GTAG® GLOBAL TEKNOLOJİ DENETİM REHBERİ

Sürekli Denetim: Sürekli Güvence Sağlamak

için Sürekli Denetimin ve İzleme Faaliyetlerinin

Koordine Edilmesi

2. Basım

İç Denetçiler Enstitüsü

Global Teknoloji Denetim Rehberi (GTAG®)3:

Sürekli Güvence Sağlamak için Sürekli Denetimin ve İzleme Faaliyetlerinin

Koordine Edilmesi

2. Basım

Mart 2015

GTAG - İÇİNDEKİLER

YÖNETİCİ ÖZETİ .............................................................................................. ..1

GİRİŞ.............................................................................................................. ..3

TEMEL SÜREKLİ GÜVENCE ÇERÇEVESİ .................................................. ..6

OPTİMİZE EDİLMİŞ SÜREKLİ GÜVENCE ÇERÇEVESİ ............................. 11

SÜREKLİ DENETİME İLİŞKİN PRATİK UYGULAMALAR......................... 12

SÜREKLİ DENETİMİN YERLEŞTİRİLMESİ................................................... 15

EK – VAKA ÇALIŞMALARI ......................................................................... 23

YAZARLAR, GÖZDEN GEÇİRENLER VE KATKIDA BULUNANLAR ...... 32

1

Yönetici Özeti

Değişen mevzuat ortamı, artan küreselleşme, operasyonları iyileştirmeye yönelik pazar

baskısı ve hızla değişen iş koşulları, kurumlar için hem finansal hem de operasyonel verilere

yönelik sürekli denetim programları geliştirme ihtiyacı yaratmaktadır.Bu tür programlar, iç

denetim birimini, yönetişimden sorumlu kişilere etkili risk yönetimi ve kontrolü hakkında

sürekli güvence sağlama bakımından desteklemektedir.

Sürekli denetim; teknolojiyle desteklenen ve bir dizi örnek işleme dayanan dönemsel

(periyodik) risk ve kontrol değerlendirmelerinin, yerini daha çok işleme dayanan sürekli

değerlendirmelere bıraktığı yeni bir denetim paradigmasıyla kolaylaştırılan, süregiden risk ve

kontrol değerlendirmelerini kapsar. Sürekli denetim aynı zamanda, güvenlik seviyeleri, sistem

günlüğü oluşturma (logging), olaylar (incidents), yapılandırılmamış veriler ve BT

konfigürasyonlarında yapılan değişiklikler, uygulama kontrolleri ve görevlerin ayrılığına

ilişkin kontroller gibi iş sistemlerindeki aykırılıkları ortaya çıkarabilecek başka veri

kaynaklarının analizini de kapsar.

İç denetim departmanları, sürekli denetimler yoluyla etkinliklerini ve içgörü seviyelerini

önemli ve anlamlı düzeyde arttırabilirler. Sürekli denetimi yerleştirmek için atılması gereken

kilit adımlar aşağıdakileri içerir:

1. Bir sürekli denetim stratejisi oluşturma

2. Rutin kullanıma yönelik veri elde etme

3. Sürekli denetim göstergeleri oluşturma (süregiden risk değerlendirmesi ve süregiden

kontrol değerlendirmesi)

4. Sonuçları raporlama ve yönetme.

Ancak bir sürekli denetim programının tüm gücünü ortaya çıkarmak için, söz konusu sürekli

denetim programının, kurumun operasyonel yönetim ve gözetimsel yönetim fonksiyonlarınca

yürütülen sürekli izleme programlarıyla birlikte koordine edilmesi gerekmektedir.

Kurumlar, ideal olarak üç savunma hatlı bir risk yönetimi ve kontrol çerçevesi kullanırlar.1İlk

savunma hattı; riskleri üstlenen ve yöneten operasyonel yönetim fonksiyonlarını kapsar. İkinci

savunma hattı, riskleri denetleyen, mevzuata uyum ve risk yönetimi departmanları gibi

yönetim fonksiyonlarını içerir. Üçüncü savunma hattı ise, yönetişim, risk yönetimi ve iç

kontrolün etkinliği hakkında tarafsız güvence sağlayan, iç denetim fonksiyonudur. Sürekli

izleme çabaları ilk ve ikinci savunma hatlarının, politika, prosedür ve iş süreçlerinin etkili bir

şekilde işlediğini güvenceye almaya yönelik süregiden çabalarını da kapsar. Bu ise, beklenen

normlara uymayan faaliyetlere ve işlemlere dikkat çekmek üzere uygulanabilir kontrol

hedeflerinin ve güvence iddialarının belirlenmesini ve otomatik testlerin oluşturulmasını

içerir. İç denetim birimi; sürekli denetim faaliyetleri dahilinde, sürekli izleme (monitoring)

faaliyetlerini süregiden testlere tabi tutmak suretiyle, kuruma eşzamanlı olarak sürekli

güvence verebilir.

Sürekli denetim; denetim planı geliştirme, denetim görevi desteği ve denetim bulgularının

takibi için uygulanabilir. İç denetim yöneticileri (İDY); sürekli denetimin, iç denetçilerin

ihtiyaç duydukları kanıtların niteliklerini, zamanlamasını, prosedürlerini ve çaba seviyesini

değiştireceğinin farkında olmalıdırlar. Sürekli denetim, sürekli izleme ve sürekli izlemenin

1 IIA Görüş Açıklaması, Etkili Risk Yönetiminde ve Kontrolünde Üç Savunma Hattı.

2

denetim amaçlı test edilmesi faaliyetlerinin eşgüdümünün sağlanması; iç denetim ve

yönetimin sözkonusu süreçler için yaptıkları yatırımların karşılığını maksimum düzeyde

almalarına ve uyum (compliance) hedeflerine ulaşmasına yardım eder ve kurumun yapısal

sağlamlığını ve rekabetçiliğini geliştirmek ve iyileştirmek için bir fırsat sunar.

Eşgüdümlü bir çaba; risk yönetimi ve kontrolünde bulunan açıkların ve zafiyetlerin vaktinde

bildirilmesini sağlar ve vakitli takip ve sorun giderme çalışmalarının iyileştirildiği ve

geliştirildiği bir ortam yaratır. Kurumun sürekli izleme ve sürekli denetim çabalarının

eşgüdümünün sağlanması; kurumun veri, risk ve kontrollere ilişkin genel bilgisini ve

anlayışını geliştirebilir ve iç denetimin üst yönetime ve kurula etkili bir sürekli güvence

sunma kabiliyetini maksimum düzeye çıkarabilir.

3

GTAG – Giriş

Giriş

İç denetimin, risk yönetiminin ve iç kontrolün etkinliğinin değerlendirilmesine yaklaşımı,

döngüsel olarak yapılan kontrol testleri (çoğunlukla iş faaliyetleri gerçekleştikten aylar sonra)

göz önüne alındığında, geleneksel olarak geriye dönüktür (retrospektif). İç denetimin tarihsel

yaklaşımını değiştirmeye yönelik çabalarını iki faktör yönlendirmektedir:

Kurumun, hızları gittikçe artan değişikliklere ve ortaya çıkan risklere vaktinde cevap

vererek işe ayak uydurması gerekir.

Teknolojideki ilerlemeler süregiden risk değerlendirmelerini ve süregiden kontrol

değerlendirmelerini mümkün kılmıştır.

Bu rehberin ilk baskısı, IIA Global Teknoloji Denetim Rehberi (GTAG®) 3: Sürekli Denetim –

Güvence, İzleme ve Risk Değerlendirmesi; işlemlerin izlenmesine odaklanıyordu ve sürekli

denetim ile Treadway Komisyonu’nu Destekleyen Kuruluşlar Komitesi (COSO) İç Kontrol –

Bütünleşik Çerçeve (1992) arasında uyumu sağlıyordu. Bu ikinci baskı; sürekli denetimi ve üç

savunma hattını, etkili bir risk yönetimi ve kontrolü bahsinde birbiriyle ilişkilendirir ve sadece

işlem verilerini değil, aynı zamanda güvenlik seviyeleri, sistem günlüğü oluşturma (logging),

olaylar, yapılandırılmamış veriler, BT konfigürasyonlarındaki değişiklikler, uygulama

kontrolleri ve görev ayrılığı kontrolleri gibi diğer veri kaynaklarını da içerecek şekilde

odağını genişletir.

İş Açısından Önemi

Pek çok kurumda, yönetim ve kurul, bu üç savunma hattı arasında risk yönetimine ve

kontrolüne ilişkin görevlerin fiili veya algılanan mükerrerliğinin veya yapılan gözden geçirme

ve incelemelerin çakışmasının yarattığı bitkinliğin sinyallerini vermektedir. Sürekli denetim

aşağıdaki faaliyetler yardımı ile sözkonusu bitkinliği hafifletme potansiyeline sahiptir:

İç denetim biriminin gözden geçirme çabaları ile yönetim arasındaki dengeyi optimize

etme.

Kurumun kaynaklarının daha verimli kullanılmasını teşvik etme.

İç kontrollerin yeterliliğini değerlendirme ve yeterlilikle ilgili güvence verme maliyetini

azaltma.

Risklere ve kontrollere ilişkin bir süregiden değerlendirme sunma.

Açıklar ve zafiyetler hakkında vaktinde raporlama yaparak ivedi düzeltici müdahale

fırsatlarını arttırma.

İyileştirmeyi öncelikli hale getirmek için gereken esnekliği sağlama.

İş performansı, riskler ve mevzuata uyum konularının daha iyi anlaşılmasını ve

kavranmasını teşvik etme.

İç Denetimin, kontroller, riskler ve fırsatlar ile ilgili sürekli güvence sağlamasını mümkün

kılma.

İlgili IIA Rehberliği

Sürekli denetim, sürekli izleme ve sürekli güvence konularıyla ilgili olan Uluslararası Mesleki

Uygulamalar Çerçevesi (IPPF) aşağıda sayılanları içermektedir:

4

Standart 1210: Yeterlilik

İç denetçiler, kişisel olarak, sorumluluklarını yerine getirmek için gereken bilgi, beceri ve

diğer vasıflara sahip olmak zorundadır. İç denetim faaliyeti de, toplu olarak, kendi

sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmak

veya bunları edinmek zorundadır.

Standart 2010: Planlama

İç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim faaliyetinin

önceliklerini belirleyen bir risk esaslı plan yapmak zorundadır.

Standart 2120: Risk Yönetimi

İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine

katkıda bulunmak zorundadır.

Standart 2130: Kontrol

İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi

teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır.

2130. A1- İç denetim faaliyeti, kurumun yönetişim, operasyon ve bilgi sistemleriyle ilgili

risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak

değerlendirmek zorundadır:

Kurumun stratejik hedeflerine ulaşması,

Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,

Faaliyetlerin ve programların etkinliği ve verimliliği,

Varlıkların korunması,

Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.

Standart 2320: Analiz ve Değerlendirme

İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını uygun analiz ve değerlendirmelere

dayandırmak zorundadır.

Uygulama Önerisi (PA) 2320-4: Sürekli Güvence

GTAG 14: Kullanıcılar Tarafından Geliştirilen Uygulamaların Denetimi

GTAG 16: Veri Analizi Teknolojileri

5

Kilit Kavramlara İlişkin Tanımlar

Birinci Savunma Hattı –Riskleri üstlenen ve onları idare eden operasyonel yönetim

fonksiyonlarıdır.

İkinci Savunma Hattı – Risk yönetimi ve mevzuata uyum gibi konuların risk gözetimini

yapan fonksiyonlardır.

Üçüncü Savunma Hattı- bağımsız güvence sunan bir iç denetim fonksiyonudur.

Bilgisayar-destekli Denetim Teknikleri (CAAT) -genelleştirilmiş denetim yazılımı, denetim

yardımcı yazılımları, test verileri, uygulama yazılımı izleme ve haritalama (tracking and

mapping) ve uzman denetim sistemleri gibi, iç denetçilerin bilgisayarlı bilgi sistemlerinin

içine kurulu kontrolleri ve bilgisayar dosyalarında bulunan verileri doğrudan test etmelerine

yardım eden otomatik denetim teknikleri (İç Denetim Güvencesi & Danışmanlık Hizmetleri,

3. Basım, IIA Araştırma Vakfı (The IIA Research Foundation).

Konfigürasyon– yetkilendirmeyi, işlem verilerinin doğruluğunu ve tamlığını şart koşan

kontrol ayarları, güvenlik seviyeleri, parametreleri ve referans verileri. Konfigürasyon

seçenekleri sistem fonksiyonunu, performansını ve otomatik kontrolleri etkiler.

Sürekli Güvence –İç denetim birimi tarafından uygulanan sürekli güvence; sürekli denetim ile

birinci ve ikinci savunma hatlarının sürekli izleme fonksiyonunun test edilmesinin

kombinasyonudur.

Sürekli Denetim –Teknoloji-destekli süregiden risk ve kontrol değerlendirmelerinin

kombinasyonudur.Sürekli denetim; iç denetçilerin bir konuyla ilgili geleneksel geriye dönük

(retrospektif) yaklaşıma kıyasla çok daha kısa bir sürede raporlama yapmalarını sağlamak

üzere tasarlanmıştır.

Sürekli İzleme – İç kontrollerin etkili bir şekilde yürütülüp yürütülmediğini süregiden bir

şekilde izleyen bir yönetim sürecidir (PA 2320-4: Sürekli Güvence).

Süregiden Kontrol Değerlendirmesi – Teknoloji-temelli denetim tekniklerinin kullanımıyla,

iç kontrollerin mevcut durumunun, baz alınan koşula ve kontrol konfigürasyonlarında yapılan

müteakip değişikliklere kıyasla süregiden bir şekilde değerlendirilmesi .

Sürekli Risk Değerlendirmesi –İşletme hedeflerine ulaşılması açısından tehdit oluşturan

risklerin teknoloji-temelli denetim teknikleri kullanılarak süregiden bir şekilde tespit edilmesi

ve değerlendirilmesi.

Teknoloji-temelli Denetim Teknikleri – Genelleştirilmiş denetim yazılımları, test verisi

üreticileri, bilgisayarlı denetim programları, özel denetim yardımcı yazılımları ve CAATlar

gibi herhangi bir denetim aracı. (İç Denetimin Mesleki Uygulamasına İlişkin Uluslararası

Standartlar).

İşlemsel Veriler–Sipariş, fatura veya ödeme gibi genellikle bir iş süreciyle veya ekonomik bir

olayla ilgili dinamik detaylı veri akışıdır.

Yapılandırılmamış Veriler–Bir çalışma tablosunun veya veritabanının belirli bir alanıyla

sınırlandırılmamış verileri ifade eder. Sürekli denetim ve sürekli izleme teknikleriyle

6

sorgulanabilecek yapılandırılmamış veri örnekleri arasında metinler, ses dokümanları,

videolar veya multimedya verileri bulunmaktadır.

Görevler ve Sorumluluklar

Sürekli güvence sağlamak amacıyla sürekli denetim ile sürekli izlemenin uygulanması ve

aralarında eşgüdüm oluşturulması Tablo 1’de ana hatlarıyla belirtildiği gibi, görev ve

sorumlulukların açık bir şekilde anlaşılmasını gerektirir.

Tablo 1: Sürekli Güvenceye İlişkin Görev ve Sorumluluklar

GÖREV SORUMLULUKLAR

İç Denetim Yöneticisi

(İDY) İç denetçilerin kabiliyetleri ve yeterliliklerinin, kullandıkları araçların yeterliliğinin, veri güvenliği

düzenlemelerinin ve gerekli bütçenin sağlandığından emin olarak sürekli denetim faaliyetleri için

güvenilirliği tesis etmek. İç denetim biriminin ve yönetimin görev ve sorumlulukları konusunda iç denetçilere, üst yönetime ve

kurula eğitim vermek. Paydaşların desteğini arttırmak amacıyla çok-yıllık bir stratejiye bağlı kalmak. İç denetimin, sürekli izlemenin etkinliğine ilişkin değerlendirmesinin sonuçlarının iletimini sağlamak.

İç Denetim (Üçüncü

Savunma Hattı) Sürekli denetimi birinci ve ikinci savunma hatlarıyla birlikte planlamak. Sürekli denetimi gerçekleştirmek:

o İddialar ve işletme hedefleri ile mantıksal analiz (analitik) arasında ilişki kurmak. o Risk faktörleri ile kontrol faaliyetlerini birbiriyle uyumlu hale getirmek. o Güvenilir bir danışman olarak, ortaya çıkan işletme risklerini değerlendirmek suretiyle

(işletmeye) değer katmak. Sürekli izlemeye ilişkin denetim testi yapmak. Tamlık, doğruluk ve güvenlik gibi denetim hedefleriyle ilgili sürekli güvence sağlamak. Etkili veri güvenliği düzenlemelerini sürdürmek.

Yönetim (Birinci ve İkinci Savunma

Hattı)

Risk yönetimi ve kontrolünün yeterliliğini ve etkinliğini değerlendirmek amacıyla bir sürekli izleme

faaliyeti tasarlamak ve uygulamak. Süreç uzmanlığından faydalanmak ve riske karşı harekete geçmek. Temel sebepleri (root cause) hedef

alan yönetim çözümleri geliştirmek ve yerleştirmek. (hayata geçirmek). Yönetimin harekete geçme süresini kısaltmak.

GTAG - Temel Sürekli Güvence Çerçevesi

Temel Sürekli Güvence Çerçevesi

Temel sürekli güvence çerçevesi; iç denetim biriminin sürekli denetim sürecini ve sürekli

izleme faaliyetine ilişkin denetim testini kapsar. Etkili risk yönetimi ve kontrol konusunda

üçüncü savunma hattı olarak, iç denetim birimi, kontrol çerçevesinde ilgi gerektiren alanları

tespit ederek, sırası geldiğinde uygulanabilir en yüksek hedef güvencesini kuruma sunmaya

gayret eder.

7

Şekil 1: Temel Sürekli Güvence Çerçevesi

Sürekli Denetim

Sürekli denetim; genelleştirilmiş denetim yazılımı, denetime özel yazılımlarla geliştirilen

çalışma tablosu yazılımı veya komut dosyaları, özel denetim yardımcı yazılımları, CAAT

(Bilgisayar Destekli Denetim Araçları), piyasadaki paket çözümler ve ihtiyaca özel

geliştirilmiş üretim sistemleri gibi teknoloji-temelli denetim teknikleriyle desteklenen

süregiden risk ve kontrol değerlendirmeleri yoluyla gerçekleştirilir.Teknoloji-temelli denetim

tekniklerinin aşağıda belirtilen konuların optimize edilmesi açısından kilit bir rol

oynayabilmeleri için esnek ve ölçeklenebilir nitelikte olmaları gerekir:

İstisnai ve anormal durumların zamanında tespiti

İz (pattern) ve trend(eğilim) analizi

Sınır değerlerine kıyasla detaylı işlem analizi.

Kontrollerin test edilmesi.

Emsaller (akranlar) arasında karşılaştırmalı analiz.

Sürekli denetim, sistemleri; değişiklikler, güvenlik, ortaya çıkan durumlar (incident),

aykırılıklar ve işlemler bakımından analiz ederek, risk göstergelerini tespit etmek ve BT

operasyonlarındaki, BT uygulamalarındaki ve iş süreçlerindeki risk parametrelerini

değerlendirmek için bir yol sunar. Sürekli denetim; iç denetçilerin, verilerin mevcudiyeti ve

işe yararlığı hakkında yorum yapma, uygulama kontrollerini anlama ve otomasyon yoluyla iş

süreçlerini optimize etme kabiliyetlerini arttırır. Etkili bir şekilde kullanıldığında sürekli

denetim:

8

karar vericilerin kullandıkları bilgilerin güvenilir olup olmadıklarını belirleme

amacıyla; tamlık, doğruluk ve yetkilendirme gibi denetim hedeflerine ve bunlarla

ilgili iddialara odaklanır.

ortaya çıkan risk ve kontrol zafiyetlerini saptayabilir.

Temel sürekli güvence çerçevesi kapsamında (syf.7 Şekil 1’e bakınız) sürekli denetim ve

sürekli izleme arasında herhangi bir çakışma yoktur ve ilk ve ikinci savunma hatlarında

sürekli izleme faaliyeti bulunmasa dahi sürekli denetim gerçekleştirilebilir. Ancak sürekli

denetimin uygulanması için gereken olanakların bulunduğu her yerde sürekli izleme

olanakları da mevcuttur. Sürekli izleme olanakları mevcut olup ancak yönetim tarafından

uygulanmıyorsa, bir denetim gözlemi veya tavsiyesi imkânı söz konusu olabilir.

Süregiden Risk ve Kontrol Değerlendirmeleri

Güvence vermeyi sürdürmek ve geleneksel denetim görevleri arasındaki süreyi potansiyel

olarak uzatmak amacıyla, süregiden risk ve kontrol değerlendirmeleri bir arada çalışacak

şekilde tasarlanmalıdır.

Süregiden Risk Değerlendirmesi

Süregiden risk değerlendirmesine; öncül göstergeler, performans ölçütleri, kalite kontrolü ve

görev ayrılığı da dâhil, yönetimin izleme çabalarının sonuçlarına ilişkin bir gözden geçirme de

dâhil edilmelidir. Süregiden risk değerlendirmesi, teknoloji-temelli denetim teknikleri

kullanarak aşağıda sayılan amaçlarla sürekli olarak riskleri tespit eder ve değerlendirir:

Kendi geçmiş performansına kıyasla ve işletme içerisinde faal olan diğer süreçlerle

veya sistemlerle karşılaştırmalı olarak, tek bir süreç içerisindeki trendleri,

karşılaştırmaları ve aykırılıkları analiz etmek ve incelemek.

Yönetimin risklere ne derece iyi cevap verdiğini ve ortaya çıkmakta olan risklere

ilişkin ileriye dönük bir bakış açısını ne derece sağladığını göstermek için aykırılıkları

birbiriyle ilişkilendirmek ve analiz etmek.

Denetim kapsamının odağını belirlemek açısından potansiyel risk maruziyetlerini

vurgulamak (dönemsel veya gerçek-zamanlı)

Hâlihazırda artan miktarda risk alıyor veya anormal bir hızda değişiyor olma olasılığı

bulunan işletme birimlerinde, bölgelerde veya süreçlerde aykırı değerleri tespit etmek.

Kontrollerin bulunmadığı veya yeterli olmadıkları alanları öne çıkarmak ve böylece iç

denetçileri spesifik alanlarda daha kapsamlı ve titiz kontrol değerlendirmeleri

yapmaya yönlendirmek..

İş açısından kritik çalışma tablolarını ve kullanıcılar tarafından geliştirilen diğer

uygulamaları yönetmek.2

Gelecekteki riskleri tahmin etmek ve öngörmek.

Süregiden risk degerlendirmesi sonuçları, denetim planına ve süregiden kontrol

değerlendirme faaliyetlerine girdi teşkil eder.

2 Daha fazla bilgi için, “GTAG 14:Kullanıcılar Tarafından Geliştirilen Uygulamaların Denetimi.

9

Süregiden Kontrol Değerlendirmeleri

Süregiden kontrol değerlendirmeleri; iç kontrolleri sürekli olarak baz alınan koşul ile ve

kontrol konfigürasyonlarında yapılan müteakip değişikliklerle kıyaslayarak değerlendirir ve

Şekil 2’de gösterildiği gibi otomatik kontroller, BT genel kontrolleri ve manuel kontroller

arasındaki ilişkiyi dikkate alır. Her durumda, denetçi alışılmadık izlerin (pattern)veya

aykırılıkların mevcut olup olmadığına bakmalıdır. Devamlı kontrol değerlendirmesi;

İDY’lerin kontrol ihlalleri veya eksiklikleriyle ilgili yönetime erken bir uyarıda bulunmalarını

sağlar.

Şekil 2: Süregiden Kontrol Değerlendirmesi

İş Süreci

Kontrol Hedefleri

Otomatik (Uygulama) Kontrolleri

Değişiklikler

Güvenlik

Olaylar (incidents)

Aykırırılıklar ve İşlemler

BT Genel Kontrolleri: Veritabanı

İşletme Sistemi

Ağ

Devamlı kontrol değerlendirmelerinin gerçek zamanlı olarak yürütülmesi gerekmez. Analiz

sıklığı risk seviyesine, iş süreci döngüsüne ve yönetimin kontrolleri izleme derecesine göre

belirlenmelidir. Örneğin:

Kartlı satışların analizleri, kredi kartı şirketinden işlem listesi alındıktan sonra, ayda

bir kez yapılabilir.

Bordro (kontrolleri), her ödeme döneminde doğrudan maaş yatırım işlemleriyle

eşzamanlı olarak işleme konabilir.

Çift fatura veya ödeme olup olmadığına dair testler her gün yapılabilir.

Otomatik kontrollerde yapılan değişiklikler nadir olmaktadır ve BT rutin serbest

bırakma döngüsüyle eşzamanlı olarak izlenebilir.

İşletim sistemine yapılan yamalar üç ayda bir incelenebilir.

Bazı durumlarda, bir denetçi ilk kontrol testini yapabilir ve izleme görevinin yönetime

geçişini sağlayabilir.

Sürece göre düzenlenen Süregiden kontrol değerlendirmesi sonuçları,

Denetim hedeflerini desteklemelidir.

Aşağıda belirtilenleri bildirmelidir:

o Güvenliğe ilişkin imkân ve kabiliyetler gibi kilit kontrol durumlarını

o Otomatik kontrollerde yapılan değişiklikler

Kontrol Hedeflerini Tanımlayın:

Yetki

Tamlık

Doğruluk

Kilit Kontrolleri Belirleyin

Baz Alınan Koşul ile ilgili Kontroleri Değerlendirin

(Hâlâ Aktif ve İşler Durumda)

ve Müteakip Değişiklikler için Ölçün

10

Sürekli İzleme

Yönetim sürekli izleme kapasitesini üstlenmeli ve uygulamalıdır. Yönetimin kontrolleri

sürekli izlemek için kullandığı tekniklerin çoğu, iç denetçilerin kullandıkları sürekli denetim

tekniklerine benzerdir. Sürekli izleme ilkeleri arasında:

Amaç – işletme hedefini ve kritik başarı faktörlerini dikkate alın.

Risk –kurumun başarısını önleyecek olası engelleri belirleyin.

Cevap – çeşitli veri kaynaklarını birbiriyle karşılaştırın ve yapılandırılabilir koşullar,

değişiklikler, sistem olay günlüğü (event logging), finansal işlemler ve

yapılandırılmamış veriler gibi yeni ortaya çıkan riskleri keşfedin ve kanıtlarla

destekleyin.

Zamanlama – kontrol sorunlarını gerçek zamanlı olarak tespit edin.

Eylem – Düzeltici eylem için eksiklikleri takip edin.

Etkili kullanıldığında, sürekli izleme,

Kontrol sorunlarını vakit kaybetmeden tespit etme ve azaltma kabiliyetini arttırabilir.

Hata ve suiistimal olaylarını azaltabilir.

Operasyonel verimliliğini arttırabilir.

Maliyet tasarrufu sağlamanın yanı sıra fazla ödemeleri ve gelir kayıplarını azaltarak

karlılığı iyileştirebilir.

İyileşen müşteri hizmetleri kalitesi ve bütünlüğüyle müşteri memnuniyetini arttırabilir.

11

GTAG - Optimize Edilmiş Sürekli Güvence Çerçevesi

Optimize Edilmiş Sürekli Güvence Çerçevesi

Bazı durumlarda, iç denetçiler, risk yönetimini ve kontrol süreçlerini oluşturmaya yardım

ederek riskleri ve kontrolleri üstlenen ve yöneten fonksiyonlara (savunmanın birinci hattı) ve

riskleri ve kontrolleri izleyen ve denetleyen fonksiyonlara (savunmanın ikinci hattı) yardımcı

olabilir. Teknoloji destekli sürekli denetim teknikleri, sürekli izleme çabalarının birinci ve

ikinci savunma hattında benimsendiklerinde ve bu sürekli izleme çabalarının

güvenilirliklerinden ve risklere karşı duyarlılıklarından emin olunduğunda, sürekli güvence

optimize edilmiş olur.

Şekil 3: Optimize Edilmiş Sürekli Güvence Çerçevesi

Yönetim, sürekli denetim tekniklerini, sürekli izleme için benimsediğinde, ince bir ayrım

çizgisi ortaya çıkmaktadır; çünkü sürekli izleme ile sürekli denetim arasında ve ikinci ve

üçüncü savunma hattı arasında bir çakışma potansiyeli bulunmaktadır. Sürekli denetim

teknikleri yönetime geçtiğinde, iç denetçilerin sürekli izlemeyle ilgili bir sahiplik rolü

üstlenmemelerine dikkat edilmelidir; zira aksi durumda tarafsızlıklarının zedelendiği

varsayılabilir.

Sürekli Denetim/Sürekli İzleme İlişkisi

Sürekli denetim ve sürekli izleme arasında ters bir ilişki vardır. Üç savunma hattının tamamı

risk yönetiminin ve kontrolünün ölçülmesine ve güçlendirilmesine katkıda bulunur. İç

denetim; yönetimin ortaya koyduğu sürekli izlemenin yeterliliği ve tutarlılığını baz alarak

sürekli denetimin kapsamını ayarlamalıdır. Birinci ve ikinci savunma hatlarının ortaya

koyduğu sürekli izlemede eksikler veya tutarsızlıklar varsa, iç denetim birimi, syf. 12 şekil

4’te gösterildiği gibi, sürekli denetim çabalarını buna uygun olarak arttırmalıdır.

12

Şekil 4: Sürekli Denetim ve Sürekli İzleme Çabaları Arasındaki İlişki

Yönetimin sürekli izleme çalışmalarını yerleştirmediği alanlarda, denetçiler, sürekli denetim

tekniklerini kullanarak detaylı testlerin kapsamını genişletmelidirler. Birinci ve ikinci

savunma hattı uçtan uca iş süreçlerinde kapsamlı bir şekilde sürekli izleme çalışması

yürütüyorsa, iç denetim biriminin, aksi durumda sürekli denetim kapsamında uygulanacak

detaylı tekniklerin aynısını uygulamasına gerek olmayabilir. Bunun yerine, iç denetçiler

sürekli izleme sürecinin güvenilir olup olmadığını belirlemeye yönelik prosedürler

uygulamalıdır. Bu prosedürlerin kapsamında aşağıda sayılanlar yer alır:

Tespit edilen anormalliklerin ve bunlara karşı yönetimin cevabının gözden geçirilmesi.

Yönetimin iyileştirme tedbirlerini yürürlüğe koymak ve sürdürme kararının gözden

geçirilmesi.

Sürekli izleme sürecinin kendisine ilişkin kontrollerin gözden geçirilmesi ve test

edilmesi:

o Güvenlik

o Değişiklik kontrolü

o BT operasyonları

Bu prosedürler, CAAT’lerin güvenilirliğini değerlendirmeye yönelik normal denetim

sürecinde uygulanan BT genel kontrol testlerine ve gösterilen özene benzer prosedürlerdir.

GTAG-Sürekli Denetime Yönelik Pratik Uygulamalar

Sürekli Denetime Yönelik Pratik Uygulamalar

Sürekli denetim; denetim faaliyetlerini denetim süreci boyunca destekler. Şekil 5’te

gösterildiği gibi, denetim planı geliştirme, denetim görevi desteği ve denetim önerisi takibi

gibi faaliyetlere sürekli denetim uygulanabilir.Bunun yanı sıra, İDY; risk yönetimi, mevzuata

uyum, etik ve güvenlik gibi sürekli denetimle güçlü bağlantıları olan birkaç ikinci savunma

hattı fonksiyonunun mevcut olduğunun farkına varmalıdır. İç denetim birimi; sürekli

denetimin, ikinci savunma hattı fonksiyonlarını değerlendirmek ve bu fonksiyonların ürettiği

bilgileri kullanmak için nasıl geliştirilip güçlendirilebileceğini belirlemelidir.

13

Denetim Planı Geliştirme

Denetim planı geliştirme aşamasında, sürekli denetim, denetçilerin risklere karşı daha duyarlı

bir denetim evreni oluşturmalarına ve sürdürmelerine yardım eder. Denetimler; bir, iki veya

üç yıllık standart çevrimlere göre planlanmak yerine, denetimlerin sıklığı; risklere,

komplekslik düzeyine, risklerin yaygınlığına ve değişiklik hızına göre belirlenmelidir. Sürekli

denetim; iç denetimin risklerdeki ve potansiyel risk maruziyet durumlarındaki değişiklikleri

çok çabuk tespit etmesine yardım eder.

Süregiden risk değerlendirmesinin Uygulanması

Veri analizleri; özel denetimlerin veya alanların plana dâhil edilmesini sağlamak amacıyla

öncül göstergelerin geliştirilmesini desteklemek için kullanılır. Örneğin, öncül göstergelerin

işaret ettiği süregiden risk değerlendirmesi;ziyaret edilecek yerleri seçmek, denetim

hedeflerine ve kapsamına odaklanmak, yıllık denetim planına özel denetimleri veya

kuruluşları dâhil etmek veya riskin yeterli bir açıklama olmadan önemli ve anlamlı düzeyde

arttığı bir kuruluşun süreçlerinin vakit kaybetmeden akışları boyunca incelenmesi

(walkthrough) için geniş kapsamlı bir denetimle güçlendirilebilir. Denetim planı geliştirme

sırasında Süregiden risk değerlendirmesine yönelik pratik uygulamaların örnekleri arasında:

Denetim planları geliştirmeye ilişkin daha stratejik bir bağlam uygulanması ve risk

profilleri değiştiğinde, planda Süregiden düzenlemeler yapılması.

Sınırlı miktardaki yüksek vasıflı denetim kaynaklarının, kurum için en büyük risk

maruziyetlerini temsil eden aykırılıklara tahsis edilmesi.

Yönetimin risk hafifletme faaliyetlerinin değerlendirilmesi.

İç denetim evreni için odak alanlarının ve stratejik temaların geliştirilmesi.

Tek tek her denetim görevinin kapsamı ve hedefleri.

Bir işletme denetim planı geliştirmek için, süregiden risk değerlendirmesini güçlendirmek ile

bir denetim görevini desteklemek arasındaki en önemli fark gereken bilgilerin ayrıntı

seviyesidir. Denetim planı geliştirirken, aykırılıkları tespit etmek ve kaynakları buraya

yönlendirmek için özet düzeyde bilgiler yeterli olabilir. Buna karşın, bir iç denetim görevinin

kapsamını ve hedeflerini desteklemek amacıyla riskleri tespit etmek ve kontrolleri test etmek

için muhtemelen daha ayrıntılı bilgiler gerekecektir.

Şekil 5: Denetim Süreci Boyunca Sürekli Denetim

14

Denetim Görevi Desteği

Sürekli denetim; denetimin saha çalışmasının çok önemli ve gerekli bir parçası olabilir ve

sürekli denetim teknikleri genellikle denetim görevleri sırasında gelişir ve olgunlaşır.

Denetçiler; risk etkenlerini keşfettikçe ve denetim analizlerini ve iyileştirme çabalarını

değerlendirdikçe sürekli denetim tekniklerini tasarlarlar ve değiştirirler. Sürekli denetim,

denetçilerin

Risklere daha iyi odaklanmaları için görev kapsamını geliştirmelerini,

Denetim hedefine sadece karşılaştırma verileri yoluyla ulaşılamadığı durumlarda

denetim testi yapmalarını,

Risk göstergelerini tespit etmek ve kritik kontrolleri değerlendirmek amacıyla verileri

daha detaylı incelemelerini ve

Anormal durumlar ve aykırılıklar üzerinden suiistimal, israf ve kötüye kullanım

belirtilerini saptamalarını sağlar.

Denetim analizleri ve sürekli denetim; kapsam, zamanlama ve amaç bakımlarından

birbirinden ayrılırlar.

Denetim analizleri normalde,

o Spesifik bir görevin kapsamına ve programına bağlıdır.

o Bir görevin kalitesini iyileştirmek için tasarlanmışlardır.

Yapılan analizlere ve önceki denetimlerden elde edilen derslere dayanan sürekli

denetim teknikleri; sistematik olarak ve sıklıkla bir denetim görevinin kapsamı veya

zaman programı dâhilinde veya ötesinde uygulanır ve trendler, izler (pattern) ve

aykırılıklar hakkında zamanında bildirimlerde bulunurlar.

Süregiden risk değerlendirmesinin Uygulanması

Bir görev sırasında, iş sürecini daha iyi anlamak için Süregiden risk değerlendirmesi

kullanılabilir. Örneğin, alacaklılar hesabı (AP) konusunda, ödeme türlerinin incelenmesi ile,

elektronik fon transferlerinin bir AP ofisi tarafından yapıldığı ve çeklerin bir başka AP ofisi

tarafından hazırlandığı öğrenilebilir.. Bu bilgi, denetçinin her bir tesisteki AP sürecinidaha iyi

anlamasını ve ilgili riski buna göre değerlendirmesini sağlar.

Süregiden Kontrol Değerlendirmelerinin Uygulanması

Bir denetim görevi sırasında süregiden kontrollere ilişkin pratik uygulamalar arasında,

İşlem verilerinin incelenmesi (örn. izin verilen limiti aşan veya yasaklı satıcıların yer

aldığı tüm satın alma kartı işlemlerine bayrak işareti konulması)

Konfigürasyonların değerlendirilmesi:

o Sistemlerin, konfigüre edilebilir otomatik kontrollerin ne durumda olduklarını

tespit etmeye yönelik sorgulanması. .

o Onay düzeylerinin ve erişim kapasitelerinin gözden geçirilmesi.

Program ve parametre değişikliklerinin değerlendirilmesi.

Olay ve hata yönetiminin incelenmesi.

Özetlenmiş verilerin gözden geçirilmesi (örn. Bir kart sahibinin aylık toplam işlem

tutarının 10.000 Amerikan dolarından fazla olduğu ve kart sahibinin satın alma

biriminde yer almadığı durumlarda).

15

Karşılaştırmalı analiz kullanılması (örn. aynı iş sınıflaması dâhilinde yer alan

çalışanlara kıyasla toplam fazla mesai ödemesi miktarı ve aşırı ya da yetkisiz fazla

mesai tespit eşiği).

Defter-i kebir bakiyelerinin test edilmesi (örn. Silinen borçlarda artış yaşanması gibi

sıradışı durumları tespit etmek amacıyla bakiyesinde önceki yıla kıyasla %25’ten fazla

bir fark olan hesapların belirtilmesi suretiyle).

Satın alınan, stoklanan, üretilen veya satılan tüm maddeler için güncel malzeme

güvenliği veri sayfalarının tutulup tutulmadığına ilişkin mevzuata uyum testi.

Her durumda, denetçiler potansiyel nedeni değerlendirmek ve gereken takibi daha çabuk ve

potansiyel olarak daha kolayca yapmak için detayları hızlıca derinlemesine inceleyebilirler.

Denetim Bulgularının Takibi

Süregiden risk değerlendirmesininUygulanması

Denetim bulgularını takip etmek amacıyla Süregiden risk değerlendirmesini güçlendirmek ve

geliştirmek, sürekli iyileşme ve yükselen performansı güvence altına alma açısından güçlü bir

araçtır.Bir görev sonrasında, denetçiler, önerilerin hayata geçirilip geçirilmediğini ve

iyileştirme planlarının istenilen etkiyi yaratıp yaratmadığını belirlemek için süregiden risk

değerlendirmesini güçlendirebilirler.

Başarılı iyileştirme çalışmalarını değerlendirmek için yönetimin eylem planlarında

performans göstergeleri belirlenmelidir. Performans göstergeleri bir baz (başlangıç çizgisi)

oluşturmayı ve önerilerin yerleştirilmesinden (hayata geçirilmesinden) önce ve sonra

sonuçları karşılaştırmayı daha da kolaylaştırır. İdeal olarak sistematik bir biçimde

ölçülebilecek uygun göstergeler bulmak için denetçiler yönetimle işbirliği yapmalıdır.

GTAG - Sürekli Denetimin Yerleştirilmesi

Sürekli Denetimin Yerleştirilmesi

Sürekli denetimin başarılı bir şekilde yerleştirilmesi (hayata geçirilmesi); başlangıçta en kritik

işletme sistemlerini ele alan liderlik, değişim yönetimi ve aşamalandırılmış bir yaklaşım

gerektirir. Her kurumun kendisine özgü bir işleyişi olmasına karşın, sürekli denetim

geliştirilirken ve desteklenirken dikkatlice planlanması ve yönetilmesi gereken bazı ortak

faaliyetler bulunmaktadır (Bakınız Tablo 2).

16

Tablo 2: Sürekli Denetimin Yerleştirilmesine İlişkin Kilit Adımlar

SÜREKLİ DENETİMİN YERLEŞTİRİLMESİNE İLİŞKİN KİLİT ADIMLAR

1. BİR SÜREKLİ DENETİM STRATEJİSİ OLUŞTURUN

Birinci ve ikinci savunma hattı ile işbirliği yapın.

Öncelikler belirleyin ve yönetimin desteğini kazanın.

Süregiden göstergelerini tanımlamak için yıllık denetim planını uygun hale getirin.

2. RUTİN KULLANIM İÇİN VERİ ELDE EDİN

Üretim ortamının rutin erişime açılmasını sağlayın.

Analiz imkânları geliştirin.

Denetime ilişkin teknik becerileri ve bilgiyi oluşturun.

Veri kaynaklarının güvenilirliğini değerlendirin.

Verileri hazırlayın ve doğrulayın.

3. SÜREKLİ DENETİM GÖSTERGELERİ İNŞA EDİN

SÜREGİDENRİSK DEĞERLENDİRMESİ

Risk göstergeleri geliştirin.

Artan risk seviyelerini ölçmek için analizler

tasarlayın.

SÜREGİDEN KONTROL DEĞERLENDİRMESİ

Kontrol hedefleriyle bağlantı kurun.

Kilit kontroller belirleyin.

Baz alınan koşulu ve kontrollerde yapılan

değişiklikleri değerlendirin.

4. SONUÇLARIN RAPORLANMASI VE YÖNETİLMESİ

Yinelenebilir bir metodoloji oluşturun.

Sonuçları raporlayın.

Yönetim faaliyetini kolaylaştırın.

Sürekli izlemeye uyum sağlayın ve sürekli denetim stratejisini buna uygun hale getirin.

Tablo 2’de verilen faaliyetlerin sırası değişiklik gösterebilir ve belirli bir denetimi

desteklemek için sürekli denetim geliştirilirken, burada tanımlanmayan diğer faaliyetlerin

gerçekleştirilmesi gerekebilir.

Bir Sürekli Denetim Stratejisi Oluşturma

İDY , onaylanmış bir talimat, görev veya iç denetim tüzüğü yoluyla verilen yetkiyle hem kısa

vadeli hem de uzun vadeli bir sürekli denetim stratejisi oluşturmalıdır. Örneğin, kısa vadeli bir

strateji, mevzuata uyum denetimlerini desteklemek amacıyla sürekli denetimle ilgili giriş

niteliğinde tanıtıcı bilgiler içerebilir. Fakat iş performansındaki iyileşmeler gibi ek faydalar da

eşit derecede önemli ve anlamlı olabilir. Kilit faaliyetler ilerleyen kısımlarda belirtildiği

gibidir.

Birinci ve İkinci Savunma Hatlarıyla Koordinasyon

İş hattının ve BT’nin sürekli denetimle ilgili onayını ve desteğini teşvik etmek için birinci ve

ikinci savunma hatlarıyla işbirliği yapılmalıdır. İç denetim; uçtan uca iş sürecini ve birbirine

bağımlı BT kontrollerini ele almalıdır. İş sistemlerinin ve işlem verilerinin güvenilirliği

sadece iç kontrol çerçevesi ve finansal raporlamanın doğruluğu açısından değil, aynı zamanda

işletme operasyonlarının verimliliği açısından da azami önemdedir. Bu nedenle, iş

sistemlerinin ve verilerin güvenilirliğini, doğruluğunu ve kullanılabilirliğini güvenceye almak

İDY ve üst yönetim için kilit hedeflerden biri olmalıdır. Sürekli denetim, risk yönetiminin ve

17

kontrolünün değerlendirilmesini kolaylaştırmak suretiyle bu hedefe ulaşılmasına katkıda

bulunabilir.

Öncelikleri Belirleyin ve Yönetimin Desteğini Kazanın

Sürekli denetim; üretim uygulamalarına ve verilerine sürekli erişimin olmasını gerektirir.

Güvenilir teknolojiye sahip olmak, önemli yatırımlar yapılmasını ve yerleştirmek (hayata

geçirmek) için uzun yıllara dayanan çabaların ortaya konulmasını gerektirebilir. Bu yüzden,

kurulun ve üst yönetimin desteği olmazsa olmaz niteliktedir. İki veya daha fazla yıla

yayılacak şekilde aşamalandırılmış bir strateji, hızı ve beklentileri yönetmeye yardım edecek

ve sürekli denetim teknolojilerinin ve metodolojilerinin faydalarını adım adım ve istikrarlı bir

şekilde gösterecektir.

Süregiden Göstergeleri Tanımlamak için Denetim Planını Uyumlu Hale Getirin

Tedarikten Ödemeye veya Müşteriden Tahsilata gibi mega süreç alanları için bir yol haritası

geliştirin ve ardından sürekli denetim tekniklerini ilgili üç risk kategorisine göre gruplandırın:

BT operasyonları, uygulamaları ve iş süreci işlemleri. Risk ve kontrol göstergelerine ilişkin

spesifikasyonlar hazırlamak için denetim analizlerini geliştirin. Müteakip süregiden

değerlendirmelerde kullanmak adına, süreç alanlarını belirleyecek ve kilit risk göstergeleri

(KRI) ile kontrol tedbirlerini tanımlayacak bir iç denetim planı koordine edilmelidir. Denetim

ekipleri ve yönetim; planlanmış denetim görevleri sayesinde işletme hedefleriyle ilgili riskleri

ve kontrolleri değerlendiren öncül göstergeleri (leading indicators) ve artçıl (lagging)

göstergeleri işbirliğiyle değerlendirebilir. Daha sonra ileriye dönük spesifikasyonlar

geliştirmek amacıyla denetim görevi sonuçları güçlendirilmelidir (Şekil 6’ya bakınız).

Rutin Kullanım İçin Veri Elde Edin

Sürekli denetim tamamen teknik bir konu değildir. Ancak uzun vadeli başarı elde etmekiçin

kolaylaştırıcı teknolojilerin seçimi son derece önemlidir. Sürekli denetim stratejisi yazılım

çözümlerinin seçilmesine yol göstermelidir. İDY, sürekli denetim için gereken teknolojilerin

seçimi sırasında kurumun BT portföyünde yer alan teknolojileri ve imkânları dikkate

almalıdır. Program ile kurumun bilişim ortamı ve kilit işletme sistemlerine dair gelecek

planları arasında bağlantı kurmak önemlidir. Denetime özel analitik yazılım çözümleri

esneklik sağlar ve ana bilgisayarlarda bulunan mevcut sistemler, müşteri/sunucu, İnternetle

etkinleştirilen sistemler veya SAP, Oracle ve diğer çekirdek iş sistemleri gibi işletme kaynak

uygulamaları da dâhil çeşitli veri türlerini okuyabilir. Daha fazla bilgi için, IIA GTAG 16:

Veri Analizi Teknolojileri başlıklı rehbere bakınız. Kilit faaliyetler aşağıda belirtilen şekilde

tanımlanmaktadır.

Üretim Ortamına Rutin Erişim Oluşturun

İç denetim biriminin, işletme sistemlerinin verilerine erişiminin ve bu verileri kullanmasının

üretim ortamının ve ilgili sistemlerin çalışma performansını olumsuz etkilemediğini ve

denetim teknolojisinin işletmenin BT ortamıyla uyumlu olduğunu doğrulamak için İDY

yönetimle işbirliği yapmalıdır. İç denetim, ilgili gizlilik mevzuatını3 değerlendirmeli ve

üretim ortamında uygulanan standartları karşılayan veya onların ötesine geçen gizlilik ve

güvenlik standartlarını sağlamalıdır.

3 Daha fazla bilgi için, IIA Uygulama Rehberi’nin “Gizliliğe İlişkin Risklerin Denetimi” bölümüne bakınız.

18

Analiz İmkânlarını Geliştirin

İzlemeyi faaliyete geçirmeden önce, sürekli denetim stratejisiyle ve işletme hedefleriyle

uyumlu olarak analiz imkânları oluşturun. Otomatik kayıtlarda yapılan değişiklikler, sistem

güvenliği, olaylar, aykırırılıklar ve işlemler gibi göstergelerden oluşan bir kombinasyona

dayanan sürekli denetim kanıtları, genellikle yeterince ikna edicidir.

Şekil 6: Risk ve Kontrol Göstergeleri için İleriye Dönük Spesifikasyonlar Geliştirin

İşletme sistemlerinin sahipleriyle yapılan görüşmeler; sürekli denetime en uygun transfer

yöntemini, programı ve veri protokolünü belirlemek konusunda iç denetçilere yardımcı

olabilir.

Denetim için Gereken Teknik Becerileri ve Bilgileri Oluşturun

Standart 1210 uyarınca, iç denetim biriminin sorumluluklarını yerine getirebilmesi için

gereken bilgileri, becerileri ve diğer yetkinlikleri ortaklaşa taşıması veya edinmesi gerekir.

Sürekli denetim geliştirilip sahaya yerleştirildikçe değişen düzeylerde BT uzmanlığına ihtiyaç

duyulacaktır. Örneğin, yerleştirme çalışmalarının ilk aşamalarında:

Parametre hassasiyeti, analiz derinliği ve başka faktörler çok sayıda bayraklanmış işlem

ortaya çıkarabilir. Kontroller iyileştirildikçe, analiz kusurları giderildikçe ve sürekli

denetim olgunlaştıkça, sonuçları ayırt etmek için gereken iş yükü azalacaktır.

Verilerin yorumlanması sırasında elde edilen sonuçlar hataya eğilimli olabilir.

Yanlışlıklar, işletme sistemlerinin yeterince anlaşılmamasından ve tanınmamasından

kaynaklanabileceği gibi yapılan testlerin doğasından da kaynaklanabilir.

19

BT uzmanlığını arttırmak için,

Kilit veri alanlarını ve veri unsurlarını gözden geçirin.

Verilere uygulanan fonksiyonlarca oluşturulan meta verileri gözden geçirin.

Verilerin zamanlamasının iyi olduğundan emin olun.

Söz konusu bilgi güncel mi?

Bu bilgi hangi sıklıkla güncelleniyor?

En son güncelleme ne zamandı?

Bilginin tam ve doğru olup olmadığını belirleyin.

Denetçinin varsayımlarını ve analizini uygulama programlayıcılarla doğrulayın.

Önceden yapılmış araştırmalar veya denetim raporları (örn. sentaktik, semantik ve

pragmatik veri doğruluğu) da dahil, makullük, düzeltme kontrolleri ve başka kaynaklarla

karşılaştırma gibi çeşitli testler yaparak verilerin doğruluğunu teyit edin.

İç denetim görevlerinden elde edilen bilgileri geliştirin.

Veri Kaynaklarının Güvenilirliğini Değerlendirin

Veri güvenilirliği, başarılı bir sürekli denetimin yerleştirilmesi açısından kritik öneme sahiptir

ve baz alınan denetim (başlangıç değerleriyle karşılaştırmalı olarak yapılan) ile

değerlendirilmelidir. BT genel kontrollerine tâbi bir üretim ortamından elde edilen veriler, son

kullanıcılar tarafından geliştirilen uygulamalardan elde edilen verilerden daha güvenilirdir.

Güvenilirlik seviyesi arttıkça, denetim riskini kabul edilebilir bir seviyeye indirmek için

gereken test ve doğrulama seviyesi azalır. Daha fazla bilgi için, GTAG 14: Kullanıcılar

Tarafından Geliştirilen Uygulamaların Denetimi başlıklı rehbere bakınız.

Verileri Hazırlayın ve Değerlendirin

Analiz öncesinde verilerin doğruluğunu güvence altına almak için sağlam veri onaylama

imkânları ve kriterleri geliştirin. Sürekli denetimin en güçlü yönlerinden biri, kurum içerisinde

çeşitli sistemlerden veri elde etmek ve daha ileri bir çapraz platform analizi için bu bilgileri

ilişkilendirmektir. Birbirinden farklı sistemlerden elde edilen verilerin birleştirilmesi,

güvenilir olmayan işlemleri bir kenara ayırmak ve verileri standart bir denetim formatında

hazırlamak için veri onaylaması yapılmasını gerektirir. Otomatik veri akışları onaylama

süresini kısaltabilir ve analiz sıklığını artırabilir.

Sürekli Denetim Göstergeleri Oluşturun

Denetim planına entegre edilmiş bir yol haritası oluşturun. Önceki geleneksel denetimlerden

çıkarılan derslere ve elde edilen spesifikasyonlara dayanan sürekli denetim teknikleri

tasarlayın ve oluşturun.

20

Süregiden risk değerlendirmesi

Standart 2120 ile uyumlu olarak, sürekli denetim, denetçilerin “risk yönetim süreçlerinin

etkinliğini değerlendirmelerini ve iyileştirilmesine katkıda bulunmalarını” sağlar. Süregiden

bir risk değerlendirmesi açısından kilit faaliyetler ve mülahazalar arasında:

Risk göstergeleri geliştirin:

o Riskleri tespit etmek, değerlendirmek ve onlara cevap vermek amacıyla kilit

işletme süreçlerini ve yüksek-riskli alanları destekleyen veriler kurumun çeşitli

düzeylerinde toplanmalı ve analiz edilmelidir.

o Kolayca ölçülebilen ve değişikliğe duyarlı risk göstergeleri geliştirmek için

işletme sahipleriyle ve BT uzmanlarıyla işbirliği yapın.

o Risk değerlendirmesi sonuçlarını, denetim planının yanı sıra münferit denetim

kapsamını ve hedeflerini de potansiyel olarak değiştirecek seviyede

güçlendirin.

Artan risk seviyelerini ölçmek için analizler tasarlayın.

o KRI’ler (Kilit Risk Göstergeleri)

Kuruluşun zaman içinde geçirdiği değişikliğin kapsamına

odaklanmalıdır (trend belirlemeyi kolaylaştırmak için KRI’ler

tasarlanmalıdır).

Süreç-odaklı öncül göstergeler ile belirti niteliginde (semptomatik)

artçıl göstergelerin bir kombinasyonu olmalıdır.

Yeterli sayıda tespit edilmelidir ki, rutin karşılaştırma sırasında

belirtilen risk toleransı seviyesini aşan düzeyde risk alan aykırı

oluşumlar izole edilebilsin.

Süregiden Kontrol Değerlendirmesi

Süregiden kontrol değerlendirmeleri; baz alınan koşulları ve ardısıra konfigürasyonda yapılan

değişiklikleri değerlendirerek, otomatik uygulama kontrollerine ve BT genel kontrollerine

ilişkin bağımsız bir analiz imkânı sağlar. BT kontrolleri; verilerde semptomatik hatalar ortaya

çıkmadan önce bozulduğu için, Süregiden kontrol değerlendirmesinin kullanımı İDY’lerin

kontrol ihlalleri veya eksiklikleri hakkında yönetime erken uyarı sunmalarını sağlar. Aşağıda

sayılanlar, süregiden bir kontrol değerlendirmesi gerçekleştirilirken dikkate alınan kilit

faaliyetler ve mülahazalardandır:

Diğer kontrol hedefleriyle ilişkilendirin.

o Mevcut denetim programının her adımını otomatikleştirme eğilimine karşı

durun. Bunun yerine, daha üst-düzey kontrol hedefleriyle ilişkili daha az analiz

tanımlayın.

o Süregiden kontrol değerlendirmesinin gerçek gücü; ilgili güvenceyi etkili bir

şekilde ve vaktinde sunmasında yatmaktadır.

o BT genel kontrolleri, otomatik kontrollerin süregiden güvenilirliğini

güvenceye aldığından, BT genel kontrollerinin ve otomatikleştirilmiş

uygulama kontrollerinin değerlendirilmesi, güvence verme ve uyum sürecini

optimize etme açısından ayrılmaz bir parçadır.

o Otomatik kontroller; işlemlerin doğruluğunu, tamlığını ve yetki dâhilinde

olmasını sağlayacak şekilde uygulamaların içine yapılandırılırlar. Kurum

21

yönetimi ve teknoloji uzmanlarıyla görüşmeler yaparak otomatik kontrollere

ilişkin bir birikim edinin.

Kilit kontrolleri belirleyin.

o Bir iş senaryosunu süreç boyunca inceleyin (walkthrough), ve hangi konularda

aksilikler yaşanabileceğini düşünün. Otomatik tekniklerin; işlemlerin

yetkilendirilmesini, tamlığını ve doğruluğunu kontrol etmek için sistem içinde

nasıl tasarlandıklarını ve konfigüre edildiklerini saptayın.

o Konfigüre edilmiş kontrollerin güncel ve baz alınan koşullarını belirlemek ve

tasarlandıkları kadar etkili çalışıp çalışmadıklarını değerlendirmek için

sistematik bir şekilde soruşturun.

o Otomatik ve konfigüre edilebilir kontrollerde çok sık olmaması gereken

değişiklikleri izleyin. İyi konfigüre edilmemiş veya sık değiştirilen otomatik

kontroller denetçilerin kontrol faaliyetlerinin etkinliğine duydukları güveni

azaltır.

Kontrollerin baz alınan koşullarını değerlendirin.

o Kilit iş süreçleri, ilgili kontrol hedefleri ve otomatik kontroller tanımlanır

tanımlanmaz, kritik kontrol noktalarını (en fazla etki/risk) belirlemek için

bunlar arasında sıralama yapın.

o Kritik kontrol noktaları konusunda, her kontrol hedefi için uygun analizler

tanımlayın.

o Konfigüre edilmiş otomatik kontrollerin güncel durumlarını baz alınan

durumla karşılaştırarak değerlendirin.

o Önceki baz alınan durum denetiminden bu yana konfigüre edilmiş otomatik

kontrol durumunun değişip değişmediğini saptayın.

o Konfigüre edilmiş otomatik kontrollerde yapılan değişikliklerin sıklığını ve

kapsamını değerlendirin.

o İşlem etkinliğini desteklemek için işlem istisnalarını birbirine. uyumluhale

getirin.

Örneğin, Şekil 7, müşteriden-tahsilata iş süreci için bir süregiden kontrol değerlendirmesini

göstermektedir.

Şekil 7: Müşteriden-Tahsilata Süregiden Kontrol Değerlendirmesi

22

Sonuçları Rapor Edin ve Yönetin

İç Denetim, sürekli denetim göstergelerini tasarlayıp oluşturduktan sonra, süregiden risk ve

kontrol değerlendirmelerini denetim evreniyle bağlantılı olarak programlamalıdır. Süregiden

değerlendirmeler; sürekli denetim tekniklerinin sonuçlarını analiz etmeli ve gerektikçe

dikkatlice inceleyip tavsiyeleri raporlamalıdır.

Ortaya çıkan ürünler, doğrudan bir grafikle karşılaştırmadan risk ve kontrole ilişkin veri

görüntüleme eğilimlerine kadar uzanabilir (lütfen eklere bakınız). Bu süreç tekrarlayan bir

süreçtir ve denetçiler birinci ve ikinci savunma hatlarıyla işbirliği yaptıkça sürekli

denetim/sürekli izleme konusundaki yetkinlik artar. Başarılı sürekli denetim/izleme

programları vaktinde karar vermeyi, koordine edilmiş eylem planlarını ve başarılı sorun

çözümlerini teşvik eder.

Tekrarlanabilir Bir Metodoloji Oluşturun

Sonuçların yönetimine ilişkin bir metodoloji, tespit edilen istisnaların zamanında ele

alındıklarını ve çözümlendiklerini güvenceye almak için, aşağıda sayılan adımları içermelidir:

1. Riskleri artan bir isabetle değerlendirmek için, istisnaları gözden geçirin ve ayırt edin.

2. Tasarım, uygulama veya her ikisindeki kontrol zafiyetlerini tespit etmek için, bir kök

neden analizi yapın. Sorunun temelinde yatan nedenleri ele almak; tekrarlanan

istisnaları engelleyebilir, daha iyi tavsiyeler verilmesini sağlayabilir ve sürekli denetim

metodolojisinin katma değerini vurgulayabilir.

3. Çözüm için bir tavsiye geliştirin.

4. Yönetimin çözüm için uygulamayı düşündüğü eylem planını kaydedin ve izleyin.

Sonuçları Raporlayın

Büyük boyutlu ve hassas bilgiler içeren dosyaları e-posta yoluyla göndermek yerine, sürekli

denetim sonuçlarının bir web sitesinde yayımlanması daha uygundur. Raporlama stratejileri;

sadece istisnaları bir ağ sürücüsü üzerinde bulunan paylaşımlı bir dosyaya aktarmaktan e-

posta bildirimlerine, iş akışı iyileştirme takiplerine, gösterge tablolarına (dashboard) ve veri

görüntülemeye kadar çeşitlilik gösterir. Birinci, ikinci ve üçüncü savunma hatlarının,

yönetimin ve kurulun ihtiyaçlarını karşılamak için çeşitli raporlama stratejileri kullanılabilir..

Sürekli denetim sonuçlarının raporlanması konusunda kilit önemdeki mülahazalar arasında

aşağıda sayılanlar yer almaktadır:

Bir ağ sürücüsüne sürekli izlemeyi ve sürekli denetimi desteklemek için gereken

ölçüde detaylı bir dizi kapsamlı raporu düzenli olarak yayımlamayı.

İstisnai sonuçları güvenli bir veritabanında saklamayı.

Eğilim bilgilerini web-tabanlı bir gösterge tablosunda veya ısı haritasında (heat map)

göstermeyi.

Yönetimin Faaliyetlerini Kolaylaştırın

Her eylem planının, iyileştirme aşamasından sorunun çözümüne kadar sorumlu bir sahibi

olmalıdır. İstisnai durumlar çözümlenmelerinin ardından betimlenmeli ve raporlanmalıdır ve

müteakip sürekli izleme faaliyeti, iyileştirmenin ne kadar iyi ele alındığını değerlendirmelidir.

23

Sürekli İzlemeyle Uyumlu Hale Getirin ve Sürekli Denetim Stratejisini Uygun Hale

Getirin.

Sürekli denetim; risk maruziyetindeki ve kontrol ortamındaki değişikliklere karşı esnekliğini

ve duyarlılığını korumalıdır. İDY Yeni önceliklere ve konulara ayak uydurmak için sürekli

denetim programı stratejisini yenilemelidir. Ek kontrol noktalarının veya risk maruziyetlerinin

ilave edilmesi gerekebilir ve diğerlerinin yönetimin sürekli izleme çabalarına geçişi

sağlanabilir. Zaman içinde, eşiklerin ve çeşitli analizler için öngörülmüş kontrol testlerinin ve

parametrelerin sıkılaştırılması veya gevşetilmesi gerekebilir. Hayata geçirilmesinin ardısıra

İDY ; sürekli izlemenin, yönetimin şirket çapında risk yönetimi ve performans ölçümü gibi

diğer projelerinde sağladığı faydaları kaydetmelidir. Denetçilerin ve diğer güvence

sağlayıcıların istifade ettikleri faydaların miktarının belirlenmesi; yatırım kazancını belgeler,

kurumun itibarını güçlendirir ve daha fazla yatırım ve stratejik kalkınma için fonlamaya

ilişkin haklı gerekçeler sunar.

GTAG - Ek – Vaka Çalışmaları

Ek - Vaka Çalışmaları

Bu ek; sürekli denetimin üç pratik uygulama alanını gösterir:

Vaka A.1 Uygulama Kontrollerine İlişkin Süregiden Kontrol Değerlendirmesi

Vaka A.2 Bir Personel Gider Sisteminin Süregiden Kontrol Değerlendirmesi

Vaka A.3 Bir Manuel Yevmiye (muhasebe) Kayıt Sürecine İlişkin Süregiden Risk

Değerlendirmesi

A.1 – Uygulama Kontrollerine İlişkin Süregiden Risk Değerlendirmesi

Uygulama kontrolleri; işlemlerin tamlığını, doğruluğunu ve yetki dâhilinde uygulanmasını

sağlamak üzere konfigüre edilir. Uygulama kontrollerinin otomatikleştirilmesi, aşağıdaki

soruları yanıtlamaları konusunda denetçilere ve uyum uzmanlarına yardımcı olabilir:

Otomatik kontrollerde hangi sıklıkla değişiklik yapılır?

Uygulama veya BT ekibi herhangi bir güncelleme veya yama uyguladı mı?

Herhangi bir önemli iş sürecinin konfigürasyonu değiştirildi mi?

Yapılan herhangi bir değişiklik uygulamanın çalışma şeklini etkileyebilir mi?

Bu sorulara verilecek yanıtlar daha ileri testlere ihtiyaç olup olmadığını ortaya çıkarır ve

denetim verimliliğini ve etkinliğini potansiyel olarak arttırır.

Bu vaka çalışmasında, uygulama kontrollerine ilişkin bir süregiden kontrol değerlendirmesi

ile kontrol testi mesaisinde bir önceki yıla kıyasla 6.000 iş saati azalma kaydedilmesi arasında

bir ilişki vardı. İç denetçiler; yönetim, BT, dış denetçiler ve uygulama sahipleri gibi kilit

paydaşların desteğini kazandıktan sonra, kontrol konfigürasyonunun, otomatik veri

özütlemenin (data extraction) ve kıyaslama (benchmarking) sonuçlarının kilit bileşenlerini

tespit ettiler.

24

Kontrol Konfigürasyonunun Kilit Bileşenlerinin Tespit Edilmesi

Süregiden kontrol değerlendirmesi yapılmasına yönelik atılan ilk adım; programlar, ekranlar,

web sayfaları ve tablolar dâhil uygulama kontrol fonksiyonunda içinde yer alan kilit

bileşenleri belirlemekti. Daha sonraki adımlar veri özütlemenin (data extraction) nasıl

otomatikleştirileceğini ve kontrollerin değiştirilip değiştirilmediğini belirlemekti.

Uygulamanın Veri Özütlemesini Otomatikleştirin

Piyasada çeşitli ticari veri özütleme araçları mevcuttur. Ancak söz konusu durumda, firmanın

kendisi tarafından geliştirilen bir veri özütleme aracı kullanıma hazırdı ve bu da, sürekli

denetimin yerleştirilme maliyetini düşürdü. Veri özütleme aracı seçildikten sonra, bazı

kararların alınması gerekiyordu:

Kontrol verilerinin, baz alınan verilerle karşılaştırılmak üzere uygulamadan hangi

sıklıkla alınması gerektiği,

Veri geçmişinin kim tarafından saklanması gerektiği ve nerede saklanacağı,

Kontrol verilerinin önceki baz alınan denetim verileriyle kıyaslanması sırasında,

uygulamada yapılan değişikliklerin önem ve anlamının değerlendirilmesinden ve

hangi kontrollerin yeniden test edilmesi gerektiğine karar verilmesinden kimin

sorumlu olacağı.

Şekil 8: Uygulama Kontrolleri – Karşılaştırma Raporu

Karşılaştırma Sonuçları

Veriler özütlendikten sonra, bir baz periyodu esas alınarak karşılaştırıldı. Karşılaştırma

raporu; baz periyodundan itibaren değişikliğe konu olan kilit otomatik kontrolleri ve

değişiklik türünü tanımladı (Şekil 8’e bakınız). İdeal olarak, uygulama kontrolleri

değiştirilmemelidir.

25

Denetçiler kilit öneme sahip kontrolleri seçtiler ve yapılan değişiklikleri değerlendirmek için

ayrıntılı inceleme yaptılar. Uygun olduğu durumlarda, karşılaştırma raporları, ya daha ileri

kontrol testlerinin gerekmediğine dair kanıt sunmak için ya da yeniden test yapılması

gerektiği tespitini desteklemek amacıyla denetim çalışma sayfalarına dâhil edildi. Bu yolla,

yapılan karşılaştırma (benchmarking) çalışması,mümkün olan durumlarda yönetimin sürekli

izleme çabalarıyla yeniden-test sürecine risk-temelli bir yaklaşım kazandırdı ve böylelikle

ilave bir verimlilik sağlamış oldu.

Süregiden kontrol değerlendirmesinin yerleştirilmesinin ardından, uygulama kontrollerinin

%58’inin geçerliliği test yapılmasına gerek duyulmadan onaylanabildi. Geriye kalan %42’i

içinden %16’sı yılın ilk yarısında test edildi ve %26’sı ise yılın ikinci yarısında yeniden test

edildi. Uygulama kontrolü testi için gereken zaman 6.300 iş saatinden 352 iş saatine düştü ki

bu da önceki yıldan yıla %94’lük bir düşüşe tekabül etmektedir (Şekil 9’a bakınız).

A.2 – Personel Gider Sistemine İlişkin Süregiden Kontrol Değerlendirmesi

Sürekli denetim; çok sayıda kullanıcının erişiminin bulunduğu yüksek hacimli sistemlere

uygulandığı zaman potansiyel olarak en fazla etkinliği gösterir. Bu durum, iç denetçilerin bir

personel gider sistemi denetimine sürekli denetim tekniklerini nasıl uyguladıklarını

göstermektedir.

Arkaplan ve Zorluklar

Personel gider sistemlerinin önceki denetimleri zaman alıyordu, işyükü bakımından ağırdı ve

denetim kapsamı da kimi zaman yaşanan kaynak sıkıntıları nedeniyle sınırlıydı. Personel

gideri sistemi; girilen verilerin kalitesini kontrol altında tutmak ve gider onaylama sürecini

başlatmak için çeşitli seviyelerde uygulanan çok sayıda otomatik kontrolün bulunduğu kural-

temelli bir sistemdi. Örnekler arasında şunlar yer almaktaydı:

Bir gider ibrazı kontrolü

o Aynı tarih, kategori ve miktar için çift gider girilirse, sistem kullanıcıya bir

uyarı verip yöneticinin aktif onayını talep ediyordu ve işlemin gözden

geçirilmesi için bayrak işareti koyuyordu.

Aktif onay kontrolleri:

o Riskli işlemler bir sorumlu tarafından gözden geçirilinceye kadar

bekletiliyordu.

o Bir çalışan kendi hazırladığı raporu kendisi onaylayamıyordu.

Kontroller, genellikle, sınırlamalar veya yetkiler hakkındaydı, ancak girilen verilerin

geçerliliğini veya doğruluğunu daima kontrol etmiyordu. Kasıtsız veya kasıtlı yanlış

kategorizasyon veya bir çalışanın sisteme girdiği yanıltıcı yorumlar tespit edilemeyebiliyordu.

Kural-temelli sistemin etkinliği,

Gider kalemini sisteme giren çalışanın hassasiyetine ve dürüstlüğüne,

Yöneticilerin söz konusu gideri zamanında gözden geçirip onaylamalarına veya

reddetmelerine bağlıydı.

26

Bu zorluklarla karşı karşıya kaldıklarında, iç denetçiler, gider işlemlerinin doğruluğunu ve

geçerliliğini test etmenin en iyi yolunu bulmaya çalıştılar.

Şekil 9: Tasarruf Edilen Toplam Çalışma Saati (Mesai)

Sürekli Denetim Çözümü

Özetle, iç denetçiler aşağıda belirtilenlere karar verdiler:

1. Kredi kartı işleminin detayları kartı çıkaran kuruluşta mevcuttu ve alınabiliyordu ve

elektronik gider sistemi verileriyle kartı çıkaran kuruluşun bilgilerinin karşılaştırılması

bu giderlerin geçerliliğine ilişkin daha iyi bir resim sunabilirdi.

2. Kartı çıkaran kuruluşun bildirdiği veriler elektronik gider sistemi verileriyle personel

numarası, faturalandırma tarihi ve miktarı bazında eşleştirildikten sonra, , gider

kategorizasyonu ve yorumlar, işlemin gerçekleştiği işyerinin koduyla ve işlem

açıklamasıyla karşılaştırılabilirdi. Örneğin, bir ayakkabı dükkânına ait işyeri koduyla

yapılan, ancak gider kaydında yemek olarak kayıtlı bir işlem tespit edilebilirdi.

3. Kartı çıkaran kuruluş; belirli satıcı sınıflarını hedeflemesi için isteğe göre

ayarlanabilen ve aylık veya üç aylık programlara göre çalıştırılabilen “şüphe

uyandıran raporlar” sundu.

Kontrol eksikliklerine, anormal durumlara ve olası suiistimal ve kötüye kullanım durumlarına

işaret eden kırmızı bayraklı işlemleri tanımlamak için kullanılan sürekli denetim tekniklerine

ait örnekler aşağıda sunulmaktadır. Burada miktarı belirtilmemesine karşın, raporlanan

değerlere bakıldığında, iç denetçiler önceki elektronik gider sistemi denetimlerine kıyasla,

veri elde etmek, veri analizi gerçekleştirmek ve sonuçları dikkatle incelemek ve gözden

geçirmek için gereken süreyi kısalttılar.

Şüpheli Harcama Parametreleri

İşyeri kodu, personel ve kuruluş bazında özetlenen tüm şüpheli harcamaların tanımlanması.

27

Kısıtlanmış İşletmelerde Şüpheli Harcamalar

Kısıtlanmış işletmelerde bir çalışanın harcamaları olarak geri faturalandırılan tüm gider

faaliyetlerinin tespiti. Kısıtlanmış işletmeler; yasal tedarikçi adları, adres eşleştirme ve gider

olarak kaydedilen faaliyetlerle şahsi faaliyetlerin bir arada kayıtlı olduğu tesisler, toplam para

değeri yüksek olan bölünmüş işlemler ve sınırlandırılmış faaliyetlere ilişkin anahtar sözcükler

(örn. çocuklar, hastane, gece kulübü, beyefendi, kumarhane, premium üyelik ve yükseltme)

gibi göstergelerle tespit edildi.

Yanlış Kategorizasyon Özeti

Asılsız bir şekilde yemek veya eğlence olarak kategorize edilmiş yemek-dışı tüm giderlerin

(örn. giysi giderleri) tespiti.

Sınırlandırılmış Kalemler

İşlem açıklaması bölümünde kısıtlanmış işletmelerle ilgili anahtar sözcüklerin (örn. çocuklar,

hastane, gece kulübü, beyefendi, kumarhane, premium üyelik ve yükseltme) tespit

edilmesi.Bu analiz türü, genellikle, bir veri analizi yazılımı kullanılmasını gerektirir.

28

Yasaklı Kelime İşlem Açıklaması 1 İşlem Açıklaması 2 Personel

Kimlik No.

Faturalandırma

Tarihi

Tutar

(ABD

Doları)

ÇOCUK KIDS TOON AMMAN JORDAN AMMAN 23.000 ÜRDÜN DİNARI

ÇEVRİLMİŞTİR

12345678 12-01-2015 32.49

HASTANE AL KINDI SPECIALIZED HOSPITAL WLL

MANAMA

5,000 BAHREYN

DİNARI ÇEVRİLMİŞTİR

34567891 22-01-2015 13.26

GECE KULÜBÜ BC OF NOLA 274600029 NEW ORLEANS LA REF# ID6155 BAR/

GECE KULÜBÜ15/01/15

23456789 12-01-2015 225.00

Başlıca Belgesiz Giderler

Faturasız ibraz edilen her gider kategorisinden yüksek meblağlı giderlerin tespit edilmesi.

Yaşadığı Şehirde Kart Hareketi

Kart hamilinin fatura adresinde veya yaşadığı şehirde ya da bu yerlerin civarında devam eden

kart hareketlerinin tespit edilmesi.

Otel Faturası

Harcama kalemi, çalışan ve otele göre özetlenen tüm şüpheli otel folyosu harcamalarının

tespit edilmesi. Bunlar, şirketin gider politikası gereği (personele) geri ödenmeyen, toplam

otel ücreti içinde gizlenmiş kalemleri içeriyordu.

Havayolu Ücretleri

Harcama açıklaması/kategorisi ile tedarikçinin ücret açıklaması arasında uyumsuzluğun söz

konusu olduğu tüm uçak seyahati harcamalarının tespit edilmesi. Mesela, havayolu veya bagaj

masrafı olarak kaydedilen koltuk veya kabin konfor sınıfını yükseltme gibi kalemler.

Borcu Vadesinde Ödenmemiş Kartlarda Şahsi Kart Hareketi

Daha önce borçları vadelerinde ödenmeyen hesaplarda devam eden tüm şahsi kart

hareketlerinin tespit edilmesi.

Şahsi ve Faturalandırılmayan Hesap Hareketi

Kart dökümlerinde yer alan ancak gider yazılmamış şahsi harcamaların, gider yazılmış nakit

harcamaların içeriği ile kıyaslanarak tanımlanması.

29

Bölünmüş Giderler

İşlemlerin eşik limitlerini atlatmak maksadıyla yapılma ihtimal bulunan bölünmüş giderlerin

tespit edilmesi. Bu analiz; aynı satıcıyla ve aynı ücretlendirme tarihinde gerçekleştirilen

işlemler aranarak yapıldı. Çift yazılmış olabilecek giderleri incelemede kullanılan yapısal

fonksiyonelliğe sahip veri analizi araçları oldukça faydalı görülmüştür.

Personel Kimlik

No.

Tedarikçi No. Tedarikçi Adı İşyeri Kodu Ücretlendirme

Tarihi

Tutar

(ABD Doları)

12345678 9945845279 EL ARRIERO

STEAKHOUSE

YEMEK YENEN

YERLER/RESTORANLAR

11-02-2015 450.00

12345678 9945845279 EL ARRIERO

STEAKHOUSE

YEMEK YENEN

YERLER/RESTORANLAR

11-02-2015 300.00

23456789 9903904407 WORLD CAR SA ARABA KİRALAMA – TÜMÜ 13-02-2015 225.00

23456789 9903904407 WORLD CAR SA ARABA KİRALAMA – TÜMÜ 13-02-2015 175.00

A.3 – Bir Manuel Yevmiye Kayıt (MYK) Sürecinin Süregiden Risk Değerlendirmesi

Süregiden süreç seviyesindeki bir risk değerlendirmesi,

İlgili başlangıç işleminden kaynaklanan yeni ve ortaya çıkmakta olan riskleri kısa bir

süre içinde tespit edebilir.

Denetçilerin anormal trendleri saptamalarına ve hem kümülatif etkiyi hem de risk

altındaki toplam değeri değerlendirmesine yardım edebilir.

Bu durum, iç denetim tarafından bir Süregiden MYK süreci risk değerlendirmesi geliştirmek

ve uygulamak için atılan adımlara dikkat çeker.

1. Süreci Anlamak

Süregiden bir risk değerlendirmesi geliştirmenin ilk adımı ilgili süreci tüm yönleriyle

anlamaktı. Bu durum için, denetçiler, tüm popülasyonu, mevcut raporları, standart olmayan

alanları ve diğer süreçlere bağımlılık durumunu anlayabilmek amacıyla kurum dışında

araştırmalar yaptılar ve hem yönetimden hem de süreç sahiplerinden konuyla ilgili bilgi

aldılar.Bir sonraki adım, MYK sürecini etkileyebilecek risk özelliklerini içeren bir veritabanı

prototipi oluşturmaktı.

2. Bir Risk Veritabanı Prototipi Oluşturmak

Bir risk veritabanı prototipi oluşturmak amacıyla analitik ve istatistik araçları geliştirilip

güçlendirildi. Bu veritabanı; veri doğruluğunu, tamlığını ve mantıksal isabetliliğini kontrol

eden yinelenen bir süreç izlenerek geliştirildi. Örneğin, MYK risk veritabanının özellikleri

arasında aşağıda sayılanlar bulunuyordu:

Risk Sonuçları

MYK’nın net kâr üzerindeki etkisi

MYK’nın gelir ve giderler üzerindeki etkisi

MYK’nın nakit ve diğer varlıklar üzerindeki etkisi

MYK’nın pasifler üzerindeki etkisi

30

Risk Göstergeleri

Üyeliği sona erdirilmiş veya yetkisiz kullanıcılar tarafından oluşturulan MYK’ler

Ay veya sene kapanışlarından sonra oluşturulan MYK’ler

Tatillerde oluşturulan MYK’ler

Yeterli görevler ayrılığı olmaksızın oluşturulan MYK’ler

Dokümantasyon veya onay olmaksızın gönderilen oluşturulan MYK’ler

Yüksek değerli MYK’ler

Bölünmüş işlem MYK’leri

3. İstatistiksel Teknikleri Kullanarak Bilinmeyen Riskleri ve Aykırılıkları Tespit

Etmek

Yeni riskleri ve ortaya çıkmakta olan riskleri tespit etmek amacıyla istatistiksel teknikler

uygulandı ve bu da sürpriz faktörünü potansiyel olarak azalttı. Grid, küme, Benford Yasası,

regresyon ve “olursa-ne-olur” analizleri (What-if analysis) yapıldı.

Grid analizi; popülasyonu iki bağımsız değişken olan %MYK ve dolar mizanına (TB$)

göre kategorilere ayırmak (segment) için kullanıldı. Aşağıda gösterilen ızgara (grid)

şemada 10 ülke, en riskli olanların yanı sıra en iyi uygulamaları paylaşan ve en iyi

performansı gösteren ülkelerin de bir bakışta görünmesini sağlamak amacıyla kategorilere

ayrıldı.

Küme analizi, popülasyonu kategorilere ayırmak ve parasal değerin yüksek olması, tatilde

oluşturulmuş olması ve yılsonu işlemleri gibi çeşitli değişkenler kullanılarak riskli işlem

kümelerini tespit etmek için kullanıldı.

31

Benford Yasası; anormal, uydurulmuş veya suiistimal potansiyeli taşıyan işlem izlerini

saptamak için kilit nümerik alanlarda bulunan bazı sayıların tekrar sıklığını analiz etmek

için kullanıldı. Bir ülke için anormal eğilim (trend) analizi aşağıdadır.

Regresyon analizi, aykırırılıkları tespit etmek için kullanıldı. Aşağıda verilen örnekte,

regresyon analizi, aykırırılıkların gözlemlendiği ülkeleri mizan üzerindeki toplam MYK

değerini kullanarak tespit etti.

%95 Güven Aralığı

En İyi Uyum Doğrusu

32

“Olursa-ne-olur” (what-if) analizleri, değişkenler arasında ileride gelişebilecek ilişkileri

tahmin etmek için kullanıldı.

4. Raporlama Çabaları Konusunda İşbirliği Yapmak

Süregiden risk değerlendirmesi, elde edilen sonuçları grafikler, tablolar ile denetim

raporlarında ve gösterge tablolarında kullanılan başka görsellere otomatik olarak yerleştirmek

için tasarlandı. Denetim gösterge tabloları sistematik olarak oluşturuldu ve ardından da bu

süreç, yönetim gösterge tablolarını da kapsayacak şekilde genişletildi. Bu işlem, yönetim için

rapor hazırlamak ve sonuçları yayımlamak konusunda gereken verilerin ve mesainin iki katına

çıkmasını önledi. Yönetim, kilit performans göstergelerini daha iyi izleyebildi. İşbirliği, iç

denetçilerin yönetimin sürekli izleme çalışmalarının sonuçlarını anlamalarına yardımcı oldu.

İç denetim birimi, bağımsızlığını korumaya ve riskleri sahiplenmemeye özen gösterdi. Sürekli

izleme raporları, yönetimin eylem planları için bilgi akışı sağladı ve dolayısıyla suiistimalleri

engellemeye ve sürprizleri önlemeye yönelik gelişmiş imkânlar sağlıyordu.

Yazarlar, Gözden Geçirenler ve Katkıda Bulunanlar

Yazarlar:

Bradley C. Ames, CPA, CRMA, CISA

Roy D’Cunha, ACMA, CIA, CISA, CGMA

Patricia Geugelin-Dannegger

Peter B. Millar

Sajay Rai, CPA, CISSP, CISM

Andrew Robertson, CRMA

Thomas Steeves, CISA

Gözden Geçirenler ve Katkıda Bulunanlar:

David Coderre

Carrie Gilstrap, CISA

Steven Hunt, CBM, CGEIT, CIA, CISA, CRISC, CRMA

Steven E. Jameson, CIA, CCSA, CFSA, CRMA

Peter Schraeder

Dragon Tai, CIA, CISA, CCSA, CRMA

Jaroslaw B. Tarbaj, CISA

33

Enstitü Hakkında

1941 yılında kurulan İç Denetçiler Enstitüsü (IIA), global genel merkezi Altamonte Springs,

Florida, ABD’de bulunan bir uluslararası meslek derneği ve kuruluşudur. IIA, iç denetim

mesleğinin global sesi, tanınmış ve kabul görmüş otoritesi, benimsenmiş lideri, baş

savunucusu ve baş eğitmenidir.

Tamamlayıcı Rehberler Hakkında

Tamamlayıcı Rehberler, iç denetim faaliyetlerinin yürütülmesi hakkında detaylı rehberlik

sağlar. Bu rehberlik; süreç ve prosedurler, araçlar ve teknikler, programlar, adım-adım

yaklaşımlar kadar ilgili alanları ve sektörel bazda spesifik konuları kapsar.

Yeni UMUÇ’un Temmuz 2015’te yürürlüğe girmesinden itibaren, bütün Uygulama

Rehberleri, Global Teknoloji Denetim Rehberleri (GTAGs) ve BT Risklerinin

Değerlendirilmesine Yönelik Rehberler (GAITs) otomatik olarak Tavsiye Edilen

Tamamlayici Rehber katmanina dahil oldu.

Global Teknoloji Denetim Rehberleri (GTAGs) doğrudan mesleki dil kullanılarak yazılmış

olup, bilgi teknolojileri (BT) yönetimi, kontrolü ve güvenliği ile ilgili güncel konuları ele alır.

IIA tarafından onaylanarak sunulmuş diğer kılavuz içerikler için, lütfen

https://global.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx adresindeki web sitemizi ziyaret ediniz.

Sorumluluğun Reddi Beyanı

IIA, bu dokümanı sadece bilgilendirme ve eğitim amacıyla yayımlamaktadır. Bu kılavuz

dokümanı, belirli özel münferit durumlara ve sorunlara kesin cevaplar vermek gibi bir amaç

taşımamaktadır ve sadece bir kılavuz olarak kullanılması amaçlanmaktadır. IIA, sizin bu özel

durum ve olaylar hakkında daima ve doğrudan doğruya bağımsız uzman tavsiyeleri almanızı

önerir. IIA, sadece bu kılavuza dayanarak karar alan kimseler nedeniyle herhangi bir

sorumluluk kabul etmez.

Telif hakkı:

Telif hakkı ® 2015 Uluslararası İç Denetçiler Enstitüsü.

Çoğaltma izni için lütfen guidance@theiia.org adresinden IIA ile temas kurunuz.

Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,

Altamonte Springs, Florida 32701-4201, USA. All Rights reserved.

Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,

Altamonte Springs, Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan

çevirinin – değiştirilmesi onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır.

Bu dokümanın hiçbir parçası, IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi

bir sistemde saklanamaz veya herhangi bir formatta paylaşılamaz, herhangi bir elektronik,

mekanik, fotokopi, kayıt veya farklı bir yöntemle çoğaltılamaz.