşan tehditlerdir.
c) Taraf Tutma Tehditleri: Meslek mensubunun bir durum ya da fikri, tarafsızlığını tehlikeye düşürecek bir noktaya taşıması sonucu oluşan tehditlerdir.
ç) Yakınlık Tehditleri: Üçüncü kişilerle kurulan yakın ilişkiler sonucu, meslek mensubunun bu kişilerin çıkarlarına uygun olacak şekilde davranması sonucu ortaya çıkabilecek tehditlerdir.
d) Yıldırma Amaçlı Tehditler: Meslek mensubunun gerçek veya hissedilen tehditler nedeniyle tarafsız davranmaktan kaçınmaya zorlanması (yıldırılması) sonucu ortaya çıkabilecek tehditlerdir.
IFAC Etik Kurallarda yer verilen bağımsızlığı koruyucu önlemlere paralel olarak TURMOB tarafından yayımlanan yönetmeliğin Birinci Kısım Birinci Bölüm 4. maddesinde Tehditlere Karsı Önlemler başlığı altında tehditleri ortadan kaldıran veya kabul edilebilir bir düzeye indiren önlemler iki büyük gruba ayrılmıştır:
a) Mevzuat ile oluşturulabilecek önlemler: Bu önlemlere verilebilecek örnekler aşağıda belirtilmiştir:
1) Mesleğe giriş için gerekli eğitim, meslekî eğitim (staj) ve tecrübe gereksinimleri,
2) Sürekli meslekî gelişim gereksinimleri,
3) Kurumsal yönetim gereksinimleri,
4) Meslekî standartlar,
5) Meslekî veya düzenleyici izleme ve disiplin prosedürleri,
6) Meslek mensubu tarafından üretilen rapor, sonuç, iletişim ve bilgilerin yasal yetkili üçüncü bir kurum tarafından dış kontrolden geçirilmesi.
Yönetmeliğin İkinci Kısmında söz konusu tehditler ve bağımsız çalışan meslek mensuplarının karşılaşabilecekleri özellikli durumlarda uygulanacak ilkelere ilişkin ayrıntılı açıklamalar yapılmıştır.
b) İş çevresinden sağlanacak önlemler: İş çevresinden sağlanabilecek önlemler farklı koşul veya durumlara göre çeşitlilik gösterir. Bu tür önlemler firmaya veya sözleşmeye bağlı olarak oluşturulabilir. Meslek mensubu belirli bir tehditle nasıl basa çıkacağına karar vermelidir. Bu kararın verilmesinde meslek mensubu ortaya çıkabilecek tehdit hakkında gerekli tüm bilgilere sahip olan üçüncü kişi ya da grupların, verilen kararları nasıl değerlendireceğini de dikkate almalıdır. Bu değerlendirme; tehdidin önem derecesi, sözleşmenin niteliği ve firmanın yapısı gibi faktörlerden etkilenecektir.
İş çevresinden sağlanabilecek önlemler üç ana başlık altında toplanmıştır:
1. İş çevresinde firma çapında alınabilecek önlemler
2. İş çevresindeki sözleşmeye özgü önlemler
3. Müşterinin sistem ve süreçlerindeki önlemler
Görüldüğü üzere TURMOB tarafından hazırlanarak yayımlanan Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik IFAC tarafından hazırlanan ve uluslararası alanda kabul gören Etik Kurallar ile uyumludur. Getirilen ilke ve düzenlemeler ülkemizde muhasebecilik ve denetim mesleği ile ilgili standartların Avrupa Birliği ve Uluslararası düzenlemeler ile yakınsaması açısından olumlu olacağı açıktır.
3568 Sayılı Kanun kapsamında yapılan önemli bir düzenleme TURMOB (Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği ) tarafından yayımlanan “Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik”tir. TURMOB Etik İlkeler Yönetmeliği IFAC tarafından yayımlanan Uluslararası Denetim Standartları ve Etik Kurallar ile uyumlu olarak hazırlanmıştır.
Bu Yönetmeliğin amacı; tüm üyeleri en üst derecede meslekî bilgiye sahip, sosyal sorumluluk bilinci olan, etik değerlere bağlı, rekabet anlayışı daha kaliteli hizmet sunumu biçiminde oluşmuş, güvenilir ve saygın bir meslek mensupları kitlesi oluşturmak hedefine ulaşmak için muhasebe meslek mensuplarının meslekî ilişkilerinde uymaları gereken asgari etik ilkeleri belirlemektir. 3568 sayılı Serbest Muhasebecilik, Serbest Muhasebeci Malî Müşavirlik ve Yeminli Malî Müşavirlik Kanununa göre bir meslek unvanına sahip olan, bağımsız veya bağımlı olarak çalışan tüm meslek mensupları ile bunların oluşturduğu şirketlerin faaliyetleri bu Yönetmelik kapsamındadır.
Yönetmelikte yer alan ve tüm meslek mensuplarının uyması gereken zorunlu temel etik ilkeler şunlardır:
a) Dürüstlük: Meslek mensuplarının tüm meslekî ve is ilişkilerinde doğru sözlü ve dürüst davranmalarıdır.
b) Tarafsızlık: Yanlı veya önyargılı davranarak; üçüncü kişilerin haksız ve uygunsuz biçimde yaptıkları baskıların meslek mensuplarının meslekî kararlarını etkilememesi veya engellememesidir.
c) Meslekî Yeterlilik ve Özen: Meslek mensubunun meslekî faaliyetlerini yerine getirirken teknik ve meslekî standartlara uygun olarak, özen ve gayret içinde davranmasıdır.
ç) Gizlilik: Meslek mensubunun meslekî ilişkileri sonucunda elde ettiği bilgileri açıklamasını gerektirecek bir hak veya görevi olmadıkça üçüncü kişi veya gruplara açıklamaması ve bu bilgilerin meslek mensubunun veya üçüncü kişilerin çıkarları için kullanılmamasıdır.
d) Meslekî Davranış: Meslek mensubunun mevcut yasa ve yönetmeliklere uymasını ve mesleğin itibarını zedeleyecek her türlü davranıştan kaçınmasını ifade etmektedir.
Temel etik ilkelerine yönelik çok sayıda tehdit oluşabilir. Etik ilkelerin uygulanmasına yönelik Yönetmelikte sıralanan tehditler IFAC tarafından yayımlanan Etik Kurallarda belirtilenlerle paraleldir. Bu tehditler yönetmeliğin Birinci Kısım Birinci Bölüm 3. maddesinde aşağıdaki gibi sınıflandırılmıştır.
a) Kişisel Çıkar Tehditleri: Meslek mensubunun kendisinin veya yakın ailesinden bir üyenin finansal veya diğer çıkarları sonucu ortaya çıkabilecek tehditlerdir.
b) Yeniden Değerlendirme Tehditleri: Daha önceden alınmış bir kararın o karardan sorumlu meslek mensubu tarafından yeniden değerlendirilmesi nedeniyle oluşan tehditlerdir.
c) Taraf Tutma Tehditleri: Meslek mensubunun bir durum ya da fikri, tarafsızlığını tehlikeye düşürecek bir noktaya taşıması sonucu oluşan tehditlerdir.
ç) Yakınlık Tehditleri: Üçüncü kişilerle kurulan yakın ilişkiler sonucu, meslek mensubunun bu kişilerin çıkarlarına uygun olacak şekilde davranması sonucu ortaya çıkabilecek tehditlerdir.
d) Yıldırma Amaçlı Tehditler: Meslek mensubunun gerçek veya hissedilen tehditler nedeniyle tarafsız davranmaktan kaçınmaya zorlanması (yıldırılması) sonucu ortaya çıkabilecek tehditlerdir.
IFAC Etik Kurallarda yer verilen bağımsızlığı koruyucu önlemlere paralel olarak TURMOB tarafından yayımlanan yönetmeliğin Birinci Kısım Birinci Bölüm 4. maddesinde Tehditlere Karsı Önlemler başlığı altında tehditleri ortadan kaldıran veya kabul edilebilir bir düzeye indiren önlemler iki büyük gruba ayrılmıştır:
a) Mevzuat ile oluşturulabilecek önlemler: Bu önlemlere verilebilecek örnekler aşağıda belirtilmiştir:
1) Mesleğe giriş için gerekli eğitim, meslekî eğitim (staj) ve tecrübe gereksinimleri,
2) Sürekli meslekî gelişim gereksinimleri,
3) Kurumsal yönetim gereksinimleri,
4) Meslekî standartlar,
5) Meslekî veya düzenleyici izleme ve disiplin prosedürleri,
6) Meslek mensubu tarafından üretilen rapor, sonuç, iletişim ve bilgilerin yasal yetkili üçüncü bir kurum tarafından dış kontrolden geçirilmesi.
Yönetmeliğin İkinci Kısmında söz konusu tehditler ve bağımsız çalışan meslek mensuplarının karşılaşabilecekleri özellikli durumlarda uygulanacak ilkelere ilişkin ayrıntılı açıklamalar yapılmıştır.
b) İş çevresinden sağlanacak önlemler: İş çevresinden sağlanabilecek önlemler farklı koşul veya durumlara göre çeşitlilik gösterir. Bu tür önlemler firmaya veya sözleşmeye bağlı olarak oluşturulabilir. Meslek mensubu belirli bir tehditle nasıl basa çıkacağına karar vermelidir. Bu kararın verilmesinde meslek mensubu ortaya çıkabilecek tehdit hakkında gerekli tüm bilgilere sahip olan üçüncü kişi ya da grupların, verilen kararları nasıl değerlendireceğini de dikkate almalıdır. Bu değerlendirme; tehdidin önem derecesi, sözleşmenin niteliği ve firmanın yapısı gibi faktörlerden etkilenecektir.
İş çevresinden sağlanabilecek önlemler üç ana başlık altında toplanmıştır:
1. İş çevresinde firma çapında alınabilecek önlemler
2. İş çevresindeki sözleşmeye özgü önlemler
3. Müşterinin sistem ve süreçlerindeki önlemler
Görüldüğü üzere TURMOB tarafından hazırlanarak yayımlanan Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik IFAC tarafından hazırlanan ve uluslararası alanda kabul gören Etik Kurallar ile uyumludur. Getirilen ilke ve düzenlemeler ülkemizde muhasebecilik ve denetim mesleği ile ilgili standartların Avrupa Birliği ve Uluslararası düzenlemeler ile yakınsaması açısından olumlu olacağı açıktır.
12 Mart 2010 Cuma
SATINALMA FAALİYETİ VE DENETİMİ
Yazan: Mustafa Kocameşe
Satınalmanın Önemi
Bir şirketin başarısı için önemli etkenler olan maliyet, kalite ve zamanlama konuları satınalma fonksiyonuyla ilgilidir. Satınalmanın işletme başarısına etkisi aşağıdaki faktörlere bağlıdır:
- Tedarik sürecinin entegrasyon seviyesi,
- Satınalma faaliyetinde belirlenen amaçlar ve hedefler
Satınalma faaliyeti değerlendirilirken faaliyetten beklenen amaçlar ele alınır. Amaçlara farklı açılardan bakılabilir.
- Maliyet azaltma,
- Performans artırımı,
- Faaliyetlerin sürekliliği
Satınalmadan beklenebilecek stratejik amaçlar ise şunlar olabilir:
- Kalite,
- Tedarik güvenliği,
- Esneklik,
Tüm bu amaçlar şu şekilde gruplandırılabilir.
- Maliyetleri düşürme, (fiyatlar, süreç maliyetleri vb.)
- Farklilaştırma, (kalite ve hizmet geliştirme)
- Tedarik güvenliğinin sağlanlası.
Satınalma Denetiminde Temel Noktalar:
1. Satınalma denetimi hem stratejik hem de operasyonel seviyede ele alınarak yürütülebilir.
2. Satınalma denetimleri sırasında muhakkak suretle yolsuzlukların ortaya çıkartılmasına ve önlenmesine yönelik de çalışmalar yapılmalıdır.
3. Tedarikçi seçimi satınalma sürecinin ve denetiminin anahtar noktasıdır. Tedarikçi seçiminin nasıl yapıldığının takip edilmesini sağlayacak uygun dökümantasyonun yapılması gerekir.
Satınalmanın Önemi
Bir şirketin başarısı için önemli etkenler olan maliyet, kalite ve zamanlama konuları satınalma fonksiyonuyla ilgilidir. Satınalmanın işletme başarısına etkisi aşağıdaki faktörlere bağlıdır:
- Tedarik sürecinin entegrasyon seviyesi,
- Satınalma faaliyetinde belirlenen amaçlar ve hedefler
Satınalma faaliyeti değerlendirilirken faaliyetten beklenen amaçlar ele alınır. Amaçlara farklı açılardan bakılabilir.
- Maliyet azaltma,
- Performans artırımı,
- Faaliyetlerin sürekliliği
Satınalmadan beklenebilecek stratejik amaçlar ise şunlar olabilir:
- Kalite,
- Tedarik güvenliği,
- Esneklik,
Tüm bu amaçlar şu şekilde gruplandırılabilir.
- Maliyetleri düşürme, (fiyatlar, süreç maliyetleri vb.)
- Farklilaştırma, (kalite ve hizmet geliştirme)
- Tedarik güvenliğinin sağlanlası.
Satınalma Denetiminde Temel Noktalar:
1. Satınalma denetimi hem stratejik hem de operasyonel seviyede ele alınarak yürütülebilir.
2. Satınalma denetimleri sırasında muhakkak suretle yolsuzlukların ortaya çıkartılmasına ve önlenmesine yönelik de çalışmalar yapılmalıdır.
3. Tedarikçi seçimi satınalma sürecinin ve denetiminin anahtar noktasıdır. Tedarikçi seçiminin nasıl yapıldığının takip edilmesini sağlayacak uygun dökümantasyonun yapılması gerekir.
4 Mart 2010 Perşembe
İÇ DENETİMİN KURUMSAL YÖNETİM (GOVERNANCE) KONUSUNDA GÖREVLERİ
Yazan: Mustafa KOCAMEŞE
Kurumsal Yönetim Süreci ve Etik Değerler
Kurumsal yönetim süreci aşağıdaki dört sorumluluğun ne şekilde yerine getirildiğiyle ilgilidir.
a) Kanunlara uyum,
b) genel kabul görmüş norm ve sosyal beklentilere uygunluk,
c) topluma ve belirli menfaat sahiplerine sağlanan faydalar,
d) hesap verebilirliği sağlayacak derecede doğru ve tam raporlama.
Kurumsal yönetim süreci organizasyonun etik kültürünü yansıtır ve büyük ölçüde bu kültürden kaynağını alır. Organizasyondaki tüm bireyler etik değerleri savunmalı, yönetmelikler ve vizyonu belirten açıklamalar yayımlanmalıdır. Bir etik değerler yöneticisi görevlendirilmesi mümkündür.
Denetçiler ve IAA bu etik kültürü aktif olarak desteklemelidir. IIA’nın görevleri, etik ilkeler yöneticiliği veya etik kültürü değerlendirme şeklinde olabilir.
IAA’nın minimum üstleneceği rol etik ilkeler ile yasal ve etik uygunluğu sağlayacak süreçlerin değerlendirilmesidir.
Resmi Danışmanlık Görevleriyle İlgili Diğer Hususlar
Danışmanlık görevlerinde gerekli mesleki özenin gösterilmesi (due Professional care) şu unsurların anlaşılmasını içerir.
a) yönetimin ihtiyaçları, b) hizmetin verilme amacı, c) çalışmanın kapsamı, d) gerekli kaynaklar, e) denetim planlarına etkisi, f) ilerideki denetimlere etkisi, g) danışmanlık görevinin sağlayacağı faydalar.
Denetçi vereceği danışmanlık hizmetinin kapsamını ve niteliğini değerlendirmelidir. Denetçi danışmanlık hizmetinden faydalananların ilgili prosedürleri kabul ettiğini teyit etmelidir. Şu durumlarda danışmanlık hizmetinin verilmesi kabul edilmemelidir:
a) Yönetmelik tarafından yasaklanıyorsa
b) Politikalarla çelişiyorsa
c) Herhangi bir katma değer/fayda yaratmıyorsa
Danışmanlık görevi IAA’nın genel planlarıyla uyumlu olmalıdır. Anahtar öneme sahip konular üzerinde yazılı anlaşma yapılmalıdır.
Gözden Geçirme Süreci (Monitoring Process)
CAE (chief audit executive) raporlanan bulguların sonuçlarını izlemek üzere prosedürler oluşturmalıdır. Acil olarak değerlendirilmesi gereken bulgular düzeltilene kadar izlenmelidir. Bulgular ve öneriler uygun düzeydeki yöneticilere iletilmelidir. Yönetimin cevapları uygun bir sürede alınmalı ve değerlendirilmelidir. Yönetim peryodik olarak bilgilendirme yapmalıdır. Düzeltilecek süreçlerle ilgili varsa diğer birimlerden de bilgiler alınmalı ve değerlendirilmelidir. Gönderilen cevapların durumu üst yönetim ve yönetim kurulu ile paylaşılmalıdır.
Sonuçların İzlenmesi
Denetçiler aşağıdaki hususları göz önüne alarak denetim bulgularını izlerler:
a) Etkili bir düzeltme faaliyeti/önlemi alınmıştır.
b) Üst yönetim veya yönetim kurulu düzeltici önlem almamanın riskini üstlenmiştir.
Sonuçların izlenmesi diğer denetçilerinkiler de dahil olmak üzere raporlanan gözlem ve önerileri kapsar. Sonuçların izlenme süreci iç denetim yönetmeliğinde belirlenmelidir. CAE izlemenin kapsam, zamanlama ve niteliğini belirler. Eğer alınan mevcut tedbirler tatmin ediciyse izleme süreci sonraki denetime bırakılabilir. Denetçi alınan tedbirlerin koşulları iyileştirdiğini teyit etmelidir. CAE izleme sürecini bir çalışma takvimi haline getirir. Takvime bağlama risk, zorluk ve zamanlama konularıyla ilişkilidir. Denetçi danışmanlık faaliyetlerinin sonuçlarını müşteriyle anlaşılan şartlarda takip eder.
Yönetimin Riskleri ÜstlenmesiYönetim, denetimin bulgularına karşı geliştirilecek aksiyona karar verir. CAE alınan aksiyonun uygunluğunu belirli bir zaman içerisinde çözüm üretilmesi açısından değerlendirmelidir. Sonuçların izlenmesinin kapsamı diğer kişiler tarafından yapılan izlemeyi de kapsar. Üst yönetimin risklerin düzeltilmemesi konusundaki tavrı yönetim kuruluna raporlanmalıdır.
3 Şubat 2010 Çarşamba
İSTATİSTİK ÖRNEKLEME REHBERİ
How to Use Statistical Sampling? – The AuditNet Monograf Series / AuditNet 2003)
Çeviren : Mustafa KOCAMEŞE
İstatistik Örneklemenin Avantajları
Etkili bir örnekleme yöntemi objektiflikten fazlasını gerektirir. Örnek büyüklüğünün belirlenmesi ve sonuçların değerlendirilmesi matematiksel olarak yapılmalıdır. Bu tarz bir örnekleme olasılık teorisinin kuralları çerçevesinde yürütülür. İstatistik örnekleme yapıldığında belirlenmiş bir hata ihtimali dahilinde sonuçların anakütleye genelleştirmasi yapılabilir. İstatistik örnekleme kullanıcılara şu avantajları sağlar:
1. Sonuçlar objektif ve savunulabilirdir. İradi örneklemede karşılaşılabilecek önyargı iddiaları burada söz konusu olmaz.
2. Bu yöntemde ihtiyaç duyulan maksimum örnek büyüklüğü önceden bilinir. Belirlenen risk derecesine göre gerekli olan güvenilirlik derecesi ve buna bağlı olarak ortaya çıkacak zaman ve maliyet unsurlarının savunulması mümkün olur.
3. Örneğin anakütleyi temsil edememesi riski belirlenebilir. Bu sapmaların sınırları örneğin standart sapmasına göre belirlenir.
4. İstatistik örnekleme anakütledeki bütün birimlerin incelenmesinden daha doğru sonuçlar verebilir. Özellikle aşırı miktarda verini olduğu durumlarda dikkat dağılması ve bıkkınlık sebebiyle gözden kaçırılan unsurlar olabilir.
5. İstatistik örnekleme zaman ve para tasarrufu sağlar. Genellikle istatistik yollarla seçilen örnek sayısı sabit bir yüzde ile yapılan örneklemedekinden daha azdır. Ayrıca bir örneklem üzerinden anakütleye ait değişik özelliklere ait testler yapılabilir.
6. Test sonuçlarının değerlendirmesi objektif olarak yapılabilir. Sonuçlar belirli bir güvenilirlik derecesi ile anakütleye genelleştirlir.
7. Veriler farklı kullanıcılar tarafından da toplanıp değerlendirilebilir.
Örnekleme Planı ve Seçim Tekniği
Anakütlenin dosyalanma şekli ve dağılımı uygulanacak seçim tekniğini belirler. Uygulana spesifik plan ve seçim tekniği ayrıntılarıyla belgelendirilmelidir.
Örnekleme yaklaşımları (planları) özetle aşağıdaki gibi sıralanabilir:
1. Tahmin Örneklemesi (Estimate Sampling) :
En çok kullanılan yaklaşımdır. İki türü vardır:
o Nitelik Örneklemesi (Attributes Sampling): Sorulması gereken soru “kaç adet” olduğunda kullanılmalıdır. Bir anakütlenin özelliklerini veya “niteliğini”belirlemekte kullanılır. Sonuçlar “tanımlanan olay”ın ortaya çıkma yüzdesini verir. Her bir gözlem sadece bir kategoriye girebilir.
Adım Adım Örnekleme (Stop Go Sampling) : Nitelik örneklemesinin bir türüdür. Bir nitelik örneklemesinde üst kesinlik sınırını belirlemekte kullanılır.Belirlenen amaca klasik nitelik örneklemesine göre daha küçük bir örnek büyüklüğü ile ulaşmaya imkan verir.
o Değişken Örneklemesi (Variables Sampling) : “Ne kadar” sorusunun cevabını bulmak için kullanılır. Parasal değerlerden oluşan anakütlelerde uygulanabilir. Bu örnekleme ile bir anakütlenin ortalama veya toplam değerine ilişkin tahminlerde bulunulabilir.
2. Kabul Örneklemesi (Acceptance Sampling) :
Belirli bir sayıda örneğin rastlantısal olarak seçilip örnek içinde belirli sayıda hataya rastlanmazsa anakütlenin kabul edildiği örneklemedir. Bu tpi örneklemede sadece kabul veya red kararı verilir.
3. Keşif Örneklemesi ( Discovery Sampling) :
Bir tek hata veya düzensizliğe rastlandığında dahi geniş bir inceleme yapılacaksa bu örnekleme yöntemi kullanılır. Hile, İç kontrollerin işletilmemesi, kritik düzenlemelerin ihlali veya kalite kontrol ölçülerinin söz konusu olduğu durumlarda kullanılır.
4. Parasal Birim Örneklemesi ( Dolar Unit Sampling ) :
İstatistik bir sonuca ulaşmak için nitelik ve değişken örneklemesi yöntemlerini birleştirir. Değişken ve nitelik örneklemesine aynı anda uygulanabilir. Diğer örnekleme yöntemlerinden farkı örneklerin fiziksel bir birim yerine her para birimi olarak alınmasıdır. Prosedürler örnekleme sonucu bulunan para biriminin yer aldığı tutarlarda yapılır.
5. İradi Örnekleme ( Judgment Sampling) :
Uygulayıcının istatistik yöntemler yerine örnek büyüklüğünü ve seçilecek birimleri kendi iradesine göre belirlediği yöntemdir. İradi örnekleme uygulanmadan önce istatistik veya iradi yöntemden hangisinin daha faydalı olacağını belirleyebilecek bir örnekleme bilgisine sahip olunması gerekmektedir. Burada önemli olan nokta iradi örneklemenin kullanılması halinde anakütlenin tamamı hakkında bir genellemeye varılamayacağının akılda bulundurulması gerektiğidir. Bu ancak yukarıda sayılan diğer yöntemlerde mümkündür.
En çok kullanılan örnek seçim teknikleri şu şekilde özetlenebilir:
1. Sınırlanmamış Rastsal Örnekleme ( Unrestricted Random Sampling ) : Anakütledeki bütün birimlerim eşit seçilme şansı vardır. En sık kullanılan yöntemdir.
2. Aralık Örneklemesi ( Interval Sampling ) : Belirli bir aralık saptandıktan sonra rasgele bir birimden başlamak üzere aralarında bu kadar bir aralık olan birimlerin seçilmesidir.
3. Katmanlı Örnekleme ( Stratified Sampling ) : Anakütledeki birimler iki veya daha fazla sınıfa veya katmana ayrılır. Her bir katmandan ayrı örnekleme yapılır. Sonuçlar koşullara göre bir araya getirilerek veya ayrı ayrı değerlendirilir.
4. Küme Örneklemesi ( Cluster Sampling) : Anakütle birimleri gruplar veya kümeler haline getirilir. Daha sonra seçilen kümelerde yer alan birimler örnek alınarak veya tamamen test edilir.
5. Çok Aşamalı Örnekleme ( Multistage Sampling) : Çok çeşitli düzeylerde örnekleme ile ilgilidir. Örneğin uygulayıcı değişik bölgelerden örnekler alır ve daha sonra bunlar arasından yeniden bir örnekleme yapabilir.
Sonuçların Değerlendirilmesi
Ne tür bir örnekleme planı veya tekniği kullanılırsa kullanılsın sonuçların yorumlanabilmesi gereklidir. Eğer uygulanan testler istatistik ölçümlemelere dayanıyorsa başlangıçta örnek büyüklüğünü belirlemede dayanak noktası olarak kullanılan unsurların yeniden değerlenmesine yönelik istatistiksel yöntemler mevcuttur. Uygulayıcılar aşağıda sıralanan kuralların sonuçları değerlendirmede daha anlamlı olacağını akıllarında bulundurmalıdırlar.
1. Test edilen her bir özellik ayrı olarak değerlendirmeye tabi tutulmalıdır. Her bir özellik ayrı ve bağımsız bir örneği temsil eder.
2. Kabul edilebilir hata oranı uygulayıcının mevcut koşulları iyice anladıktan sonra varacağı yargıya dayanmalıdır.
3. Test sonuçları önemli konular ortaya koyduğunda testi uygulayan kişi yaptığı örneklemeye yeni bir açıdan bakmaya hazır olmalıdır.
Çeviren : Mustafa KOCAMEŞE
İstatistik Örneklemenin Avantajları
Etkili bir örnekleme yöntemi objektiflikten fazlasını gerektirir. Örnek büyüklüğünün belirlenmesi ve sonuçların değerlendirilmesi matematiksel olarak yapılmalıdır. Bu tarz bir örnekleme olasılık teorisinin kuralları çerçevesinde yürütülür. İstatistik örnekleme yapıldığında belirlenmiş bir hata ihtimali dahilinde sonuçların anakütleye genelleştirmasi yapılabilir. İstatistik örnekleme kullanıcılara şu avantajları sağlar:
1. Sonuçlar objektif ve savunulabilirdir. İradi örneklemede karşılaşılabilecek önyargı iddiaları burada söz konusu olmaz.
2. Bu yöntemde ihtiyaç duyulan maksimum örnek büyüklüğü önceden bilinir. Belirlenen risk derecesine göre gerekli olan güvenilirlik derecesi ve buna bağlı olarak ortaya çıkacak zaman ve maliyet unsurlarının savunulması mümkün olur.
3. Örneğin anakütleyi temsil edememesi riski belirlenebilir. Bu sapmaların sınırları örneğin standart sapmasına göre belirlenir.
4. İstatistik örnekleme anakütledeki bütün birimlerin incelenmesinden daha doğru sonuçlar verebilir. Özellikle aşırı miktarda verini olduğu durumlarda dikkat dağılması ve bıkkınlık sebebiyle gözden kaçırılan unsurlar olabilir.
5. İstatistik örnekleme zaman ve para tasarrufu sağlar. Genellikle istatistik yollarla seçilen örnek sayısı sabit bir yüzde ile yapılan örneklemedekinden daha azdır. Ayrıca bir örneklem üzerinden anakütleye ait değişik özelliklere ait testler yapılabilir.
6. Test sonuçlarının değerlendirmesi objektif olarak yapılabilir. Sonuçlar belirli bir güvenilirlik derecesi ile anakütleye genelleştirlir.
7. Veriler farklı kullanıcılar tarafından da toplanıp değerlendirilebilir.
Örnekleme Planı ve Seçim Tekniği
Anakütlenin dosyalanma şekli ve dağılımı uygulanacak seçim tekniğini belirler. Uygulana spesifik plan ve seçim tekniği ayrıntılarıyla belgelendirilmelidir.
Örnekleme yaklaşımları (planları) özetle aşağıdaki gibi sıralanabilir:
1. Tahmin Örneklemesi (Estimate Sampling) :
En çok kullanılan yaklaşımdır. İki türü vardır:
o Nitelik Örneklemesi (Attributes Sampling): Sorulması gereken soru “kaç adet” olduğunda kullanılmalıdır. Bir anakütlenin özelliklerini veya “niteliğini”belirlemekte kullanılır. Sonuçlar “tanımlanan olay”ın ortaya çıkma yüzdesini verir. Her bir gözlem sadece bir kategoriye girebilir.
Adım Adım Örnekleme (Stop Go Sampling) : Nitelik örneklemesinin bir türüdür. Bir nitelik örneklemesinde üst kesinlik sınırını belirlemekte kullanılır.Belirlenen amaca klasik nitelik örneklemesine göre daha küçük bir örnek büyüklüğü ile ulaşmaya imkan verir.
o Değişken Örneklemesi (Variables Sampling) : “Ne kadar” sorusunun cevabını bulmak için kullanılır. Parasal değerlerden oluşan anakütlelerde uygulanabilir. Bu örnekleme ile bir anakütlenin ortalama veya toplam değerine ilişkin tahminlerde bulunulabilir.
2. Kabul Örneklemesi (Acceptance Sampling) :
Belirli bir sayıda örneğin rastlantısal olarak seçilip örnek içinde belirli sayıda hataya rastlanmazsa anakütlenin kabul edildiği örneklemedir. Bu tpi örneklemede sadece kabul veya red kararı verilir.
3. Keşif Örneklemesi ( Discovery Sampling) :
Bir tek hata veya düzensizliğe rastlandığında dahi geniş bir inceleme yapılacaksa bu örnekleme yöntemi kullanılır. Hile, İç kontrollerin işletilmemesi, kritik düzenlemelerin ihlali veya kalite kontrol ölçülerinin söz konusu olduğu durumlarda kullanılır.
4. Parasal Birim Örneklemesi ( Dolar Unit Sampling ) :
İstatistik bir sonuca ulaşmak için nitelik ve değişken örneklemesi yöntemlerini birleştirir. Değişken ve nitelik örneklemesine aynı anda uygulanabilir. Diğer örnekleme yöntemlerinden farkı örneklerin fiziksel bir birim yerine her para birimi olarak alınmasıdır. Prosedürler örnekleme sonucu bulunan para biriminin yer aldığı tutarlarda yapılır.
5. İradi Örnekleme ( Judgment Sampling) :
Uygulayıcının istatistik yöntemler yerine örnek büyüklüğünü ve seçilecek birimleri kendi iradesine göre belirlediği yöntemdir. İradi örnekleme uygulanmadan önce istatistik veya iradi yöntemden hangisinin daha faydalı olacağını belirleyebilecek bir örnekleme bilgisine sahip olunması gerekmektedir. Burada önemli olan nokta iradi örneklemenin kullanılması halinde anakütlenin tamamı hakkında bir genellemeye varılamayacağının akılda bulundurulması gerektiğidir. Bu ancak yukarıda sayılan diğer yöntemlerde mümkündür.
En çok kullanılan örnek seçim teknikleri şu şekilde özetlenebilir:
1. Sınırlanmamış Rastsal Örnekleme ( Unrestricted Random Sampling ) : Anakütledeki bütün birimlerim eşit seçilme şansı vardır. En sık kullanılan yöntemdir.
2. Aralık Örneklemesi ( Interval Sampling ) : Belirli bir aralık saptandıktan sonra rasgele bir birimden başlamak üzere aralarında bu kadar bir aralık olan birimlerin seçilmesidir.
3. Katmanlı Örnekleme ( Stratified Sampling ) : Anakütledeki birimler iki veya daha fazla sınıfa veya katmana ayrılır. Her bir katmandan ayrı örnekleme yapılır. Sonuçlar koşullara göre bir araya getirilerek veya ayrı ayrı değerlendirilir.
4. Küme Örneklemesi ( Cluster Sampling) : Anakütle birimleri gruplar veya kümeler haline getirilir. Daha sonra seçilen kümelerde yer alan birimler örnek alınarak veya tamamen test edilir.
5. Çok Aşamalı Örnekleme ( Multistage Sampling) : Çok çeşitli düzeylerde örnekleme ile ilgilidir. Örneğin uygulayıcı değişik bölgelerden örnekler alır ve daha sonra bunlar arasından yeniden bir örnekleme yapabilir.
Sonuçların Değerlendirilmesi
Ne tür bir örnekleme planı veya tekniği kullanılırsa kullanılsın sonuçların yorumlanabilmesi gereklidir. Eğer uygulanan testler istatistik ölçümlemelere dayanıyorsa başlangıçta örnek büyüklüğünü belirlemede dayanak noktası olarak kullanılan unsurların yeniden değerlenmesine yönelik istatistiksel yöntemler mevcuttur. Uygulayıcılar aşağıda sıralanan kuralların sonuçları değerlendirmede daha anlamlı olacağını akıllarında bulundurmalıdırlar.
1. Test edilen her bir özellik ayrı olarak değerlendirmeye tabi tutulmalıdır. Her bir özellik ayrı ve bağımsız bir örneği temsil eder.
2. Kabul edilebilir hata oranı uygulayıcının mevcut koşulları iyice anladıktan sonra varacağı yargıya dayanmalıdır.
3. Test sonuçları önemli konular ortaya koyduğunda testi uygulayan kişi yaptığı örneklemeye yeni bir açıdan bakmaya hazır olmalıdır.
13 Ocak 2010 Çarşamba
BANKA BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİ HAKKINDA RAPORLAR
Daha önce yayımlanan "Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik" kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin tebliğ 13.01.2010 tarihli Resmi Gazetede yayımlandı.
13 Ocak 2010 ÇARŞAMBA
Resmî Gazete
Sayı : 27461
TEBLİĞ
Bankacılık Düzenleme ve Denetleme Kurumundan:
BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK BANKA
BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİNE
İLİŞKİN RAPOR HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin usul ve esasların düzenlenmesidir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin 40 ıncı maddesinin ikinci fıkrası uyarınca düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Bankacılık süreçleri denetimi: Yönetmeliğin 25 inci maddesinde yer alan denetimi,
b) Bilgi sistemleri denetimi: Yönetmeliğin 24 üncü maddesinde yer alan denetimi,
c) BT: Bilgi Teknolojilerini,
ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri’nin (COBIT) denetim döneminin başlangıcı itibariyle güncel versiyonunu,
d) Denetçi: Yönetmeliğin 4 üncü maddesinde tanımlanan denetçiyi,
e) Denetlenen: Yönetmeliğin 4 üncü maddesinde tanımlanan denetleneni,
f) Detaylı kontrol hedefi: COBIT’te kontrol hedeflerinin altında tanımlanan detay kontrol hedeflerini,
g) Kayda değer kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan kayda değer kontrol eksikliğini,
ğ) Kontrol: Yönetmeliğin 4 üncü maddesinde tanımlanan kontrolü,
h) Kontrol alanı: COBIT’in BT aktivitelerini 4 alana ayırarak genel bir süreç modeli olarak tanımladığı genel kontrol alanlarını,
ı) Kontrol hedefi: Belirli bir BT aktivitesi içinde kontrol prosedürleri oluşturarak istenen bir sonucun veya bir amacın gerçekleştirilmesini sağlayan COBIT’teki kontrol hedeflerini,
i) Kontrol zayıflığı: Yönetmeliğin 6 ncı maddesinde tanımlanan kontrol zayıflığını,
j) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
k) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
l) Önemli kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan önemli kontrol eksikliğini,
m) Yönetmelik: Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği
ifade eder.
Rapor hazırlanırken uyulması gereken ilkeler
MADDE 4 – (1) Denetçi, raporun tam, doğru, objektif, inandırıcı ve konunun müsaade ettiği ölçüde açık ve öz olmasına özen gösterir.
(2) Denetçi, raporun tam olmasını raporda denetim amaçlarının tamamını karşılayan bilgilere yer vererek; raporlanmış hususları, bu hususların yeterli ve doğru bir şekilde anlaşılmasını sağlayacak biçimde sunarak ve raporun içeriğine ilişkin bu Tebliğde ifade edilen gereksinimleri sağlayarak temin eder.
(3) Denetçi, raporun doğru olmasını; sunulan bulguların gerçekten var olmasıyla ve bu bulguların doğru bir şekilde sunulmasıyla temin eder. Raporun doğruluğu ve güvenilirliği, raporda sunulan bütün bulguların doğru bir şekilde okuyucuya aktarılmasıyla sağlanır. Raporda sadece denetçinin çalışma kağıtlarında konuyla alakalı yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilir. Denetim açısından önemli görülen verilerden bazılarının denetlenmemesi veya denetlenememesi durumunda denetçi bunu raporunda açıkça belirtir, varsa verinin kısıtlamalarını rapora ekler ve bu konuya ilişkin raporda herhangi bir yargıda bulunmaz.
(4) Denetçi, raporun objektif olmasını, raporun içeriğinde yer alan unsurları dengeli bir şekilde sunarak ve sunum yaklaşımında tarafsız bir duruş sergileyerek sağlar. Raporun inandırıcılığı açısından rapordaki delillerin tarafsız bir şekilde sunulması ve okuyucunun gerçeklerle ikna edilmesi gereklidir. Denetçi, raporun tarafsız olmasını ve yanıltıcı olmamasını sağlamakla yükümlüdür. Denetçi, raporunu karar vericilerin raporda yer alan bulgulara dayanarak hareket edebilecekleri bir yaklaşımla sunar. Denetçi raporunda savunmaya ya da suçlamaya yönelik bir dil kullanmamaya özen gösterir.
(5) Denetçi, raporunun inandırıcı olmasını; denetim sonuçlarının denetim amaçlarını karşılaması, bulguların ikna edici bir şekilde sunulması ve raporda yer verdiği yargıların gerçekler tarafından iyi bir şekilde desteklenmesi ile sağlar. Denetçi, raporunda bulgularının geçerliliği ve yargılarının makullüğü hakkında yeterli ve ikna edici bilgilere yer verir.
(6) Denetçi, raporunun açık olmasını, akıcı ve anlaşılır ifadeler kullanarak temin eder. Raporda herhangi bir şeyi saklamayan, açık, yalın ve mümkün olduğunca teknik olmayan bir dil kullanılır. Teknik terimlerin veya kısaltmaların kullanıldığı durumlarda, bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Raporda kısa ve etken fiilli cümleler kullanılmasına özen gösterilir. Denetçi raporda gerekli gördüğü yerlerde konunun daha iyi anlaşılmasını sağlamak amacıyla grafik, tablo ve resim gibi görsel araçlardan faydalanır.
(7) Denetçi raporunda ifade etmek istediklerini mümkün olduğunca kısa ve öz bir şekilde ifade eder, vermek istediği mesajı gölgeleyebilecek gereksiz detaylardan ve tekrarlardan kaçınır.
İKİNCİ BÖLÜM
Genel Kavramlar
Bulgular
MADDE 5 – (1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekilde kayda değer kontrol eksikliklerini ve önemli kontrol eksikliklerini, sınıflandırarak ve Kurumca belirlenen esaslara göre kodlayarak raporunda yer verir.
(2) Denetçi, bulguları ifade ederken, denetim amaçlarının gerektirdiği kadarıyla, bu bulguların kriter ve durumlarına ilişkin bilgilere yer verir.
a) Kriter: Bulgunun ilişkili olduğu alanla/faaliyetle ilgili olarak bu faaliyetin/alanın olması gerektiği durumu veya bu faaliyetten/alandan ne beklendiğini,
b) Durum: Bulgunun ilişkili olduğu alanın/faaliyetin mevcut uygulanma şekli veya durumu ile kriter ve bu durum arasındaki farkların temel sebeplerini
ifade eder.
(3) Kontrol zayıflığı olarak tanımlanan bulgular, denetçi tarafından denetlenenin yetkililerine yazılı olarak iletilir. Denetçi böyle bir yazının denetlenenin yetkililerine iletildiği ifadesine ve bilgi sistemleri denetiminde kontrol hedefleri, bankacılık süreçleri denetiminde ise süreçler bazında tespit ettiği kontrol zayıflıklarının sayısına raporunda yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan tüm bulguları değerlendirir, bu bulguların son durumlarına, devam edip etmediklerine ve denetlenen tarafından taahhüt edilen aksiyon planına uyumuna ilişkin açıklamalarına raporunda yer verir.
(5) Denetçi, topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar, sözleşme ihlali, suiistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden bir veya birkaçının bulunduğu kanaatine varırsa, bunları raporda bulgu olarak ifade eder.
(6) Denetçi, raporunda yer verdiği tüm bulguları usul ve esasları Kurumca belirlenecek şekilde elektronik ortamda Kuruma iletir.
Denetlenenin görüşleri
MADDE 6 – (1) Denetçi bulgular, sonuçlar ve varsa planlanan düzeltme çalışmaları hakkında denetlenenin görüşlerini raporlar.
(2) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş bulgulara ilişkin denetlenenin görüşlerine ve denetlenenin bulgunun giderilmesine ilişkin yaptığı çalışmalara raporunda yer verir.
(3) Denetlenenin görüş bildiremediği veya görüş bildirmeyi reddettiği durumlara, nedenleriyle birlikte raporunda yer verir.
Bulgularla ilgili sonuç değerlendirmesi
MADDE 7 – (1) Denetçi, raporda denetim amaçları, denetim bulguları ve varsa denetlenenin görüşlerini yorumlayarak kendi çıkarımları ve görüşleri doğrultusunda değerlendirmelere yer verir. Bu değerlendirmelerde denetimde ortaya çıkan bulgulara kendi gözlemlerini de katarak ve bulguların aynen tekrarından kaçınarak, bulguların nasıl anlaşılması gerektiği hakkında yorum yapar.
(2) Denetçi, denetlenenin görüşlerine katılmadığı veya planlanan düzeltme çalışmalarının uygun olmadığını düşündüğü takdirde buna sonuç değerlendirmesinde ayrıca yer verir. Denetçi, denetlenenin görüşlerini haklı bulması halinde, raporda ilgili düzeltmeleri yapar.
(3) Herhangi bir bulgunun düzeltildiğine dair bir beyanın rapor tarihinden önce denetlenen tarafından denetçiye ulaşması durumunda, tespit edilen her bir bulgu için birer defaya mahsus olmak koşuluyla, denetçi denetlenenin beyanını doğrulamak için bu bulgunun son durumunu tahlil eder, bulgunun ortadan kalktığı kanaatine ulaşırsa bulgunun düzeltildiğine dair yargısına raporun bulguya ilişkin sonuç değerlendirmesi bölümünde yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgulara ait sonuç değerlendirmesi bölümünde bulguların çözümüne ilişkin denetlenen tarafından aksiyon planına uyumla birlikte, bulgunun devam durumunu;
a) devam etmektedir,
b) kısmen düzeltilmiştir veya
c) düzeltilmiştir
şeklinde raporunda ifade eder.
ÜÇÜNCÜ BÖLÜM
Rapor İçeriği
İçerik
MADDE 8 – (1) Denetçinin hazırlayacağı rapor aşağıdaki unsurları içerecek şekilde düzenlenir :
a) Başlık,
b) Raporun sunulduğu merci,
c) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
ç) Yönetici özeti,
d) İçindekiler,
e) Denetim çalışmasına ilişkin bilgi,
f) Denetlenenin bilgi sistemleri hakkında genel bilgi,
g) Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme,
ğ) Bankacılık süreçleri denetimi bölümü,
h) Banka bilgi sistemleri denetimi bölümü,
ı) Kısaltmalar,
i) Sözlük.
Yönetici özeti
MADDE 9 – (1)Yönetici özeti aşağıda belirtilen şekilde hazırlanır:
a) Denetçi, bu bölümde denetimin amaçlarını tanımlar ve bu denetim amaçlarına erişmek için uyguladığı denetimin kapsam ve metodolojisini özet olarak açıklar.
1) Denetçi, neden bu görevi üstlendiğini ve bu raporun hazırlanış amacını içerecek şekilde, denetim amaçlarını açık ve net olarak ifade eder.
2) Denetçi, denetim çalışmasının önemlilik kavramı çerçevesinde belirlenen kapsamını açık ve net bir şekilde ifade eder. Denetim kapsamı ifade edilirken, denetçiyi bu kapsamı seçmeye zorlayan herhangi bir sınırlama varsa, bu sınırlamalar da açık bir şekilde ifade edilir.
b) Yapılan denetim çalışmasına ilişkin olarak genel bir değerlendirmeye yer verilir.
c) Cari ve geçmiş dönemlerde tespit edilen bulguların özetlendiği bir tablo ek-1’de tanımlanan örneğe uygun olarak doldurulur.
ç) Denetçinin tespit ettiği bulgular arasından öne çıkanlar ve bu bulguların taşıdıkları iş risklerine yer verilir.
d) Bankacılık süreçleri ve yapıldıysa bilgi sistemleri denetimi sonucunda ortaya çıkan bulgular da dikkate alınarak, denetlenenin durumu hakkında genel bir değerlendirmeye yer verilir.
e) Denetim dönemi içerisinde bilgi sistemleri denetimi yapılmışsa, kontrol alanlarının her biri için denetlenenin bir önceki yıla ait denetiminde tespit edilen olgunluk seviyeleri ile karşılaştırmalı olarak ek–2’de tanımlanan şekliyle olgunluk seviyesi grafiği hazırlanarak, bu bölüme eklenir.
Denetim çalışmasına ilişkin bilgi
MADDE 10 – (1) Denetçi, denetim amaçlarını gerçekleştirmek için yapılan denetim çalışmasına ilişkin olarak:
a) Denetim çalışması yürütülürken dikkate alınan önemli varsayımlar,
b) Denetimi gerçekleştirdiği banka birimleri veya şubeleri,
c) Denetim kapsamındaki süreçlerle ilgili sorumlularının unvan ve erişim bilgileri ve
d) Denetim ekibi ve denetimin başlama/bitiş tarihleri
bilgilerine denetim çalışmasına ilişkin bilgi bölümünde yer verir.
Denetlenenin bilgi sistemleri hakkında genel bilgi
MADDE 11 – (1) Bilgi sistemlerinin değerlendirilmesi kısmı aşağıdaki hususları içerir:
a) BT bölümü çalışan profili hakkında bilgi,
b) BT bölümünün organizasyon yapısına dair bilgi,
c) Ana bankacılık faaliyetlerinin yürütülmesinde kullanılan uygulamalar/sistemler/araçlar hakkında genel bilgi,
ç) Denetlenenin bilgi sistemi mimarisi hakkında özet bilgi,
d) Denetlenenin ağ altyapısının anlatılması ve ağ topolojisi,
e) Ana bankacılık faaliyetleri ile ilgili yazılımların ve araçların bilgi sistemleri mimarisi üzerinde gösterimi,
f) Bilgi sistemleri denetimi yapılmışsa, değişiklik yönetimi, güvenlik yönetimi vb. gibi kritik kontrol hedeflerini destekleyen araçlar hakkında özet bilgi.
Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme
MADDE 12 – (1) Denetçi, raporun bu bölümünde aşağıdaki hususlara yer verir:
a) İç denetim biriminin, finansal raporlama sistemlerine ilişkin iç kontrollerinin denetimi kapsamında yapmış olduğu planlamaların, faaliyetlerin ve denetim sonuçlarının takibinin değerlendirilmesi,
b) Yönetimin finansal raporlama sistemlerine ilişkin iç kontrollerin tesis edilmesi ve sağlıklı bir şekilde işletilmesine verdiği önem, söz konusu kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının değerlendirilmesi,
c) Yöneticilerin finansal raporlama sistemlerine ilişkin iç kontrollerle ilgili risk değerlendirme sürecinin değerlendirilmesi.
(2) Denetçi, BT denetim ekibiyle ilgili olarak:
a) Ekibin profilini,
b) Faaliyetlerini,
c) Yapmış oldukları denetim çalışmalarını,
ç) Organizasyon içerisindeki yerlerini,
raporunda belirtir.
(3) Denetçi, bu bölümün sonunda bu bölüm kapsamında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular da aynı tablo formatında sunulur.
Bankacılık süreçleri denetimi
MADDE 13 – (1) Denetçi, bankacılık süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi süreçleri seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2) Denetçi, bankacılık faaliyetlerine ilişkin süreçlere dair denetlenen tarafından kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu Ek-5’te belirtildiği şekliyle doldurarak, bunları bir CD içerisinde raporuna ekler.
(3) Denetçi, denetim esnasında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur ve bulguların önem sıralamasına uygun olarak ilgili sürecin altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-3’teki tabloyu doldurur.
(4) Denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine sürece ilişkin bölümün sonunda yer verir.
Uygulamalara ilişkin risk matrisinin hazırlanması
MADDE 14 – (1) Denetçi, denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri derecelendirmek ve bu uygulamalardan kaynaklanan net riski tespit etmek için bir risk matrisi oluşturur. Uygulamalardan kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi, uygulamalarla bütünleşik riskler, bilgi sistemleri genel kontrollerinin ve bankacılık süreçleri üzerindeki kontrollerin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir. Bu maddede açıklanan risk matrisinin hazırlanmasına ilişkin usul ve esaslar Kurulca belirlenir.
Banka bilgi sistemleri denetimi
MADDE 15 – (1) Denetçi, banka bilgi sistemleri denetiminde kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi kontrol hedeflerini seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2 Denetçi, COBIT’te yer alan kontrol alanlarının her biri için geçmiş dönemlerdeki seviye ile karşılaştırmasını da içerecek şekilde genel bir değerlendirmeye raporunda yer verir.
(3 Denetçi, denetim esnasında tespit ettiği her bir bilgi sistemleri bulgusu için Ek-4’teki tabloyu doldurur; bulguların ilgili oldukları kontrol hedefine ve önem sıralamasına uygun olarak ilgili kontrol alanları altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-4’teki tabloyu doldurur.
(4) Denetçi, kontrol alanlarının altında yer alan ve önemlilik kriterine göre seçtiği her bir kontrol hedefi için aşağıda yer alan unsurlara raporunda yer verir:
a) Seçilen kontrol hedefinin ismi,
b) Kontrol hedefinin sorumlusu,
c) Kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünün değerlendirilmesiyle elde edilen, kontrol hedefine ilişkin olgunluk seviyesi,
ç) Denetçi tarafından belirlenen olgunluk seviyesinin, denetlenen tarafından nasıl ve hangi kriterle sağlandığı ve/veya hangi kriterlerin eksik olduğu.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Konsolide denetim raporu
MADDE 16 – (1) Yönetmeliğin 2 nci maddesi ve 4 üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca bağımsız denetim kuruluşlarınca gerçekleştirilen banka bilgi sistemleri ve bankacılık süreçlerinin denetimi kapsamına giren bankaların konsolidasyon kapsamındaki ortaklıklarına ilişkin konsolide denetim raporu aşağıdaki bölümleri içerir:
a) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
b) Yönetici özeti,
c) İçindekiler,
ç) Banka iştirakleri ile ilgili Ek-6’da tanımlandığı şekliyle hazırlanan tablo,
d) Denetim çalışmasına ilişkin bilgi ve
e) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri.
(2) Yönetici özeti bölümünde, bu Tebliğin 9 uncu maddesinin birinci fıkrasının (a) ve (b) bentlerinde belirtilen bilgiler, banka ve ortaklıklarında konsolide mali tabloya etkileri bakımından öne çıkan bulgular ve bu bulguların konsolide mali tablo açısından değerlendirmeleri sunulur. Konsolide edilecek finansal bilgiyi üreten bilgi sistemi ve/veya süreç ile banka ve ortaklıklar arasında finansal bilgi akışı hakkında genel bir değerlendirme yapılır.
(3) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri bölümünde:
a) Bankada tespit edilen bulgular, konsolide mali tablo açısından değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı ile doldurularak sunulur.
b) Bilgi sistemleri denetimine dahil edilen her ortaklık için aşağıdaki bilgiler sunulur:
1) Ortaklığın adı, ortaklık yapısı (iştirak, bağlı ortaklık ya da birlikte yönetilen ortaklık olma durumu), faaliyetleri ve konsolide denetime dahil edilme sebepleri hakkında bilgi,
2) Ortaklıkta, bilgi sistemleri ve iş süreçleri denetimlerinden hangilerinin gerçekleştirildiği, hangi süreçlerin/kontrol hedeflerinin denetlendiği ve bu süreçlerin/kontrol hedeflerinin seçilmesinde kullanılan önemlilik değerlendirmesi sunularak denetim kapsamı,
3) Gerçekleştirilen denetim sonucunda, konsolide finansal bilgilerinin tanımlanması, üretilmesi, kullanılması, doğruluk, bütünlük ve güvenilirliğinin sağlanması konularında, denetime tabi tutulan ortaklığın etkisine ilişkin genel bir değerlendirme,
4) Konsolide mali tablo açısından değerlendirilerek kayda değer ve önemli kontrol eksikliği olarak sınıflandırılan ve Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı doldurularak hazırlanan ortaklıklarda tespit edilen bulgular.
Yürürlükten kaldırılan düzenlemeler
MADDE 17 – (1) 5/12/2006 tarihli ve 26367 sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ yürürlükten kaldırılmıştır.
Yürürlük
MADDE 18 – (1) Bu Tebliğ 31/12/2009 tarihinden itibaren geçerli olmak üzere yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 19 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
13 Ocak 2010 ÇARŞAMBA
Resmî Gazete
Sayı : 27461
TEBLİĞ
Bankacılık Düzenleme ve Denetleme Kurumundan:
BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK BANKA
BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİNE
İLİŞKİN RAPOR HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin usul ve esasların düzenlenmesidir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin 40 ıncı maddesinin ikinci fıkrası uyarınca düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Bankacılık süreçleri denetimi: Yönetmeliğin 25 inci maddesinde yer alan denetimi,
b) Bilgi sistemleri denetimi: Yönetmeliğin 24 üncü maddesinde yer alan denetimi,
c) BT: Bilgi Teknolojilerini,
ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri’nin (COBIT) denetim döneminin başlangıcı itibariyle güncel versiyonunu,
d) Denetçi: Yönetmeliğin 4 üncü maddesinde tanımlanan denetçiyi,
e) Denetlenen: Yönetmeliğin 4 üncü maddesinde tanımlanan denetleneni,
f) Detaylı kontrol hedefi: COBIT’te kontrol hedeflerinin altında tanımlanan detay kontrol hedeflerini,
g) Kayda değer kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan kayda değer kontrol eksikliğini,
ğ) Kontrol: Yönetmeliğin 4 üncü maddesinde tanımlanan kontrolü,
h) Kontrol alanı: COBIT’in BT aktivitelerini 4 alana ayırarak genel bir süreç modeli olarak tanımladığı genel kontrol alanlarını,
ı) Kontrol hedefi: Belirli bir BT aktivitesi içinde kontrol prosedürleri oluşturarak istenen bir sonucun veya bir amacın gerçekleştirilmesini sağlayan COBIT’teki kontrol hedeflerini,
i) Kontrol zayıflığı: Yönetmeliğin 6 ncı maddesinde tanımlanan kontrol zayıflığını,
j) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
k) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
l) Önemli kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan önemli kontrol eksikliğini,
m) Yönetmelik: Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği
ifade eder.
Rapor hazırlanırken uyulması gereken ilkeler
MADDE 4 – (1) Denetçi, raporun tam, doğru, objektif, inandırıcı ve konunun müsaade ettiği ölçüde açık ve öz olmasına özen gösterir.
(2) Denetçi, raporun tam olmasını raporda denetim amaçlarının tamamını karşılayan bilgilere yer vererek; raporlanmış hususları, bu hususların yeterli ve doğru bir şekilde anlaşılmasını sağlayacak biçimde sunarak ve raporun içeriğine ilişkin bu Tebliğde ifade edilen gereksinimleri sağlayarak temin eder.
(3) Denetçi, raporun doğru olmasını; sunulan bulguların gerçekten var olmasıyla ve bu bulguların doğru bir şekilde sunulmasıyla temin eder. Raporun doğruluğu ve güvenilirliği, raporda sunulan bütün bulguların doğru bir şekilde okuyucuya aktarılmasıyla sağlanır. Raporda sadece denetçinin çalışma kağıtlarında konuyla alakalı yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilir. Denetim açısından önemli görülen verilerden bazılarının denetlenmemesi veya denetlenememesi durumunda denetçi bunu raporunda açıkça belirtir, varsa verinin kısıtlamalarını rapora ekler ve bu konuya ilişkin raporda herhangi bir yargıda bulunmaz.
(4) Denetçi, raporun objektif olmasını, raporun içeriğinde yer alan unsurları dengeli bir şekilde sunarak ve sunum yaklaşımında tarafsız bir duruş sergileyerek sağlar. Raporun inandırıcılığı açısından rapordaki delillerin tarafsız bir şekilde sunulması ve okuyucunun gerçeklerle ikna edilmesi gereklidir. Denetçi, raporun tarafsız olmasını ve yanıltıcı olmamasını sağlamakla yükümlüdür. Denetçi, raporunu karar vericilerin raporda yer alan bulgulara dayanarak hareket edebilecekleri bir yaklaşımla sunar. Denetçi raporunda savunmaya ya da suçlamaya yönelik bir dil kullanmamaya özen gösterir.
(5) Denetçi, raporunun inandırıcı olmasını; denetim sonuçlarının denetim amaçlarını karşılaması, bulguların ikna edici bir şekilde sunulması ve raporda yer verdiği yargıların gerçekler tarafından iyi bir şekilde desteklenmesi ile sağlar. Denetçi, raporunda bulgularının geçerliliği ve yargılarının makullüğü hakkında yeterli ve ikna edici bilgilere yer verir.
(6) Denetçi, raporunun açık olmasını, akıcı ve anlaşılır ifadeler kullanarak temin eder. Raporda herhangi bir şeyi saklamayan, açık, yalın ve mümkün olduğunca teknik olmayan bir dil kullanılır. Teknik terimlerin veya kısaltmaların kullanıldığı durumlarda, bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Raporda kısa ve etken fiilli cümleler kullanılmasına özen gösterilir. Denetçi raporda gerekli gördüğü yerlerde konunun daha iyi anlaşılmasını sağlamak amacıyla grafik, tablo ve resim gibi görsel araçlardan faydalanır.
(7) Denetçi raporunda ifade etmek istediklerini mümkün olduğunca kısa ve öz bir şekilde ifade eder, vermek istediği mesajı gölgeleyebilecek gereksiz detaylardan ve tekrarlardan kaçınır.
İKİNCİ BÖLÜM
Genel Kavramlar
Bulgular
MADDE 5 – (1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekilde kayda değer kontrol eksikliklerini ve önemli kontrol eksikliklerini, sınıflandırarak ve Kurumca belirlenen esaslara göre kodlayarak raporunda yer verir.
(2) Denetçi, bulguları ifade ederken, denetim amaçlarının gerektirdiği kadarıyla, bu bulguların kriter ve durumlarına ilişkin bilgilere yer verir.
a) Kriter: Bulgunun ilişkili olduğu alanla/faaliyetle ilgili olarak bu faaliyetin/alanın olması gerektiği durumu veya bu faaliyetten/alandan ne beklendiğini,
b) Durum: Bulgunun ilişkili olduğu alanın/faaliyetin mevcut uygulanma şekli veya durumu ile kriter ve bu durum arasındaki farkların temel sebeplerini
ifade eder.
(3) Kontrol zayıflığı olarak tanımlanan bulgular, denetçi tarafından denetlenenin yetkililerine yazılı olarak iletilir. Denetçi böyle bir yazının denetlenenin yetkililerine iletildiği ifadesine ve bilgi sistemleri denetiminde kontrol hedefleri, bankacılık süreçleri denetiminde ise süreçler bazında tespit ettiği kontrol zayıflıklarının sayısına raporunda yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan tüm bulguları değerlendirir, bu bulguların son durumlarına, devam edip etmediklerine ve denetlenen tarafından taahhüt edilen aksiyon planına uyumuna ilişkin açıklamalarına raporunda yer verir.
(5) Denetçi, topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar, sözleşme ihlali, suiistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden bir veya birkaçının bulunduğu kanaatine varırsa, bunları raporda bulgu olarak ifade eder.
(6) Denetçi, raporunda yer verdiği tüm bulguları usul ve esasları Kurumca belirlenecek şekilde elektronik ortamda Kuruma iletir.
Denetlenenin görüşleri
MADDE 6 – (1) Denetçi bulgular, sonuçlar ve varsa planlanan düzeltme çalışmaları hakkında denetlenenin görüşlerini raporlar.
(2) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş bulgulara ilişkin denetlenenin görüşlerine ve denetlenenin bulgunun giderilmesine ilişkin yaptığı çalışmalara raporunda yer verir.
(3) Denetlenenin görüş bildiremediği veya görüş bildirmeyi reddettiği durumlara, nedenleriyle birlikte raporunda yer verir.
Bulgularla ilgili sonuç değerlendirmesi
MADDE 7 – (1) Denetçi, raporda denetim amaçları, denetim bulguları ve varsa denetlenenin görüşlerini yorumlayarak kendi çıkarımları ve görüşleri doğrultusunda değerlendirmelere yer verir. Bu değerlendirmelerde denetimde ortaya çıkan bulgulara kendi gözlemlerini de katarak ve bulguların aynen tekrarından kaçınarak, bulguların nasıl anlaşılması gerektiği hakkında yorum yapar.
(2) Denetçi, denetlenenin görüşlerine katılmadığı veya planlanan düzeltme çalışmalarının uygun olmadığını düşündüğü takdirde buna sonuç değerlendirmesinde ayrıca yer verir. Denetçi, denetlenenin görüşlerini haklı bulması halinde, raporda ilgili düzeltmeleri yapar.
(3) Herhangi bir bulgunun düzeltildiğine dair bir beyanın rapor tarihinden önce denetlenen tarafından denetçiye ulaşması durumunda, tespit edilen her bir bulgu için birer defaya mahsus olmak koşuluyla, denetçi denetlenenin beyanını doğrulamak için bu bulgunun son durumunu tahlil eder, bulgunun ortadan kalktığı kanaatine ulaşırsa bulgunun düzeltildiğine dair yargısına raporun bulguya ilişkin sonuç değerlendirmesi bölümünde yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgulara ait sonuç değerlendirmesi bölümünde bulguların çözümüne ilişkin denetlenen tarafından aksiyon planına uyumla birlikte, bulgunun devam durumunu;
a) devam etmektedir,
b) kısmen düzeltilmiştir veya
c) düzeltilmiştir
şeklinde raporunda ifade eder.
ÜÇÜNCÜ BÖLÜM
Rapor İçeriği
İçerik
MADDE 8 – (1) Denetçinin hazırlayacağı rapor aşağıdaki unsurları içerecek şekilde düzenlenir :
a) Başlık,
b) Raporun sunulduğu merci,
c) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
ç) Yönetici özeti,
d) İçindekiler,
e) Denetim çalışmasına ilişkin bilgi,
f) Denetlenenin bilgi sistemleri hakkında genel bilgi,
g) Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme,
ğ) Bankacılık süreçleri denetimi bölümü,
h) Banka bilgi sistemleri denetimi bölümü,
ı) Kısaltmalar,
i) Sözlük.
Yönetici özeti
MADDE 9 – (1)Yönetici özeti aşağıda belirtilen şekilde hazırlanır:
a) Denetçi, bu bölümde denetimin amaçlarını tanımlar ve bu denetim amaçlarına erişmek için uyguladığı denetimin kapsam ve metodolojisini özet olarak açıklar.
1) Denetçi, neden bu görevi üstlendiğini ve bu raporun hazırlanış amacını içerecek şekilde, denetim amaçlarını açık ve net olarak ifade eder.
2) Denetçi, denetim çalışmasının önemlilik kavramı çerçevesinde belirlenen kapsamını açık ve net bir şekilde ifade eder. Denetim kapsamı ifade edilirken, denetçiyi bu kapsamı seçmeye zorlayan herhangi bir sınırlama varsa, bu sınırlamalar da açık bir şekilde ifade edilir.
b) Yapılan denetim çalışmasına ilişkin olarak genel bir değerlendirmeye yer verilir.
c) Cari ve geçmiş dönemlerde tespit edilen bulguların özetlendiği bir tablo ek-1’de tanımlanan örneğe uygun olarak doldurulur.
ç) Denetçinin tespit ettiği bulgular arasından öne çıkanlar ve bu bulguların taşıdıkları iş risklerine yer verilir.
d) Bankacılık süreçleri ve yapıldıysa bilgi sistemleri denetimi sonucunda ortaya çıkan bulgular da dikkate alınarak, denetlenenin durumu hakkında genel bir değerlendirmeye yer verilir.
e) Denetim dönemi içerisinde bilgi sistemleri denetimi yapılmışsa, kontrol alanlarının her biri için denetlenenin bir önceki yıla ait denetiminde tespit edilen olgunluk seviyeleri ile karşılaştırmalı olarak ek–2’de tanımlanan şekliyle olgunluk seviyesi grafiği hazırlanarak, bu bölüme eklenir.
Denetim çalışmasına ilişkin bilgi
MADDE 10 – (1) Denetçi, denetim amaçlarını gerçekleştirmek için yapılan denetim çalışmasına ilişkin olarak:
a) Denetim çalışması yürütülürken dikkate alınan önemli varsayımlar,
b) Denetimi gerçekleştirdiği banka birimleri veya şubeleri,
c) Denetim kapsamındaki süreçlerle ilgili sorumlularının unvan ve erişim bilgileri ve
d) Denetim ekibi ve denetimin başlama/bitiş tarihleri
bilgilerine denetim çalışmasına ilişkin bilgi bölümünde yer verir.
Denetlenenin bilgi sistemleri hakkında genel bilgi
MADDE 11 – (1) Bilgi sistemlerinin değerlendirilmesi kısmı aşağıdaki hususları içerir:
a) BT bölümü çalışan profili hakkında bilgi,
b) BT bölümünün organizasyon yapısına dair bilgi,
c) Ana bankacılık faaliyetlerinin yürütülmesinde kullanılan uygulamalar/sistemler/araçlar hakkında genel bilgi,
ç) Denetlenenin bilgi sistemi mimarisi hakkında özet bilgi,
d) Denetlenenin ağ altyapısının anlatılması ve ağ topolojisi,
e) Ana bankacılık faaliyetleri ile ilgili yazılımların ve araçların bilgi sistemleri mimarisi üzerinde gösterimi,
f) Bilgi sistemleri denetimi yapılmışsa, değişiklik yönetimi, güvenlik yönetimi vb. gibi kritik kontrol hedeflerini destekleyen araçlar hakkında özet bilgi.
Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme
MADDE 12 – (1) Denetçi, raporun bu bölümünde aşağıdaki hususlara yer verir:
a) İç denetim biriminin, finansal raporlama sistemlerine ilişkin iç kontrollerinin denetimi kapsamında yapmış olduğu planlamaların, faaliyetlerin ve denetim sonuçlarının takibinin değerlendirilmesi,
b) Yönetimin finansal raporlama sistemlerine ilişkin iç kontrollerin tesis edilmesi ve sağlıklı bir şekilde işletilmesine verdiği önem, söz konusu kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının değerlendirilmesi,
c) Yöneticilerin finansal raporlama sistemlerine ilişkin iç kontrollerle ilgili risk değerlendirme sürecinin değerlendirilmesi.
(2) Denetçi, BT denetim ekibiyle ilgili olarak:
a) Ekibin profilini,
b) Faaliyetlerini,
c) Yapmış oldukları denetim çalışmalarını,
ç) Organizasyon içerisindeki yerlerini,
raporunda belirtir.
(3) Denetçi, bu bölümün sonunda bu bölüm kapsamında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular da aynı tablo formatında sunulur.
Bankacılık süreçleri denetimi
MADDE 13 – (1) Denetçi, bankacılık süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi süreçleri seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2) Denetçi, bankacılık faaliyetlerine ilişkin süreçlere dair denetlenen tarafından kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu Ek-5’te belirtildiği şekliyle doldurarak, bunları bir CD içerisinde raporuna ekler.
(3) Denetçi, denetim esnasında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur ve bulguların önem sıralamasına uygun olarak ilgili sürecin altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-3’teki tabloyu doldurur.
(4) Denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine sürece ilişkin bölümün sonunda yer verir.
Uygulamalara ilişkin risk matrisinin hazırlanması
MADDE 14 – (1) Denetçi, denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri derecelendirmek ve bu uygulamalardan kaynaklanan net riski tespit etmek için bir risk matrisi oluşturur. Uygulamalardan kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi, uygulamalarla bütünleşik riskler, bilgi sistemleri genel kontrollerinin ve bankacılık süreçleri üzerindeki kontrollerin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir. Bu maddede açıklanan risk matrisinin hazırlanmasına ilişkin usul ve esaslar Kurulca belirlenir.
Banka bilgi sistemleri denetimi
MADDE 15 – (1) Denetçi, banka bilgi sistemleri denetiminde kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi kontrol hedeflerini seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2 Denetçi, COBIT’te yer alan kontrol alanlarının her biri için geçmiş dönemlerdeki seviye ile karşılaştırmasını da içerecek şekilde genel bir değerlendirmeye raporunda yer verir.
(3 Denetçi, denetim esnasında tespit ettiği her bir bilgi sistemleri bulgusu için Ek-4’teki tabloyu doldurur; bulguların ilgili oldukları kontrol hedefine ve önem sıralamasına uygun olarak ilgili kontrol alanları altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-4’teki tabloyu doldurur.
(4) Denetçi, kontrol alanlarının altında yer alan ve önemlilik kriterine göre seçtiği her bir kontrol hedefi için aşağıda yer alan unsurlara raporunda yer verir:
a) Seçilen kontrol hedefinin ismi,
b) Kontrol hedefinin sorumlusu,
c) Kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünün değerlendirilmesiyle elde edilen, kontrol hedefine ilişkin olgunluk seviyesi,
ç) Denetçi tarafından belirlenen olgunluk seviyesinin, denetlenen tarafından nasıl ve hangi kriterle sağlandığı ve/veya hangi kriterlerin eksik olduğu.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Konsolide denetim raporu
MADDE 16 – (1) Yönetmeliğin 2 nci maddesi ve 4 üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca bağımsız denetim kuruluşlarınca gerçekleştirilen banka bilgi sistemleri ve bankacılık süreçlerinin denetimi kapsamına giren bankaların konsolidasyon kapsamındaki ortaklıklarına ilişkin konsolide denetim raporu aşağıdaki bölümleri içerir:
a) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
b) Yönetici özeti,
c) İçindekiler,
ç) Banka iştirakleri ile ilgili Ek-6’da tanımlandığı şekliyle hazırlanan tablo,
d) Denetim çalışmasına ilişkin bilgi ve
e) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri.
(2) Yönetici özeti bölümünde, bu Tebliğin 9 uncu maddesinin birinci fıkrasının (a) ve (b) bentlerinde belirtilen bilgiler, banka ve ortaklıklarında konsolide mali tabloya etkileri bakımından öne çıkan bulgular ve bu bulguların konsolide mali tablo açısından değerlendirmeleri sunulur. Konsolide edilecek finansal bilgiyi üreten bilgi sistemi ve/veya süreç ile banka ve ortaklıklar arasında finansal bilgi akışı hakkında genel bir değerlendirme yapılır.
(3) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri bölümünde:
a) Bankada tespit edilen bulgular, konsolide mali tablo açısından değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı ile doldurularak sunulur.
b) Bilgi sistemleri denetimine dahil edilen her ortaklık için aşağıdaki bilgiler sunulur:
1) Ortaklığın adı, ortaklık yapısı (iştirak, bağlı ortaklık ya da birlikte yönetilen ortaklık olma durumu), faaliyetleri ve konsolide denetime dahil edilme sebepleri hakkında bilgi,
2) Ortaklıkta, bilgi sistemleri ve iş süreçleri denetimlerinden hangilerinin gerçekleştirildiği, hangi süreçlerin/kontrol hedeflerinin denetlendiği ve bu süreçlerin/kontrol hedeflerinin seçilmesinde kullanılan önemlilik değerlendirmesi sunularak denetim kapsamı,
3) Gerçekleştirilen denetim sonucunda, konsolide finansal bilgilerinin tanımlanması, üretilmesi, kullanılması, doğruluk, bütünlük ve güvenilirliğinin sağlanması konularında, denetime tabi tutulan ortaklığın etkisine ilişkin genel bir değerlendirme,
4) Konsolide mali tablo açısından değerlendirilerek kayda değer ve önemli kontrol eksikliği olarak sınıflandırılan ve Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı doldurularak hazırlanan ortaklıklarda tespit edilen bulgular.
Yürürlükten kaldırılan düzenlemeler
MADDE 17 – (1) 5/12/2006 tarihli ve 26367 sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ yürürlükten kaldırılmıştır.
Yürürlük
MADDE 18 – (1) Bu Tebliğ 31/12/2009 tarihinden itibaren geçerli olmak üzere yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 19 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
Kaydol:
Kayıtlar (Atom)