Uygulama Kontrolleri - Türkiye İç Denetim Enstitüsü

Transkript

GTAG
®
Global Teknoloji Denetim Rehberi
UMUÇ – Uygulama Rehberi
UYGULAMA
KONTROLLERİNİN
DENETİMİ
IIA – Uluslararası İç Denetçiler
Enstitüsü
Global Teknoloji Denetim Rehberi
1
(GTAG) 8
Uygulama Kontrollerinin Denetimi
Yazarlar
Christine Bellino, Jefforson Wells
Steve Hunt, Crowe Horwath LLP
Orijinal Basım Tarihi: Temmuz 2007
Uluslararası Mesleki Uygulama Çerçevesi’ne (UMUÇ)
uygunluk açısından revize edilmiştir, Ocak 2009
Telif Hakkı © 2007, Uluslararası İç Denetçiler Enstitüsü (IIA), 247 Maitland Ave., Altamonte
Springs, FL 32701-4201 ABD’ye aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde
basılmıştır. Yayımcının ön yazılı izni alınmadan, bu dokümanın hiçbir bölümü çoğaltılamaz, herhangi
bir bilgi depolama ve erişim sisteminde saklanamaz ya da hiçbir formatta ve hiçbir kanal yoluyla –
elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktarılamaz.
IIA, bu dokümanı bilgi vermek ve eğitim amacıyla yayımlamaktadır. Bu doküman, bilgi sağlamayı
amaçlamaktadır; ancak hukuk veya muhasebe konularında bir tavsiye yerine kullanılamaz. IIA böyle
bir tavsiyede bulunmaz ve bu dokümanı yayımlamakla, muhasebeyle ilgili veya hukuki sonuçlara
yönelik varılan sonuçların doğruluğu hakkında herhangi bir garanti vermez. Hukuk veya muhasebe
konularında sorunlar ortaya çıktığı takdirde, profesyonel yardıma başvurulmalıdır.
2
İÇİNDEKİLER TABLOSU
1. Yönetici Özeti ………………………………………………………………………………………..4
2. Giriş…………………………………………………………………………………………………..6
Uygulama Kontrollerinin Tanımı………………………………………………………………6
Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri……………………………………….7
Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan BT Ortamları………………………...8
Uygulama Kontrollerine Güvenmenin Faydaları………………………………………………9
İç Denetçilerin Rolü…………………………………………………………………………...11
3. Risk Değerlendirmesi……………………………………………………………………………….14
Risk Değerlendirmesi………………………………………………………………………….14
Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı…………………………………………15
4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi……………………………………..17
İş Süreci Yöntemi……………………………………………………………………………..17
Tekli Uygulama Yöntemi……………………………………………………………………..17
Erişim Kontrolleri……………………………………………………………………………..18
5. Uygulama İnceleme Yaklaşımları ve Diğer Mülahazalar…………………………………………...19
Planlama……………………………………………………………………………………….19
Uzman Denetim Kaynaklarına Olan İhtiyaç…………………………………………………..20
İş Süreci Metodu………………………………………………………………………………20
Dokümantasyon Teknikleri……………………………………………………………………22
Test Etme……………………………………………………………………………………...24
Bilgisayar-Destekli Denetim Teknikleri………………………………………………………25
6. Ekler…………………………………………………………………………………………………31
Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler…………………………………….31
Ek-B: Örnek Denetim Programı………………………………………………………………39
7. Sözlük……………………………………………………………………………………………….40
8. Referanslar…………………………………………………………………………………………..41
9. Yazarlar Hakkında…………………………………………………………………………………..42
3
1.
YÖNETİCİ ÖZETİ
Son birkaç yıldır dünyanın dört bir tarafındaki kurumlar, 2000 Yılı Uyum Çalışması gibi
taktiksel hedeflerden, piyasada bir şirketi diğerinden farklı kılmayı sağlayacak bir unsur
olarak teknolojiyi kullanmak gibi stratejik hedeflere kadar çeşitli farklı nedenlerden dolayı
yeni iş uygulamaları sistemleri kurmak veya bu sistemleri yükseltmek için milyarlarca dolar
harcamışlardır. Uygulama veya uygulama sistemi, kullanıcıların doğrudan doğruya bir
bilgisayarın yetenek ve kapasitesini kullanarak görevleri yapmasını sağlayan bir tür
yazılımdır. Uluslararası İç Denetçiler Enstitüsü’nün (IIA) yayımladığı GTAG-4:BT
Denetiminin Yönetimi dokümanına göre bu sistem türleri ya hareket uygulamaları ya da
destek uygulamaları olarak sınıflandırılabilir.
Hareket uygulamaları, kurum çapındaki verileri:



Ticari işlemlerin değerini borç ya da alacak kalemi olarak kaydetmek;
Finansal, operasyonel ve düzenleyici veriler için havuz işlevini görmek;
Satış emirleri, müşteri faturaları, satıcı faturaları ve günlük defter girişlerinin işlenmesi
de dâhil çeşitli farklı finansal ve idari raporlama formlarını sağlamak
yoluyla işlemektedir.
Hareketişleme sistemlerine örnek olarak, sıklıkla girişim kaynak planlama (ERP) sistemleri
olarak anılan SAP R/3, PeopleSoft ve Oracle Financials’in yanı sıra ERP dışında da sayısız
örnek verilebilir. Bu sistemler, hareketleri programlanmış mantığa dayanarak ve birçok
durumda, özgün kurumsal iş ve işleme kurallarının saklandığı ayarlanabilir tablolara ek olarak
işlemektedir.
Diğer yandan destek uygulamaları, iş faaliyetlerini kolaylaştıran özel yazılım programlarıdır.
Örnek olarak e-posta programları, faks yazılımı, doküman görüntüleme yazılımı ve tasarım
yazılımı verilebilir. Ancak bu uygulamalar, genellikle hareketleri işlememektedir.1
İş süreçlerini desteklemek için kullanılan tüm teknolojilerde olduğu gibi, hareket ve destek
uygulamaları da kurumu teknolojinin kendi doğasından kaynaklanan ve çalışanların sistemi
nasıl ayarladığı, yönettiği ve kullandığına bağlı olarak görülen risklerle karşı karşıya
bırakabilir.Hareket işleme sistemlerinde riskler uygun bir biçimde hafifletilmezlerse, bu
risklerin finansal veya operasyonel verilerin bütünlüğü, tamlığı, zamanındalığı ve
kullanılabilirliğine olumsuz etkileri olabilir. Ayrıca iş süreçlerini desteklemek için hangi
uygulama kullanılırsa kullanılsın, bu süreçlerde de bir içsel risk unsuru bulunacaktır. Bu
uygulama teknolojisi ve iş süreci risklerinden dolayı, birçok kurum hareket ve destek
uygulamalarındaki söz konusu riskleri yönetmek için otomatik ve manuel kontrolleri birlikte
kullanmaktadır.
1
GTAG 4: BT Denetiminin Yönetimi, s. 5.
4
Ancak, başarılı risk yönetiminin derecesi, doğrudan doğruya:
 Kurumun risk iştahı veya toleransı;
 Uygulamayla ilgili risk değerlendirmesinin tamlığı ve bütünlüğü;
 Etkilenen iş süreçleri;
 Genel bilgi teknoloji (BT) kontrollerinin etkinliği ve
 Kontrol faaliyetlerinintasarımı ve devamlı faaliyet etkinliğinin büyüklüğüne
bağlıdır.
Kurumların bu riskleri yönetmek için kullandıkları en uygun maliyetli ve etkin
yaklaşımlardan biri, hareket ve destek uygulamalarının doğasında yer alan veya sonradan
dâhil edilen kontrollerin (örneğin, ödenecek faturalarda üç-yönlü fatura eşleme) yanı sıra
ayarlanabilir kontrolleri (örneğin, borçlu hesaplar fatura toleransları) kullanmaktır. Bu tip
kontroller genellikle uygulama kontrolleri olarak anılmaktadır. Verilerin düzenlenmesi, iş
fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin
günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya
uygulama sistemlerinin kapsamına ilişkin kontrollerdir.2
Ayrıca, iç denetim yöneticileri (İDY’ler) ve ekibinin uygulama kontrolleri ve genel BT
kontrolleri (ITGC’ler) arasındaki farkı anlamaları önemlidir. ITGC’ler kurum çapındaki tüm
unsurlar, süreçler ve verileri3 kapsarken, uygulama kontrolleri belirli bir iş sürecini
destekleyen bir program veya sisteme özgüdür. Bu bölümün “Uygulama Kontrollerine
Kıyasla Genel BT Kontrolleri” kısmında bu kontroller hakkında daha detaylı bilgiler
verilmektedir.
Uygulama kontrollerinin risk yönetimi stratejileri konusundaki önemi nedeniyle,İDY’ler ve
ekiplerinin, uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin
çalışıp çalışmadığını tespit etmek için denetimler geliştirmesi ve bu uygulama kontrollerini
periyodik olarak denetlemesi gerekmektedir. Dolayısıyla, bu GTAG’nin amacı İDY’lere:
1.
2.
3.
4.
5.
Uygulama kontrollerinin ne olduğu ve faydaları;
İç denetçilerin rolü;
Bir risk değerlendirmesinin nasıl gerçekleştirileceği;
Uygulama kontrolü incelemelerinin kapsamının belirlenmesi ve
Uygulama inceleme yaklaşımları ve diğer mülahazalar
konularında bilgiler sağlamaktır.
İDY’lere ve bu rehberi kullanan diğer kişilere daha fazla yardımcı olmak için, yaygın
uygulama kontrolleri ile bir örnek denetim planını da rehbere ekledik.
2
3
GTAG 1: Bilgi Teknolojisi Kontrolleri, s.3.
GTAG 1: Bilgi Teknolojisi Kontrolleri s.3.
5
Giriş
Uygulama Kontrollerinin Tanımı
Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem
toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve
hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına
ilişkin kontrollerdir. Dolayısıyla uygulama kontrollerinin amacı:
 Giriş verilerinin kesin, tam, yetkilendirilmiş ve doğru olduğu;
 Verilerin kabul edilebilir bir zaman içerisinde hedeflendiği şekilde işlendiği;
 Saklanan verilerin tam ve doğru olduğu;
 Çıktıların tam ve doğru olduğu ve
 Verilerin girildikten sonra bellekte saklanması ve son olarak da çıktısının alınması
sürecini izlemek için kayıt tutulduğundan emin olmaktır.4
Birçok uygulama kontrolü türü mevcuttur. Bunlar arasında:
 Girdi Kontrolleri – Bu kontroller, esas olarak, bir iş uygulamasına girilen verilerin
bütünlüğünü, bu verilerin doğrudan personel tarafından, uzaktan bir iş ortağı
tarafından veya Web-destekli bir uygulama veya arayüz aracılığıyla girilip
girilmediğini kontrol etmek amacıyla kullanılmaktadır. Veri girişi, belirtilen
parametreler dâhilinde olup olmadığından emin olmak amacıyla kontrol edilmektedir.
 İşleme Kontrolleri – İşlemenin tam, doğru ve izin verilmiş olduğundan emin olmak
amacıyla otomatik yollar sunmaktadır.
 Çıktı Kontrolleri – Bu kontroller verilerle neler yapıldığını ele almaktadır ve çıktıya
kıyasla girdileri kontrol ederek çıktı sonuçlarını hedeflenen sonuçla karşılaştırmalıdır.
 Bütünlük Kontrolleri – Bu kontroller, tutarlılığını ve tamlığını koruduğundan emin
olmak için işlenen ve bellekte bulunan verileri izlemektedir.
 Yönetim İzi – Sıklıkla denetim izi olarak anılan işleme tarihsel kontrolleri,
yönetimin,kaynaktan sonuca kadar işlem ve hareketleri izleyerek ve sonundan başına
doğru süreci tersine takip ederek kaydettiği hareket ve eylemleri tespit etmesine ve
tanımlamasına olanak sağlamaktadır. Bu kontroller, ayrıca, diğer kontrollerin
etkinliğini de izlemekte ve hataları mümkün olduğunca kaynaklarına kadar inerek
tespit etmektedirler.5
Diğer uygulama kontrol unsurları arasında söz konusu iki kontrol tipinin önleyici mi, yoksa
tespit edici mi olduğu bulunmaktadır. Her iki kontrol tipi de programlanmış veya ayarlanabilir
sistem mantığına dayanan bir uygulama kapsamında çalışsa da, önleyici kontroller adından
anlaşılacağı gibi gerçekleşmektedirler. Yani bir uygulama içerisinde ortaya çıkabilecek bir
hatayı önlemektedirler. Önleyici kontrole, bir girdi veri doğrulama rutini örnek verilebilir.
Rutin, girilen verilerin ilgili program mantığına uygun olduğundan emin olmak için kontroller
4,5
GTAG 1: Bilgi Teknolojisi Kontrolleri, s.8.
6
yapmakta ve yalnızca doğru verilerin kaydedilmesine izin vermektedir. Diğer taraftan yanlış
veya geçersiz veriler veri girişi sırasında reddedilmektedir.
Tespit edici kontroller de adından anlaşıldığı gibi gerçekleşmektedir. Yani, daha önceden
tanımlanmış bir program mantığını esas alarak hataları tespit etmektedirler. Tespit edici
kontrole örnek olarak, bir satıcı faturasında belirtilen fiyat ile sipariş fiyatı arasında lehte veya
aleyhte bir farklılığın bulunması örnek verilebilir.
Özellikle doğası gereği tespit edici olan uygulama kontrolleri, ortamda kullanılan manüel
kontrolleri desteklemek amacıyla da kullanılmaktadır. En dikkat çekici olanı ise, bir tespit
edici kontrolden elde edilen veri ve sonuçların bir izleme kontrolünü desteklemek amacıyla
kullanılabilmesidir. Örneğin bir önceki paragrafta açıklanan tespit edici kontrol örneği, sipariş
fiyatları arasındaki farkları bir raporda sıralamak amacıyla bir program kullanarak her türlü
istisnayı kaydedebilir. Yönetimin bu istisnaları incelemesi daha sonra bir izleme kontrolü
sayılabilir.
Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri
İDY’lerin ve onlara bağlı personelin uygulama kontrolleri ile Genel Bilgi Teknolojisi
Kontrolleri (ITGC’ler) arasındaki ilişkiyi ve farkı anlamaları önem arz etmektedir. Aksi
takdirde, bir uygulama kontrol incelemesinin kapsamı uygun bir biçimde belirlenemeyebilir;
bu da denetimin kalitesini ve kapsamını etkileyebilir.
ITGC’ler, bir kurumda veya sistem ortamında yer alan tüm sistemleri, unsurları, süreçleri ve
verileri kapsamaktadır.6 Bu kontrollerin amacı, uygulamaların uygun bir şekilde geliştirilmesi
ve yürütülmesinin yanı sıra program ve veri dosyaları ile bilgisayar işlemlerinin bütünlüğünü
sağlamaktır.7 En yaygın ITGC’ler arasında:






Altyapı, uygulamalar ve veriler üzerinde yapılan mantıksal erişim kontrolleri;
Sistem geliştirme yaşam döngüsü kontrolleri;
Program değişiklik yönetimi kontrolleri;
Veri merkezinde yapılan fiziksel güvenlik kontrolleri;
Sistem ve veri yedekleme ve kurtarma kontrolleri ve
Bilgisayar işlemleri kontrolleri
bulunmaktadır.
Uygulama kontrolleri bilgisayar-tabanlı uygulama sistemiyle ilgili işlem ve verilerin tümüyle
bağlantılı olduğu için, her bir münferit uygulamaya özgüdürler. Uygulama kontrollerinin
amaçları, program işlemenin bir sonucu olarak kayıtların tamlığını ve doğruluğunu ve her
kayda girilen girişlerin geçerliliğini temin etmektir.8 Diğer bir deyişle, uygulama kontrolleri
6
GTAG-1: Bilgi Teknolojisi Kontrolleri, s. 3.
ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14, s.3.
7,8
7
belirli bir uygulamaya özgüyken, ITGC’ler değildir. Yaygın uygulama kontrol faaliyetleri
arasında:
 Satış emirlerinin müşteri kredi limit parametreleri dâhilinde işlenip işlenmediğini
tespit etmek;
 Mal ve hizmetlerin yalnızca onaylanmış bir siparişle tedarik edildiğinden emin olmak;
 Görevdağılımını tanımlanmış görev sorumluluklarını esas alarak izlemek;
 Satın alınan malların teslim alınması üzerine borcun kesinleştiğini belirlemek;
 Duran varlık amortismanının uygun mali dönemde ve doğru kaydedildiğini temin
etmek ve
 Sipariş, alıcı ve satıcı faturası arasında bir üçlü fatura eşleme olup olmadığını tespit
etmek
yer almaktadır.
Ek olarak, yönetimin risk yönetimi konusunda uygulama kontrollerine ne kadar
güvenebileceğini İDY’lerin not etmesi önemlidir. Bu güven doğrudan ITGC’lerin tasarımına
ve faaliyet etkinliğine bağlıdır. Başka bir deyişle bu kontroller etkin bir biçimde uygulanıp
kullanılmadığı takdirde, kurum, riskleri yönetmek için uygulama kontrollerine
güvenmeyebilmektedir. Örneğin program değişikliklerini takip eden ITGC’ler etkin değilse,
bu durumda üretim ortamına yetkisiz, onaylanmamış ve test edilmemiş program değişiklikleri
uygulanarak uygulama kontrollerinin genel bütünlüğünü riske atabilir.
Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan Ortamlar
Kurumun BT ortamının karmaşıklığı veya kompleks yapısının genel risk profiline ve ilgili
mevcut yönetim stratejileri üzerinde doğrudan bir etkisi vardır. Karmaşık bir BT altyapısına
sahip kurumlar şu özelliklere sahiptir:
 Mevcut uygulamalar, veritabanları ve sistemlerde değişiklikler yapılması;
 Firma-içi geliştirilmiş kritik yazılımlar için kaynak kodunun oluşturulması;
 Kurumun işleme gereksinimlerine göre hazır paket yazılımların uyarlanıp
özelleştirilmesi;
 Hazır paket uygulamalar, değişiklikler ve kodun üretim ortamına aktarılması.9
Diğer yandan, daha az karmaşık bir BT ortamına sahip kurumlarda şu özellikler
görülmektedir:
 Mevcut BT ortamında birkaç değişiklik yapılması;
 Cari yılda tamamlanan hazır bir paket finansal uygulamanın önemli modifikasyonlar
(uyarlamalar) yapılmadan yürütülmesi;
 Uygulamanın fonksiyonlarını önemli düzeyde değiştirmeyen, kullanıcı tarafından
ayarlanabilen seçeneklerin bulunması ve
 BT geliştirme projelerinin eksikliği.10
9
Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO) Mali Raporlamaya Yönelik İç Kontroller Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.61
10
COSO, Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.56
8
Bu farklardan da görüldüğü gibi, hareket ve destek uygulamalarının karmaşıklığı ile içsel ve
ayarlanabilir uygulama kontrollerine ulaşabilme, kullanma ve bu kontrollere duyulan güven
arasında doğrudan bir bağıntı bulunmaktadır. Diğer bir ifadeyle, daha az karmaşık bir BT
altyapısı, risk yönetimi için pek fazla içsel veya ayarlanabilir uygulama kontrolleri
sunmayabilir. Dolayısıyla, hareket ve destek uygulamasının karmaşıklık düzeyi, bir uygulama
kontrol incelemesinin yürütülmesi için gereken kapsam belirleme, yürütme, çaba düzeyi ve
bilgiyi, aynı zamanda iç denetçilerin danışman sıfatıyla yardım etme düzeyini etkileyecektir.
Uygulama Kontrollerine Güvenmenin Faydaları
Uygulama kontrollerine güvenip dayanmak pek çok fayda sağlayabilir. Aşağıda kilit faydalar
açıklanmıştır.
Güvenilirlik
İnsan müdahalesinden kaynaklanan kontrol hatalarının ortaya çıkma ihtimalini
değerlendirmek konusunda uygulama kontrolleri manuel kontrollerden daha güvenilirdir. Bir
uygulama kontrolü yapılır yapılmaz ve bir uygulamada, veritabanında veya destekleyici
teknolojide küçük bir değişiklik yapıldığı takdirde, yeni bir değişiklik ortaya çıkana kadar
kurum uygulama kontrolüne güvenebilir.
Ayrıca, sistematik doğasına doğrudan etki eden ITGC’ler etkin çalıştığı sürece uygulama
kontrolü de etkin çalışmaya devam edecektir. Bu, özellikle BT yöneticileri için program
değişiklikleri ve görev dağılımıyla ilgili kontrollerde geçerlidir. Sonuç olarak test dönemi
süresince, denetçi, kontrolü birkaç değil tek seferde test edebilecektir.
Kıyaslama
ABD Halka Açık Şirketler Muhasebe Gözetim Üst Kurulu (PCAOB) Denetim Standardı No.
5’e ait Ek-B: Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne
Yönelik Bir Denetim dokümanında uygulama kontrollerinin kıyaslanabileceği, çünkü bu
uygulamalar
genellikle insanların
hatalarından
kaynaklanan
arızalara maruz
kalmamaktadırlar. Program değişikliklerini ve programlara erişimi izlemek için kullanılan
genel kontroller ile bilgisayar işlemleri etkili ve verimli olduğu ve düzenli olarak test
edilmeye devam edildiği takdirde, iç denetçi bir önceki senenin kontrol testini tekrarlamak
zorunda kalmadan uygulama kontrolünün etkin ve etkili olduğu sonucuna varabilecektir. Bu,
özellikle, iç denetçi uygulama kontrolünün denetçi tarafından son test edildiğinden beri
değişmediğini doğruladığı takdirde doğrudur.11
Ek olarak, kontrolün değişmediğini doğrulamak için iç denetçinin elde etmesi gereken
bulguların doğası ve kapsamı, kurumun program değişiklik kontrollerinin sağlamlığı gibi
durumlara bağlı olarak çeşitlilik gösterebilir.12 Dolayısıyla belirli bir kontrol için kıyaslama
11
PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç
Kontrolüne Yönelik Bir Denetim, Paragraf B29
12
Kontrolüne Yönelik Bir Denetim, Paragraf B29.
9
stratejisi kullanırken denetçinin ilgili dosyalar, tablolar, veriler ve parametrelerin uygulama
kontrolünün fonksiyonelliği üzerindeki etkisini düşünmesi gerekmektedir. Örneğin faiz
gelirini hesaplayan bir uygulama, otomatik hesaplamada kullanılan bir oran tablosunun
sürekli bütünlüğüne bağlı olabilir.13
Denetçinin, uygulamanın ne sıklıkta değiştiğini dikkate alarak, bir otomatik kontrol
kıyaslamasının uygun bir biçimde nasıl kullanıldığını değerlendirmesi gerekmektedir. Bu
nedenle, kod değişikliği sıklığı arttıkça bir uygulama kontrolünün kıyaslama stratejisine
güvenme olasılığı da azalmaktadır. Ek olarak, denetçinin sistemde yapılan değişikliklerle
ilgili bilgilerin güvenilirliğini değerlendirmesi gerekmektedir. Bu nedenle; uygulamada,
veritabanında veya destekleyici teknolojide yapılan değişikliklerle ilgili doğrulanabilir bilgi
veya raporlar yok denecek kadar azsa, uygulamanın kıyaslamaya uygun olma ihtimali
düşüktür.
Ancak şirketler hiçbir kaynak kod geliştirmesine veya uyarlamasına izin vermeyen hazır paket
yazılım kullandıklarında kıyaslama özellikle etkili olmaktadır. Bu gibi bir durumda kurumun
kod değişikliğinden daha ötesini düşünmesi gerekmektedir. Karmaşık bir uygulama
dâhilindeki SAP veya Oracle Financial gibi bir uygulama kontrolü, herhangi bir kod
değişikliğine gerek kalmadan kolayca değiştirilebilir, etkisiz veya ya da etkin hale getirebilir.
Son olarak, parametre ve konfigürasyon değişikliklerinin çoğunun uygulama kontrolü
üzerinde anlamlı bir etkisi vardır. Örneğin, tolerans düzeyi kontrollerini etkisiz hale getirmek
için tolerans düzeyleri kolayca manipüle edilebilir ve satınalma onay kontrolleri onay
stratejileri değiştirilerek manipüle edilebilir. Bütün bunlar hiçbir kod değişikliğine gerek
olmadan yapılabilir.
Kurumların, kıyaslamanın ne kadar süre etkin olabileceğini tespit etmeleri için her bir
uygulama kontrolünü değerlendirmeleri gerekmektedir. Kıyaslama artık etkisiz hale
geldiğinde, uygulama kontrolünü yeniden test ederek taban çizgisini tekrar belirlemek
önemlidir. Uygulama kontrolünün hâlâ başlangıçta yapılan kıyaslamadaki gibi ve etkin çalışıp
çalışmadığını tespit ederken denetçiler şu soruları sormalıdır:




İş süreci ve uygulama kontrolüyle ilgili risk düzeyi ile uygulama kontrolünün ilk
kıyaslandığı zamandaki risk düzeyi arasında herhangi bir değişiklik oldu mu (yani, iş
süreci finansal, operasyonel veya düzenleyici kurallara uyumu, uygulama kontrolünün
ilk kıyaslandığı zamandan anlamlı düzeyde daha yüksek riskle mi karşı karşıya
bırakmaktadır)?
ITGC’ler; mantıksal erişim, değişiklik yönetimi, sistem geliştirme, satınalma ve
bilgisayarlı operasyon kontrolleri de dâhil etkin çalışıyor mu?
Denetçi, değişikliklerin (varsa)uygulama kontrolleri içeren uygulamalar, veritabanları
veya destekleyici kontroller üzerindeki etkilerini tam olarak anlayabilmekte midir?
İş sürecinde yapılan değişiklikler, kontrolün tasarımına veya etkinliğine etki
edebilecek uygulama kontrolüne mi dayanmaktaydı?
13
Kontrolüne Yönelik Bir Denetim, Paragraf B29 - 30
10
Zaman ve Maliyetten Tasarruf
Uygulama kontrolleri genellikle manuel kontrollerden daha az zaman almaktadırlar. Bunun
nedeni, manuel kontrollerinörneklem büyüklüğü kontrollerin yapılış sıklığıyla ilgiliyken
(örneğin günlük, haftalık, aylık, üç aylık veya yıllık), uygulama kontrollerinin örneklem
büyüklüğünün kontrollerin yapılış sıklığına genellikle bağlı olmamasıdır (yani uygulama
kontrolleri ya etkin bir biçimde çalışmaktadır ya da çalışmamaktadır). Ayrıca, ITGC’ler etkin
olduğu sürece uygulama kontrolleri genellikle bir kez test edilmektedirler. Dolayısıyla, tüm
bu faktörler bir araya gelerek bir manuel kontrole kıyasla uygulama kontrolünü test etmek için
gereken saat sayısında anlamlı tasarruflar elde edilmesine yardımcı olabilir.
İç Denetçilerin Rolü
Bilgi
Günümüzde kurumlar; riski yönetmek için doğal ve verimli yapıları, maliyet etkinliği ve
güvenilirlikleri nedeniyle uygulama kontrollerine daha fazla güvenmektedirler. Geleneksel
olarak, teknolojiyle ilgili kontroller deneyimli bir BT denetçisi tarafından test edilirken,
finansal, operasyonel veya düzenleyici kontroller BT-dışı bir denetçi tarafından test
edilmekteydi. Son birkaç yıl içinde BT denetçilerine olan talebin anlamlı bir şekilde artması
ve herhangi bir düşme belirtisi de göstermemesine rağmen, tüm denetçilerin baştan sona tüm
iş süreci kontrollerini değerlendirebilmeleri gerekmektedir.
Ek olarak, IIA’nın Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) –
spesifik olarak Standart 1220 ve 1210.A3’e göre, iç denetçilerin makul surette sağduyulu ve
yetkin bir denetçinin dikkat ve becerisiyle hareket etmeleri14, ayrıca tüm iç denetçilerin
birincil sorumluluğu BT denetimi olan bir denetçinin uzmanlığına sahip olmaları beklenmese
de kendilerine verilen görevi gerçekleştirmek için gereken kilit BT riskleri, kontroller ve
denetim teknikleri hakkında bilgi sahibi olmaları gerekmektedir.15 Başka bir ifadeyle, her iç
denetçinin finansal, operasyonel veya düzenleyici riskleri yönetmek için BT riskleri ve
kontrollerinin farkında ve bilincinde olması ve yürütülen uygulama kontrollerinin uygun bir
biçimde tasarlanıp tasarlanmadığı ve etkin çalışıp çalışmadığını tespit edecek düzeyde
yetenek ve beceri sahibi olmaları gerekmektedir.
Danışmanlık ve Güvence
Geleneksel güvence hizmetlerinden başka iç denetim biriminin kuruma değer katmak
amacıyla başvurabileceği en büyük fırsatlardan biri, birçok biçimde yapılabilecek ve iş
biriminin tüm bölümlerini kapsayabilecek danışmanlık görevleridir. Danışmanlık görevlerine
örnek olarak, hareket veya destek uygulamalarının yürütülmesi veya güncellenmesi sırasında
kontrollerin tasarlanması konusunda kurum personeline yardım etmek verilebilir.
Maalesef, denetçilerin çoğu, kurumda yeni bir hareket veya destek uygulaması
yürütüldüğünde ya da geniş çaplı bir güncelleme yapıldığında karşı karşıya kalınacak risklerin
nasıl değişeceğini anlamak konusunda yönetime yardımcı olmamaktadır. Neredeyse tüm
14
15
IIA Standardı 1220: Azami Mesleki Özen
IIA Standardı 1210.A3
11
durumlarda, iç denetçilerin sürece katılmaması bunu istememelerinden veya yeterince
odaklanmamalarından kaynaklanmaz, aksine sistem geliştirme faaliyetleri hakkında bilgi
sahibi olmamalarından veya yönetimin iç denetçilerin sürece katılımını istememesinden
kaynaklanmaktadır.
Sebep ne olursa olsun, iç denetçilerin bu faaliyetlerden haberdar olmasını sağlamak ve risk
yönetim hizmetlerini sağlamak üzere iç denetçilerin sahip oldukları değer, bilgi ve
uzmanlıkları uygun bir biçimde konumlandırmak İDY’nin sorumluluğundadır. Ayrıca iç
denetçilerin, uygulamadan doğan riskleri yönetmeye yardımcı olmak için bu tür sistem
geliştirme faaliyetlerine katılmaları ve uygulama kullanılmaya başlanmadan önce içsel ve
ayarlanabilir kontrollerin etkin bir şekilde çalıştığından emin olmaları gerekmektedir. Aksi
takdirde, uygulama kullanılmaya başlandıktan sonra bir inceleme yapmak, zayıf yönleri
bulmak ve kontrolleri iyileştirmek çok daha maliyetli olacaktır. Aşağıda, iç denetçilerin
sistem geliştirme çabaları sırasında uygulama kontrollerinebir danışmalık perspektifinden
nasıl değer katacaklarına ilişkin örnekler verilmektedir.
Bağımsız Risk Yönetimi
Yeni ve önemli güncellemeler yapılmış hareket veya destek uygulaması yürütüldüğü
zamanlarda iki şey meydana gelebilir: Birincisi, daha önceki ortamda riski yönetmek için
mevcut olan otomatik veya manuel kontrollerin çoğu yeni kontrollerle değiştirilecektir.
İkincisi de, uygulamanın risk profili değişebilir. Diğer bir deyişle, yeni uygulama beraberinde
yeni içsel riskler getirecektir (yani uygulamada ne tür ayarlamalar yapıldığına bağlı olarak) ve
riskler uygulama içerisinde hafifletilemeyeceği için manuel kontroller gerektirecektir.
Dolayısıyla iç denetçiler, yeni uygulamanın getirilmesiyle birlikte güncel risklerin nasıl
değişeceği konusunda kurumun çabalarına öncülük etmeseler de en azından yardımcı
olabilirler. Bu, iç denetçilerin söz konusu hizmet düzeyini sunmak konusunda beceri sahibi
olmaları ve yönetimden bağımsızlıkları nedeniyle bunu yapabilecek eşsiz konuma sahip
olmalarından kaynaklanmaktadır.
İç denetçilerin ve aşağıda sayılan diğer kişilerin bu hizmeti sunabilmeleri için, geliştirme
aşamasındaki uygulama hakkında yeterli bilgiye sahip olmaları gerekmektedir. Bu bilgiye
sahip olması gereken denetçilerin sayısı ve türü, geliştirme aşamasındaki uygulamaya,
etkilenen iş süreçleri bakımından yürütmenin kapsamına, kurumun büyüklüğüne ve uygulama
kurumun tamamına dağıtıldığında denetlenebilir birim veya alanların sayısına bağlıdır.
İDY’ler, yeterli bilgi edinildiğinden emin olmak için kitap kullanımı, çevrimiçi dersler, sınıfiçi eğitim ve kurum-dışı danışmanlar dâhil farklı yollara başvurabilirler.
Kontrollerin Tasarımı
Yeni bir sistemin yürütülmesi veya önemli bir güncellemenin yapılması sırasında iç
denetçilerin verebileceği başka bir değerli hizmet de bağımsız risk değerlendirmesinin
kapsamını genişletmektir. Daha spesifik olmak gerekirse, denetçiler, risk değerlendirmesi
sırasında tespit edilen riskleri hafifletmek için yönetime risklerin tasarımı konusunda yardımcı
olabilirler. Bu göreve tayin edilen iç denetçiler yardımcı olarak değil, yürütme ekibinin bir
parçası olarak hareket etmelidirler. Bu nedenle, uygulama kontrollerinin tasarımı için gereken
12
görevler, zaman ve iç denetim kaynaklarının sayısının genel proje planına dâhil edilmesi
gerekmektedir.
İDY’lerin, uygun sayıda denetçinin yanı sıra görevi yapabilecek gerekli beceri ve deneyime
sahip denetçileri tayin etmeleri önemlidir. Birçok durumda denetçilerin proje üzerinde tam
zamanlı olarak çalışması gerekebilir. Böyle bir durumda, İDY’ler projede çalışmak üzere
seçilen personelin mevcut görevlerini departmandaki diğer iç denetçilere devretmelidir,
böylece projeye tayin edilen denetçiler görevlerine odaklanabilecektir. Ayrıca, proje üzerinde
çalışan iç denetçiler, sistemin uygulama yaşam döngüsü boyunca proje yöneticisine
raporlamalarda bulunmalıdırlar.
Uygulama kontrollerinin tasarımında yönetime yardımcı olmak amacıyla denetçiler atandığı
takdirde, İDY’lerin, güvence hizmetlerinin resmi bir danışmanlık görevinden bir yıl sonra
sunulması durumunda bağımsızlık ve objektifliğe zarar gelebileceğini not etmeleri
gerekmektedir. Ek olarak, zararın etkisini minimize etmek için atılması gereken adımlar; her
bir hizmet için farklı bir denetçi tayin etmek, denetçilerin bağımsız yönetim ve gözetimini
gerçekleştirmek, proje sonuçlarına yönelik ayrı hesap verebilirlikler tanımlamak ve
denetçilerin karşılaşacakları varsayılan zararları açıklamaktır. Son olarak, yönetim, tavsiye ve
önerileri kabul etmek ve uygulamakla yükümlü olmalıdır.16 Başka bir ifadeyle, iç denetçi
hareket veya destek uygulamasıyla ilgili kontrollerin tasarımına katıldığı takdirde, görevin
tamamlanmasından sonraki ilk 12 ay içerisinde kontrollerin faaliyet etkinliği
değerlendirmesine dâhil olmamalıdır.
Eğitim
İç denetçilerin eğitimle ilgili olarak kuruma katabileceği değer yalnızca uygulama
kontrolleriyle sınırlı değildir. İç denetçilerin kuruma değer katabileceği diğer bir kilit fırsat da
kontroller eğitimidir. Bir uygulama kontrolü perspektifinden bakıldığında, iç denetçiler:




Yeni uygulama çevrimiçi olarak sunulur sunulmaz risk profilinin nasıl değişeceği;
Geliştirme aşamasındaki uygulamalarda mevcut bilinen içsel kontrol zayıflıkları;
Tespit edilmiş zayıflıkları hafifletmeye yönelik ileriye dönük çözümler ve
Sistem geliştirme çabalarının bir parçası olarak denetçilerin yönetime sunabileceği
çeşitli farklı hizmetler
konusunda yönetime eğitim verebilirler.
Kontroller Testi
Yürütme ekibi risk değerlendirmesine dayanan kontroller tasarlayıp yaydığı takdirde veya
böyle bir uygulama olmasa bile,iç denetçiler uygulama kontrollerini bağımsız olarak test
ederek sürece değer katabilirler. Test, kontrollerin layığıyla tasarlanıp tasarlanmadığını ve
uygulama kuruma yayılır yayılmaz bu kontrollerin etkin bir şekilde çalışıp çalışmayacağını
tespit etmelidir. Kontrollerden herhangi biri layığıyla tasarlanmadığı veya etkin çalışmadığı
16
IIA Standardı 1130.C1
13
takdirde, uygulama kurumun tamamına yayıldığı zaman yönetilmemiş risklerin bulunmasını
önlemek için, denetçiler bu bilgiyle beraber her türlü tavsiye ve önerileri yönetime sunmalıdır.
Uygulama İncelemeleri
Hareket ve destek uygulamaları, genel kontrol ortamındaki önemlerine bağlı olarak zaman
zaman kontrol incelemeleri gerektirebilirler. Bu incelemelerin sıklığı, kapsamı ve derinliği,
uygulamanın türüne ve finansal raporlama, mevzuata uyum ya da operasyonel koşullara
etkisine ve kurumun risk yönetimiyle ilgili amaçları konusunda uygulama kapsamındaki
kontrollere olan güvenine göre çeşitlilik göstermelidir.
3.
Risk Değerlendirmesi
Risk Değerlendirme
Denetçi, risk değerlendirme inceleme planı geliştirirken kurumun raporlama, operasyonel
koşullar ile mevzuata uyum koşullarına ilişkin kritik zafiyetleri tespit etmek amacıyla risk
değerlendirme tekniklerini kullanmalıdır. Bu teknikler arasında:



İncelemenin doğası, zamanı ve kapsamı;
Uygulama kontrollerinin desteklediği kritik iş fonksiyonları ve
İnceleme için harcanacak zaman ve kaynakların büyüklüğü
bulunmaktadır.
Ek olarak, inceleme için uygun bir kapsam belirlerken denetçilerin sorması gereken dört kilit
soru şunlardır:
1. Yönetimin görüşlerini dikkate alırken değerlendirilmesi ve yönetilmesi gereken
kurum-çaplı en büyük riskler ve denetim komitesinin ana kaygı ve sorunları nelerdir?
2. Hangi iş süreçleri bu risklerden etkilenmektedir?
3. Bu süreçleri gerçekleştirmek için hangi sistemler kullanılmaktadır?
4. Süreçler nerelerde gerçekleştirilmektedir?
Riskleri tespit ederken, denetçiler, kontrol incelemesine hangi uygulamaları dâhil edeceklerini
ve hangi testlerin yapılacağını belirlemek için yukarıdan aşağı bir risk değerlendirmesi
kullanmayı faydalı bulabilirler. Örneğin Şekil-1, finansal raporlama risklerini ve incelemenin
kapsamını belirlemeye yönelik etkili bir metodolojiyi ana hatlarıyla göstermektedir.
14
Şekil-1: Mali tablo risk analiz yaklaşımı
Uygulama Kontrolü:
Risk Değerlendirme Yaklaşımı
Kurum-çaplı uygulama kontrolü risk değerlendirme faaliyetlerine değer katmak için iç
denetçilerin aşağıda sayılanları yerine getirmesi gerekmektedir:


Uygulama kontrollerini kullanan uygulamalar, veritabanları ve destekleyici
teknolojilerin evrenini tanımlamanın yanı sıra risk değerlendirme süreci sırasında
dokümante edilen risk ve kontrol matrislerini kullanan risk ve kontrolleri özetlemek.
Her uygulama kontrolüyle ilişkili risk faktörlerini tanımlamak. Bu riskleri arasında:
o Birincil (yani kilit nitelikteki) uygulama kontrolleri;
o Uygulama kontrolleri tasarımının etkinliği;
o Hazır paket veya geliştirilmiş uygulamalar veya veritabanları.
Yapılandırılmamış hazır paket veya geliştirilmiş uygulamalara karşılık yüksek
düzeyde yapılandırılmış firma-içi veya satın alınmış uygulamalar;
o Uygulamanın birden fazla kritik iş sürecini destekleyip desteklemediği;
o Uygulamanın işlediği verilerin sınıflandırılması (örneğin finansal, mahrem
veya gizli)
15
o Uygulamalar veya veritabanlarındaki değişikliklerin sıklığı;
o Değişikliklerin karmaşıklığı (örneğin, tablo değişikliklerine kıyasla kod
değişiklikleri)
o Uygulama kontrollerinin finansal etkisi;
o ITGC’lerin uygulamadaki etkinliği (örneğin değişiklik yönetimi, mantıksal
güvenlik ve operasyonel kontroller) ve
o Kontrollerin denetim geçmişi.
 Hangi risklere diğerlerinden daha fazla ağırlık verileceğini belirlemek amacıyla tüm
risk faktörlerini ölçüp tartmak;
 Aşağıda verilen nitel ve nicel ölçekleri dikkate alarak her bir uygulama kontrol riskini
derecelendirmek için doğru ölçeği belirlemek:
o Düşük, orta veya yüksek kontrol riski;
o Nitel bilgileri esas alan sayısal ölçekler (örneğin 1=düşük-etkili risk,
5=yüksek-etkili risk, 1=güçlü kontrol ve 5=yetersiz kontrol);
o Nicel bilgileri esas alan sayısal ölçekler (örneğin 1= <50.000 USD ve 5= >
1.000.000 USD);
 Risk değerlendirmesini yapmak ve tüm risk alanlarını derecelendirmek;
 Risk değerlendirme sonuçlarını değerlendirmek ve
 Risk değerlendirmesi ve derecelendirilen risk alanlarına dayanan bir risk inceleme
planı oluşturmak.
Şekil-2’de nitel derecelendirme ölçeği (1=düşük etki veya risk, 5=yüksek etki veya risk)
kullanan bir uygulama kontrol risk değerlendirmesine bir örnek verilmiştir. Her uygulamanın
toplam puanı, her bir risk faktörünün ve ağırlığının çarpılması ve toplamların birbirine
eklenmesiyle hesaplanır. Örneğin, tablonun ilk satırındaki 375 toplam puanı, risk faktör
oranının uygulamaya özgü oranla çarpılmasıyla [(20 x 5) + (10 x 1) + (10 x 5) + …]
hesaplanmaktadır. Bu örnekte, denetçi, uygulama kontrol incelemesinin 200 veya daha
yüksek puanlı tüm uygulamaları kapsayacağını tespit edebilir.
Risk Faktörü Ağırlıklandırması
20
Uygulama
Uygulama
Birincil
Kontrolleri
İçerir.
10
Uygulama
Kontrolleri
Tasarımının
Etkinliği
10
Hazır Paket
veya
Geliştirilmiş
10
Uygulama
Birden Fazla
Kritik İş
Sürecini
Destekler
10
10
Değişikliğin
Sıklığı
Değişikliğin
Karmaşıklığı
15
Finansal
Etki
15
ITGC’lerin
Etkinliği
Toplam
Puan
APPA
5
1
5
5
3
3
5
2
375
APPB
1
1
2
1
1
1
4
2
170
APPC
5
2
2
1
5
5
5
2
245
APPD
5
3
5
1
5
5
5
2
395
APPE
5
1
1
1
1
1
3
2
225
Şekil-2: Uygulama kontrol risk değerlendirmesine bir örnek.
16
4.
Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi
Aşağıda uygulama kontrollerinin inceleme kapsamını tespit etmeye yönelik iki yöntem
verilmektedir. İç denetçiler, incelemenin kapsamı, derinliği, yaklaşımı ve sıklığının risk
değerlendirme sonuçlarına ve iç denetim kaynaklarının ulaşılabilirliğine bağlı olduğunu
unutmamalıdırlar. Kapsam belirleme için seçilen yöntem ne olursa olsun, incelemedeveri
girdi kontrolleri, işleme kontrolleri ve çıktı kontrollerinin bir değerlendirmesi bulunmalıdır.
İş Süreci Yöntemi
İş süreci kapsam belirleme yöntemi, belirli bir iş sürecini destekleyen tüm sistemlerde mevcut
uygulama kontrollerini değerlendirmek için kullanılan bir yukarıdan aşağı inceleme
yaklaşımıdır. Son birkaç yıl içinde bu yöntem en yaygın ve en geniş çapta kabul edilen
kapsam belirleme yöntemi olarak önem kazanmıştır. Bu durum, esas olarak ERP hareket
uygulamasının kullanımındaki artış ve bağımsız, “türünün en iyisi” uygulamalarının
azalmasından kaynaklanmaktadır.
ERP-dışı dünyada iş süreci yöntemini kullanırken, iç denetçiler, inceleme kapsamına,
genellikle bağımsız sistemler oldukları için inceleme konusu iş sürecine katılan ve şirket
tarafından kullanılan tüm uygulamaları dâhil etmelidirler. Başka bir deyişle, iç denetçilerin,
inceleme kapsamına iş süreci döngüsünün farklı bileşenlerini oluşturan ayrı uygulamaları
dâhil etmeleri gerekmektedir. Ardından, iç denetçi, inceleme konusu uygulamadaki gelen ve
giden arayüzleri tespit ederek kapsam belirleme faaliyetini tamamlayabilir.
Uygulama kontrolleri incelemesinin kapsamını belirlemek için iş süreci yöntemini kullanmak,
ERP sistemi gibi entegre uygulamalarda farklıdır, çünkü iş süreçleri çoklu modüllerin ötesine
geçmektedir. Örneğin, tedarik işleminden ödemeye kadar olan iş sürecini düşününüz. Bir ERP
ortamında bu süreç genellikle tedarik, stok yönetimi, büyük defter ve borçlu hesap
modüllerini veya ERP sistemi içerisindeki alt-uygulamaları kapsamaktadır. Bu nedenle, iş
sürecini ve verilerin nasıl yönetildiği ve bir modülden diğerine aktığını da içine alan modülleri
tam olarak anlamak önemlidir.
Tekli Uygulama Yöntemi
Tekli uygulama kapsam belirleme yöntemi, denetçi bir iş süreci kapsam belirleme yaklaşımı
benimsemek yerine uygulama kontrollerini bir tekli uygulama veya modül dâhilinde
incelemek istediğinde kullanılmaktadır. Bir önceki bölümde de tartışıldığı gibi, ERP-dışı veya
entegre olmayan bir ortamda en etkili kapsam belirleme yöntemi budur, çünkü denetçi
uygulamanın etrafına kolaylıkla “bir kutu çizebilir” (yani uygulamayı kapsama dâhil edebilir).
Başka bir ifadeyle, veriler ve ilgili işleme kuralları yalnızca bir uygulamaya dâhil edildiği ve
bu uygulamada kullanıldığı için denetçi gelen veri girdileri ve çıktılarını belirleyebilir ve
tanımlayabilir.
Ancak bir ERP ortamı veya entegre ortamda bu yöntem istenmemektedir. Bir ERP veya
entegre hareket sistem modülünün etrafına bir kutu çizmek oldukça kolay görünse de, gerçek
şu ki bu faaliyet epey zor olabilir. Bunun nedeni, belirli bir modüle giren ve modülden çıkan
birden fazla veri beslemesi bulunabilir ve bunları tespit etmeye çalışmak boşuna bir uğraş
17
olabilir. Dolayısıyla modül yaklaşımını kullanmanın yetersiz bir incelemeye yol açma
olasılığı vardır ve ERP ortamında veya entegre ortamda iş süreci yöntemini kullanmak daha
etkili bir kapsam belirleme yöntemidir.
Erişim Kontrolleri
Uygulama kontrolleri incelemesinin kapsamını belirlemek için seçilen yöntem ne olursa
olsun, modülveya uygulamanın mantıksal erişim kontrolleri periyodik olarak gözden
geçirilmelidir. Çoğu durumda, kullanıcı ve yöneticilerin erişim hakları (örneğin okumak,
yazmak, silmek) uygulama içerisindeki dâhili güvenlik platformu ve araçları kullanılarak
oluşturulur. Kullanıcılara hangi mantıksal hakların verileceğini belirlemek için başvurulan
stratejiler, ‘bilinmesi gereken’ bir zeminden ‘muhafaza edilmesi gereken’ bir zemine kadar
çeşitlilik göstermektedir. Bunlar dikkate alınmaksızın, erişim hakları kullanıcının görev ve
sorumluluklarına göre verilmelidir.
Mantıksal erişim haklarının nasıl oluşturulduğu paketten pakete farklılık göstermektedir. Bazı
durumlarda mantıksal erişim hakları bir hareket koduna veya bir ekran adı ya da numarasına
göre verilmekte, SAP R/3 gibi başka sistemler ise daha karmaşık, nesne-tabanlı güvenlik
protokolleri kullanmaktadırlar. Bir uygulamanın mantıksal erişim kontrolleri incelendiği
zaman, genel uygulama güvenlik kontrollerinin de incelendiğinden emin olmak önem
taşımaktadır. Bu kontroller arasında:







Kullanıcı adı veya kullanıcı kimliğinin uzunluğu;
Parolanın uzunluğu;
Paroladaki karakterlerin kombinasyonu;
Parola yaşlanması (örneğin, kullanıcılar 90 günde bir parolalarını değiştirmek
zorundadırlar);
Parola döngüsü (örneğin, kullanıcılar, en son kullandıkları 5 parolayı kullanamazlar);
Başarısız oturum açma girişimleri belirli bir sayıya ulaştıktan sonra kullanıcı
hesabının kilitlenmesi ve
Oturum zaman aşımı (örneğin, kullanıcı uygulamada 15 dakika içerisinde herhangi
bir işlem yapmadığı takdirde uygulama kullanıcının oturumunu otomatik olarak
kapatır)
bulunmaktadır.
En yeni nesil uygulamalar, yukarıda sayılanlar gibi yönetimin ayarlayabileceği parametrelerle
oluşturulmaktadırlar. Ancak bazı durumlarda yönetim, parametre(ler)i etkinleştirmeyi
unutabilirler veya her parametre için kullanılan ayarlar en iyi uygulama standartlarına uygun
olmayabilirler. Örneğin parola yaşlanma parametresi her 90 günde bir parola değişimi
gerektirecek şekilde ayarlanabilir. Ek olarak, denetçiler, geliştirme ve test ortamındaki
yönetici erişim haklarını periyodik aralıklarla gözden geçirmelidirler.
18
5.
Uygulama İnceleme Yaklaşımları ve Diğer Konular
İnceleme için uygun bir kapsam belirlenir belirlenmez bir sonraki görev incelemenin nasıl
yürütüleceğine karar vermektedir. Seçilen standart denetim metodolojisinin yanı sıra, aşağıda,
kapsamı düzgünce belirlenmiş bir uygulama kontrol incelemesini yürütmek konusunda
denetçilere yardımcı olabilecek öneriler yer almaktadır.
Planlama
Risk değerlendirmesini tamamladıktan ve incelemenin kapsamını belirledikten sonra,
denetçilerin detaylı inceleme planının geliştirilmesi ve iletilmesine odaklanmaları
gerekmektedir. Detaylı inceleme planı geliştirilirken atılacak ilk adım, aşağıda verilen
uygulama kontrol inceleme bileşenlerini sıralayan bir planlama tutanağı oluşturmaktır:





Yapılacak tüm inceleme prosedürleri;
Kullanılan her türlü bilgisayar-destekli araçlar ve teknikler ve bunların nasıl
kullanıldığı;
Varsa örnek boyutları;
Seçilecek inceleme öğeleri ve
İncelemenin zamanı.
Tutanak hazırlanırken gereken iç denetim kaynaklarının tümünün planlama ekibine dâhil
edilmesi gerekmektedir. BT uzmanlarının belirlenip planlama sürecine dâhil edilmesi de bu
sırada yapılmalıdır.
Planlama tutanağını tamamladıktan sonra, denetçinin detaylı bir inceleme programı
hazırlaması gerekmektedir (bir denetim programı örneği için bakınız Ek-B sayfa 21).
İnceleme programı hazırlanırken yönetimle şu konuların tartışılacağı bir toplantı yapılmalıdır:









Yönetimin risklerle ilgili kaygıları;
Daha önceden rapor edilen sorunlar;
İç denetim biriminin risk ve kontrol değerlendirmesi;
İnceleme metodolojisinin bir özeti;
İncelemenin kapsamı;
Kaygıların nasıl iletileceği;
İnceleme ekibinde hangi yöneticilerin çalışacağı;
Gereken her türlü ön bilgiler (örneğin, raporlar) ve
İncelemenin uzunluğu.
Risk değerlendirme aşamasının bir özetini çıkarmanın yanı sıra, bu toplantının önemli bir
parçası da yönetimin desteğini almaktır. Tartışmaların inceleme planlama aşamasının başında
yapılması gerekirken, planlanan kapsamla ilgili yönetimin de mutabık olduğundan emin
olmak için kilit iş süreçleri, riskler ve kontroller inceleme süreci boyunca tartışılmalıdır.
Bilinen her türlü kaygılar, spesifik olarak risk değerlendirme veya planlama aşaması sırasında
tespit edilen tüm sorunlar (bu sorunların doğruluğu ispatlanmamış olsa bile) yönetime
bildirilmelidir. Tespit edilen riskler ve kontroller hakkında yönetimin de aynı fikirde
19
olduğundan emin olmak için tartışmalar yapılmalıdır. Böylelikle, ekip, derhal düzeltici
eylemde bulunmak ve kurum çapında uygun, risk bilinçli davranışı teşvik etmek konusunda
yönetim üzerinde etkili olabilir. Bunun için, denetçiler, yönetime incelemenin yapılacağını
duyuran bir mektup yollayabilirler. Bu mektupta:



İncelemenin beklenen başlangıç tarihi;
İncelemenin zaman çerçevesi ve
İnceleme konusu kilit iş alanları
yer almalıdır.
Uzman Denetim Kaynaklarına Olan İhtiyaç
İç denetçi incelemenin kapsamını değerlendirmeli ve incelemenin bir kısmını yapması için bir
BT denetçisine ihtiyaç olup olmayacağını tespit etmelidir. Bununla beraber, inceleme ekibine
bir BT denetçisi dâhil etmek, denetçiyi BT kontrollerinin yeterliliğini değerlendirme
yükümlülüğünden kurtarmamaktadır. BT denetçisi, sadece, verilerin bütünlüğü ve
hareketlerin doğruluğu, tamlığı ve yetkisini belirlemek için kurumun BT’ye olan güven ve
bağlılığını değerlendirecektir. BT denetçilerinin gözden geçirebileceği bir diğer faktör,
uygulama tarafından işlenen hareketlerin sayısıdır. Uygulama kontrollerinin etkinliğini
değerlendirmek ve raporlamak için özel araçlar gerekebilir. BT denetçileri tarafından toplanan
bilgilerle birlikte iç denetçinin sahip olduğu bilgiler, uzman kaynakların gerekli olup
olmadığının tespitine yardımcı olacaktır.
Uzman kaynakların ne zaman gerekli olduğuna ilişkin verilen bir örnek, büyük bir imalat
şirketi için Oracle eBusiness Suite uygulamasının kurulumu sırasında görev dağılımı
incelemesini kapsamaktadır. Uygulama ve veritabanındaki rol ve görevlerin karmaşıklığından
dolayı, Oracle uygulamasının yapılandırma kapasiteleri hakkında yeterli bilgiye sahip
personelin kullanılması gerekmektedir. İncelemeyi kolaylaştırmak için Oracle uygulaması ve
veritabanından veri madenciliği yapmasını bilen ek personele ihtiyaç duyulabilir. Ayrıca
inceleme ekibi, veri özütleme ve analizini kolaylaştırmak üzere spesifik bir bilgisayar-destekli
denetim aracına aşina olan bir uzmana gereksinim duyabilir.
İş Süreci Yöntemi
Bir önceki bölümde, iş süreci yönteminin uygulama kontrolü incelemesi kapsam
belirlemesinde en yaygın kullanılan yöntem olduğu tespit edildi. Günümüz dünyasında birçok
hareket uygulaması bir ERP sistemine entegre edilmektedir. Bu ERP sistemlerinden geçen
ticari işlemler yaşam döngüleri boyunca pek çok modülle etkileşime girebileceğinden,
incelemeyi gerçekleştirmenin en iyi yolu bir iş süreci veya döngü yaklaşımı kullanmaktır
(yani, iş süreci dâhilindeki verileri oluşturan, değiştiren veya silen işlemleri tanımlamak ve en
azından ilgili girdileri, işleme ve çıktı uygulama kontrollerinitest etmek). İncelemeye karşı
sergilenecek en iyi yaklaşım, Şekil-3’te gösterilen dört aşamalı modeli kullanarak iş
süreçlerini bölümlere ayırmaktır:

Mega Süreç (Aşama 1): Satın al -öde süreci gibi tam,baştan-sona sürece atıf
yapmaktadır.
20



Ana Süreç (Aşama 2): Baştan-sona sürecin tedarik, teslim alma ve teslim alınan
mallara karşılık ödeme yapma gibi ana bileşenlerine atıf yapmaktadır.
İkincil veya Alt Süreç (Aşama 3): Bu aşamada, ana süreçlerin satın alma talebi ve
sipariş oluşturma gibi ikincil, alt süreçleri sayılmaktadır.
Faaliyet (Aşama 4): Son aşamada, ikincil ya da alt süreç bileşenleri için verilerin
oluşturulması, değiştirilmesi veya silinmesiyle sonuçlanan sistem hareketleri
sayılmaktadır.
Uygulama kontrollerine işletme-merkezli bir bakış açısıyla yaklaşmak, incelemenin yeterince
kapsamlı ve kurum için anlamlı olduğundan emin olmak açısından elzemdir. Bu noktadan
itibaren, inceleme, münferit bir görev veya entegre bir incelemenin parçası olarak yerine
getirilebilir.
Mega Süreç(Aşama1): Satın Al -Öde
Ana Süreç
(Level2)
Alt Süreç
(Level3)
Faaliyet (Aşama4)
Satın alma
Talep
işlemi
Oluştur, değiştir ve sil
Sipariş işlemi
Oluştur, değiştir, sil
onay ve serbest
bırakma
Mal alım
işlemi
Mal iade
işlemi
Borçlu Hesaplar Satıcı
yönetimi
Teslim Alma
Fatura
işlemi
Alacak
dekontu
işlemi
Ödeme
işlemleri
Geçersiz
ödemeler
Şekil-3: Bir iş sürecinin bölümlere ayrılması
21
Üçgenler süreçteki her bir kontrolü temsil etmektedir. Her kontrolün numarası, Risk ve Kontroller
Matrisinde verilen faaliyetlerle bağlantılıdır.
Şekil-4: Bir satın al -öde süreci akış şeması
Dokümantasyon Teknikleri
İç denetçilerin kullandığı dokümantasyon standartlarına ilaveten, her bir uygulama kontrolünü
belgelemek için aşağıda verilen yaklaşımlar önerilmektedir.
Akış Şemaları
Hareket akışlarını resimleyerek gösterdikleri için akış şemaları, hareketlerin ve bir baştansona iş süreci içerisinde kullanılan ilgili uygulama ve manuel kontrollerin akışı hakkında bilgi
edinmek amacıyla yararlanılan en etkili tekniklerden biridir. Şekil-4, satın al -öde sürecine ait
bir akış şeması örneği göstermektedir. Kontrol tanımlarının kendisini akış şemasına
yerleştirmek zor olduğu için, bunun yerine kontrolleri akış şemasında basitçe numaralamak ve
bir risk ve kontroller matrisi (bakınız Şekil-6, sayda 14-17) gibi kontrol tanımlarını ve ilgili
bilgileri içeren ayrı bir doküman hazırlamak daha mantıklıdır. Ancak akış şemaları her zaman
pratik olmayabilir ve bir süreç açıklaması bazen daha uygun olabilir. Bu durum genellikle,
denetçinin alanları ve BT ortamında yapılan işleri dokümante ederken ortaya çıkmaktadır. Pek
çok durumda BT biriminin yaptığı iş ve ilgili uygulama kontrolleri, satın al -öde gibi iş
süreçlerinde olduğu gibi doğrusal bir biçimde ilerlememektedir.
Süreç Açıklamaları
Süreç açıklamaları, Şekil-5’te gösterildiği gibi, iş süreci hareket akışlarını ilgili
uygulamalarıyla birlikte belgelemek için kullanılan bir diğer tekniktir. Bu açıklamalar, en iyi
şekilde, nispeten karmaşık olmayan iş süreçleri ve BT ortamları için bir dokümantasyon aracı
olarak kullanılmaktadır. Çünkü iş süreci ne kadar karmaşık olursa, sürecin gerçek yapısını
22
yeterli ve doğru bir biçimde yansıtacak bir süreç açıklaması oluşturmak o denli zor olacaktır.
Bu nedenle nispeten karmaşık iş süreçleri dokümante edildiğinde, denetçiler, akış şemasıyla
birlikte bu akış şemasına denk düşen bir süreç açıklaması oluşturmalı ve bu süreç
açıklamasında kontrolleri numaralandırmalıdır. Denetçiler, risk ve kontroller matrisi gibi ayrı
bir doküman da oluşturmalıdırlar.
Açıklama
Satın Al – Öde
Başlıca İrtibat(lar)
Kilit Bileşenler
C1,C2,C3,C4,C5,C6,C7,C8,C9,C10,C11,
C12,C13 veC14.
Şekil-5: Risk ve kontrol matrisi
Aşağıda, satın al -öde sürecini kapsayan süreç açıklamasına bir örnek verilmektedir.
1) Satın alma
a) Talep Etme:
i) Çalışanların mal ve hizmet satın alması gerektiğinde, satınalma
uygulamasında bir satınalma talebi oluşturacaklardır (C1 Kontrolü). Talep
oluşturulur oluşturulmaz, alıcı satınalma talebinin uygunluğunu, tamlığını ve
doğruluğunu değerlendirecektir. Gözden geçirilen satınalma talebi bileşenleri
arasında satıcı, satın alınacak öğe, miktar ve hesap kodu bulunmaktadır, ancak
bunlarla sınırlı değildir. İnceleme sonunda herhangi bir hata ortaya çıkmıyorsa
alıcı satınalma talebini onaylayacaktır. Herhangi bir nedenle alıcı satınalma
talebini reddederse, bu durum talep edene bildirilecektir. Son olarak, orijinal
taleple ilgili sorunlar çözüldüğü takdirde alıcı talebi onaylayacaktır.
ii) Tüm satınalma talepleri, her türlü yetkisiz talebin yanı sıra aşırı
siparişmiktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C2 ve
C3 Kontrolleri)
b) Sipariş İşlemi:
i) Satınalma talebi alıcı tarafından onaylanır onaylanmaz, tedarik
uygulamasındaki talebe atıf yapan bir sipariş oluşturur (C4 Kontrolü). Alıcı
daha sonra siparişin bir kopyasını tedarikçiye gönderecektir.
ii) Tüm siparişler, her türlü yetkisiz siparişin yanı sıra aşırı sipariş miktarlarını
tespit etmek amacıyla her ay kontrol edilmektedir (C5 ve C6 Kontrolleri)
2) Teslim Alma
a) Tüm mallar sevkiyat ve teslim kapısında teslim alınır. Bir depo çalışanı sevk
irsaliyesini gözden geçirerek sipariş numarasını not alır ve fiziksel olarak teslim alınan
malları sayar. Ardından depo çalışanı, tedarik uygulamasına giriş yapar ve sipariş emri
formunda uygun satır sayısının yanına teslim alınan malların sayısını girer.
23
b) Muhasebe departmanından uygun bir çalışan, satıcının teslim aldığı ancak
faturalamadığı malları tespit etmek amacıyla envanter defteri hesaplarını her ay
gözden geçirerek mutabakatını yapar (C7 Kontrolü).
c) Satınalma departmanından uygun bir alıcı eşleşmeyen tüm sipariş raporlarını
gözden geçirir (C8 Kontrolleri).
3) Borçlu Hesaplar
a) Borçlu hesaplar departmanı, pek çok farklı tedarikçiden her gün faturalaralmaktadır.
Bu faturalar sınıflandırılarak satıcının ismine göre her bir borçlu hesaplar sorumlusuna
gönderilir. Her sorumlu, faturaların her birini borçlu hesaplar departmanının faturayı
teslim aldığı tarihi de atarak mühürlemekle yükümlüdür. Her borçlu hesaplar
sorumlusu, daha sonra, fatura miktarları ve tutarlarını sipariş ve teslim alanla eşleştirir
ve faturayı borçlu hesaplar uygulamasına girer (C9 ve C14 Kontrolleri).
b) Borçlu hesaplar uygulaması, satıcı ödeme koşullarına bağlı olarak otomatik ödeme
istekleri oluşturur ve her Çarşamba günü bir borçlu hesaplar kontrol işlemi yapılır
(C10, C12 ve C13 Kontrolleri).
c) Ay sonunda borçlu hesaplar yöneticisi, borçlu hesaplar sisteminin yardımcı defter
toplamı ile büyük defter kontrol toplamını karşılaştırır. Kaydedilen tüm farklar daha
sonra düzeltilir (C11 Kontrolü).
Risk ve kontrol matrisleri, belirli bir iş sürecine ilişkin ilgili tüm bilgileri barındırmalıdır. Ek
olarak, kontrol faaliyetlerinin her biri numaralandırılmalı ve bu numara tekrar akış şemaları
veya süreç açıklamalarına bağlanmalıdır. Matriste bulunması gereken kontrol faaliyetleriyle
ilgili önemli bilgiler kapsamında:





Tespit edilen riskler;
Kontrol hedefleri;
Kontrol faaliyetleri;
Kontrol tipi (örneğin, otomatik veya manuel) ve sıklığı (örneğin günlük, haftalık,
aylık, yıllık vs.) gibi kontrol nitelikleri
Test bilgileri yer alır.
Test Etme
Denetçi, uygulama kontrollerinin çalışıp çalışmadığını ya da yaratıcı kullanıcılar veya
yöneticinin engellemesi sonucu etkisiz hale getirilip getirilmediğini değerlendirmelidir.
Kontrol ayarlarında bir inceleme yapmak yerine kontrollerin etkinliği konusunda bir maddi
doğruluk testi gerekmektedir. Ayrıca denetçiler, ITGC’lerin etkinliğini belirlemeli ve
uygulamayla oluşturulmuş değişiklik kontrol günlükleri, güvenlik günlükleri ve yönetim
günlüklerinin denetim ekibi tarafından incelenmesinin gerekli olup olmadığını
düşünmelidirler.
24
Denetçi, uygulama kontrollerini, uygulama kontrolünün tipini esas alan birçok yöntemi
kullanarak test edebilir. Testin doğasına, zamanına ve büyüklüğüne bağlı olarak bir spesifik
kontrol veya rapor:






Sistem konfigürasyonlarının teftişi;
Cari yılda yapılıyorsa kullanıcı kabul testinin teftişi;
Destekleyici detaylarla birlikte mutabakatların teftişi veya yeniden yapılması;
Sistem verilerini kullanarak kontrol faaliyetinin yeniden yürütülmesi;
Kullanıcı erişim listelerinin teftişi;
Bir test ortamında kontrol faaliyetinin (üretimle aynı programlı prosedürler
kullanılarak) sağlam test senaryolarıyla yeniden yapılması
yoluylagözden geçirilebilir.
Sistem konfigürasyon testine, bir hareketin izlenerek test edilen sistemin üçlü fatura eşleme
sistem parametrelerinin incelenmesi örnek verilebilir. Sistem konfigürasyonu incelemesinin
bir başka örneği de uygulama raporu üretim sürecinin temel programlama kodunun uygun
mantık açısından sorgulanmasıdır. Ek olarak, denetçi,bu raporu yönetimin ürettiği raporla
karşılaştırmak amacıyla sorgunun yeniden çalışmasını gözlemlemelidir.
Denetçi,alan değerleri üzerinde hareketleri katmanlaştırarak veya sınıflandırarak
doğrulanabilecek kilit alanların düzenleme kontrollerini test edebilir. Ayrıca yazılım
kullanarak sistem tarafından yapılan hesaplamaları yeniden hesaplamak ve doğrulamak kolay
olabilir. Örneğin, sistem toplam maliyeti hesaplamak için tutar ve birim fiyat alanlarını
kullandığı takdirde, denetçi aynı hesaplamayı gerçekleştirmek için denetim yazılımı
kullanabilir ve hesapladığı değerlerin uygulamanın hesapladığı değerlerden farklı olduğu
hareketleri tespit edebilir.
Son olarak denetçiler, kilit alanlar için olası veri aralıklarını incelemek amacıyla uygunluk
kontrolleri yapabilir. Örneğin, doğum tarihi alanına göre şimdiki yaşı hesaplayarak denetçiler,
beklenen aralıkların dışında kalan negatif değerler ile 100’ün üzerindeki değerler dâhil tüm
yaşları tespit edebilir.
Bilgisayar-Destekli Denetim Teknikleri
Bilgisayar-destekli denetim teknikleri (CAAT’ler), denetim prosesini otomatikleştirmek ve
kolaylaştırmak için ACL, IDEA, VIRSA, SAS, SQL, Excel, Crystal Reports, Business
Objects, Access ve Word gibi bilgisayar uygulamalarından faydalanmaktadırlar. CAAT’lerin
kullanımı, bir test periyodu boyunca özellikle binlerce, belki de milyonlarca hareket meydana
geldiğinde bir uygulama kontrolü için uygun kapsamın mevcut olduğunu temin etmeye
yardımcı olmaktadır. Böyle durumlarda otomatik bir araç kullanılmadan incelenebilecek
formatta yeterli bilgiler elde etmek imkansız olacaktır. CAAT’ler büyük hacimli verileri
analiz etme imkanı sağladığı için, CAAT testiyle desteklenen iyi-tasarlanmış bir denetim tüm
hareketlerin tam bir incelemesini yaparak anormallikleri (örneğin, mükerrer satıcılar veya
hareketler) ya da daha önceden tespit edilmiş kontrol sorunları dizisini (örneğin görev
dağılımı çatışmaları) tespit edebilir.
25
Risk ve Kontrol Matrisi: Satın al – Öde
İş Süreci
ve Kontrol
Hedefleri
Riskler
Kontrol
Faaliyetleri
Kontrol
Özellikleri
X X
X X X
X X
Her Ay
26
Notlar
X X X
Test
Operasy
onel
Test
Sonuçlar
ı
Yayınlan
Sınıflandır
M D
Kayıtlı
X X X
Zamanın
Değerli
A P
Her Zaman
X
Kontrol
Sınıflandırması
Gerçek
Sıklık
Man /
Pre / Det
K (Y/N)
M
H
Olabilecek tüm
yetkisiz
satınalma
taleplerini tespit
etmek amacıyla
satınalma
talepleri her ay
gözden
geçirilmektedir.
I/C
Uygun bir görev
dağılımının
olmamasından
dolayı, tek bir
kullanıcı, bir
satınalma talebini
oluşturabilir,
onaylayabilir
(yani serbest
bırakabilir),
gerekli
görevlendirmeleri
yapabilir ve
gerekiyorsa
dönüştürebilir. Bu
da tedarikçilere iş
dağıtımının yanlış
yapılmasına, fazla
ödeme
yapılmasına ya da
stokların
şişmesine sebep
olabilir.
CA
Kontroller,
satınalma
taleplerinin
yetkili
personel
tarafından
tam ve doğru
yapıldığı
konusunda
makul
güvence
sağlar.
H
Kontroller,
erişimin
yalnızca sipariş
oluşturmaya
ilişkin bir iş
amacı olan
kişilere
verilecek
şekilde
yapılmaktadır.
RA
dağılımının
olmamasından
dolayı, tek bir
kullanıcı, bir
satınalma talebini
oluşturabilir,
onaylayabilir
(yani serbest
bırakabilir),
gerekli
görevlendirmeleri
yapabilir ve
gerekiyorsa
dönüştürebilir. Bu
da tedarikçilere iş
ödeme
yapılmasına ya da
stokların
şişmesine sebep
olabilir.
CE
C2
satınalma
taleplerinin
yetkili
personel
tarafından
tam ve doğru
yapıldığı
konusunda
makul
güvence
sağlar.
Kontrol
Faaliyet
leri
Etki /
Olasılık
Riskler
Kontrol
Hedefle
ri
Sayı
Ana Süreç: Tedarik
Alt Süreç: Satın Alma Talep İşleme
Faaliyet: Oluşturma
Kontroller,
Uygun bir görev
C1
COSO
Bileşenleri
C1
Yetkisiz veya aşırı
satınalma talep
miktarları; uygun
olmayan fiyatlara,
aşırı stoklara ve
gereksiz ürün
iadelerine sebep
olabilir.
M
Olabilecek tüm
yetkisiz satınalma
taleplerini tespit
etmek amacıyla
satınalma talepleri
her ay gözden
geçirilmektedir
X
A P
X X X
M D
Her ay
satınalma talep
miktarları; uygun
olmayan fiyatlara,
aşırı stoklara ve
gereksiz ürün
iadelerine sebep
olabilir.
M
Kontroller,
erişimin
yalnızca
satınalma talebi
oluşturmaya
ilişkin bir iş
amacı olan
kişilere
verilecek
şekilde
yapılmaktadır.
Her zaman
C3
Kontroller,
satınalma
taleplerinin
yetkili
personel
tarafından
tam ve doğru
yapıldığı
konusunda
makul
güvence
sağlar.
Kontroller,
satınalma
taleplerinin
yetkili
personel
tarafından
tam ve doğru
yapıldığı
konusunda
makul
güvence
sağlar.
X X X
X X
X X X
X
Şemada kullanılan kısaltmaların listesi:
COSO Öğeleri:
1. CE: Kontrol Ortamı
2. RA: Risk Değerlendirme
3. CA: Kontrol Faaliyetleri
4. I/C: Bilgi ve İletişim
5. M: İzleme
Şekil-6: Satın Al -Öde Süreci için Risk ve Kontrol Matrisi
27
Kontrol Nitelikleri
6. K: Kilit Kontrol
7. Man/Aut: Manuel veya Otomatik Kontrol
8. Pre/Det: Önle ya da Tespit Et
İş Süreci ve
Kontrol
Hedefleri
Riskler
Kontrol
Faaliyetleri
Kontrol
Özellikleri
X
X
H
Olabilecek tüm
yetkisiz siparişleri
tespit etmek
amacıyla siparişler
her ay gözden
geçirilmektedir.
X X X
X
X
X X X
X
X
Her Ay
Her ay
M
Kontroller,
erişimin yalnızca
satınalma talebi
oluşturmaya
ilişkin bir iş amacı
olan kişilere
verilecek şekilde
yapılmaktadır.
COSO Öğeleri:
5. M: İzleme
Şekil-6: Devamı.
28
Kontrol Nitelikleri
6. K: Kilit Kontrol
Notlar
X X X
Operasyon
el Etkinlik
Test
Sonuçları
Zamanınd
M D
Test
Yayınlan
mış
Sınıflandır
X X X
Kayıtlı
M D
Değerli
X X X
Gerçek
A P
Kontrol
Sınıflandırması
Her Zaman
X
Sıklık
Pre / Det
M
Man /
Auto
K (Y/N)
I/C
Kontroller,
satınalma
taleplerinin
yetkili personel
tarafından tam
ve doğru
yapıldığı
konusunda
makul güvence
sağlar.
CA
C6
Kontroller,
satınalma
taleplerinin
yetkili personel
tarafından tam
ve doğru
yapıldığı
konusunda
makul güvence
sağlar.
H
Kontroller,
erişimin yalnızca
sipariş
oluşturmaya
ilişkin bir iş amacı
olan kişilere
verilecek şekilde
yapılmaktadır.
RA
C5
dağılımının
olmamasından
dolayı, tek bir
kullanıcı, bir
satınalma talebini
oluşturabilir,
onaylayabilir (yani
serbest bırakabilir),
gerekli
görevlendirmeleri
yapabilir ve
gerekiyorsa
dönüştürebilir. Bu da
tedarikçilere iş
ödeme yapılmasına
ya da stokların
şişmesine sebep
olabilir.
Uygun bir görev
dağılımının
olmamasından
dolayı, tek bir
kullanıcı, bir
satınalma talebini
oluşturabilir,
onaylayabilir (yani
serbest bırakabilir),
gerekli
görevlendirmeleri
yapabilir ve
gerekiyorsa
dönüştürebilir. Bu da
tedarikçilere iş
ödeme yapılmasına
ya da stokların
şişmesine sebep
olabilir.
siparişmiktarları;
uygun olmayan
fiyatlara, aşırı
stoklara ve gereksiz
ürün iadelerine sebep
olabilir.
CE
satınalma
taleplerinin
yetkili personel
tarafından tam
ve doğru
yapıldığı
konusunda
makul güvence
sağlar.
Kontrol
Faaliyetler
i
Etki /
Olasılık
Riskler
Kontrol
Hedefleri
Sayı
Ana Süreç: Tedarik
Alt Süreç: Satın Alma Talep İşleme
Kontroller,
Uygun bir görev
C4
COSO
Bileşenleri
İş Süreci ve
Kontrol
Hedefleri
Riskler
Kontrol
Faaliyetleri
Test
X X X
M D
X
A P
X X
M P
Gerektikçe
Kontroller,
yardımcı
dokümanlarla
(fatura, kontrol
talepleri veya
gider ödemeleri)
parasal eşik esas
alınarak
eşleştirilir.
Her Ay
Uygulama
güvenliği,
sipariş dışındaki
fatura giriş
işlemlerini
mümkün
olduğunca
sınırlayacak
şekilde
sağlanmaktadır.
X X X
X X
X X
X X
X X X
X X
X X X
X
COSO Öğeleri:
5. M: İzleme
Şekil-6: Devamı.
29
Kontrol Nitelikleri
6. K: Kilit Kontrol
Notlar
Operasy
onel
Test
Sonuçlar
ı
Yayınlan
Sınıfland
Kayıtlı
Zamanın
Değerli
M D
Her Ay
H
Gerçek
X X X
Her Ay
M
Kontrol
Sınıflandırması
Teslim alınan
mallar/
faturalanmamış
hesapların her
ay mutabakatı
yapılır.
M
eşleştirilerek
ödenmesi gereken
bir fatura, sipariş
dikkate alınmadan
ödenmektedir; bu
da mal ve
hizmetlerde kabul
edilemez bir
ödemeye (yani
kabul edilemez ve
uygun olmayan
fiyat farklarına)
yol açabilir.
Yanlış fatura
tutarları girilerek
satıcılara yanlış
ödeme yapılır.
Sıklık
Man /
Pre / Det
K (Y/N)
M
Kontroller,
satıcı
faturalarının
yetkili personel
tarafından tam
ve doğru olarak
oluşturulduğu
konusunda
makul güvence
sağlar.
I/C
C10
Kontrol
Özellikleri
Eşleştirilmeyen
sipariş raporları
her ay gözden
geçirilir.
Ana Süreç: Borçlu Hesaplar
Alt Süreç: Fatura İşleme
Kontroller,
Bir siparişle
C9
satıcı
faturalarının
yetkili personel
tarafından tam
ve doğru
oluşturulduğu
konusunda
makul güvence
sağlar.
CA
Kontroller, mal
alımlarının
yetkili personel
tarafından tam
ve doğru
işlendiği
konusunda
makul güvence
sağlar.
H
RA
C8
tesellümünün
yanlış sipariş
emriyle veya
yanlış
hesaplaeşleştirilm
esi; stokların ve
teslim alınan
mallar/
faturalanmamış
hesapların yanlış
ölçülmesine ve
sonuç olarak,
fatura ve ödeme
işlemlerinde
gecikmelere yol
açabilir.
Mal alımları
uygun bir biçimde
kaydedilmemekte
dir.
CE
tesellümlerinin
yetkili personel
tarafından tam
ve doğru
işlendiği
konusunda
makul güvence
sağlar.
Kontrol
Faaliyetl
eri
Etki /
Olasılık
Riskler
Kontrol
Hedefleri
Sayı
Ana Süreç: Teslim Alma
Alt Süreç: Mal Tesellümü İşleme
Kontroller, mal
Bir mal
C7
COSO
Bileşenleri
İş Süreci ve
Kontrol
Hedefleri
Riskler
Kontrol
Faaliyetleri
X
X X X
X X
X X X
X
X
X X
COSO Öğeleri:
5. M: İzleme
Şekil-6: Devamı.
30
Kontrol Nitelikleri
6. K: Kilit Kontrol
Notlar
X X X
Operasy
onel
A P
Test
Sonuçlar
ı
Yayınlan
X X
Sınıfland
M P
Kayıtlı
X X
Zamanın
Değerli
A P
Gerçek
X
Test
Her zaman
M D
Kontrol
Sınıflandırması
Gerektikçe
X X X
Her Ay
M
Uygulama,
Borçlu Hesaplar
faturaları
işlendiği zaman
sipariş ilgili
kalemi, alıcı ve
fatura arasında
bir üçlü fatura
eşleme yapar.
Her Ay
Sanal harcamalar
kaydedilir.
Sıklık
H
Man /
Yapılan
harcamalar
kaydedilmemekte
dir.
Pre / Det
Kontroller,
satıcıödemelerin
in yetkili
personel
tarafından tam
ve doğru
oluşturulduğu
konusunda
makul güvence
sağlar.
Kontroller,
satıcı
ödemelerinin
yetkili personel
tarafından tam
ve doğru
oluşturulduğu
konusunda
makul güvence
sağlar.
L
Borçlu Hesaplar
uygulaması,
satıcı ödeme ve
sistem
koşullarına göre
onaylanmış
fatura
değerlerini esas
alarak otomatik
olarak çekler ya
da elektronik
ödemeler
yazmaktadır.
Erişim yalnızca
çekleri
oluşturacak
yetkili
personelle
sınırlandırılmıştı
r.
Kontrol
Özellikleri
K (Y/N)
C14
masraflar ödenen
tutarlardan
farklıdır.
M
C13
satıcı
ödemelerinin
yetkili personel
tarafından tam
ve doğru
oluşturulduğu
konusunda
makul güvence
sağlar.
I/C
Alt Süreç: İşlem Ödemeleri
Kontroller,
Kaydedilen
C12
CA
L
Bir yaşlanma
raporu
yardımıyla ay
sonunda AP
yardımcı defter
toplamı Büyük
Defter
bakiyesiyle
karşılaştırılır.
Kaydedilen
farklar varsa
düzeltilir.
RA
fatura yardımcı
defter kayıtları,
Büyük Deftere
kaydedilmemekte
dir.
CE
satıcı
faturalarının
yetkili personel
tarafından tam
ve doğru
oluşturulduğu
konusunda
makul güvence
sağlar.
Kontrol
Faaliyetl
eri
Etki /
Olasılık
Riskler
Kontrol
Hedefleri
Sayı
Alt Süreç: Fatura İşleme
Kontroller,
Borçlu Hesaplar,
C11
COSO
Bileşenleri
Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler
Aşağıda, yaygın uygulama kontrolleri ve her kontrol için önerilen testler hakkında ana
hatlarıyla bilgiler yer almaktadır. Tablo, AXA Group tarafından sağlanmıştır.17
Girdi Kontrolleri
Bu kontroller, bilgisayarda işlenmek üzere alınan veriler için gereken uygun izinlerin alındığı
ve bu verilerin makineye duyarlı bir forma dönüştürüldükleri ve verilerin kaybolmadıkları,
baskılanmadıklara, eklemeler yapılmadığı, çoğaltma yapılmadığı veya usulsüz değişikliklere
tâbi tutulmadıkları konusunda makul güvence sağlayacak biçimde tasarlanmışlardır.
Bilgisayarlı girdi kontrolleri arasında; denetim (sağlama) sayısı, kayıt sayımı, denetim
(karma) toplamı ve toplu finansal toplamlar gibi veri kontrolleri ve doğrulama prosedürleri
bulunur; veri hatalarını tespit edecek şekilde tasarlanmış bilgisayarlı düzenleme yordamları
arasında ise, geçerli karakter testleri, eksik veri testleri, sıralama testleri ve limit veya
makullük testleri sayılabilir. Girdi kontrolleri ve önerilen testler aşağıdaki tabloda
açıklanmaktadır.
Girdi ve Erişim Kontrolleri
Bu kontroller, tüm girdi hareket verilerinin tam ve doğru olmalarını ve bunlara izin verilmiş olmasını sağlamaktadır.
Alan
Olası Testler
Kontrol
Veri kontrolleri
ve doğrulama
 Mali değerler üzerinde uygunluk ve limit kontrolleri
 Format ve gerekli alan kontrolleri, standartlaştırılmış
girdi ekranları.
 Dizilim kontrolleri (örneğin eksik öğeler), aralık
kontrolleri ve kontrol haneleri
 Çapraz kontroller (örneğin, belirli politikalar yalnızca
belirli prim tablo kodlarıyla kullanıldıklarında
geçerlidir).
 Doğrulamalar (örneğin, saklanmış tablo ve aşağı açılan
menü)
 Her senaryonun bir örnek testi yapılır.
 Yanlış verileri girmeye ilişkin girişimleri
gözlemlemek.
 Kontrolleri kimlerin etkisizleştirebileceğini
tespit etmek
 Tablo güdümlüyse, düzenlemeleri ve tolerans
düzeylerini kimlerin değiştirebileceği tespit
edilir.
Otomatik yetkilendirme,
onaylama ve
etkisizleştirme
• Yetkilendirme ve onay hakları (örneğin, giderler veya
hasar tazminatı ödemeleri ya da belirli bir eşiği aşan
kredilerde), rollerine ve uygulamayı kullanma
ihtiyaçlarına göre kullanıcılara verilmektedir.
• Etkisizleştirme kabiliyeti (örneğin, aşırı büyük tazminat
ödemelerinin onayı) yönetim tarafından kullanıcının
rolüne ve uygulamayı kullanma ihtiyacına göre
sınırlanmıştır.
 Onaylı satıcıları ayarlayan kişiler satınalma hareketleri
başlatamamaktadırlar.
 Hasar tazminatı işlemlerine erişimi olan kişiler bir
politika oluşturma veya değiştirme işlemlerini
yapamamalıdır.

 Tamamen işlenmemiş yeni politika öğelerini kapsayan
yaşlanma raporları, her hafta veya her ay gözetmenler
tarafından gözden geçirilmektedir.
 Hareketleri işlemek için yeterli bilgilerin olmadığı
durumlarda dosyalar askıda tutulur.
 Kullanıcı erişim haklarına bağlı olarak testler
yapmak.
 Her bir hassas fonksiyon ya da harekete
yönelik erişim ayrıcalıklarını test etmek
 Ayarlanabilir onay ve yetkilendirme
limitlerini oluşturan ve değiştiren erişim
haklarını incelemek.
Otomatik görev dağılımı
ve erişim hakları
Bekletilen Öğeler
17
AXA Group’a ait Yaygın Uygulama Kontrolleri ve Önerilen Testler
31
 Kullanıcı erişim haklarına bağlı olarak testler
yapmak.
 Ayarlanabilir rolleri veya menü yapılarını
değiştiren erişim haklarını incelemek
 Yaşlanma sonuçlarını ve gözetmenin
inceleme prosedürlerine ilişkin bulguları
gözden geçirmek.
 Yaşlanma raporu veya askıdaki dosyalar
arasındaki bulunan bir öğeler örneğini
incelemek
Dosya ve Veri Aktarım Kontrolleri
Bu kontroller, elektronik yollarla aktarılan iç ve dış dosyaların ve hareketlerin tanımlanmış bir kaynaktan alınmasını ve tam ve doğru
olarak işlenmesini sağlamaktadır.
Alan
Kontrol
Olası Testler
 Aktarım raporları ve hata raporlarını
Dosya aktarım kontrolleri
 Tarih ve zaman, veri boyutu, kayıtların hacmi ve
gözlemlemek.
kaynakların doğruluğunun kanıtlanması da dâhil
 Geçerlilik ve tamlık parametreleri ve
içeriğin tamlığı ve geçerliliğine ilişkin kontroller.
ayarlarını gözlemlemek
 Veri aktarımlarındaki ayarlanabilir
parametreleri düzenleme ve değiştirmeye
erişimi gözden geçirmek.
Veri aktarım kontrolleri
 Alınan verileri doğrulamak amacıyla seçilen girdi
kontrollerinin uygulanması (örneğin kilit alanlar,
uygunluk vs.)
 Her senaryoya ilişkin test örnekleri
 Yanlış verileri girmeye ilişkin girişimleri
gözlemlemek.
 Kontrolleri kimlerin etkisizleştirebileceğini
tespit etmek
 Tablo güdümlüyse, düzenlemeleri ve tolerans
düzeylerini kimlerin değiştirebileceğini tespit
ediniz.
İşleme Kontrolleri
Bu kontroller, veri işlemenin istendiği gibi herhangi bir atlama ya da çift-sayım olmadan
yapıldığına yönelik makul güvence sağlamak üzere tasarlanmıştır. Birçok işleme kontrolü
özellikle çevrimiçi ya da gerçek-zamanlı işleme sistemlerinde girdi kontrolleriyle aynıdırlar,
ancak bunlar işleme aşamalarında kullanılmaktadırlar. Bu kontroller; iç ve dış etiketler,
bilgisayar operasyonlarına ait sistem günlükleri ve limit veya uygunluk testleri gibi
çalıştırmalar-arası toplamlar, kontrol-toplam raporları ve dosya ve işlemci kontrollerini
kapsamaktadır.
İşleme Kontrolleri
Bu kontroller, geçerli girdi verilerinin tam ve doğru olarak işlendiğini temin etmektedir.
Alan
Otomatik dosya
tanımlama ve
doğrulama
Otomatik fonksiyonlar
ve hesaplamalar
Denetim izleri ve
etkisizleştirmeler
Olası Testler

Doğrulama
ve
test
operasyonu
için inceleme süreci
 İşlemede kullanılacak dosyalar mevcut ve
tamdır.
Kontrol
 Genel gözden geçirme ve yeniden-performans ile tüm
 Bir ya da daha fazla girdi üzerinde
senaryoların girdi değerleri ve çıktı değerlerini
yapılan spesifik hesaplamalar ve saklanan
karşılaştırmak.
veri öğeleri, daha fazla veri öğesi
 Tablo bakım kontrollerini gözden geçirmek ve düzenlemeler
üretmektedir.
ile tolerans düzeylerini kimlerin değiştirebileceğini tespit
 Mevcut veri tablolarının kullanımı
etmek
(örneğin ana dosyalar ya da oranlama
tabloları gibi sabit veriler)
 Raporları ve incelemelere ilişkin bulguları incelemek
 Değişiklik ile spesifik bir kullanıcı
 Normal süreçleri etkisizleştirmeye yönelik erişimi
arasında bağlantı kurarak verilerde
incelemek.
yapılan değişikliklerin otomatik takibi
 Normal süreçlerde yapılan
etkisizleştirmelerin izlenmesi ve
vurgulanması
32
Veri özütleme, filtreleme
ve raporlama
 Hesap özeti yordam çıktılarının makul ve
tam olup olmadığı değerlendirilir.
 Hareketlerin otomatik atamaları (örneğin,
reasürans, ek aktüeryal süreçler ve fon
tahsisi amaçlarıyla)
 Finansal raporlama amaçlarıyla yapılan
tahminlerde kullanılan verilerin
değerlendirilmesi.
 Hesap özeti yordamının tasarımını kullanılan veri
dosyalarına kıyasla incelemek.
 Normal inceleme ve zorluklarla ilgili bulgular için hesap
özeti yordamındaki çıktıların denetimsel değerlendirmesini
incelemek.
 Atamaların bir örneğini inceleyerek uygun olup
olmadıklarına karar vermek
 Özetlenen verilerin tam ve geçerli olup olmadıklarını
değerlendirmek için süreci incelemek.
Arayüz dengeleme
 Besleme sistemlerinden alınan verilerin
(örneğin, bordro, tazminat ödemeleri
verileri vs.) veri depolarına veya büyük
deftere aktarımlarının otomatik kontrolü
 Her iki sistemin eşleşmesini dengeleyen
otomatik kontrol. Dengelemediği takdirde
bir istisna raporu hazırlanır ve kullanılır.
 Arayüz hata raporlarını denetlemek.
 Geçerlilik ve tamlık parametreleri ve ayarlarını denetlemek
 Arayüzlerde ayarlanabilir parametreler oluşturma ve
değiştirmeye yönelik erişimi incelemek
 Eşleştirme raporları, kontroller ve hatalı dosya işlemeye
ilişkin bulguları denetlemek.
Otomatik fonksiyonlar
 Yaşlanan hareketler hakkında yönetime
 Yaşlanma işlemlerinin uygunluğunu doğrulamayla ilgili
veri sunmak için borçlu listesinden alınan
hareketlerin listelenmesine ilişkin test örneği.
dosya çıktıları
 Çift hareketler veya dosyalarda ayarlanabilir parametreler
 Alanları eşleştirmek amacıyla münferit
oluşturma ve değiştirmeye yönelik erişimi incelemek
hareketlerin daha önceden kaydedilmiş

Reddedilen dosyalar veya hareketleri ele almaya ilişkin
hareketlerle karşılaştırılması.
süreci incelemek.
 Münferit dosyaların beklenen tarihler,
zamanlar, boyutlar vs. ile
karşılaştırılması.
Çift kontroller
Çıktı Kontrolleri
Bu kontroller, işleme sonuçlarının doğru olduğuna ve yalnızca yetkili personele dağıtıldığına
yönelik makul güvence sağlamak üzere tasarlanmaktadır. İşleme sırasında çıktı olarak üretilen
kontrol toplamları, işleme sırasında üretilen girdi ve çalıştırmalar-arası kontrol toplamlarıyla
karşılaştırılmalı ve bunların mutabakatları yapılmalıdır. Ana dosyalar için bilgisayar-ürünü
değişiklik raporları, bilgilerin doğru olduğunu temin etmek amacıyla orijinal kaynak
dokümanlarıyla karşılaştırılmalıdır.
Çıktı Kontrolleri
Bu kontroller, çıktıların tam ve doğru olduğunu ve gereğine uygun bir biçimde dağıtıldığını göstermektedir.
Alan
Kontrol
Olası Testler
Büyük defter kayıtları
 Tüm münferit ve özetlenmiş hareketler
büyük deftere kaydedilir.
 Girdi ve yardımcı defter özet hareketleri
örnekleri, büyük deftere kadar izlenir.
Yardımcı defter kayıtları
 Tüm başarılı işlemler yardımcı deftere
kaydedilir.
 Girdi hareketleri yardımcı deftere kadar
izlenir.
Ana Dosyalar ve Sabit Veri Kontrolleri
Bu kontroller, ana dosyalar ile sabit verilerin bütünlüğünü ve doğruluğunu temin etmektedir.
Kontrol
Olası Testler
 Rollerine ve uygulamayı kullanma
ihtiyaçlarına göre kıdemli kullanıcılara
tahsis edilen hakları güncellemeye erişim
 Ana dosyaları ve sabit verileri oluşturma
ve değiştirmeye yönelik erişimi incelemek
Alan
Güncelleme yetkilendirme
33
Ek-B: Örnek Denetim Programı
İç denetçiler; amaçlar, kapsam, kaynak mülahazaları da dâhil her bir denetim görevi ve
denetim çalışması programı için bir plan geliştirmeli ve kaydetmelidirler. Amaçlar, uygulama
kontrollerinin finansal, operasyonel veya mevzuata uyum risklerini yönetmek için uygun bir
biçimde tasarlanıp tasarlanmadığını ve etkin bir şekilde çalışıp çalışmadığını tespit etmesine
olanak tanımaktadır. Uygulama kontrollerinin amaçları arasında, bu rehberin ikinci sayfasında
da ana hatlarıyla belirtildiği gibi şunlar yer almaktadır.




Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;
Veriler, hedeflendiği şekilde kabul edilebilir bir zaman periyodu dâhilinde
işlenmektedir;
Saklanan veriler tam ve doğrudur;
Veri girdisi, saklama ve çıktısını işleyen bir kayıt muhafaza edilmektedir.
Yukarıda belirtilen amaçlara ulaşmak için atılması gereken adımlar şunlardır:






Adım-1: Bir risk değerlendirmesi yapınız (Bu rehberin 7. sayfasına bakınız).
Adım-2: İncelemenin kapsamını belirleyiniz (Bu rehberin 9. sayfasına bakınız).
Adım-3: Detaylı inceleme planı geliştiriniz ve iletiniz (Bu rehberin 10. sayfasına
bakınız).
Adım-4: Uzman kaynaklara gereksinim duyulup duyulmadığını belirleyiniz (Bu
rehberin 10. sayfasına bakınız).
Adım-5: Bilgisayar-destekli denetim tekniklerine ihtiyaç duyulup duyulmayacağını
belirleyiniz (Bu rehberin 13. sayfasına bakınız).
Adım-6: Denetimi gerçekleştiriniz (aşağıda verilen örnek denetim programına
bakınız). Lütfen örnek programın kurumunuza uygulanabilecek tüm testleri kapsamayı
hedeflemediğini not ediniz.
34
Örnek Denetim Programı
Spesifik şirket verileri ve denetimin kapsamına ilişkin bir inceleme, aşağıdaki inceleme faaliyetleriyle ilgili ayrıntılı test adımlarını
belirleyecektir.
Kontrol Amacı
Kontroller
İnceleme Faaliyetleri
Amaç-1:Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;
Girdi verileri; veri girişinden önce
tüm hareketlerin yetkilendirilmesini
ve onaylanmasını sağlayacak şekilde
tasarlanmakta ve etkin bir biçimde
çalışmaktadır.
Veri girdi prosedürleri elde etmek, yetkilendirme ve onay
sürecini anlamak ve bir inceleme ve onay süreci olup
olmadığını ve uygun onaylar almakla yükümlü kullanıcılara
iletilip iletilmediğini tespit etmek.
Uygulama sahibi veya süreç sahibinin girilmeden önce tüm
verilerin yetkilendirilmiş olduğundan emin olduklarını
doğrulamak. Bu, roller ve sorumlulukların görevlere bağlı
olarak verilmesiyle gerçekleştirilebilir.
Onay düzeylerinin bir kopyasını elde etmek ve uygun
onayların tutarlı olarak verildiğini doğrulamak için sorumlu
tayin edilip edilmediğini tespit etmek.
35
Kontrol Amacı
Kontroller
Girdi kontrolleri, girilen hareketlerin Veri girdi prosedürlerini elde etmek ve veri girişlerinden
tam ve doğru işlenmesini temin sorumlu kişilerin girdilerin hazırlanması, girişi ve kontrolü
edecek şekilde etkin tasarlanmakta ve hakkında eğitilmiş olduklarını doğrulamak.
çalışmaktadır.
Yanlış tarihler, yanlış karakterler, geçersiz alan uzunluğu,
eksik veriler ve çift hareket girişleri/numaraları dâhil
ancak bunlarla sınırla kalmayan belirli kriterlere uymayan
girdi bilgilerini kontrol eden ve ardından reddeden
uygulamalara
düzenleme
rutinleri
yerleştirilip
yerleştirilmediğini tespit etmek.
Çift kayıtların girilmesini önlemek amacıyla manüel veri
giriş kontrollerinin mevcut olduğunu ve çalıştığını
doğrulamak. Manuel veri kontrolleri kapsamında kaynak
dokümanların önceden numaralandırılması ve kayıtlar
girildikten sonra “girdi” olarak işaretlenmesi yer almaktadır.
Eklenen verilerin kabul edilebilir bir kaynaktan alındığını
ve kaynağın faydalanıldığı ve bağımsız kaynak raporlarının
kullanıldığı kontrol toplamları, kayıt sayımları ve başka
tekniklere uygun hale getirildiğini doğrulamak.
Kullanıcıların hareketlere girmesini ve izin vermesini
önlemek için uygun görev dağılımının olup olmadığını
belirlemek.
Veri girişinden sorumlu personel ile çıktıların tam ve doğru
olduğunu karşılaştırmak ve doğrulamakla yükümlü personel
arasında uygun görev dağılımı olup olmadığını doğrulamak.
Hesaplamalar ve tablolar gibi sistem programlarında yetkisiz
değişiklikleri önlemek amacıyla kontrollerin mevcut olduğunu
doğrulamak.
Girdi kontrolleri, reddedilen tüm Reddedilen hareketleri ve ardından gelen hata düzeltme
hareketlerin
tam
ve
uygun işlemlerini ele almak için veri girdi prosedürleri elde etmek
tanımlanmasını
ve
yeniden ve hataların düzeltilmesinden ve verilerin yeniden
sorumlu
personelin
yeterince
eğitilip
işlenmesini sağlamak amacıyla etkin girişinden
bir
şekilde
tasarlanmakta
ve eğitilmediğini tespit etmek.
çalışmaktadır.
Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç
sahibini bilgilendirmek için bir mekanizmanın olduğunu
doğrulamak.
Reddedilen öğelerin uygun bir bicimde zamanında
prosedürlere uygun olarak yeniden işlendiğini ve sisteme
girilmeden önce hataların düzeltildiğini doğrulamak.
36
Kontrol Amacı
Kontroller
Kontroller, başka bir sistemden
otomatik olarak kaydedilen verilerin
tam ve doğru işlenmesini sağlamak
amacıyla
etkin
bir
biçimde
tasarlanmakta ve çalışmaktadır.
Prosedürler elde etmek ve otomatik arayüzlerin nasıl
yetkilendirildiği ve otomatik işleme olayını neyin
harekete geçirdiğiyle ilgili detaylı bilgilerin dâhil
edildiğini doğrulamak.
İşleme
programlarının
dokümante
edildiğini
ve
problemlerin zamanında tespit edildiğini ve düzeltildiğini
doğrulamak.
Sistemler-arası kayıt sayımlarının ve toplam parasal
değerlerin otomatik arayüzler için sistematik olarak
doğrulanıp doğrulanmadığını ve reddedilen öğelerin
kaydedilmesinin önlenip önlenmediğini ve daha sonra takip
edilmek ve yeniden işlenmek üzere bayrakla işaretlenip
işaretlenmediğini tespit etmek.
Başka uygulamalar tarafından kullanılmak üzere oluşturulan
veya başka uygulamalara aktarılan dosya ve verilerin tüm
aktarım süreci boyunca yetkisiz modifikasyonlardan
korunduğunu doğrulamak.
Kontroller, işleme sırasında doğru veri Test verileri ve programlarının üretimden ayrı tutulduğunu
dosyalarının
ve
veritabanlarının doğrulamak ve onaylamak
kullanılmasını sağlamak amacıyla etkin
bir
şekilde
tasarlanmakta
ve
çalışmaktadırlar.
Amaç -2:Veriler, hedeflendiği şekilde kabul edilebilir bir periyot içerisinde işlenmektedir.
İşleme kontrolleri, tüm hareketlerin Çıktıları tamlık ve doğruluk bakımlarından kaynak
kıyasla
doğrulamak.
Buna
kontrol
zamanında ve doğru hesap dönemi dokümanlara
içerisinde işlenmesini sağlamak toplamlarının doğrulanması da dâhildir.
amacıyla
etkin
bir
şekilde
Doğru girilen hareketlerin fiilen işlendiğimi ve hedeflendiği
tasarlanmakta ve çalışmaktadırlar.
şekilde doğru hesap döneminde kaydedildiğini temin eden
rutinlerin uygulamaya dâhil edilip edilmediğini tespit etmek
İşleme kontrolleri, reddedilen tüm
hareketlerin zamanında tanımlanması
ve yeniden işlenmesini sağlamak
amacıyla
etkin
bir
şekilde
tasarlanmakta ve çalışmaktadırlar.
Reddedilen hareketleri ve ardından gelen hata düzeltme
işlemlerini ele almak için prosedürler elde etmek ve
hataların düzeltilmesinden ve verilerin yeniden girişinden
sorumlu personelin yeterince eğitilip eğitilmediğini tespit
etmek.
Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç
sahibini bilgilendirmek için bir mekanizmanın olduğunu
doğrulamak.
Reddedilen öğelerin uygun bir bicimde zamanında
prosedürlere uygun olarak yeniden işlendiğini ve sisteme
girilmeden önce hataların düzeltildiğini doğrulamak.
37
Kontrol Amacı
Kontroller
Amaç -3:Saklanan veriler tam ve doğrudur.
Mantıksal erişim kontrolleri;
yetkisiz erişimi, modifikasyonları
veya sistem verilerinin ifşasını
önlemek amacıyla etkin bir
şekilde
tasarlanmakta
ve
çalışmaktadır.
Şifre konfigürasyonu elde etmek ve politikalar
kullanmak ve güçlü şifreler, şifre sıfırlamaları, hesap
kilitleme ve şifreyi yeniden kullanmaya ilişkin
koşulların mevcut olup olmadığını tespit etmek.
Yukarıdaki politikanın incelenen
uygulandığını doğrulamak.
Uzak erişim kontrollerinin etkin
tasarlanıp çalıştığını doğrulamak.
uygulama(lar)a
bir
şekilde
Kullanıcıların erişimlerinin görev sorumluluklarına göre
spesifik fonksiyonlarla sınırlandığını doğrulamak (rolesaslı erişim).
Ayrıcalıklı kullanıcılar dâhil tüm kullanıcılara özgün
kullanıcı adlarının tayin edildiğini ve kullanıcı ve
yönetici hesaplarının paylaşılmadığını doğrulamak.
Erişim izni verilmeden veya bu izinde herhangi bir
değişiklik yapılmadan önce kullanıcı hesabının
oluşturulmasına ve modifikasyonuna ilişkin onayların
alındığını doğrulamak (kullanıcılar arasında ayrıcalıklı
kullanıcılar, çalışanlar, yükleniciler, satıcılar ve geçici
personel bulunmaktadır).
Erişimin hesap iptalinden hemen sonra kaldırıldığını
doğrulamak
Kritik finansal veriler, uygulamalar ve işletim
sistemlerine erişimin doğru ve güncel olduğunu temin
etmek için uygulama sahibinin kullanıcı ve sistem
hesaplarının her altı ayda bir incelemesinin
yapıldığından emin olmakla sorumlu olduğunu
doğrulamak.
Kontroller, veri yedeklemelerinin
tam ve doğru olduğundan ve
zamanında yapıldığından emin
olmak amacıyla etkili bir şekilde
Yedeklemelerin programlandığını ve bu yedeklemelerin
politikaya göre tam, doğru ve zamanında yapıldığından
emin olmak için günlüklerin izlendiğini doğrulamak.
Yedeklerin uygun bir şekilde saklandığından ve etkin bir
şekilde yeniden yüklenebileceğinden emin olmak
amacıyla periyodik olarak testler yapıldığını doğrulamak.
Yedeklemelere ilişkin işletme koşullarının düzenli olarak
onaylandığını doğrulamak.
Kontroller,
verilerin
güvenli, Verilerin kurum dışında, güvenli ve çevresel olarak
kurum dışında, çevresel açıdan kontrollü bir lokasyonda saklanmasına ilişkin
kontrollü bir lokasyonda fiziksel mekanizmaların mevcut olduğunu doğrulamak.
olarak saklanmasını sağlamak
amacıyla etkili bir
şekilde
38
Kontrol Amacı
Kontroller
Amaç - 4: Çıktılar tam ve doğrudur.
Tüm hareket çıktılarının tam ve
doğru olduğundan emin olmak için
etkin bir şekilde çıktı kontrolleri
Veri çıktı prosedürleri elde etmek, inceleme sürecini
anlamak ve veri girişinden sorumlu kişilerin veri çıktısı
inceleme ve doğrulama konusunda eğitilmiş olduklarını
doğrulamak.
Çıktıların tam ve doğru olup olmadığını anlamak amacıyla
gözden geçirilerek kaynak dokümanlarla karşılaştırıldığını
doğrulamak. Ayrıca kontrol toplamları da doğrulanmalıdır.
Tüm hareket çıktılarının uygun
personele dağıtılmasını ve dağıtım
sırasında hassas ve gizli bilgilerin
korunmasını sağlamak amacıyla çıktı
kontrolleri
etkin
bir
şekilde
Mevcut veri çıktı prosedürlerini incelemek ve bu
prosedürlerin veri çıktısını hangi personelin alacağını ve
verilerin dağıtım sırasında nasıl korunacağını belgeleyip
belgelemediğini tespit etmek.
Belirlenen zamanda bir çıktı raporu
oluşturulmasını ve bu raporun
belirlenen
dönemi
kapsamasını
sağlamak amacıyla etkin bir şekilde
çıktı kontrolleri tasarlanmakta ve
çalışmaktadır.
Bir çıktı raporunun oluşturulduğunu doğrulamak ve
raporda belirtilen tarih ve zamanın belirlenen zaman
olduğunu tespit etmek
Raporu söz konusu döneme ait kaynak dokümanlarla
karşılaştırarak belirlenen dönemi kapsayıp kapsamadığını
tanımlamak
Amaç -5: Veri girişi, saklanması ve çıkışına ilişkin süreci izleyen bir kayıt tutulmaktadır.
Tüm hareket verileri için bir denetim
izi
oluşturulduğundan
ve
sürdürüldüğünden
emin
olmak
amacıyla kontroller etkili bir şekilde
39
Tüm kayıtların işlendiğini ve hareketin girilmesinden
saklanmasına ve çıkarılmasına kadar izlendiğini temin eden
işleme denetim izleri ve günlüklerin mevcut olduğunu
doğrulamak.
Reddedilen hareketlerin tanımlanmasını ve yeniden
işlenmesini izleyen denetim raporlarının mevcut olduğunu
doğrulamak. Raporlar kapsamında, reddedilen hareketin
açık bir tanımı ve belirlenen tarih ve zaman bulunmalıdır.
7.
Sözlük
Uygulama Kontrolleri: Uygulama kontrolleri, her bir uygulamaya özgü ve her bilgisayartabanlı uygulama sistemiyle ilgili verilerle ilgilidirler. Uygulama kontrollerinin amaçları,
kayıtların tamlığını ve doğruluğunu ve programlanmış işleme faaliyetleri sonucunda yapılan
girişlerin geçerliliğini güvence altına almaktır. Uygulama kontrollerine örnek olarak veri girdi
doğrulaması, yığın toplamlarının mutabakatı ve aktarılan verilerin şifrelenmesi verilebilir.
Veri Girdi Kontrolleri: Veri girdi kontrolleri, bir bilgisayara veya uygulamaya girildikten
sonra dönüştürülmeleri boyunca verilerin doğruluğu, tamlığı ve zamanındalığını temin
etmektedir. Veriler, bir bilgisayar uygulamasına, bir manuel çevrimiçi girdisi ya da otomatik
seri işlemeyle girilebilir.
Veri Çıktı Kontrolleri: Veri çıktı kontrolleri, çıktı bilgilerinin bütünlüğünün yanı sıra
oluşturulan her türlü çıktının doğru ve zamanında dağıtılmasını sağlamak amacıyla
kullanılmaktadırlar. Çıktılar, diğer sistemlere girdi olarak kullanılan dosyalar gibi yazılı
kopya formunda olabilir ya da çevrimiçi görüntüleme amaçlı mevcut olabilir.
Veri İşleme Kontrolleri: Veri işleme kontrolleri, bir uygulamanın yığın ya da gerçekzamanlı işlenmesi sırasındaki doğruluğu, tamlığı ve zamanındalığını temin etmek amacıyla
kullanılmaktadır.
Kurumsal Kaynak Planlama (ERP): ERP, bir işletmede kaynakların planlanması ve
yönetiminin yanı sıra tüm iş süreçlerini yönetmek ve satınalma, stoklar, personel, müşteri
hizmetleri faaliyetleri, sevkiyat, finans yönetimi ve işletmenin diğer yönlerini birleştirmek
amacıyla bir yazılım sisteminin kullanılmasını ifade etmektedir. Bir ERP sistemi, tipik olarak
bir ortak veritabanı, entegre iş süreci uygulama modülleri ve iş analiz araçlarına
dayanmaktadır.18
BT Genel Kontrolleri (ITGC’ler): Bu kontroller; tüm sistem bileşenleri, süreçler ve
verilerde belli bir kurum ya da BT ortamı için geçerlidir. ITGC’lerin amacı uygulamaların
uygun bir biçimde geliştirilmesi ve yürütülmesi ve program, veri dosyaları ve bilgisayar
operasyonlarının bütünlüğünün temin edilmesidir.
Aşağıda en yaygın ITGC’ler verilmektedir:






18
Altyapı, uygulamalar ve veriler üzerinde mantıksal erişim kontrolleri;
Sistem geliştirme yaşam döngüsü kontrolleri;
Program değişiklik yönetimi kontrolleri;
Veri merkezi fiziksel güvenlik kontrolleri;
Sistem ve veri yedekleme ve kurtarma kontrolleri;
Bilgisayar operasyon kontrolleri.
ISACA’nın Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü’nden alıntılanmıştır.
40
Risk: Amaçların gerçekleştirilmesine etki edecek bir olayın ortaya çıkma ihtimali. Risk etki
ve olasılık bakımlarından ölçülmektedir. 19
Görev Ayrılığı: Hareketleri başlatmak, hareketleri kaydetmek ve varlıkları denetlemek
amacıyla farklı kişilere sorumluluklar tayin ederek hataları ve düzensizlikleri önleyen
kontroller. Görev ayrılığı, çok sayıda çalışanı olan kurumlarda, tek bir kişinin fark edilmeden
suiistimal eyleminde bulunacak bir konumda bulunmasını engellemek amacıyla
uygulanmaktadır.
8.
Referanslar:











19
GTAG 4: BT Denetiminin Yönetimi
GTAG 1: Bilgi Teknolojisi Kontrolleri
ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14
COSO Finansal Raporlamaya İlişkin İç Kontrol – Halka Açık Küçük Şirketler İçin
Rehber.
PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş,
Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, B29 – 30 paragrafları
IIA Standardı 1220: Azami Mesleki Özen
IIA Standardı 1210.A3.
IIA Standardı 1130.C1.
AXA Group, Yaygın Uygulama Kontrolleri ve Önerilen Testler
ISACA Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü
IIA Uluslararası Mesleki Uygulamaları Çerçevesi
IIA Uluslararası Mesleki Uygulama Çerçevesi Sözlüğü’nden alıntılanmıştır.
41
Yazarlar Hakkında
Christine Bellino, CPA, CITP
Christine Bellino, Jefferson Wells’ Denver uygulamasında teknoloji riski yönetimi başkanı ve
IIA’nın Gelişmiş Teknoloji Komitesi’nin bir üyesidir. Bellino, kurumun Risk Esas Alınarak
BT Genel Kontrolleri Kapsamının Değerlendirilmesine İlişkin Rehber (GAIT) çekirdek
ekibinin bir üyesidir. Şu anki sorumlulukları arasında küçük, orta ve büyük ölçekli kurumlar
için çoklu iş süreçlerinin ve ITGC’lerin yönetimi bulunmaktadır.
Bellino; finans, operasyonlar ve teknoloji risk yönetimi alanlarında 25 yılı aşkın tecrübeye
sahiptir ve yakın zamanda yayımlanan Finansal Raporlamaya İlişkin İç Kontrol –Halka Açık
Küçük Şirketler İçin Rehber’den sorumlu COSO İş Gücü’nün eş-başkanlığını yapmıştır.
Steve Hunt, CIA, CISA, CBM
Steve Hunt, Crowe Horwath LLP risk danışmanlık grubunda üst yönetici görevini
yapmaktadır ve IIA Gelişmiş Teknoloji Komitesi, ISACA ve İş Yönetimi Uzmanları Derneği
üyesidir. Hunt, farklı sektörlerde Fortune 1.000 orta ve küçük ölçekli şirketle çalışarak
finansal, operasyonel görevler ile BT risk yönetimi görevlerinin dağıtılmasını yönetmektedir.
Hunt; muhasebe, iç denetim ve yönetim danışmanlığı dâhil çeşitli farklı sektörlerde 20 yıldan
fazla çalışma deneyimine sahiptir. Daha spesifik olmak gerekirse, Sarbanex-Oxley’e uyumla
ilgili detaylı denetimler ve başka iç ve dış denetimler gerçekleştirmiş ve iş süreci yeniden
yapılandırma projeleri ve iş geliştirme girişimlerine katılmıştır. SAP R/3 uygulamaları ve
uygulama güvenlik ve iş süreci kontrollerini yapılandırmak konusunda yılların deneyimine
sahiptir ve Amerika Birleşik Devletleri’nde çeşitli üniversitelere ve kurumlara özel konuşmacı
olarak katılmıştır.
Gözden Geçirenler
IIA, değerli yorumlarıyla bu rehberin hazırlanmasına büyük katkılar sağlayan aşağıdaki kişi
ve kurumlara teşekkürlerini sunar:
42


















BT Denetim Uzmanlığı Grubu, IIA, İsveç
IIA teknik komiteleri – BK ve İrlanda
Helge Aam, Deloitte – Norveç
Ken Askelson, JCPenney Co. Inc. ABD.
Rune Berggren, IBM – Norveç.
Shirley Bernal, AXA Equity Life Insurance Co., ABD
Lily Bi, IIA
Claude Cargou, AXA – Fransa
Maria Castellanos, AXA Equity Life Insurance Co., ABD
Nelson Gibbs, Deloitte & Touche, LLP.
Steven Markus, AXA Equity Life Insurance Co., ABD
Peter B. Millar, ACL Services Ltd. Kanada.
Stig J. Sunde, OAG – Norveç.
Jay R. Taylor, General Motors Corp. – ABD
Karine Wegrzynowicz, Lafarge Kuzey Amerika
Hajime Yoshitake, Nihon Unisys Ltd. – Japonya
Jim Zemaites, AXA Equity Life Insurance Co., ABD
Joe Zhou, GM Denetim Hizmetleri, Çin.
43
EEC’nin misyonu “diğerlerinin başarmasına
yardımcı olmaktır” ve birçoğu Big 4 ve Tier 1
danışmanlık firmalarında çalışmış olan
deneyimli uzmanlarımızla işletmenizde kontrol
çözümlerini tam olarak uygulamak için
gereken
bilgi
ve
becerileri
elimizde
bulundurmaktayız. Müşterilerimiz, zamanında
ve etkin çözümler sunarak işletmelerine ve
operasyonel performanslarına pozitif etkide
bulunma kabiliyetimiz takdir etmektedirler.
ECC’nin Kurumsal Çözümler ekibi, kurumunuz
çapında idareciler ile yöneticilere süreçleri
değerlendirmek, güvence altına almak ve
optimize etmek konusunda yardımcı olmaktadır.
Çözümlerimiz, birincil hizmet hatlarımız olan iç
denetim eş-kaynak kullanımı ve dış kaynak
kullanımı, kurumsal risk yönetimi, teknoloji riski
ve kurumsal yönetişim yoluyla sunulmaktadır.
Planladığınız iş süreçleri ve kontrollerinizle
birlikte risk-esaslı, katma değer bir yaklaşım
tasarladık. Bunu da söz konusu kontrolleri
süreçlerinize ve sistemlerinize yerleştirerek
kurumsallaştırmak
amacıyla
kurumunuzla
işbirliği yaparak başardık.
Günümüzün rekabetçi danışmanlık ortamında,
müşterilerimiz
tarafından
sürekli
olarak
“çalışanlarımız” ve ECC’nin kontrol danışmanlık
uzmanlarından oluşan “mükemmel ekibi”
sağlama kabiliyetimizle tanınmaktayız. Sizin ve
kurumunuzun sahip olduğu tutku, heves ve istek
ECC’yi sizin için en doğru seçim yapmaktadır.
ECC’nin sizi başarıya ulaştırmasına izin verin.
Enterprise Controls Consulting LP (“ECC”)
genel merkezi Dallas/Fort Worth Texas’ta
bulunan, sahibi kadın olan ulusal bir profesyonel
hizmetler firmasıdır. ECC iş performansını
geliştirmekte ve verimli sonuçlar üretmektedir.
44
Enterprise Controls Consulting LP
4545 Fuller Drive, Suite 404
Irving, Texas 75038
Tel: 214.614.2400
Faks: 214.614.2401
İşletmenizi Şansın
Yönetmesine İzin Vermeyin
Hepiniz şu eski “Şansa bak” deyişini
duymuşsunuzdur. Hepimizin hayatında şansı
birkaç kez yaver gitmiştir. Ancak olası riskleri
görmezden gelip yalnızca şansa güvenmek işi
çok fazla şansa bırakmak demektir.
Yöneticiler geleceğe ilişkin vizyonlarının bir
şemasını oluştururken pek çok sayısız engelle
karşılaşmaktadırlar.
Şirketinizin
hedeflerini
belirlemeye yönelik temel taşı, güçlü ve kuvvetli
uygulamalarla desteklenen kanıtlanmış iş
süreçleriyle desteklenmektedir. ECC, veri
bütünlüğü sorunları, güvenlik tasarımındaki zayıf
yönler, düzgün yapılandırılmamış işletme
kuralları ve önemli işleme hataları gibi tehlikeler
konusunda çok geç olmadan size yardımcı
olabilir.
ECC’nin
kontrol
uzmanları,
sistem
uygulamalarınızın içinde ve dışında iş risk
yönetimi stratejilerini geliştirmek amacıyla iş
ekiplerinizle çalışmaktadır. Bir yandan sistem
uygulaması çevrenizdeki zafiyetleri ortaya
çıkarmak, diğer yandan pratik çözümler sunmak
amacıyla risk-tabanlı yaklaşımımızı kullanarak
sizinle el ele çalışacağız. Birlikte, hiçbir şeyi şansa
bırakmayarak, sistem uygulamalarınızın sizin
aleyhinize
değil
lehinize
güçlenmesini
sağlayacağız.
ECC… İş Performansını
Sonuçlar Üretir.
Enterprise Controls Consulting LP (ECC)
4545 Fuller Drive, Suite 404Irving, Texas 75038
Tel: 214.614.2400Faks: 214.614.2401.
WWW. ECCLP.COM
45
Geliştirir.
Verimli
GTAG®
GTAG 8: Uygulama Kontrollerinin Denetimi
Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işleme
toplamlarının dengelenmesi, hareketlerin günlüğe kaydedilmesi ve hataların raporlanmasını
içeren münferit iş süreçler veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Etkili
uygulama kontrolleri, verileriniz ve sistemlerinizin bütünlüğü, doğruluğu, gizliliği ve
tamlığını temin etmek konusunda yardımcı olacaktır. Bu rehber, iç denetim yöneticilerine
(İDY) uygulama kontrolüyle ilgili bilgiler, bunların genel kontrollerle ilişkisi, risk-tabanlı bir
uygulama kontrolü incelemesinin kapsamı, bir uygulama kontrolü incelemesi yapılmasına
ilişkin adımlar, kilit uygulama kontrollerinin bir listesi ve bir örnek denetim planı
sunmaktadır.
Bize geribildirimde bulununuz! Bu Uygulama Rehberine oy vermek ve yorumlarda bulunmak
için lütfen www.theiia.org adresindeki GTAG 8 sayfasını ziyaret ediniz.
GTAG Nedir?
Uluslararası İç Denetçiler Enstitüsü tarafından hazırlanan Global Teknoloji Denetim Rehberi
(GTAG), BT yönetimi, kontrolü ve güvenliği ile ilgili sorunları zamanında ele almak
amacıyla açık ve basit bir mesleki dille yazılmaktadırlar. GTAG dizileri, hem teknolojiyle
ilgili farklı riskler hem de tavsiye edilen uygulamalar konusunda iç denetim yöneticileri için
hazır başvuru kaynağı görevini görmektedirler.
GTAG 1: Bilgi Teknolojisi Kontrolleri
GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı İçin Kritik Önemde
GTAG 3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlendirmesine İlişkin Mülahazalar
GTAG 4: BT Denetiminin Yönetimi
GTAG 5: Mahremiyet Risklerinin Yönetimi ve Denetimi
GTAG 6: BT Zafiyetlerinin Yönetimi ve Denetimi
GTAG 7: Bilgi Teknolojisinin Dış Kaynaklardan Elde Edilmesi
Teknolojiyle ilgili denetim rehberi hakkında daha fazla bilgi ve kaynağa ulaşmak için
www.theiia.org/technology web adresini ziyaret ediniz.
GTAG’ler Uluslararası Mesleki Uygulama Çerçevesi kapsamında düzenlenen Uygulama
Rehberleridir.
Sipariş Numarası: 1033
IIA Üyeleri için Ücretsiz
Üye Olmayanlar için 25 USD
IIA Etkinliği 22,50 USD
IIA – Uluslararası İç Denetçiler Enstitüsü
www.theiia.org
46

Uygulama Kontrolleri - Türkiye İç Denetim Enstitüsü

Transkript

Benzer belgeler

Gün 3.4 13.30 CA assessing MP_III (11).pptx

tanıtım dokümanı incele

7101 Ürün yelpazesine genel bakış LME…

Aşağıda cins ve miktarı yazılı (1) kalem NST kağıdı ve (1) kalem

dosyayı indir

Gizlilik Politikası Kişisel Verilerin Korunmasına ilişkin

tc istanbul büyükşehir belediyesi iç denetim birimi başkanlığı 2014

kamu iç denetiminde kalite için dönemsel gözden

Birlikte Başarmak