bilgi teknolojileri genel kontrol eksikliklerinin

BİLGİ TEKNOLOJİLERİ GENEL KONTROL
EKSİKLİKLERİNİN DEĞERLENDİRİLMESİ
İÇİN REHBER (BTRDR-GAIT)
İç Denetim
Enstitüsü
MESLEKİ REHBERLİK
Standardı Oluşturmak
1
BT Genel Kontrol Eksikliklerinin Değerlendirilmesi İçin BTRDR
Finansal raporlamayla ilgili iç kontrollerin
Sarbanes-Oxley Kanunu’nun 404. Maddesi kapsamında değerlendirilmesi ile ilgili bir
BTGK (ITGC) eksiklikleri değerlendirme yaklaşımı
İç Denetçiler Enstitüsü
Mart 2008
2
İçindekiler
1.
Giriş ................................................................................................................................................. 4
2.
İlkeler............................................................................................................................................... 9
3.
Değerlendirme Süreci .................................................................................................................... 14
4.
Terimler Sözlüğü ........................................................................................................................... 22
5.
EK: BTRDR (GAIT) Metodolojisi................................................................................................ 28
3
1.
GİRİŞ
Arka plan
2004 senesinde, dokuz farklı yeminli mali müşavirlik firmasına bağlı temsilciler, Georgia
Eyalet Üniversitesi’nden bir profesörün iştirakiyle, Kontrollerde Karşılaşılan İstisna ve
Eksikliklerin Değerlendirilmesiyle İlgili Bir Çerçeve geliştirip yayımladılar.1 Bu çerçeve,2
finansal raporlama üzerindeki iç kontrol (ICFR) sisteminin eksikliklerinin; önemli zayıflıklar
ya da ikinci derecede önemli eksiklikler teşkil edip etmediğinin değerlendirilmesi konusunda
denetim firmalarına ve yöneticilere rehberlik etmektedir.
ABD Sarbanes-Oxley Kanunu (2002) 404. Maddede geçen değerlendirmelerle ilgili
standartlar ve uygulamalar, 2004 senesinden beri geniş ölçüde değişikliğe uğramıştır. 2004
çerçeve referansları Denetim Standardı No. 2 (AS 2) yerine, Denetim Standardı No. 5 (AS 5)
getirilmiştir; ikinci derecede önemli eksikliğin tanımı değiştirilmiş ve bu arada üç yıllık
uygulama deneyimi kazanılmıştır.
Bunlara ek olarak diğer bir gelişme de BTRDR (GAIT) Metodolojisi’nin takdimidir.3 Bu
doküman, BT genel kontrolleriyle (BTGK’ler-ITGC’s) ilgili risklerin ABD Menkul Kıymetler
ve Borsa Komisyonu (SEC) veya ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nca
(PCAOB) önerilen yukarıdan aşağıya, risk-esaslı kapsam tayin etme sürecini4 izleyerek nasıl
tayin edilmeleri gerektiğini açıklamaktadır.
BTRDR serisinde yer alan uygulama rehberleri; finansal tablo riskleri, işletme süreçleri
içindeki anahtar kontroller, otomatik kontroller ve diğer kritik BT işlevleri ve BTGK
kapsamına giren anahtar kontroller arasındaki ilişkileri ortaya koymaktadır. BTRDR
metodolojisi, finansal tablolarla ilgili olarak yapılan önemli yalan ve yanlış beyanları
zamanında önlemeyi veya tespit etmeyi sağlamak için gereken BTGK kontrollerini tayin etme
ve değerlendirme konusunda şirketlere yardımcı olur.
Bu uygulama rehberi, BTGK eksikliklerini değerlendirme konusunda güncel bir yaklaşım
sağlayarak,5 söz konusu eksikliklerin önemli zayıflıkları veya ikinci derecede önemli
eksiklikleri temsil edip etmediklerini değerlendirme konusunda denetçilere veya yönetime
yardımcı olur. Bu rehberde tartışılan görüşler daha da genişletilip güçlendirilebilir.
İç Denetim Enstitüsü (IIA) sponsorluğunda geliştirilip hazırlanmış olan bu uygulama
rehberini oluşturan ekipte, dış denetim firmalarına bağlı temsilciler de bulunmaktadır. Bu
rehber ve tanımladığı metodoloji, yönetim, dış denetim firmaları, iç denetçiler ve diğer
1
En yeni sürümü, Aralık 2004 tarihinde yayımlanan 3 numaralı sürümdür. (BTRDR (GAIT): Bilgi Teknolojileri
Risk Değerlendirme Rehberi)
2
Bu çerçevenin Menkul Kıymetler ve Borsa Komisyonu (SEC) veya Halka Açık Şirketler Muhasebe Gözetim
Kurulu’nca (PCAOB) resmen kabul edilmiş olmadığı unutulmamalıdır.
3
BTRDR, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir ve
İç Denetim Enstitüsü tarafından Ocak 2007 tarihinde yayımlanmıştır. BTRDR Metodolojisinden alınan pasajlar
bu uygulama kılavuzunun sonunda kaynak göstermek amacıyla sunulmaktadır. Bu ilgili dokümanın tam ve
eksiksiz versiyonuna www.theiia.org internet sitesi üzerinden ulaşabilirsiniz.
4
SEC ve PCAOB, 2005 senesinde takip eden dönemde uygulanması için bir yukarıdan aşağıya, risk-esaslı
yaklaşım önermişler ve bu yaklaşım önerisini hem SEC yönetim kılavuzlarına hem basın açıklamalarına hem de
AS 5’e eklemişlerdir.
5
Bu uygulama kılavuzu, BTGK kontrollerini ilgilendiren eksikliklerin kapsamına girmeyen diğer eksikliklerin
değerlendirilmesinde kullanılmaya uygun bir çerçevede oluşturulmamıştır.
4
paydaşlar tarafından Sarbanes-Oxley Kanunu 404. Maddeye tâbi değerlendirme sürecinde
kullanılabilir.
Burada sunmuş olduğumuz metodolojinin SEC6 ve PCAOB kılavuzlarına uygun ve onlarla
tutarlı olduğuna inanıyoruz.
6
Örneğin, BTGK kontrollerinin rolü hakkındaki SEC kılavuzunda yapılan tanımlamalar, yalnızca BTRDR ile
tutarlı olmakla kalmayıp, aynı terim ve kavramların birçoğunu da içermektedir.
5
Yukarıdan Aşağıya Yaklaşımın Kapsam Belirleme Sürecine Etkisi
Yukarıda da belirtildiği gibi, hem SEC hem PCAOB, değerlendirip test etmek için anahtar
kontrollerin tayini gibi konular da dahil olmak üzere, Sarbanes-Oxley Kanunu 404. Maddeyle
ilgili çalışmaların kapsamının belirlenmesinde yukarıdan aşağıya, risk-esaslı bir yaklaşım
kullanılmasını önermektedir.7 BTRDR, anahtar BTGK kontrollerinin tayin edilmesini de bu
yaklaşımın kapsamına sokmaktadır.
Yukarıdan aşağıya yaklaşım, finansal tablolarla ilgili önemli yanlış beyanları önlemek veya
tespit etmek için oluşturulan anahtar kontrollerden (yani, kurum seviyesinde ve birim
seviyesinde; manuel, otomatik ve BTGK) müteşekkil kontrol kombinasyonlarını tayin eder.
Bu anahtar kontrollerden birinin veya birden fazlasının başarısız olması halinde, ilgili
kontrollerden oluşan kontrol grubu, önemli hataların8 önlenmesi veya tespit edilmesi yönünde
makul güvence sağlamaya devam edemeyebilir.
Ancak kontrol başarısızlıkları farklı düzeylerde olabilir (örneğin, işlemlerin sadece belirli bir
kısmında başarısız olunması; değişiklik onaylarının sistemlerin tümü için değil de sadece bir
kısmı için başarıyla uygulanması gibi) ve dolayısıyla ilgili başarısızlığın boyutları yapılan
değerlendirme sırasında anlaşılmalı ve dikkate alınmalıdır.
Öte yandan, kapsam tayin sürecinin hatalı yürütülmesi; lüzumsuz, birbiriyle çakışan veya
gerçekte anahtar öneme sahip olmayan kontrollerin kapsanmasına neden olabilir. Örneğin,
kontrol hedefinin geçerleme (validasyon) olduğu durumlarda, birden çok onaya tâbi olan
belgelenmiş bir kontrolde, kontrol hedefine ulaşmak için onaylardan sadece birini almak
yeterli olabilir.
Anahtar BTGK kontrolleriyle ilgili olanlar dahil anahtar kontrol başarısızlıklarını
değerlendiren bir denetçi, bu başarısızlıkların neden önemli zayıflıklar teşkil ettiğinden ziyade
neden önemli zayıflıklar teşkil etmediğinin ispat yükümlülüğünü taşımalıdır. Bu hususta
görülen odur ki; önemli hataları önlemek veya tespit etmek için anahtar kontrollere ihtiyaç
duyulmakta ve zaten bu yüzden anahtar kontroller olarak adlandırılmakta, dolayısıyla bu
kontroller başarısız olduğunda önemli zayıflıkların ortaya çıkma olasılığı büyük olmaktadır.
7
PCAOB ve SEC, sırasıyla AS 5 ve kılavuzlarda farklı terimler kullanmaktadırlar. Örneğin, PCAOB ve SEC
aynı kavramı tanımlamak için sırasıyla önemli hesaplar ve finansal raporlama elemanları terimlerinden
faydalanmaktadırlar. Bu dokümanda, AS 5’te geçen terimler esas alınmaktadır.
8
Bu dokümanda kullanılan önemli hata terimi, mali tablolardaki önemli yanlış beyanlar terimiyle eşanlamlıdır.
6
Genel Özet
Metodoloji, Bölüm II’de ele alınan altı değerlendirme ilkesine dayanmaktadır.
DEĞERLENDİRME İLKELERİ
1. BTGK eksikliklerinin değerlendirilmesi için, finansal tablolar ile eksiklik görülen
anahtar BTGK kontrolleri arasındaki güven zincirinin anlaşılması gerekir.
2. Önemli bir zayıflığın varlığı konusunda iki test geçilmelidir: (a) olasılık ve (b) etki
(yani, finansal tablolardaki potansiyel yanlış beyanlar)
3. Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için,
değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede
belirli adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında
olasılık ve etki testleri gerçekleştirilir.
4. Aynı BTGK kontrol hedefiyle ilgili bütün BTGK eksiklikleri, bir grup halinde
değerlendirilmelidirler.
5. Aynı anahtar otomatik kontrollerle, anahtar raporlarla veya diğer kritik işlevlerle
ilişkili olup ulaşılamayan BTGK kontrol hedefleri bir grup halinde
değerlendirilmelidirler.
6. Bir arada değerlendirme ilkesi, aynı önemli hesap veya özel durum açıklamasıyla
ilgili manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin
bir grup halinde değerlendirilmelerini gerektirir.
Değerlendirme süreci, aşağıda gösterildiği gibi 10 adımdan oluşmaktadır. Bu adımlar, Bölüm
3'te ayrıntılarıyla ele alınmaktadır.
7
8
2.
İLKELER
1.
BTGK eksikliklerini değerlendirmek için, finansal tablolar ile eksiklik oluşan anahtar
BTGK kontrolleri arasındaki güven zinciri anlaşılmalıdır.
Sarbanes-Oxley Kanunu 404. Maddede belirtilen amaçlarla ilgili olarak BTGK kontrol
eksikliklerinde yapılan değerlendirme, bu eksikliklerin finansal tablolarda bulunan ancak
saptanamayan hataları temsil edip etmedikleriyle ilgili bir risk değerlendirmesidir. Gelgelelim
BTGK eksikliklerinin finansal tablolar ile doğrudan bir ilişkisi yoktur. Aşağıda açıklanan
güven zinciri, bu bağlantıyı ve dolayısıyla BTGK eksiklikleri ile finansal tablolar arasındaki
olası etkileşimi yansıtmaktadır.
Finansal tablolar ve anahtar BTGK kontrolleri arasındaki güven zinciri, tersi yönde olması
dışında, hangi anahtar BTGK kontrollerinin kapsama alınması gerektiğini tanımlamak için
izlenen yukarıdan aşağıya bir yaklaşımda geçerli olan mantıksal bağın aynısıdır.9
Anahtar BTGK kontrolleri, yukarıdan aşağıya, risk-esaslı bir yaklaşım çerçevesinde
seçilmelidirler. Süreç, aşağıda gösterildiği gibi özetlenebilir:

Önemli hesapların, yerlerin ve ilgili iddiaların tayin edilmesi.

Önemli hesaplarda önemli hatalar olmasını önlemek veya tespit etmek için gereken
şirket- ve birim-seviyesindeki işletme kontrollerinin tayin edilmesi.

Tayin edilen şirket- ve birim-seviyesindeki anahtar kontrollerden bazıları, otomatik
uygulama kontrolleridir ya da otomatik işlevlere (örneğin, anahtar raporlar,
hesaplamalar, güncellemeler, vb.) dayanan kontrollerdir. BT’nin bu kritik işleviyle
ilgili süregelen işlemler için BTGK’ler temel alınabilir.

Kritik BT işlevi, önemli uygulamalar arasındadır.

Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek, otomatik kontrollerin (veya anahtar
raporların, vb.) her biriyle ilgili olarak BTGK’lerde hangi noktalarda risk bulunduğu
ve bu risklere yönelik uygun BTGK kontrol hedefleri tayin edilir.

BTGK kontrol hedeflerinin her birine ulaşmak için gereken anahtar BTGK’lerin tayin
edilmesi.

Uygulamalarda işlevlere güvenmenin yanı sıra, yetkisiz değişikliklerden dolayı veri
güvenliği de bir risk oluşturabilir. Bu risk değerlendirilirken, bir yetkisiz değişikliğin
şirket- veya birim-seviyesindeki kontrollerle tespit edilemeyebileceği ve finansal
tablolarda önemli bir hataya yol açabileceği dikkate alınmalıdır. Değerlendirme,
önemli işletme süreçleri ve büyük işlem sınıflarına giren her uygulamayı kapsar.
Yetkisiz değişiklik sonucunda bu gibi önemli bir hatanın oluşması mümkün ya da en
azından makul ölçüde olası10 olarak görülüyorsa, ilgili BTGK kontrol hedefleri ve
münferit anahtar BTGK kontrolleri tayin edilirler.
9
SEC yönetim kılavuzları ve PCAOB AS 5 dokümanı dahil SEC ve PCAOB dokümanlarında tartışılan
yukarıdan aşağıya yaklaşıma, BTGK süreçlerine dahil olan anahtar kontrolleri belirleme faaliyetiyle nasıl
devam edilebileceği ve bu faaliyetin yukarıdan aşağıya yaklaşımın kapsamına nasıl alınabileceği hakkında daha
fazla bilgi almak için BTRDR Metodolojisine bakılmalıdır.
10
Terimler Sözlüğünde bulunan tanıma bakınız.
9
Güven zinciri, yani münferit BTGK kontrolleri ve finansal tablolar arasındaki bağlantı,
yukarıda sergilenen ilişkinin tam tersi yönde işler:

Münferit BTGK’ler, BTGK kontrol hedefleriyle ilgilidiler. BTGK başarısızlıkları
doğrudan doğruya bu hedeflere ulaşılmasına engel oluşturan bir etki yaratabilir. Bir
kontrol hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrolün tayin edilmiş
olabileceği ve BTGK’lerden birindeki başarısızlık veya zayıflamanın her zaman ilgili
kontrol hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.11

Yapılan ilk risk değerlendirmesi, belirli BTGK hedeflerine ulaşılamamasının
nedeninin kontrol başarısızlıkları olup olmadığı üzerinedir. BTGK kontrol
hedeflerinde başarısız olunup olunmadığı değerlendirilirken, bir kontrol hedefini
ilgilendiren tüm anahtar BTGK eksiklikleri bir grup halinde dikkate alınmalıdırlar.
BTGK’ler arasında yer alan telafi edici veya hafifletici kontroller, eksikliklerin etkisini
azaltıyorsa, kontrol hedefine dair başarısızlığın otomatik kontrollerin düzgün işlemesi
açısından önemli bir risk teşkil edecek ölçüde olup olmadığı, muhakeme edilerek
belirlenmelidir.

BTGK kontrol hedeflerinin her biri; finansal tablolardaki önemli hataları önlemek
veya tespit etmek için gerekli olan yukarıdan aşağıya, risk-esaslı kapsam belirleme
süreci sırasında tayin edilen bir veya daha fazla otomatik uygulama kontrolüyle, diğer
kritik BT işlevleriyle (örneğin, teknik olarak kontrol olmayan ancak daima planlandığı
gibi faaliyet göstermesi gereken ve bu yüzden kritik BT işlevleri adı altında otomatik
kontrollerin kapsamına sokulan hesaplamalar ve güncellemeler) veya yetkisiz veri
değişikliği riskleriyle ilgilidir. Bir BTGK kontrol hedefinde başarısız olunması, bu
anahtar otomatik kontroller açısından bir risk teşkil eder.
Otomatik kontrolle ilgili tüm riskler değerlendirilmelidir. Bu değerlendirme, altta
yatan BTGK süreçlerindeki başarısızlıklardan dolayı planlandığı gibi faaliyet
göstereceğine dair güvence verilemeyen otomatik uygulama kontrolleri veya diğer
işlevlerin tayin edilmesini kapsar. Bu değerlendirme kapsamında, hangi verilerin
önemli yanlış beyanlarla sonuçlanabilecek bir yetkisiz değişiklik riski altında oldukları
da tayin edilir.
Kritik BT işlevleri genelde birden çok BTGK kontrol hedefine eirişilmesine bağlı
olduğu için, başarısız olunan BTGK kontrol hedeflerinden doğan risklerin etkileri
birleşik olarak veya bir arada değerlendirilmelidirler.

Anahtar otomatik işletme kontrolleriyle ya da veri güvenliğiyle ilgili potansiyel bir
eksiklik - ya da güvence eksikliği, finansal tablolar açısından olası bir riski temsil
eder.

Daha sonra, verilerin bozulma potansiyeli, uygulama kontrolleri veya diğer kritik BT
işlevlerindeki potansiyel eksikliklerle ilgili olarak finansal tablolara dair tüm riskler
değerlendirilir. Bu değerlendirme muhakemeye dayandırılır ve işletme süreçleri
kapsamında telafi edici veya hafifletici kontroller bulunup bulunmadığı göz önünde
tutulur.
11
Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda
bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir.
10
Güven zinciri aşağıda gösterilmektedir.
11
2.
Önemli bir zayıflık karşısında, iki test geçilmelidir: (a) olasılık ve (b) etki (yani,
finansal tablolardaki yanlış beyan potansiyeli).
Olasılık testi, kontrol eksikliğinden kaynaklanan bir finansal tablo hatası bulunmasının en
azından makul ölçüde olası olmasını gerektirir.
Etki testinde, potansiyel hatanın önemli bir yanlış beyan olup olmadığı belirlenir.
İki test de geçilmelidir: En azından makul bir ölçüde, önemli bir yanlış beyanın bulunma
olasılığı olmalıdır.
İkinci derecede önemli bir eksikliğin önemli bir zayıflıktan daha düşük bir risk seviyesine
tekabül ettiği unutulmamalıdır (yani, önemli bir yanlış beyan bulunmasına dair makul
olasılıktan daha düşüktür). Ancak ikinci derecede önemli eksikliklerle ilintili olsa dahi,
finansal tablolarla ilgili bir risk yönetim kuruluna bağlı denetim komitesine gerekçe
açıklaması yapmayı gerektirecek kadar ciddi bir risktir. Bu gibi durumlar karşısında karara
varmak için olasılık ve etki testlerinden ziyade muhakeme gücüne başvurulmalıdır.
3.
Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için,
değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede
belirli adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında
olasılık ve etki testleri gerçekleştirilir.
Yukarıda 1 numaralı ilkede de tartışıldığı ve güven zinciri diyagramında örneklendirildiği
gibi, değerlendirme süreci üç adımdan oluşur:
a. Bir veya daha fazla BTGK kontrol hedefine ulaşma konusunda bir başarısızlık var
mıdır?
b. Varsa, otomatik kontroller, anahtar raporlar veya diğer kritik BT işlevlerinden
herhangi biri bu aksaklıktan dolayı zarar görmüş mü (yani, bu unsurların daima
tasarımlarına uygun faaliyet gösterecekleri konusunda bir güvence verilemediği
durumlar)?
c. Böyle bir zarar varsa, otomatik kontrolün hataları önlemek veya tespit etmek
konusunda başarısız olmasına bağlı olarak bir önemli yanlış beyanda bulunulması
makul ölçüde olası mıdır?
Yalnızca bu üç sorunun hepsinin cevabının evet olduğu durumlarda, BTGK eksiklikleri,
finansal tabloları ilgilendiren önemli bir yanlış beyanın önlenememesine veya tespit
edilememesine yol açmaları mümkün ya da en azından makul ölçüde muhtemel12 sorunlar
olarak değerlendirilmelidirler. Diğer bir deyişle;
BTGK kontrollerindeki başarısızlığın bir veya daha fazla BTGK kontrol hedefine
ulaşılamamasına neden olması,
bir veya daha fazla anahtar otomatik uygulama kontrolünün (veya anahtar raporlar,
vb.) tasarımlarına uygun etkili bir işlememesi ve/veya
finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit edilememesi mümkün ya
da en azından makul ölçüde olası olmalıdır.
12
Bu dokümanda, makul ölçüde muhtemel ve makul ölçüde olası ifadeleri editöryel nedenlerden ötürü eşanlamlı
olarak kullanılmaktadır. Bunların her ikisi de aynı anlama gelmekte ve Terimler Sözlüğünde makul olasılık
başlığı altında tanımlanmaktadır.
12
4.
Aynı BTGK kontrolüyle
değerlendirilmelidirler.
ilgili
tüm
BTGK
eksiklikleri,
bir
grup
halinde
1 ve 3 numaralı ilkelerde tartışıldığı gibi, finansal tablolarla ilgili risk, dolaylı bir risktir.
Yalnızca BTGK kontrol hedefine ulaşma konusunda başarısız olunduğunda, önemli eksiklik
potansiyeli bulunduğu düşünülmelidir. Bu tip bir değerlendirmeyi yapmak için, ilgili tüm
BTGK başarısızlıkları birlikte değerlendirilerek bir veya birden fazla BTGK kontrol
hedefinde başarısız olunup olunmadığı hakkında bir görüş oluşturulmalıdır.
5.
Ulaşılamayan BTGK kontrol hedefleri arasından aynı anahtar otomatik kontroller,
anahtar raporlar veya diğer kritik işlevlerle ilgili olanlar, bir grup halinde
değerlendirilmelidirler.
Güven zincirindeki son bağlantı, finansal tablolarda önemli hatalar olmasını önlemek ya da bu
gibi hataları tespit etmek için gereken kritik BT işlevlerinden – anahtar otomatik kontroller,
anahtar raporlar ve diğer kritik işlevlerden (örneğin, güncellemeler, arayüzler ve
hesaplamalar) oluşmaktadır.
Kritik BT işlevinin başarısız olma riski değerlendirilirken, bu işlevle ilgili olan ve
ulaşılamayan bütün BTGK kontrol hedefleri dikkate alınmalıdır.
Genelde, otomatik bir kontrolle ilgili BTGK kontrol hedefi başarısızlıkları arttıkça, bu
otomatik kontrolün tasarlandığı şekilde işlememe olasılığı da artar. Ayrıca, bir otomatik
kontrolün başarısız olma olasılığı yükseldikçe, finansal tabloları ilgilendiren bir hatanın
önlenememesi veya tespit edilememesi olasılığı da yükselir.
6.
Bir arada değerlendirme ilkesi, aynı önemli hesap veya dipnot açıklamasıyla ilgili
manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin bir
grup halinde değerlendirilmelerini gerektirir.
Bu ilke, AS 5’te açık ve net bir ifadeyle tanımlanmaktadır:
Aynı finansal tablo hesap bakiyesi veya dipnot açıklamasını ilgilendiren birden
çok kontrol eksikliğinin bulunması, yanlış beyanda bulunma olasılığını arttırır
ve bu eksikliklerin şiddeti tek başlarına daha az olsa dahi, birlikte bir önemli
zayıflık oluşturacak kadar büyük olabilir. Dolayısıyla, denetçi, aynı önemli
hesap veya dipnot açıklaması, önemli iddia veya iç kontrol unsurunu
ilgilendiren münferit kontrol eksikliklerinden doğan etkilerin hep beraber
önemli bir zayıflığa neden olup olmadıklarını belirlemelidir.13
Yukarıdan aşağıya, risk-esaslı kapsam tayini yaklaşımında, işletme süreçlerindeki (örneğin,
satın alım-ödeme, sipariş-ödeme veya özkaynak süreçleri) önemli hataları önlemek veya tespit
etmek için gereken manuel ve otomatik kontrollerin bileşimi tayin edilecektir.
Değerlendirmeyi yapan kişi, bozulan kritik BT işlevlerinden her birini ayrı ayrı ele almalı ve
ilintili önemli hesap ve dipnot açıklamalarını tayin etmelidir. Daha sonra, etkili olsun ya da
olmasın, ilgili tüm manuel ve otomatik kontrollerin toplu olarak etkinliği değerlendirilmeli ve
önemli yanlış beyan riski bulunup bulunmadığı belirlenmelidir.
13
65. fıkradan alıntılanmıştır.
13
3.
DEĞERLENDİRME SÜRECİ
Değerlendirme Ekibi
BTGK eksikliklerinin finansal tablolar üzerindeki etkisi, güven zinciri çerçevesinde
gösterildiği gibi dolaylı bir etkidir. Buna binaen, BTGK eksiklikleriyle ilgili değerlendirme,
sadece BTGK ile ilgili teknik meselelerin değil, aynı zamanda işletme süreçleri, dönem sonu
süreçleri ve finansal tabloların da anlaşılmasını gerektirir.
Bu bağlamda, değerlendirmeyi yapan personel, güven zincirinde yer alan tüm aşamaları bütün
olarak anlamış olmalıdır. Ekibin her bir üyesi değerlendirme sürecinin her aşamasında rol
alabilecek olsa da, sürecin ilk adımları büyük oranda BTGK kontrollerinin anlaşılmasına,
takip eden adımlar ise daha çok işletme süreçleri ve kontrollerine dayanır.
Kontrol Eksikliklerinin Tayini
Kontrol eksiklikleri, kontrollerin tasarımları değerlendirilirken ya da test aşamasında tayin
edilebilir. Aşağıda tartışılan süreçte, genelde olan bu olduğu için, eksikliğin kontrollerde
yapılan testler sırasında tayin edilmiş olduğu varsayılır, dolayısıyla süreç de buna göre
anlatılmıştır. Eksiklik, kontrolün tasarımında yapılan inceleme sonucunda anlaşılmışsa, 1
numaralı adımı gerçekleştirmeye gerek yoktur.
Adım-Adım Süreç
1.
Test istisnalarının münferit bir istisnayı olmayıp, bir kontrol başarısızlığını temsil
ettiğini teyit et.
Az sayıda test istisnası bulunuyorsa, bu her zaman bir kontrol başarısızlığı anlamına gelmez.
Kontrolün gerçekleştirildiği kütlenin büyüklüğüne bağlı olarak, istisna içermeyen başka bir
örneklem kullanılarak, testi yapan kişi tarafından istisnanın münferit olduğunun görülmesi
sağlanabilir.
Testi yapan kişi, kontrolün ve test tasarımının anlaşılıp anlaşılmadığını teyit etmek üzere
yönetimle birlikte test sonuçlarını gözden geçirmelidir. Kontrolün kendisinin ve nasıl
çalıştığının yanlış anlaşılmış olmasından ileri gelen bir başarısızlık yaşanmış olabilir; bu
durumda, test yeniden tasarlanmalı ve gerçekleştirilmelidir.
Öte yandan, ilgili kontrol hedefini ya da ele alınan riski karşılamak için gerek duyulan kontrol
unsurlarının hangileri olduğunun anlaşılması da önemlidir. Test, bu anahtar unsurların
incelenmesini sağlayacak bir tarzda tasarlanmalıdır. Örneğin, bir kontrol hedefinde, belirli bir
işlemin yönetim tarafından yetkilendirilmiş olmasının gerektiği belirtilmiş olabilir. Gelgelelim
operasyonel nedenlerden ötürü bu süreçte birden fazla gözden geçirme ve onay (örneğin, iki
farklı yönetim seviyesinden) bulunabilir. Buna bağlı olarak, anahtar kontrol, iki farklı onay
seviyesini içeriyor olabilir. Onaylardan biri alınmamışsa, bir sonraki gözden geçirme
neticesinde, kontrol hedefine ulaşmak için tek bir yöneticiden onay alınmasının yeterli olduğu
ortaya çıkarılabilir. Bu gibi bir durumda yapılması gereken, kontrolün başarısız olduğunu
söylemekten ziyade, anahtar kontrol için verilen tanımlamayı, operasyonel nedenlerden ötürü
gerekli görülen ek onay katmanlarını ihraç etmeksizin, kontrol hedefine ulaşmak için yeterli
olan onayı açıkça gösterecek şekilde değiştirmek olacaktır.
14
Test istisnaları bir kontrol eksikliğini temsil etmiyorlarsa, değerlendirme süreci sonlandırılır.
2.
Test edilen kontrollere dayanan BTGK kontrol hedef(ler)ini tayin et.
Bir veya daha fazla BTGK kontrol hedefinin gerektirdiği değerlendirme sürecinin
planlanması ve kapsam tayini aşamasında yapılan tespitlere dayandığı için, tüm anahtar
BTGK kontrolleri test edilir. BTGK anahtar kontrollerindeki başarısızlıklar değerlendirilirken
atılması gereken ilk adım, bu kontrollere dayanan BTGK kontrol hedeflerini belirlemektir.
Daha sonra, bir veya daha fazla anahtar BTGK kontrolündeki başarısızlığın, BTGK kontrol
hedeflerine ulaşılamadığı yönünde yorumlanmasını gerektirip gerektirmediğini belirlemek
üzere BTGK kontrol hedeflerinin her biri değerlendirilecektir. Bir kontrolün her biri risk
altında olabilecek olan birden fazla BTGK kontrol hedefine bağlı olabileceği
unutulmamalıdır.
3.
BTGK kontrol hedef(ler)ine ulaşılıp ulaşılmadığını belirle.
Ortada bir önemli zayıflık ya da ikinci derecede önemli eksiklik bulunup bulunmadığı,
münferit bir BTGK kontrolündeki başarısızlığa değil, BTGK kontrol hedeflerine ulaşılıp
ulaşılmadığına bağlı olarak belirlenir. İlke 1’de yürütülen tartışmada ve güven zincirinde
gösterildiği gibi:
 Münferit BTGK kontrolleri, BTGK kontrol hedefleriyle ilintilidir. BTGK başarısızlıkları,
doğrudan doğruya ilgili kontrol hedeflerine ulaşılamamasına neden olabilir. Bir kontrol
hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrol tanımlanmış olabileceği ve
bu BTGK kontrollerinden birindeki başarısızlık veya bozulmanın her zaman ilgili kontrol
hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.14
 İlk risk değerlendirmesi, belirli BTGK hedeflerinde başarısız olunmasına kontrol
eksikliklerinin sebep olup olmadığı üzerine yapılır. BTGK kontrol hedeflerinde başarısız
olunup olunmadığı değerlendirilirken, bir kontrol hedefini ilgilendiren bütün anahtar
BTGK eksiklikleri bir grup halinde dikkate alınmalıdır.
Bu değerlendirmenin iki yönü vardır:
a. Telafi Edici15 BTGK Kontrolleri
Bir BTGK kontrol hedefine ulaşılmasında birden çok anahtar BTGK kontrolünün rol
oynadığı durumlarda, bir veya daha fazla kontrolün güçlü yanları ile başka bir
kontrolün zayıf yanlarının telafisi mümkün olabilir.
Örneğin, veritabanı yöneticisinin (VTY) finansal sistemlere (yani, borçlar, alacaklar,
stoklar, duran varlıklar hesapları vb. dahil büyük defter ve yardımcı defterler)
erişimini kısıtlamaya yönelik bir kontrol hedefiyle ilgili olarak iki adet anahtar
kontrol tanımlanmış olabilir. İlk kontrolde VTY yetkileri tanımlı VTY’lerle
sınırlandırılırken, ikincisi, büyük defter verilerine erişimi izlemeye yarayan bir
kontrol olabilir. İlk anahtar kontrolde eksiklik oluşursa, sadece ikinci kontrolde
başarıya ulaşılması bile, büyük defter sistemiyle ilgili kontrol hedefinin başarıldığı
14
Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda
bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir.
15
Telafi edici kontroller terimi, tamamlayıcı ve hafifletici kontrolleri kapsar.
15
yönünde bir sonuca varmak için yeterli olabilir. Diğer yandan, izleme kontrolünün
kapsamı borçlar veya stoklar hesabında yapılan değişiklikler gibi erişim faaliyetlerini
içine alacak ölçüde genişletilmemişse, bu gibi yardımcı defterler açısından kontrol
hedefine ulaşılamadığı yönünde bir sonuca varılması muhtemeldir.
Başka bir örneğe göre, büyük defter uygulamasında yalnızca onaylı olan
değişikliklerin yapılmasını sağlamakla ilgili bir kontrol hedefine dayanan üç farklı
kontrol bulunabilir. İlk kontrol, tüm değişiklik taleplerinin şirket iç kontrolörü
tarafından onaylanması; ikinci kontrol, tüm değişliklerin uygulamaya konmadan
önce BT birimine bağlı bir değişiklik kontrol heyetince onaylanması; üçüncü kontrol
ise, tüm değişikliklerin muhasebe bölümü tarafından test edilmesiyle ilgili olabilir.
Şirket kontrolörünün onayı çoğu durumda alınmasa bile, diğer iki kontrol sayesinde
sağlanan güvence seviyesi, kontrol hedefine yine de ulaşılmış olduğu yönünde bir
kanaate varmak için yeterli olabilir.16
Telafi edici BTGK kontrolleri ele alınırken, bu kontrollerin tasarlandığı gibi etkin şekilde
işlediğine dair bir güvence ortaya konmalıdır. Bu genelde, test edilmiş veya güvence altına
alınmış olan anahtar BTGK kontrolleriyle sınırlandırılır.
b. Birden Çok Anahtar Kontrolde Başarısızlık Oluşması
Genellikle, bir BTGK kontrol hedefini ilgilendiren birden çok anahtar
başarısızlığının görüldüğü durumlarda, bu kontrol hedefinin başarısız
değerlendirilme ihtimali daha fazladır. Birden çok kontrol başarısızlığının
hedefine ulaşılamamasıyla sonuçlanan, azaltılamamış bir risk durumu
yaratmadığı, muhakeme edilerek belirlenmelidir.
kontrol
olarak
kontrol
yaratıp
Bu değerlendirme, muhakeme etmeyi gerektirir. Anahtar BTGK kontrolleri hesaba katılarak
yapılan değerlendirmede BTGK kontrol hedeflerine ulaşılmış olduğu yönünde bir sonuca
varılırsa, değerlendirme süreci sonlandırılır.
4.
Finansal açıdan önemli uygulamalardan hangilerinin kontrol hedeflerine ulaşılmasına
bağlı olduğunu tayin et.
Değerlendirilen BTGK kontrol hedefleri belirli bir bağlamda ele alınmalıdırlar. Kontrol
hedeflerinin içerdikleri finansal açıdan önemli uygulamalar ve BT işlevleri hakkında güvence
sağlamaları gerekir ve farklı uygulamalara konu olan aynı BTGK kontrol hedefiyle ilgili
farklı sonuçlara varılması muhtemeldir. Örneğin, Unix yönetici erişiminin sınırlandırılmasını
sağlamakla ilgili bir kontrol hedefine bazı sunucularda yer alan uygulamalar için
ulaşılamamışken, başka sunucularda yer alan uygulamalar için ulaşılmış olabilir.
5.
BTGK kontrol hedefine ulaşma konusundaki başarısızlığın rutin işlemlerle tespit
edilebilmesi mümkün ya da en azından makul ölçüde olası mı, değil mi, belirle.
16
Değerlendirme sürecinde, bir riskle ilgili olarak aynı işlevi gören ve bu yönden çakışan iki veya daha fazla
yani lüzumsuz kontrollerin bulunduğu tespit edilebilir. Bu kontroller, Bölüm 404 genel değerlendirmesi
açısından kontrol başarısızlığı olarak ifade edilebilecek bir riski azaltmak amacıyla kapsam tayini sürecinde
ihtiyaten oluşturulmuş olabilirler. Bu kontroller, yukarıdan aşağıya, risk-esaslı bir süreçten faydalanılmadığı için
verimsiz bir kapsam tayini sürecinin sonucu da olabilirler. Eğer ikinci olasılık geçerliyse, kapsam tayini sürecini
yeniden ele almak ve lüzumsuz kontrolleri kapsam dışına çıkartmak gerekebilir.
16
BTGK kontrollerinin doğası gereği, bu kontrollerdeki başarısızlıklar derhal görünür bir
niteliktedir. Örneğin, antivirüs koruma sistemini güncelleme konusundaki başarısızlık hemen
fark edilir. Eğer bu güncelleme başarısızlığı ağda bulunan bir enfeksiyondan (virüsten)
kaynaklanıyorsa, kullanıcı işlevlerinde neden olacağı bozulmadan dolayı birçok durumda
derhal fark edilecektir. Satıcı tarafından sağlanan ağ işletim sisteminde yapılan güncellemeleri
test edilmesi konusundaki başarısızlık diğer bir örneği teşkil eder. Değerlendirmeyi yapan
kişi, bunun finansal açıdan önemli uygulamalarla ilgili işlevler açısından tespit edilemeyen bir
başarısızlıktan ziyade, ilgili sürücüler ve onlar üzerindeki uygulamalarda geniş çaplı ve açıkça
görünür bir başarısızlığa yol açmasının daha olası olup olmadığını tartmalıdır.
Değerlendirmede, makul bir kişinin; incelenmekte olan belirli durum ve koşullarda, ilgili
kontrol başarısızlığından kaynaklanan olumsuz bir gelişmenin rutin işlemler çerçevesinde
tespit edilebilmesinin mümkün ya da en azından makul ölçüde olası olmadığı yönünde bir
sonuca varıp varmayacağı göz önünde tutulmalıdır.
Bir BTGK kontrol hedefine ulaşamama gibi bir sorun bulunmadığı sonucuna varılırsa, bunun
anlamı, görülen istisnanın sadece bir kontrol eksikliği olduğudur.17
6.
Ulaşılamamış BTGK kontrol hedefleri açısından hangi kritik BT işlevlerinin risk
altında olduğunu tayin et.18
Yapılan değerlendirmede, ulaşılamadığı belirlenen kontrol hedefleri arasından aynı anahtar
otomatik kontrol, anahtar rapor veya diğer kritik işlevlerle ilgili olanlar önce tek tek ve
ardından gruplar halinde ele alınırlar. Belirli bir anahtar otomatik kontrolü ilgilendiren kontrol
hedeflerinden ulaşılamayanlar ne kadar fazla ise otomatik kontrolün kendisinin yerine
getirilememiş olması da kadar olasıdır.
Test edilecek BTGK kontrolleriyle ilgili planlama ve kapsam tayininde, anahtar otomatik
kontrollerin her biri için ulaşılması gereken BTGK kontrol hedeflerinin hangileri olduğu
saptanacaktır. BTGK kontrol hedeflerine ulaşılamaması sonucunda bu başarısızlıkların her
birinden ayrı ayrı etkilenen otomatik kontrolleri belirlemek için, düzenleme belgeleri
(dokümantasyon) gözden geçirilmelidir.
Bu adım, iş süreçlerinin ve otomatik kontrollerin oynadığı rollerin vb. anlaşılmasını
gerektirdiği için, değerlendirme ekibinde, BTGK riskleri hakkında bilgi ve birikime sahip
kişiler de bulunmalıdır.
Değerlendirme sürecinde gelinen bu aşamada, BTGK kontrol hedeflerine ulaşılamamasından
dolayı otomatik kontroller, anahtar raporlar, vb. unsurlardaki başarısızlığın finansal tablolar
açısından yarattığı risk(ler) dikkate alınır. Dolayısıyla, bu aşamada değerlendirme ekibinin
bütün üyeleri katkı sağlamalıdır.
17
Lüzumsuz kontroller için yürütülen tartışmaya benzer yönde bir değerlendirme olarak, başarısızlığı derhal fark
edilebilecek olan kontrollerin kapsama alınmalarının nedeni, kapsam tayini sürecinin etkin olmayan, verimsiz bir
tarzda yürütülmüş olması olabilir. Böyle bir durumda, kapsam yeniden değerlendirilmeli ve bu kontrollerin
kapsam dışına çıkartılmasının üzerinde durulmalıdır.
18
BTGK testleriyle ilgili çalışmanın kapsamını tanımlamak üzere BTRDR Metodolojisi kullanılıyorsa,
hazırlanan BTRDR belgelerinde, otomatik kontroller, anahtar raporlar, vb. unsurlar arasından hangilerinin
değerlendirmeye alınan BTGK kontrol hedefiyle ilgili olduklarını gösteren bir açıklama da bulunmalıdır.
17
7.
Risk altındaki kritik BT işlevlerinin her biri açısından, BTGK kontrol hedeflerine
ulaşma konusundaki başarısızlık(lar)ın, işlevlerle ilgili tespit edilemeyen bir
başarısızlığa neden olması makul ölçüde olası mıdır, belirle.
Bu noktada, kritik BT işlevlerinin (anahtar otomatik kontroller, raporlar, vb.) yerine
getirilemeyeceğini ve bu başarısızlığın tespit edilemeyeceğini gösteren en azından makul
ölçüde olası olup olmadığını değerlendirmek için muhakeme gücüne başvurulur.
Aşağıda belirtilen unsurlar dikkate alınmalıdır:
a. Aynı kritik BT işlevlerini ilgilendiren BTGK kontrol hedeflerinde birden
fazla başarısızlık yaşanmış mıdır?
Genelde, otomatik kontroller veya diğer kritik işlevlerin yerine
getirilmesinde bir başarısızlıkla karşılaşma olasılığı, bir dizi BTGK kontrol
hedefiyle ilgili birden fazla riskin bulunduğu durumlarda artacaktır. BTGK
kontrol hedefi başarısızlıklarının doğa ve niteliğinin, kritik BT işlevlerini
her zaman düzgün şekilde yerine getirme güvencesi yönünden BTGK
kontrollerine güvenilmeyeceğine işaret edip etmediğini değerlendirmek için
muhakeme gücüne başvurulmalıdır.
b. İşlevlerdeki başarısızlığın, örneğin bir telafi edici bir iş kontrolü sayesinde
zamanında tespit edilmeleri makul ölçüde olası mıdır?
Risk altındaki işlevin bir anahtar rapor olduğu ve tanımlanan riskin raporun
oluşturulamaması olduğu durumları düşünün. Raporun oluşturulamadığını
tespit etmek için, anahtar raporu incelemeye yönelik bir manuel anahtar
kontrol yapılması yeterli olacaktır. Gelgelelim, eğer söz konusu risk, rapor
içeriğinin eksik veya yanlış olmasıyla ilgiliyse, manuel inceleme
prosedürünün hataları tespit etmek için yeterli olup olmadığı, incelemenin
yürütüldüğü ilgili durumun belirli koşul ve olgularına bağlı olacaktır.
c. Kritik BT işlevlerinde daha önceden herhangi bir başarısızlıkla
karşılaşılmış olup olmadığını bir risk göstergesi olarak ele alın.
Anahtar otomatik kontrollerde geçmişte karşılaşılmış ve zamanında tespit
edilememiş olan başarısızlıkların bulunması, gelecekte bu kontrollerde
başarısızlık riskini arttıran bir gösterge olarak ilk bakışta göze çarpar.
Geçmiş başarısızlıkların ne kadar hızlı tespit edildikleri ve benzeri ancak
anahtar öneme sahip olmayan işlevlerde başarısızlık yaşanmış olup
olmadığı dahil, bu risk göstergesini değerlendirmek için muhakeme gücüne
başvurulmalıdır. Örneğin büyük defter sistemini ilgilendiren anahtar
otomatik kontroller ve anahtar raporlar varsa, büyük defter sistemi
dahilindeki farklı işlevlerde geçmişte başarısızlıklarla karşılaşılmış olması
ilgili bir noktayı teşkil edebilir. Finansal tabloları ilgilendiren önemli yanlış
beyanların önlenmesi veya tespit edilmesi hususunda temel alınan işlevlere
ilişkin risk seviyesi belirlenirken, içinde bulunulan belirli koşullar ve
gerçekler dikkate alınmalıdır.
18
Herhangi bir kritik işlevle ilgili tespit edilemeyen bir başarısızlığın bulunması makul ölçüde
olası değilse, o halde söz konusu olan yalnızca bir kontrol eksikliğidir.
8.
Hem kritik BT işlevleri hem de diğer işletme kontrollerinin nasıl yürütüldükleri dikkate
alındığında, bir başarısızlığın finansal tablolarda önemli bir yanlış beyana neden
olması makul ölçüde olası mıdır?
Değerlendirme süreci, kritik işlevlerde başarısızlık olasılığının en azından makul ölçüde var
olduğunu ortaya koymuştur. Gelinen bu noktada, kurum seviyesindeki19 ve birim
seviyesindeki ilgili tüm manuel ve diğer otomatik anahtar kontrollerin etkinliği dahil konuyla
ilgili bütün gerçekler ve koşullar göz önünde tutularak, oluşan başarısızlığın finansal
tablolarda tespit edilemeyen önemli bir hataya yol açmasının mümkün ya da en azından
makul ölçüde olası olup olmadığını değerlendirmek için muhakeme gücüne başvurulur.
İlke 1’de anlatıldığı üzere:
BTGK başarısızlığının bir veya daha fazla BTGK kontrol hedefine
ulaşılamamasına neden olması;
bir veya daha fazla anahtar otomatik uygulama kontrolünün (veya
anahtar raporlar, vb.) tasarlandığı gibi etkili bir şekilde işlememesi
ve/veya
finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit
edilememesi mümkün ya da en azından makul ölçüde olası olmalıdır.
Değerlendirmede; yalnızca kritik işlevlerde bir başarısızlık olma riski üzerinde durulmamalı,
bunun yanı sıra, bir önemli hesap veya dipnot açıklamasıyla ilgili bütün kontrollerin etkinliği
de dikkate alınmalıdır. Bu bağlamda göz önünde tutulması gereken unsurlar şunlardır:
 Aynı hesap veya dipnot açıklamasını ilgilendiren birden çok kontrol
başarısızlığı olup olmadığı.
Adım 3’te anlatıldığı gibi, birden çok kontrol başarısızlığının bulunması,
önemli bir yanlış beyan riskinin arttığını gösteriyor olabilir. Buna karşın,
yapılan değerlendirmede kontrol eksikliklerinin kendilerine özgü doğası ve
nitelikleri dikkate alınmalıdır. Eğer birbiri ile ilişkili değillerse (örneğin, aynı
kişilerce veya aynı sistem kullanılarak gerçekleştirilmiyorlarsa), aynı dönem
içerisinde birden çok hata olma olasılığı düşük seviyede olabilir. Örneğin,
birbiriyle ilgisiz iki kontrolün her biri ayrı ayrı %10 olasılıkla 1 milyon ABD
tutarında bir hataya neden olma riski taşıyorsa, olasılık teorisine göre, bunların
aynı zamanda meydana gelme ve toplamda 2 milyon ABD tutarında bir hataya
yol açma olasılığı sadece %1’dir. Fakat bu iki kontrol birbirleriyle
ilişkiliyseler, 2 milyon ABD tutarında bir hata oluşma olasılığı çok daha
yüksek olabilir.
BTGK eksiklikleri, birden fazla otomatik kontrolü ya da diğer kritik BT
işlevlerini ilgilendiren BTGK kontrol hedeflerine ulaşılamaması yönünde bir
etki sergileyebilir. Bu otomatik kontrollere duyulan güvenin azaldığı
19
Şirket seviyesi ve kurum seviyesi terimleri aynı anlama gelmektedir.
19
düşünülüyorsa, ortak sebep bunların (yani, anahtar BTGK kontrolleri ve
kontrol hedefleri) birbirleriyle ilişkili olmasıdır.20
 Bir veya birden fazla kontrol eksikliğinden, birden çok önemli hesabın
etkilenip etkilenmeyeceği.
Yukarıda da kaydedildiği gibi, tek bir BTGK eksikliği birden fazla hesapla
ilgili çok sayıda hatanın kök sebebi olabilir. Bu durum, ya etkilenen kritik BT
işlevlerinin birden fazla önemli hesapta hata oluşmasının önlenmesi veya
oluşan hataların tespit edilmesiyle ilgili olmasından ya da oluşan eksiklikten
etkilenen birden çok otomatik kontrolün ve dolayısıyla birden çok hesabın
bulunmasından kaynaklanabilir.
Değerlendirme ekibi, önemli bir zayıflık düzeyine ulaşan bir risk kümelenmesi
bulunup bulunmadığını ele almalıdır.
 Telafi edici veya hafifletici kontrollerin var olup olmadığı.
Adım 3’te, finansal tablolarla ilgili önemli bir hata olma olasılığının telafi edici
kontroller sayesinde nasıl düşürülebileceği anlatılmaktadır. Bu telafi edici
kontrollerin, üzerlerine yüklenen güven verme fonksiyonunu yerine getirme
konusunda etkili oldukları saptanmış olmalıdırlar.
Eğer bir önemli zayıflık tayin edilirse, değerlendirme sürecine tüm kümelenme etkilerinin
dikkate alındığı Adım 10 ile devam edilir.
9.
Söz konusu riskin, önemli bir zayıflığı temsil edecek kadar yüksek düzeyde olmasa da,
yönetim kuruluna bağlı demetim komitesine ikinci derecede önemli bir eksiklik olarak
açıklanmasını gerektirip gerektirmediğini değerlendir.
SEC ve PCAOB,
tanımlamışlardır:
ikinci
derecede
önemli
eksiklikleri
aşağıda
gösterildiği
gibi
“…önemli bir zayıflıktan daha düşük şiddette seyreden, ancak yine de şirketin
finansal raporlamasının gözetiminden sorumlu kimselerin dikkatine sunulmak
için yeterince önemli olan ve finansal raporlama üzerindeki iç kontrol
sisteminde görülen bir eksiklik ya da bir eksiklikler kümesi.”
Bu değerlendirme, değerlendirme ekibinin muhakeme gücünü kullanmasını gerektirecektir.
BTGK eksikleri, finansal raporlama dışındaki alanlarla ilgili riskler (örneğin, operasyonel
etkinlikle ilgili ya da gizli bilgilerin korunmasıyla ilgili riskler) üzerinde potansiyel bir etki
gösterdikleri için, yönetimin yaptığı değerlendirme kapsamında ilgili tüm riskleri ele almasını
ve denetim komitesiyle bunlar hakkında tartışma yürütmesini tavsiye ediyoruz.
20
Bu durum, bir çeşit kümelenme biçimi olarak değerlendirilebilir. Başkaları ise, bunun BTGK kontrollerinin
yayılmacı tabiatından kaynaklandığını öne sürerler (yani, bir BTGK kusuru, birden çok işletme süreci kontrolünü
ve birden çok önemli hesabı etkileyebilir).
20
10.
Finansal tablolarla ilgili kontrol risklerinden oluşabilecek tüm kümelenmelerin
dikkate alınıp değerlendirilmiş olduğunun teyit edilmesi de dahil olmak üzere, konuyu
toparla ve bir makul kişi21 incelemesi gerçekleştir.
Finansal raporlama iç kontrol (ICFR) sistemi üzerinde yapılan değerlendirmede, bu sistemin
önemli yanlış beyanların zamanında önlenmesini ya da tespit edilmesini sağlama yönünde
makul bir güvence sunup sunmadığı ele alınır. Bunun için değerlendirme ekibinin bütün
eksiklikleri ve özellikle bunların kök sebeplerini bir bütün olarak dikkate alması ve aşağıdaki
sorulara cevap bulması gerekir:
 İç kontrol sisteminde zayıflıkların var olup olmadığı. Varsa, bunlar ve kök sebepleri
gerektiği şekilde tayin edilmiş midir?
 Bütün risk kümelenmeleri tayin edilip ele alınmış mıdır?
 Makul bir kişi, işletmenin tabiatını, finansal tablolarla ilgili büyük riskleri ve anahtar
kontrollerin kuvvetli ve zayıf yönlerini göz önünde tutarak yaptığı değerlendirmede,
önemli bir yanlış beyan riskinin makul ölçüde olası olduğuna kanaat getirir mi?
Deneyimler, kontrol eksikliklerinin kök sebeplerinin genellikle aynı olduğunu göstermektedir
(örneğin, yeterli personeli bulunmayan bir BT güvenlik birimi, bir bütün olarak değişiklik
yönetiminde disiplin eksikliği ya da teknik muhasebe deneyimi ve kavrayışında eksiklik).
Değerlendirme ekibi, böyle bir durumda, altta yatan bu meselenin birleşik veya kümelenmiş
etkisinin, önemli bir zayıflığı ya da ikinci derecede önemli bir eksikliği temsil edip etmediğini
değerlendirmelidir. Kök sebebin tayin ve gerektiği gibi rapor edilmesi de önemli bir noktadır,
zira , zayıflıklar yalnızca kök sebepleri ele alındığında etkili şekilde giderilebilirler.
Bu aşamaya kadar yapılan değerlendirme kapsamında, tam olarak hepsi olmasa da
kümelenmiş mesele tiplerinin bazıları üzerinde durulmuştur. Bu bağlamda ele alınan hususlar
aşağıda sıralanmaktadır.
 Birden fazla anahtar BTGK eksikliği ve bunların tek bir BTGK hedefi üzerindeki etkisi
(Adım 3'te).
 Birden fazla BTGK kontrol hedefine ulaşılmasında başarısız olunması ve bunların tek bir
otomatik kontrol veya bir diğer kritik BT işlevi üzerindeki etkisi (Adım 7a'da).
 Manuel, otomatik ve başka tip kontrollerden oluşan kombinasyonlar dahil birden fazla
kontrol başarısızlığı ve bunların finansal tablolar üzerindeki etkisi (Adım 8'de).
 Aynı kök sebepten kaynaklanan eksiklikler (yukarıda).
Değerlendirme ekibi, bütün kontrol eksikliklerini gözden geçirmeli ve tamamının
incelenmesinden sonra, başkaca ikinci derecede önemli eksiklikler ya da önemli zayıflıklar
bulunmadığını teyit etmelidir. Örneğin, makul bir kişinin yönetimin iç kontrol sistemine
verdiği ağırlığın yetersiz olduğu yönünde görüş bildirmesine neden olacak kadar çok kontrol
eksikliği var mıdır?
Makul bir kişi ya da diğer adıyla SEC ve PCAOB tarafından önerilen basiretli bir memur,
tarafından yapılan gözden geçirme, nihai ihtiyati adımı teşkil eder. Bu gözden geçirmenin
amacı, yapılan değerlendirmenin gereğinden fazla koruyucu veya saldırgan olmadığından
emin olunmasını sağlamak ve yanı sıra, raporlamanın yapıldığı tarihteki iç kontrol sisteminin
sahip olduğu kaliteyi doğru yansıtan bir değerlendirmeye ulaşılmış olmasını teyit etmektir.
21
SEC ve PCAOB rehberlerinde, makul kişi teriminin yerine basiretli memur terimi kullanılmaktadır, ancak bu
terimlerin anlamları ve kullanım amaçları aynıdır.
21
4.
TERİMLER SÖZLÜĞÜ
Terimler
Tanımlar
Uygulama
kontrolü
"Uygulama seviyesindeki riskler için oluşturulan uygulama kontrolleri,
sistemin içinde kurulmuş bilgisayarlı kontroller veya manuel olarak
gerçekleştirilen kontroller formunda olabilecekleri gibi, bunların bir bileşimi
biçiminde de olabilirler. Uygulama kontrollerine verilebilecek örnekler
arasında, belgelerin bilgisayar ortamında eşleştirilmesi (satın alma siparişi,
fatura ve mal alındı raporu), bilgisayarın ürettiği çıktının kontrolü ve
imzalanması ve istisna raporlarının üst yönetim tarafından gözden geçirilmesi
sayılabilir." (Uluslararası Bilişim Teknolojileri Yönetim ve Denetim
Enstitüsü Derneği - ISACA, Uygulama Sistemleri Gözden Geçirmeleri, belge
G14)
Otomatik
uygulama
kontrolü
Yukarıda tanımlandığı gibi, uygulama kontrolleri, "sistemin içinde kurulmuş
bilgisayarlı kontroller, manuel olarak gerçekleştirilen kontroller ve bunların
bir birleşimi biçiminde olabilirler." Burada kullanılan otomatik uygulama
kontrolleri terimi, ISACA tarafından yapılan tanımlamada kullanılan
bilgisayarlı kontroller terimiyle eşanlamlıdır.
Kontrol
"İş hedeflerine ulaşılacağı ve istenmeyen olayların önleneceği ya da tespit
edilip düzeltileceği yönünde makul güvence sağlamak üzere tasarlanıp
oluşturulmuş politikalar, prosedürler, uygulamalar ve organizasyonel
yapılar." (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri - COBIT
Terimler Sözlüğü)
Kontrol
eksikliği
Finansal raporlama iç kontrol (ICFR) sisteminde yer alan bir kontrolün
tasarımı ya da işleyişi, atandıkları birimlerde ilgili rutin faaliyetleri yerine
getiren yönetim veya çalışanlara, yanlış beyanları zamanında önleme ya da
tespit etme olanağı sağlamıyorsa, ortada bir kontrol eksikliği vardır.
Kontrol
başarısızlığı
Bir anahtar kontrol yetersiz düzeyde tasarlanmışsa ya da etkili şekilde
işlemiyorsa, ortada bir kontrol başarısızlığı vardır.
Kritik BT işlevleri arasında aşağıda sayılanlar bulunur:


Kritik BT
işlevleri


Anahtar otomatik kontroller
Anahtar manuel kontrollerin doğru ve düzgün faaliyet göstermeleri için
esas alınan BT işlevi
Anahtar raporlar
Muhasebe kayıtlarıyla ilgili, tespit edilemeyerek finansal tablolarda bir
önemli hata oluşmasına sebebiyet verebilecek, hesaplamalar ya da büyük
deftere geçirme gibi diğer kritik işlevlerdeki bir başarısızlık. Bazı
kaynaklarda bunun için programlı muhasebe prosedürleri terimi
kullanılır.
22
Terimler
Kurum
düzeyinde
kontrol
Tanımlar
Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) kontrolleri,
kurum düzeyinde kontroller ve ayrıntı/süreç düzeyinde (birim düzeyinde)
kontroller olarak iki grup altında toplamaktadır. Diğerine kıyasla kurum
düzeyindeki riskler, organizasyonun bütünü ve birden fazla ayrıntı/süreç
düzeyindeki kontrolün etkinliği üzerinde etki edebilecek olmalarından ötürü
doğası gereği daha yayılmacı risklerdir.
Kurum seviyesi terimi, şirket seviyesi terimiyle eşanlamlıdır.

Finansal
açıdan
önemli

Finansal açıdan önemli uygulamalarda, anahtar otomatik uygulama
kontrolleri, anahtar raporlar ve diğer anahtar otomatik süreçler dahil,
finansal raporlama sürecinin bütünlüğünü güvenceye alma konusunda
esas alınan işlevler bulunur. Bu işlevler doğru, düzgün ve tutarlı bir
çerçevede faaliyet gösteremiyorlarsa, önlenemeyen veya tespit
edilemeyen önemli bir yanlış beyan bulunması en azından makul ölçüde
olasıdır. Bir işlev önemli yanlış beyanların saptanması veya önlenmesi
açısından mutlaka gerekli olduğu taktirde bu tanımlama kapsamındadır
(örneğin, bir anahtar kontrolün parçası olarak).
Finansal açıdan önemli veriler, rutin uygulama kontrolleri atlatılmak
suretiyle (örneğin, bir BTGK başarısızlığı sonucunda) yetkisiz
değişikliklerden etkilenmeleri durumunda, önlenemeyen veya tespit
edilemeyen önemli bir yanlış beyana neden olmaları mümkün ya da en
azından makul ölçüde olası olan verilerdir. Bu gibi durumlarla finansal
veriler kapsamında karşılaşılabileceği gibi, otomatik bir prosedürün tutarlı
işleyiş göstermesi konusunda temel alınan verilerde de karşılaşılabilir.
ICFR
Finansal raporlama üzerindeki iç kontrol (sistemi)
IIA
İç Denetim Enstitüsü (IIA), global merkez binası Altamonte Springs, Fla.,
Birleşik Devletler adresinde bulunan ve 122.000'i aşkın üyesi olan bir
uluslararası meslek örgütüdür. IIA, dünya genelinde, sertifikasyon, eğitim,
araştırma ve teknolojik rehberlik hizmetleri veren, iç denetçilik mesleği
alanındaki lider kurum olarak tanınır.
BTGK
(ITGC)
Bilgi teknolojileri genel kontrolleri (BTGK'ler), genelde BT birim ve
kuruluşlarına ait BTGK süreçleri üzerindeki kontrollerdir. Geniş anlamıyla
BTGK'ler, işlemlerin yapılmasını ve otomatik kontrollerin hayata
geçirilmesini sağlayan işlevler ve benzeri uygulamaların, geliştirilmesini ve
takiben sürdürülmesini güvence altına alırlar. Aynı zamanda, bu
uygulamaların düzgün işleyiş gösterdiklerinden ve verilerin ve programların
yetkisiz değişikliklere karşı korunduklarından emin olunmasını sağlarlar.
23
Terimler
Tanımlar
Başarısız olması durumunda, finansal tabloları ilgilendiren önemli bir hatanın
zamanında önlenemeyecek veya tespit edilemeyecek olmasını mümkün ya da
en azından makul ölçüde olası hale getiren bir kontroldür. Diğer bir deyişle,
önemli hataların zamanında önlenmesi veya tespit edilmesi konusunda makul
düzeyde güvence sağlayan kontrol, bir anahtar kontroldür.
Anahtar
kontrol
Başarısızlık, münferit nitelikte olabileceği gibi, aynı zaman dilimi içerisinde
başarısız olma olasılığı bulunan başka kontrollerle birlikte de görülebilir.
İkinci durum, literatürde kümeleşme terimi ile anılır. Tek bir kontroldeki
başarısızlık muhtemelen önemli bir yanlış beyana yol açmaz, ama aynı
dönem içerisinde birden fazla kontroldeki başarısızlık, bu riski uzak olasılık
mertebesinden daha üst bir seviyeye çıkarır. Kümeleşme durumunda,
kontrollerin aynı dönem içerisinde başarısız olmalarının muhtemel olması
gerekir; bunun nedeni, örneğin, bu kontrollerin aynı zaman dilimi içerisinde
aynı bilgisayar sistemi kullanılarak veya aynı kişi tarafından gerçekleştirilmiş
olmasıdır.
Bir hatanın zamanında tespit edilmesi önemli bir husustur. Aksi takdirde,
finansal tablolar SEC komisyonuna gönderildikten sonra tespit edilen hatalar,
finansal tabloların yeniden düzenlenmesini gerektirebilir.
PCAOB, 5 numaralı denetim standardında, anahtar kontrollerin esasını
aşağıda gösterildiği gibi tanımlamaktadır:
"Denetçi, öne sürülen her önemli iddiayla ilgili yanlış beyan riskinin,
şirket bünyesindeki kontroller kapsamında yeterli düzeyde ele alınıp
alınmadığı hakkında bir sonuca varması açısından önemli bir yer
tutan bu kontrolleri test etmelidir."
Genellikle sistem içerisinde oluşturulmuş, bir anahtar kontrol kapsamında
kullanılan bir rapordur. Bir raporun bir anahtar rapor sayılması için aşağıdaki
koşulları karşılaması gerekir:

Anahtar
rapor

Raporda yapılan bir hata, tespit edilememesi halinde, örneğin
raporda yer alan bilgilerin bir işlem (örneğin, bir yevmiye kaydı)
oluşturmak için kullanılmasından ya da raporun yapılan kontrolün
temelini teşkil eden bir unsur olarak (örneğin, vadesi geçmiş
alacaklara yönelik bir gözden geçirme) kullanılmasından dolayı
önemli bir hataya neden olabilir.
Kontrolün manuel yürütülen kısmı kapsamında, raporda yapılan bir
hatanın tespit edilebilir olması mutlak değildir.
24
Terimler
Tanımlar
Önemli
zayıflık
ICFR sistemindeki, şirketin yıllık ya da ara dönem finansal tablolarında
önemli bir yanlış beyanın zamanında önlenememesini veya tespit
edilememesini makul ölçüde olası kılan bir eksiklik ya da bir eksiklikler
birleşimi.
PCAOB
ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu (PCAOB), halka açık
şirketlerde çalışan denetçilerin gözetim ve yönetimini yerine getirmek üzere
Sarbanes-Oxley Kanunu uyarınca kurulmuş kâr amacı gütmeyen bir özel
hukuk tüzel kişisidir. Hedefini, "bilgilendirici, adil ve bağımsız denetim
raporlarının hazırlanmasında yatırımcıların çıkarlarını ve kamu yararını
korumak" olarak açıklamaktadır.
Her ne kadar bir özel hukuk tüzel kişisi niteliğinde olsa da, PCAOB, devletin
sahip olduğuna benzer birçok düzenleyici işleve sahiptir. Bu konumu,
PCAOB'yi, Birleşik Devletler'de menkul kıymetler borsasını ve finans
piyasalarının diğer unsurlarını düzenleyen özel teşebbüse ait öz-düzenleme
kurumlarıyla benzer bir niteliğe kavuşturur.
Basiretli
memur
Bakınız: makul kişi
Makul
güvence
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja
bakılabilir: "Komisyon'un uygulama kurallarında atıf yapılan 'makul
güvence' kavramı, Yabancı Ülkelerde Yolsuzluk Uygulamaları Kanunu'nda
(FCPA) (1977) benzer bir dille açıklanır. Makul güvence ve makul ayrıntı
kavramları, Menkul Kıymetler ve Borsa Kanunu Madde 13(b) Fıkra (7)'de,
'kendi işlerini yerine getirirken basiretli memurları tatmin edecek düzeyde
ayrıntı seviyesi ve güvence derecesi' olarak tanımlanırlar. Komisyon,
'makullük' kavramını uzun bir süreden beri 'şirket kayıtlarıyla ilgili mutlak
bir kesinlik standardı' olarak ele almamaktadır. Ayrıca, Komisyon 'makullük'
standardını nesnel bir standart olarak tanımasının yanı sıra, bir sertifikasyon
kuruluşunun 404. Madde ve Komisyon kurallarının uygulanışı konusunda
neyin 'makul' olduğu hakkında karar verirken belirli bir aralıkta inisiyatif
kullanabilecek kadar öznel hareket edebileceğini de kabul eder. Dolayısıyla,
404. Maddenin uygulanışı bağlamında ele alınan 'makul', 'makul ölçüde' ve
'makullük' kavramları, sabit tek bir çıkarımı veya metodolojiyi yansıtmazlar,
daha ziyade, bir sertifikasyon kuruluşunun makul bir çerçevede aldığı
kararlara dayanak teşkil etmeye uygun olası tüm davranışları, çıkarımları
veya metodolojileri kapsarlar."
Makul kişi
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja
bakılabilir: "ICFR sistemindeki bir eksikliğin veya eksiklik kümesinin şiddeti
değerlendirilirken, yönetim, kendi işlerini yerine getirirken basiretli
memurları tatmin edecek ve işlemlerin finansal tabloların Genel Kabul
Görmüş Muhasebe İlkeleri ve Uygulamalarına (GAAP) uygun bir çerçevede
hazırlanmalarına olanak tanımak için gerektiği gibi kayıt altına alındıkları
yönünde bir makul güvence vermelerini sağlayacak düzeyde ayrıntı seviyesi
ve güvence derecesinin ne olduğunu belirlemelidir."
25
Terimler
Tanımlar
Bu terimle ilgili olarak PCAOB AS 5'te şu ifadeye yer verilir: "Finansal
Muhasebe Standartları Kurulu (FASB) 'Beklenmedik Olaylarda Muhasebe'
(FAS 5) başlıklı 5. Açıklamasında kullanıldıkları anlamlarıyla, bir olayın
olma ihtimali makul ölçüde olası ya da muhtemel olduğunda, bu standartta
kullanıldığı anlamıyla, bir olayın olması için bir makul olasılık vardır." SEC
kılavuzunda da aynı tanım yer almaktadır.
Makul
olasılık
Konu hakkında FAS 5'te yer verilen ifadeler ise şöyledir: "Bu Açıklama
metninde geçen muhtemel, makul ölçüde olası ve uzak olasılık terimleri,
ihtimal aralığındaki farklı olasılık düzeylerini aşağıda gösterildiği gibi
tanımlamak için kullanılmaktadırlar:
a.
Muhtemel: Olay veya olaylar büyük olasılıkla olacaktır.
b.
Makul ölçüde olası: Olay veya olayların olma olasılığı, 'büyük
olasılıkla' denilemeyecek kadar düşük, ama aynı zamanda, 'uzak
olasılık' denilemeyecek kadar da yüksektir.
c.
Uzak olasılık: Olay veya olayların olma olasılığı düşüktür."
SEC
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), ana sorumlulukları
Federal Menkul Kıymetler Kanunu’nu uygulatmak ve menkul kıymetler
sektörünü düzenlemek olan bir devlet kurumudur. SEC, 1934 yılında
çıkarılan Menkul Kıymetler ve Borsa Kanunu 4. Maddesi (günümüzde,
Birleşik Devletler Kanunnamesi 15. Başlık 78d Maddesi olarak geçmektedir)
uyarınca kurulmuştur. SEC, kurulmasına önayak olan 1934 Kanununun yanı
sıra, 1933 Menkul Kıymetler Kanunu, 1939 Tröst Senedi Kanunu, 1940
Yatırım Şirketleri Kanunu, 1940 Yatırım Danışmanlığı Şirketleri Kanunu,
2002 ABD Sarbanes-Oxley Kanunu ve yürürlükteki diğer kanunları da
uygular.
İkinci
derecede
önemli
eksiklik
İkinci derecede önemli bir eksiklik, önemli bir zayıflıktan daha düşük bir
şiddette seyreden, ancak yine de şirketin finansal raporlamasının gözetim ve
yönetiminden sorumlu olanların dikkatine sunulmalarını gerektirecek kadar
önemli olan ve ICFR sisteminde görülen bir eksiklik ya da çeşitli
eksikliklerden oluşan bir eksiklik kümesidir.
26
Terimler
Tanımlar
Yukarıdan aşağıya yaklaşım, PCAOB AS 5'te aşağıda gösterildiği gibi
tanımlanmaktadır:
Yukarıdan
aşağıya
yaklaşım
"Denetçi, finansal raporlama üzerindeki iç kontrol sistemi
kapsamında test edeceği kontrolleri seçerken yukarıdan aşağıya bir
yaklaşım kullanmalıdır. Yukarıdan aşağıya bir yaklaşım finansal
tablo seviyesinden başlar ve denetçi ilk önce finansal raporlama
üzerindeki iç kontrol sistemiyle ilgili genel riskler hakkında bilgi
edinir. Akabinde, denetçi, kurum seviyesindeki kontrollere odaklanır
ve önemli hesap ve dipnot açıklamaları ile bunlarla ilgili önemli
iddialara doğru çalışmasını genişletir. Denetçi, bu yaklaşım
sayesinde, finansal tablolar ve bağlantılı dipnot açıklamaları
kapsamında önemli yanlış beyanlarda bulunulmasının makul ölçüde
olası olduğu hesaplara, dipnot açıklamalarına ve iddialara
odaklanabilir. Daha sonra, denetçi, şirkette izlenen süreçlerle ilgili
riskler hakkındaki birikimini ve edindiği bilgileri doğrular ve öne
sürülen önemli iddiaların her biriyle ilgili olarak, değerlendirilen
yanlış beyan risklerini yeterli düzeyde ilgilendiren kontrolleri test
etmek üzere seçer."
BTGK kontrolleriyle ilgisi bakımından yukarıdan aşağıya yaklaşım hakkında
yürütülen kısa bir tartışma için BTRDR Metodolojisi ile ilgili bir sonraki
bölüme de bakınız.
27
5.
EK: BTRDR (GAIT) Metodolojisi
Aşağıdaki metin, İç Denetim Enstitüsü internet sitesinde (http://www.theiia.org) yer alan
"GAIT Metodolojisi" başlıklı bölümden alınmıştır.
Yöneticiler İçin Özet
SEC ve PCAOB, Sarbanes-Oxley Kanunu 404. Maddesinin kapsamını ve bununla ilgili
anahtar kontrolleri tanımlamak için yukarıdan aşağıya, risk-esaslı bir yaklaşım izlenmesini
önermektedirler. Bu öneri, söz konusu yaklaşım finansal raporlamayla ilgili daha muhtemel
ve önemli risklere odaklanan etkin bir değerlendirmeye olanak sağladığı için yapılmış olup
genel kabul görmektedir.
IIA ve PCAOB gibi kurumlar, şirket seviyesindeki anahtar kontrollerin tayin edilmesine
yardımcı olmak için yol gösterici bilgiler sunmaktadır. ISACA gibi kurumlar da, BT birim ve
kuruluşları kapsamındaki kontrollerin nasıl değerlendirilmeleri gerektiği konusunda ilave
rehberler çıkartmışlardır. Gelgelelim, BT birim ve kuruluşlarıyla ilgili kontrollere (BT genel
kontrolleri veya BTGK'ler) yönelik çalışmaların kapsamının önerilen yukarıdan aşağıya, riskesaslı yaklaşım izlenerek nasıl belirleneceği konusu hâlâ tam olarak netlik kazanmış değildir.
BTGK süreçlerinde faaliyet gösteren anahtar BTGK kontrolleri, finansal tablolar ve önemli
hesaplar seviyesinden başlayarak BTGK kontrollerine doğru ilerleyen yukarıdan aşağıya,
risk-esaslı bir yaklaşım kullanılarak tayin edilmez ise aşağıdaki riskler açığa çıkar.


Değerlendirilen ve test edilen kontroller kritik nitelikte olmadığında, gereksiz maliyet
ve kaynak kullanımı ortaya çıkar.
Kritik nitelikteki kontroller hiç test edilmediği ya da gerekenden geç bir zamanda test
edildiği taktirde, değerlendirme veya denetim açısından bir risk oluşturur.
Bu metodoloji, ICFR sistemine bağlı anahtar kontrollerin kapsamının yukarıdan aşağıya, riskesaslı bir çerçevede belirlenmesinin bir parçası ve devamı olarak, BTGK içerisinden anahtar
kontroller tayin edilirken hem yönetim hem de dış denetçilerce kullanılabilecek bir kapsam
tayin mekanizması sağlar. PCAOB AS 5'te, SEC açıklayıcı kılavuzunda (Haziran 2007
tarihinde yayımlanmıştır) ve "Sarbanes-Oxley Kanunu 404. Maddesi: İç Kontrol
Uygulayıcıları Tarafından Yönetim İçin Hazırlanan Bir Rehber" başlıklı IIA kılavuzunda tarif
edilen metodolojiyle tutarlıdır.
Bu metodoloji, bir kurumun gereksinimlerine göre uyarlanabilecek yapısal bir usavurma
sürecini temsil eder. Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek işletme süreci
risklerinin ve ilgili anahtar kontrollerin tayin edilmesi, metodolojinin başlangıç noktasını
oluşturur. Finansal tablolarla ilgili bu riskler, bir kontrol veya güvenlik başarısızlığının
işletme süreçleri bakımından büyük önem taşıyan başka bir kontrol başarısızlığına yol açarak
finansal tablolarda önemli yanlış beyanların oluşma olasılığını büyük ölçüde arttırabileceği
BTGK süreçleriyle ilgili riskleri tayin etmek suretiyle bir sonraki seviyeye taşınırlar.
Metodolojide, belirli anahtar kontroller tayin edilmez. Bunun yerine, tayini gereken anahtar
kontrolleri ilgilendiren BTGK süreçleri ve ilgili BT kontrol hedefleri tayin edilir. BTRDR
kullanıcıları, belirli anahtar BTGK kontrollerini saptayıp daha sonra değerlendirmek için
COBIT gibi başka araçlardan da faydalanacaklardır.
28
BTGK süreçlerinin taşıdığı risklerin tayini, önemli hesaplar ve ilgili işletme süreçleriyle
başlayan ve yukarıdan aşağıya yaklaşımın devamıyla ilgili bir eylem olduğu için, iş ve BT
uzmanlarından oluşan karma bir ekip tarafından gerçekleştirilmelidir. İş uzmanları tek
başlarına BT ile ilgili teknik unsurları anlayamazlar ve aynı şekilde, BT uzmanları da tek
başlarına BT işlevlerine duyulan güvenin boyutlarını yeterli düzeyde kavrayamayabilirler.
BTRDR ve Yukarıdan Aşağıya Yaklaşım
Aşağıdaki şekil, Sarbanes-Oxley Kanunu 404. Maddesine tâbi anahtar BTGK kontrollerini
metodolojiyi kullanarak tanımlamak için kullanılan bir yukarıdan aşağıya, risk esaslı süreçte
atılması gereken adımlar gösterilmektedir. AS 5'te tartışılan adımlar ile BTRDR Metodolojisi
kapsamında tarif edilen müteakip adımlar arasındaki ilişki ortaya konmaktadır.
29