SlideShare a Scribd company logo

Bt tez

O
omt123
1 of 130
Download to read offline
T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi LÜTFĠYE DEFNE YALKIN (DEMĠR) Ankara, 2011
T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi LÜTFĠYE DEFNE YALKIN (DEMĠR) Tez DanıĢmanı: PROF.DR.ERCAN BAYAZITLI Ankara, 2011
T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi Tez Danışmanı : PROF.DR.ERCAN BAYAZITLI Tez Jürisi Üyeleri Adı ve Soyadı Ġmzası Prof. Dr. Ercan BAYAZITLI .......................... Doç. Dr. Orhan ÇELĠK .......................... Doç. Dr. Akın KOÇAK .......................... Doç. Dr. Kadir GÜRDAL .......................... Yrd. Doç. Dr. Yiğit ÖZBEK .......................... Tez Sınavı Tarihi: 18 Temmuz 2011
TÜRKĠYE CUMHURĠYETĠ ANKARA ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ MÜDÜRLÜĞÜNE Bu belge ile, tezdeki bütün bilgilerin akademik kurallara ve etik davranış ilkelerine uygun olarak toplanıp sunulduğunu beyan ederim. Bu kural ve ilkerlerin gereği olarak, çalışmada bana ait olmayan tüm veri, düşünce ve sonuçları andığımı ve kaynağını gösterdiğimi ayrıca beyan ederim. ……./………/…… Lütfiye Defne YALKIN (DEMİR)
ĠÇĠNDEKĠLER TABLOLAR LĠSTESĠ……………………………………………………………iv ġEKĠLLER LĠSTESĠ……………………………………………………………..v GRAFĠKLER LĠSTESĠ…………………………………………………………..vi KISALTMALAR…...……………………………………………………………..vii GĠRĠġ………………………………………………………………………………1 1. TANIMLAMALAR VE KAVRAMSAL AÇIKLAMALAR ......................................... 2 1.1. Bilgi Sistemi ve Bilgi Teknolojisi.................................................................................... 2 1. 2. Bilgi Sisteminde Girdi İlişkili Kavramlar........................................................................ 3 1.2.1. Kaynak Dokümanı ......................................................................................................... 3 1.2.2. Veri Uyarlama................................................................................................................ 4 1.2.2.1. POS Makinaları........................................................................................................... 4 1.2.2.2. MICR .......................................................................................................................... 5 1.2.2.3. OCR ............................................................................................................................ 5 1.2.2.4. Manyetik Şeritli Plastik Kartlar .................................................................................. 6 1.2.2.5. Biometrik Tarayıcılar.................................................................................................. 7 1.3. Muhasebe Bilgi Sistemi (MBS) ve Bilgi Teknolojileri (BT)............................................ 8 2. FĠNANSAL DENETĠM VE BĠLGĠ TEKNOLOJĠLERĠ (IT) DENETĠMĠ................ 12 2.1. Finansal Denetim ............................................................................................................ 12 2.2. Bilgi Teknolojileri Denetimi........................................................................................... 15 2.2.1. Bilgi Teknolojileri Denetiminin İşlevi......................................................................... 18 2.2.2. Bilgi Teknolojileri Denetiminin Tarihsel Gelişimi...................................................... 21 2.2.3. Bilgi Teknolojisi Denetimine İlişkin Mesleki Örgütler ve Bilgi Teknolojisi Denetçisi ............................................................................................................................................... 23 2.3. Bilgi Teknolojileri Denetimi Süreci................................................................................ 29 2.4. Muhasebe Skandalları, Denetim Standartları ve Bilgi Teknolojileri Denetimi .............. 34 2.4.1. Muhasebe Skandalları.................................................................................................. 35 2.4.2. Denetim Standartları .................................................................................................... 40 2.5. Bilgi Sistemleri Risk Değerlendirmesi ........................................................................... 48
2.6. Bilgi Teknolojileri Kontrollerini Tasarlama ................................................................... 51 2.7. Bilgi Teknolojileri Denetimi Araçları............................................................................. 53 2.8. Bilgisayarlaştırılmış Muhasebe Bilgi Sisteminin Denetlenmesi..................................... 59 2.8.1. Bilgisayar Programlarının ve Verilerin Test Edilmesi................................................. 61 2.8.2. Entegre Test Tesisleri................................................................................................... 63 2.8.3. Paralel Simülasyon....................................................................................................... 64 2.8.4. Bilgisayar Programlarının Geçerliliğini Denetlemek................................................... 65 2.8.5. Program Değişim Kontrolü Testleri............................................................................. 65 2.8.6. Program Karşılaştırma ................................................................................................. 67 2.8.7. Sistem Yazılımının Gözden Geçirilmesi...................................................................... 68 2.8.8. Kullanıcıları Geçerli Kılmak ve Giriş Ayrıcalıkları..................................................... 71 3. ÖRNEK BT DENETĠMĠ RAPORU............................................................................... 73 SONUÇ................................................................................................................................ 112 KAYNAKÇA....................................................................................................................... 114 ÖZET.....................................................................................................................................117 ABSTRACT..........................................................................................................................119
iv TABLOLAR Tablo 2.1:Sertifikalı Bilgi Sistemleri Denetçisi Sınavının Konu Dağılımı Tablo 2.2:Şifreleri Kontrol Etmek için Oluşturulan Parametre Örnekleri
v ġEKĠLLER ġekil 1.1: Yönetim Bilgi Sistemlerinin İşleyişi ġekil 1.2: Gelir Döngüsü ve Muhasebe Bilgi Sistemi ġekil 3.1 Gelişim ve Bakım Süreci
vi GRAFĠKLER Grafik 1 Mevcut ve Tahmini Bütçeler 2004-2009 Grafik 2 Bilgi Teknolojisi Harcaması
vii KISALTMALAR ABD: Amerika Birleşik Devletleri AICPA: Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü BDDT: Bilgisayar Destekli Denetim Teknikleri (Computer-Assisted Audit Techniques-CAATs) BT: Bilgi Teknolojileri COBIT: Bilgi Teknolojileri ve İlgili Teknoloji için Kontrol Amaçları (Control Objectives for Information and Related Technology) EDP: Elektronik Veri İşleme FIPS: Federal Bilgi İşleme Standartları (Federal Information Processing Standards) GAO: Devlet Hesap Bürosu (Government Accountability Office) IIA: İç Denetçiler Enstitüsü (The İnstitute of Internal Auditors), ISACA: Bilgi Sistemleri Denetimi ve Kontrolü Birliği (Information Systems Audit and Control Association) ITGI: Bilgi Teknolojileri Yönetim Enstitüsü (Information Technology Governance Institute) NIST: Standartlar ve Teknoloji Ulusal Enstitüsü (National Institute of Standards and Technology) UFRS: Uluslararası Finansal Raporlama Standartları (International Financial Reporting Standards)
1 GĠRĠġ Günümüzde bilgisayar tabanlı muhasebe bilgi sistemlerinin yaygın biçimde kullanılması ve bunların işleyişlerindeki artan karmaşıklık, finansal denetimin yanında bilgi teknolojileri denetimini de önemli hale getirmiştir. Bilgisayarlaştırılmış bilgi sistemlerinde kullanılan donanım ve yazılım anlamına gelen bilgi teknolojileri, işletmenin yalnızca finansal değil aynı zamanda finansal olmayan verilerini de depolamakta; bu bakımdan hata ve hilelerin engellenmesini sağlayarak işletmenin fonksiyonlarının etkin biçimde çalışmasına katkıda bulunmaktadır. Ancak, bilgi teknolojilerindeki hatalar ve sistemlerin verimsiz biçimde kullanılması, işletmede meydana gelen hataların ve hilelerin tespit edilmesinin önündeki en büyük engellerden biridir. Bu nedenle, bağımsız denetimin yanında bilgi teknolojilerinin de denetlenmesi ve sistemlerdeki aksaklıkların tespit edilerek sistemlerin iyileştirilmesi gerekmektedir. Bilgi teknolojileri denetiminin ele alındığı bu çalışmanın birinci bölümünde kavramsal tanımlamalara yer verilmiş; ikinci bölümde finansal denetim ve bilgi teknolojileri tanımlanarak, aralarındaki ilişki incelenerek finansal denetim ve bilgi teknolojileri denetimi arasındaki farklılıklar ve benzerlikler ortaya çıkartılmış; üçüncü bölümde bilgi teknolojileri denetim raporu örneği üzerinde durularak çalışma sonlandırılmıştır.
2 1. TANIMLAMALAR VE KAVRAMSAL AÇIKLAMALAR 1.1. Bilgi Sistemi ve Bilgi Teknolojisi Bilgi teknolojisi bilgisayarlaştırılmış bilgi sistemlerinde kullanılan donanım ve yazılım anlamına gelmektedir. Bilgi teknolojisi ve bilgi sistemi kavramları bazen birbirlerinin yerine kullanılmaktadır. Ancak bilgi teknolojisi kavramı, bir organizasyondaki tüm işleyen sistemleri içererek daha geniş kapsamlı bir tanım oluşturmakta ve daha çok tercih edilmektedir.1 Günümüzde bilgi teknolojileri günlük hayatımızı şekillendirmektedir. Bir dijital kamera ile fotoğraf çekmek veya bir müzik çalardan müzik dinlemek, internetten bilgi edinmek, bir kişiyi aramak gibi birçok konuda bilgi teknolojilerinden yararlanılmaktadır. Hatta bazı kişiler için bilgi teknolojileri, işlerinin kaçınılmaz bir parçası hatta tamamı bile olabilmektedir. Bulunduğumuz bilgi çağında, organizasyonlarda ürünün oluşturulması için çalışan kişi sayısı; faaliyetlere ilişkin bilgi hazırlayan, analiz eden, manipüle eden ve dağıtan kişi sayısının yanında çok az kalmaktadır. Ayrıca internet üzerinden iş yapma anlamına gelen e-business (elektronik iş) ve e-business kapsamında, büyük ölçüde alım satım işlemlerini içeren e-commerce (elektronik ticaret) gibi faaliyetler de hayatımızda çok yaygın bir şekilde yer almaktadır. 2 1 Romney, M., Steimbart, P., Accounting Information Systems, Pearson Education, 11th Edition, 2008, s.15 2 Bodnar, G., Hopwood, W., Accounting Information Systems, Pearson Education, 10th Edition, 2009., s.27.
3 Tüm bilgi sistemlerinde girdilerle sisteme giriş sağlanmakta, bu girdiler ihtiyaçlara yönelik olarak işlenmekte ve anlamlı bir sonuç oluşturacak şekilde çıktılar elde edilmektedir. Bir finansal bilgi sistemi olan muhasebe de, mali karakterdeki bilgilerin oluşturulduğu bir sistemdir. Muhasebe bilgi sisteminde de (MBS) her bir muhasebe işlemi girdi-işlem-çıktı döngüsünde işlemektedir. 1. 2. Bilgi Sisteminde Girdi ĠliĢkili Kavramlar 1.2.1. Kaynak Dokümanı Çoğu MBS‘de veri toplamanın başlangıcı kaynak dokümanıdır. Kaynak dokümanı bilgisayar ortamında olan ve olmayan (manuel) şeklinde iki çeşittir. Zaman kartları, paket içlerini gösteren belgeler, araştırma formları, çalışan başvuru formları, hasta giriş formları, alım faturaları, satış faturaları, ödeme makbuzları ve seyahat masrafı iade formları gibi belgeler bilgisayar ortamında olmayan kaynak dokümanı örnekleridir. Havayolu rezervasyon ekranı, banka mevduatları ekranı ve web tabanlı müşteri sipariş formları da bilgisayar ortamında olan kaynak dokümanları olarak sayılabilmektedir. Kaynak dokümanları insanlar tarafından okunduğu ve kullanıcıları tarafından tamamlanabildiğinden MBS için önemlidir. Bilgisayar ortamında olmayan kaynak dokümanları; işlemlerin gerçekliği için kanıt niteliğinde olmanın yanında bilgisayar belgelerinin hasara uğraması veya yok olması durumları için bir
4 yedekleme görevi görmektedir. Ayrıca kaynak dokümanları denetim sürecinin de genellikle ilk adımını oluşturmaktadır.3 1.2.2. Veri Uyarlama Elle hazırlanan kaynak dokümanlarının en büyük dezavantajı bilgisayar tarafından okunamamasıdır. Bu nedenle kaynak dokümanları verilerinin elektronik olarak işlenmesi için öncelikle bilgisayar tarafından okunabilir şekilde uyarlanması (kopyalanması) gerekmektedir. Ancak bu veri uyarlaması (kopyalaması); verimsiz, emek yoğun, zaman alıcı ve maliyetli bir işlem olmasının yanında veri kaybı, hata, hile, suistimal, sabote etme gibi olasılıklara da ortam hazırlamaktadır. Tüm MBS‘lerdeki bilgisayar tarafından okunan veriler düşünüldüğünde bu durumun önemi çok daha iyi anlaşılmaktadır. Bu sorunu aşmak için bazı aygıtlar bulunmaktadır. 4 1.2.2.1. POS Makinaları Perakendeciler tarafından ihtiyaç duyulan bilgilerin çoğu satışın yapıldığı anda elde edilebilmektedir. Bu nedenle perakendeciler ilgili verileri elektronik olarak toplamak ve kaydetmek için yaygın olarak POS (point-of-sale) makineleri kullanmaktadır. 3 Boczko, T., Corporate Accounting Information Systems, Pearson Education, 2007, s.44 4 Gallegos, F., Senft, S., Manson, D.P., Gonzales, C., Information Technology Control and Audit, Second Edition, Auerback Publications, 2004, s.33.
5 Bilgisayara bağlı yazarkasa ve barkod okuyucu, POS makinelerine örnek olarak gösterilebilmektedir. 5 1.2.2.2. MICR Amerikan bankacılık sektörü, manyetik mürekkep karakter tanıma (MICR – Magnetic Ink Character Recognition) denilen manyetik kodlu kağıtların gelişimine öncülük etmiştir. Örneğin Amerika Birleşik Devletleri‘nde standart olarak çeklerin en alt kısmında garip gürünümlü rakamlar yer almaktadır. Bu rakamlar manyetik mürekkep karakter tanıma kodlamasıdır. Dolayısıyla yazılan bir çek, Amerika Birleşik Devletleri ve Kanada‘daki bankaların hepsinde bilgisayar tarafından okunabilmektedir. MICR hem kişiler hem de bilgisayar tarafından okunabilmesi ve çok çeşitli belgede kullanılabilmesi açısından iyi bir uygulamadır. Ancak en önemli dezavantajı karakterlerin manyetik gücünün zaman içinde yok olmasıdır. Bu nedenle MICR‘ye sahip belgeler girdi olarak çok fazla kullanıldığında, güvenilirliği kaybolmaktadır. 6 1.2.2.3. OCR Kaynak dokümanlarındaki verileri, manyetik okuyucu yerine optik okuyucu ile çeviren kodlamaya optik karakter tanıma (OCR – Optical Character Recognition) denilmektedir. Genel olarak OCR aygıtları, kayıtlı veriyi çevirmek için gerekli olan 5 Ibid, s.34. 6 Goodman ve diğerleri, 1996, s.218.
6 karakter tanıma fonksiyonunu yerine getirmek için ışık algılama mekanizması ve lazer teknolojisi kullanmaktadır. OCR kodlaması bilgisayarlaştırılmış sınavlardaki (optik okuyucunun okuduğu içleri karalanan daireler) gibi karakter olarak basit üçgen veya daireler kullandığı gibi; daha karmaşık versiyonlarında rakam ve harf setleri gibi toplu karakterleri de okuyabilmektedir. OCR kaynak dokümanları da MICR gibi hem kişiler hem de bilgisayar tarafından okunabilmektedir. Ancak OCR‘de veri girişi sırasında yüksek oranda hata bulunduğunu da belirtmek gerekmektedir. 7 1.2.2.4. Manyetik ġeritli Plastik Kartlar Çoğunlukla plastik kartların bir yüzünde manyetik şerit bulunmaktadır. Bu manyetik şerit sayesinde plastik karta, ihtiyaç duyulduğunda kullanılabilecek kalıcı bilgiler depolanmaktadır. Genel olarak bu bilgiler hesap numarası, kredi kartı numarası, oda numarası, güvenlik izin kodu gibi kartın kullanıcısına ait bilgilerdir. Amerika Birleşik Devletleri‘nde plastik kartlardaki manyetik şerit, farklı fiziki alanlara bölünmüş durumdadır. Bu kartları kullanan ana endüstrilerin her biri, bir anlaşma çerçevesinde manyetik şeritte kendine ait bir alana sahiptir. Dolayısıyla her endüstri, yanlışlıkla başka alanlarda kullanılma endişesi yaşamadan, plastik kartlara kendi ihtiyaçlarına uygun bilgileri kodlamaktadır. 7 Ibid, 1996, s.218.
7 MBS ise manyetik şeritli plastik kartları, kartların kullanıldığı anda veri toplamakta kullanmaktadır. Örneğin kredi kartları, her kullanıldığında ATM makinelerinin inceleyebileceği bir şifre içerebilir. Bu şekilde kişiler yerine bilgi-emniyetli elektronik cihazların manyetik şeriti okumasıyla, hem veri toplama kolaylaşmış olmakta hem de kişilerden kaynaklanabilecek hataların bertaraf edilmesi sağlanmaktadır. 8 1.2.2.5. Biometrik Tarayıcılar Birçok muhasebe uygulaması, bir kullanıcının sisteme yasal girişini onaylamaktadır. Kullanıcının ne bildiğine dayanan onay sistemleri; kod, hesap numarası, şifre gibi bir değer girişini gerektirmektedir. Bu tip sistemlerin güvenlik seviyesi düşüktür; çünkü kullanıcı kolaylıkla bilgileri unutabilmekte, kaybedebilmekte veya bu bilgiler başkaları tarafından tahmin edilebilmektedir. Dolayısıyla bu tip sistemler saldırıya ve yanlış kullanıma açık durumdadır. Kullanıcının neye sahip olduğuna dayanan onay sistemleri ise fiziksel anahtarlar, manyetik kartlar veya benzeri fiziksel araçları gerektirmektedir. Ancak birçok böyle sistem de şifre bazlı onay sistemine sahip olduğu için aynı tür problemlerle karşılaşılmaktadır. Biometrik tarayıcılar ise kullanıcının kim olduğunu temel alarak onaylama yapmaktadır. 9 8 Cangemi, M.P., Managing the Audit Function: Corporate Audit Department Procedures Guide, Third Edition, 2003, s.81. 9 Ibid, s.82.
8 1.3. Muhasebe Bilgi Sistemi (MBS) ve Bilgi Teknolojileri (BT) Yöneticilerin karar vermesini kolaylaştırmak için, değişik yerlerdeki bilgilerin toparlanarak, bütün halinde sunulmasını sağlayan sistemler, yönetim bilgi sistemi olarak adlandırılmaktadır. Şekil 2.1. yönetim bilgi sistemlerinin işleyişini göstermektedir.10 ġekil 1.1: Yönetim Bilgi Sistemlerinin ĠĢleyiĢi Yönetim Sistem Sistem Bilginin geri beslemesi Bilgi sistemi Ç E V R E Karar çıktıları Güncel çıktı Kaynak: Pearlson, K.E, Management and Using Information Systems, A Strategic Approach, John Wiley & Sons. New York, s.71. 10 Pearlson, K.E, Management and Using Information Systems, A Strategic Approach, John Wiley & Sons. New York, s.71.
9 İşletmeler faaliyet sistemlerine, faaliyet hacimlerine, örgütlenme şekillerine, yönetim anlayışlarına, düzenlemelere ve içinde bulundukları diğer koşullara göre, bir alt bilgi sistemi geliştirmek, kurmak ve çalıştırmak durumundadır: Üretim Bilgi Sistemi Üretim Planlaması Stok Kontrol Mamul Geliştirme Personel Bilgi Sistemi İşçi-İşveren İlişkileri İşe Alma Eğitim Pazarlama Bilgi Sistemi Pazarlama Araştırması Satış Analizleri Satış Planlaması Satışlar Muhasebe Bilgi Sistemi Finansal (Genel) Muhasebe Maliyet Muhasebesi Satışlar-Alacaklar
10 Satınalma-Borçlar Stok İşlemleri Ücret-İşçilik Maliyet Kontrolü Mali Analiz Nakit Bütçelemesi Sermaye Bütçelemesi MBS de yönetim bilgi sisteminin bir alt sistemi olarak karşımıza çıkmaktadır. Geniş anlamda MBS; ―para, insangücü, malzeme, makine, teknoloji ve bilgi gibi işletme kaynaklarının amaçlar doğrultusunda en etkin ve verimli bir şekilde kullanılmasını planlamak, örgütlemek ve kontrol etmek için, yönetimin gereksinim duyduğu işletme içi ve işletme dışı finansal ve finansal olmayan, niceliksel ve niteliksel bilgileri; gerektiği yer ve zamanda, gerekli kişilerin kullanabilecekleri şekilde sürekli olarak sağlamak amacı ile kurulan ve çalıştırılan bir sistemler bütünü‖ olarak tanımlanabilmektedir. MBS‘de verinin işlenmesi ve kaydedilmesi günümüzde çeşitli bilgi teknolojileri kullanımıyla mümkün olmaktadır. MBS genel olarak;  Yönetimin varlıklar üzerindeki yönetim sorumluluğunu yerine getirmek  İşletme eylemlerinin kontrolünü yapmak  Geleceğe ilişkin işletme eylemlerini planlamak için gerekli bilgileri sağlamaya yönelik bir bilgi sistemidir.11 11 Turner, L., Weickgenannt, A., Accounting Information Systems: Controls and Processes, John Wiley & Sons Editions, 2008, s.62.
11 Şekil 2.2. siparişin alınmasından nakdin tahsil edilmesine kadar geçen süreçte MBS‘nin nasıl işlediğini göstermektedir. ġekil 1.2: Gelir Döngüsü ve Muhasebe Bilgi Sistemi Sipariş Bölümü (Pazarlama) Kredi Bölümü (Finans) Lojistik Depo Nakliye bölümü Müşteri Müşteri Muhasebe kayıtları yapılır 1 Müşteri siparişi verir 2 Kredi onaylanır 3 Kredi izni verilir 4 Müşteri siparişin kabul edildiğine dair bilgilendirilir 5 Sipariş bölümü nakliye bölümünü bilgilendirir 6 Sipariş bölümü depoyu ve muhasebeyi bilgilendirir 7 Depo siparişi nakliye bölümüne teslim eder 8 Nakliye bölümü siparişin yüklendiğine dair sipariş bölümünü bilgilendirir Kaynak: Turner, L., Weickgenannt, A., Accounting Information Systems: Controls and Processes, John Wiley & Sons Editions, 2008, s.62. Şekil 1.2‘de de görüldüğü gibi, muhasebe bilgi sistemine işletme ile çevresi arasında oluşan eylemlerden (siparişin alınması) ve geri bildirimden gelen mali nitelikteki
12 işlemlere ilişkin veriler veya bilgiler, bilgi işlem eylemleri sonucunda çıktılara dönüştürülmekte ve bu çıktılar raporlar şeklinde ilgili taraflara iletilmektedir. 2. FĠNANSAL DENETĠM VE BĠLGĠ TEKNOLOJĠLERĠ (IT) DENETĠMĠ 2.1. Finansal Denetim Literatürde geleneksel olarak finansal denetim; iç denetim ve dış denetim olarak ikiye ayrılmaktadır. İç denetim işletmenin yönetim kuruluna bağlı olarak çalışan denetçiler tarafından gerçekleştirilirken, dış denetim bir denetim firmasında çalışan mesleki bağımsızlığa sahip profesyonel denetçiler tarafından yürütülmektedir. Genellikle iç denetim sonucunda elde edilen bulgular, üst yönetime ve/veya yönetim kuruluna bağlı denetim komitesine raporlanmaktadır. Aslında, her ne kadar iç denetim işletmedeki içsel bir olgu olsa bile, denetlenen birim veya departman dışsal olduğu için iç denetim fonksiyonu da, objektifliğini ve profesyonelliğini korumaktadır.12 İç denetim; çalışanların işletme politika ve prosedürlerine bağlılığı ile iç kontrollerin gelişimi ve değerlendirilmesiyle ilgilenmektedir. İç denetim göreceli olarak geniş kapsamlıdır, çünkü muhasebe sistemlerinin ve finansal raporların incelenmesinin yanında hile denetimi ve personelin yasal olmayarak bilgisayar programlarını kopyalayıp kopyalamadığı gibi denetim faaliyetlerini de içermektedir.13 12 Arens, A., Elder, R., Beasley, M. ―Auditing and Assurance Services‖, Auditing and Assurance Services: An Integrated Approach, Pearson Editions, 2009, s.56 13 Hayes, R., Dassen, R., Schilder, A., Wallage, P., Principles of Auditing: An Introduction to International Standards on Auditing, Second Editions, 2004, s.43.
13 1990‘lı yıllarda yaşanan kurumsal skandallar, iç kontrollerin önemini ve dolayısıyla iç denetçilere olan talebi arttırılmıştır. İç denetçilerin son dönemde artan önemi çeşitli araştırmaların sonuçlarında da görülmektedir. Örneğin, İç Denetçiler Enstitüsü‘nün 2005/2006 dönemini kapsayan bir araştırması; yönetim kuruluna bağlı denetim komitelerinin 2002‘de Sarbanes-Oxley Kanunu‘nun çıkarılmasından sonra, işletmelerin finansmanı ve faaliyetleriyle ilgili daha çok bilgi edinmek için iç denetçilere başvurduğunu ortaya koymaktadır. Ayrıca bu araştırma; iç denetçilerin işletmeye bağlı bir danışman gibi hilelerin ortaya çıkarılmasında, bilgi sistemlerinin tasarımında ve kontrol sistemlerinin geliştirilmesinde yönetime yardım ettiğini de göstermektedir. İç denetçilerin geniş kapsamının aksine, dış denetimin en temel amacı tasdiktir. Tasdikle kastedilen, finansal tabloların doğru ve dürüst olarak oluşturulduğuna ilişkin bağımsız dış denetçi tarafından görüş bildirilmesidir. Bu değerlendirme, genel kabul görmüş muhasebe ilkeleri çerçevesinde yürütülmekte ve genelleştirilmiş denetim standartlarının uygulanmasını gerektirmektedir. Bağımsız denetim; işletmenin yönetimi tarafından hazırlanan kayıt, ölçüm ve finansal raporların, gerçekliği ve dürüstlüğünün değerlendirilmesi ve tarafsız bir biçimde incelenmesini içeren bir destek fonksiyonudur. Bağımsız denetim fonksiyonu, denetçi veya mali müşavir olarak bilinen bağımsız kişiler tarafından yürütülmektedir. Denetçi, bağımsız denetim sonuçlarına göre bildirdiği görüşünün yer aldığı denetim raporundan ve denetlediği finansal tablolardan sorumlu olmaktadır. Dolayısıyla bağımsız denetçi temelde finansal tablo kullanıcılarına karşı sorumludur. Finansal tablo kullanıcıları, işletme yöneticilerini de kapsamakla birlikte daha çok işletmenin
14 dışındaki ilgili kişi ve kuruluşlardan oluşmaktadır. Bu ilgililerden en önemlileri yatırımcılar, kredi verenler ve devlettir. Finansal tabloların bir bağımsız denetçi tarafından denetlenmesinin amacı; işletmenin finansal durumunu, faaliyet sonuçlarını ve finansal durumundaki değişiklikleri dürüst bir biçimde ve genel kabul görmüş muhasebe ilkelerine veya UFRS‘ye (Uluslararası Finansal Raporlama Standartları- International Financial Reporting Standards-IFRS) uygun olarak sunduğuna dair bir görüş sunulmasıdır. 14 Bağımsız denetim ABD (Amerika Birleşik Devletleri) ve AB (Avrupa Birliği) üyesi ülkelerde halka açık işletmeler için zorunludur. Kuzey Amerika Gümrük Anlaşması‘nı (North American Free Trade Agreement – NAFTA) imzalayan ülkelerde bağımsız denetim Amerikan Genel Kabul Görmüş Muhasebe İlkeleri‘ne (US Generally Accepted Accounting Principles-US GAAP) göre yapılırken; AB‘de bağımsız denetim finansal tabloların UFRS‘ye göre gerçeğe uygun ve dürüst olarak sunulup sunulmadığını değerlendirecek şekilde yapılmaktadır. 15 Bağımsız denetim; halka açık olmayan işletmeler, dernekler ve bazı kamu kurumları için de gerçekleştirilebilmektedir. Hatta bazı özel sektör işletmeleri için bağımsız dış denetim yasal bir zorunluluk olmamasına rağmen kaçınılmazdır; çünkü bu işletmelere borç verenler ve bu işletmelerin hisse senetlerine yatırım yapanlar tarafsız bir bakış açısıyla söz konusu işletmelerin finansal tablolarının muhasebe ilkelerine uygunluğunun bağımsız denetim aracılığıyla test edilmesini talep etmektedirler. Bu doğrultuda birçok işletme, en azından yıllık olarak bağımsız denetim yaptırmakta ve finansal tablolarının ilgili mevzuat hükümlerine uygunluğunu bağımsız denetçilere tasdik ettirmektedir. Ayrıca, bağımsız denetimden geçmiş finansal tablolar, başka 14 Jancura, E.G., Audit and Control of Computer Systems, Mason/Charter Publishers Inc., New York, 1974, s.2. 15 Hayes ve diğerleri, 2004, s.35.
15 ülkelerde iş yapmak isteyen işletmeler için de çok önemlidir; çünkü belli standartlara göre yapılmış bir bağımsız denetim diğer işletmelere ve diğer tüm ilgililere güvenilir, karşılaştırılabilir ve anlamlı finansal tablolar sağlamaktadır. 16 Bağımsız denetimin finansal tabloların ve işletme kontrollerinin güvenilirliğinin test edilmesinin yanında, işletmenin yüksek riskli alanlarının belirlenmesi ve yöneticilerin bu alanlara ilgisinin çekilmesi gibi faydaları da bulunmaktadır. Stratejik sistem denetçileri, öncelikle işletmenin stratejisini ve rekabet avantajı sağlayacak unsurlarını belirleyerek, denetimde yukarıdan aşağıya bir yaklaşım (top down approach) sağlamaktadır. Diğer taraftan, son yıllarda hile denetiminin (fraud audit) önem kazanmasıyla birlikte bağımsız denetimin rolü de artmıştır. Bu doğrultuda, Uluslararası Denetim Standardı No. 99: Finansal Tablo Denetiminde Hile (Statement on Auditing Standards -SAS- No. 99, Consideration of Fraud in a Financial Statement Audit), bağımsız denetim şirketlerine bağlı denetçilerin, işletmelerin finansal tablolarında ciddi boyutta hatalı veya hileli beyan (erroneous or fraudulent material misstatements) olmadığını tespit etmeleri için birkaç özel işlem yapmasını dahi öngörmektedir. 2.2. Bilgi Teknolojileri Denetimi Finansal tablolar ve diğer finansal bilgiler, işletmelerin bilgisayar sistemlerinin bir çıktısıdır. Dolayısıyla finansal tablo denetiminin bilgi sistemlerinden yararlanması kaçınılmaz olmaktadır. Bu doğrultuda bağımsız denetçiler denetim işlemlerini 16 Arens ve diğerleri, 2009, s.78.
16 yürütürlerken, işletmelerin iç kontrollerini de gözden geçirerek bir genel kontrol yapmaktadırlar. Sonrasında da mevcut iç kontrol düzeyine bağlı olarak denetimlerini bu kontrollere göre oluşmaktadırlar. Aslında iç kontrollere yönelik genel bir kontrol yeterli değildir. Başarılı bir denetim yapılabilmesi için iç kontrollere yönelik uygulama kontrolleri gibi ayrıntılı kontrollerin yapılması gerekmektedir. İşletmelerin iç kontrollerinin gözden geçirilmesi ve bilgi sistemlerinin değerlendirilmesi için asıl gerekli olan bilgi teknolojileri denetimidir.17 Daha önce de belirtildiği gibi, bağımsız denetçiler verdikleri hizmetleri çok çeşitli tasdik hizmetlerini içerecek şekilde genişletmektedir. Bu hizmetlerin çoğu bir şekilde bilgi teknolojileri denetimini içermektedir. Ancak tasdik etmek (görüş bildirmek) dış denetçinin temel sorumluluğudur. İç ve dış denetimin temel hedefleri birbirinden farklı olsa da bu denetimler birbirini tamamlayıcı niteliktedir. Örneğin, iç denetçilerin işletmenin bilgi teknolojileri ortamında inceledikleri kontrollerin bir kısmı, bağımsız denetçilerin sorumluluğundaki finansal tabloların doğruluğunu artırmak üzere tasarlanmıştır. Benzer şekilde, uygun stok değerleme yöntemlerinden birinin uygulanması bağımsız denetçiler tarafından öngörülürken; bu aynı zamanda iç denetçilerin alanına giren işletme politikalarından önemli bir tanesini oluşturmaktadır.18 İç denetim ve bağımsız denetimin amaçlarındaki farklılığa karşın, hem iç denetçiler hem de bağımsız denetçiler, bilgisayar destekli muhasebe bilgi sistemlerinin denetiminde bazı benzer faaliyetler yürütmektedir. Dolayısıyla, finansal denetim ve 17 Weber, R., Information Systems Control and Audit, Prentice Hall, Upper Saddle River, 1999, s.32 18 Cangemi ve diğerleri, 2000, s.27.
17 bilgi teknolojileri denetimi arasındaki ilişkinin incelendiği çalışmanın bu bölümünde, denetçi terimi her iki tür denetçiyi de kapsayacak biçimde geniş anlamlı olarak kullanılmaktadır. Ancak iç denetçilerin ve bağımsız denetçilerin bazı benzer uygulamalarda bulunmaları; uyguladıkları denetim prosedürlerinin aynı olduğu anlamına gelmemektedir. Buna karşın, bir işletmenin iç denetçileri ile bağımsız denetçileri arasında yoğun bir iş birliği ve etkileşim söz konusu olmaktadır. İç denetçiler işletmenin finansal tablolarını değerlendirirken genellikle, dış denetçilerin gerçekleştirdiği denetimleri dikkate almaktadırlar. Bilgi sistemleri ve bilgi teknolojilerinin denetçiler tarafından değerlendirilmesi, BS denetimi kavramını doğurmaktadır. Bilgi teknolojileri denetimi ise, bir işletmenin bilgilerinin doğruluğunun tasdik edilmesi için o işletmenin bilgi sistemlerinin, uygulamalarının ve işlemlerinin değerlendirilmesidir. Bu değerlendirme bilgisayar tabanlı uygulamaların verimliliği, etkinliliği ve ekonomikliğinin belirlenmesini ve bilgisayarın bir denetim aracı olarak kullanılmasını da kapsamaktadır. Ayrıca değerlendirmede geçerli, yeterli, güvenilir bilgi sistemlerinin tasdiki yapılırken, bilgi teknolojileri ortamındaki iç kontrollerin yeterliliği de denetlenmektedir.19 Her ne kadar bilgi teknolojileri denetimi, bilgi teknolojileri işlemlerini gözden geçirse ve uygulama veya sistem oluşumlarını incelese de; bu alanlarda uygulanan kontrollerin doğruluğunun kanıtlanması gerekmektedir. Bilgi teknolojileri denetçisinin işlevi; varlıkların korunduğuna, bilginin zamanlı ve güvenilir olduğuna, tüm hata ve eksikliklerin tespit edilip hızla düzeltildiğine dair makul güvence sağlayarak iç denetçiyi tamamlamaktır. Bu işlevin eşit öneme sahip amaçları ise; 19 Gallegos ve diğerleri, 2004, s.32.
18 daha iyi kontrol sağlamak, denetime ait işlem geçmişi raporlarını oluşturmak (complete audit trails) ve işletme politikalarına tam uyumu test etmektedir.20 2.2.1. Bilgi Teknolojileri Denetiminin ĠĢlevi Bilgi teknolojileri denetimi; elektronik veri işleme denetimi (electronic data processing-EDP) ve bilgisayar denetimi olarak da bilinmektedir. Bir BT denetimi (Information Technology Audit-IT Audit) veya bilgi sistemleri denetimi (Information System Audit-IS Audit), bir işletmenin BT altyapısının (information technology infrastructure) içerdiği kontrollerin incelenmesidir. Bu incelemeler finansal denetim (bağımsız denetim), iç denetim ve diğer güvence (tasdik) hizmetleri ile birlikte yürütülebilmektedir.21 BT denetimi önceleri elektronik veri işleme denetimi olarak tanımlanmıştır. Bu şekilde bir tanımın benimsenmesi, ticari verilerin otomatik yöntemler kullanılarak işlenmesinden kaynaklanmaktadır. Bu uygulamalar, büyük miktarda benzer bilgilerin işlenmesine yönelik basit ve rutin faaliyetler için kullanılmıştır. Stok güncellemeleri, banka işlemleri, müşteri hesap hareketleri, bir havayolları rezervasyon sistemindeki rezervasyon ve bilet satış işlemleri gibi faaliyetler bunlara örnek gösterilebilmektedir.22 20 Ibid, s.36. 21 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.43 22 COBIT Steering Committee and the IT Governance Institute, COBIT Third Edition, Rolling Meadows, Information Systems Audit and Control Foundation, 2002.
19 BT denetimi, günümüzde işletmelerin bilgi sistemleri, uygulamaları ve süreçlerine yönelik kanıt toplama ve değerlendirme işlemlerinin bütünü olarak geniş kapsamlı şekilde tanımlanmaktadır. Toplanan kanıtların değerlendirilmesi bilgi sistemlerinin; işletmenin varlıklarını koruyup koruyamadığı, veri bütünlüğünü sürdürüp sürdüremediği, işletmenin amaçlarına ulaşmada etkin ve etkili bir biçimde işleyip işleyemediği konularında güvence sağlamaktadır.23 Aralarında etkileşim olmasına rağmen genel olarak BT denetimi, finansal denetimden (bağımsız denetim) farklıdır. Örneğin iç kontrollerin değerlendirilmesi BT denetiminde ihtiyariyken; bağımsız denetimde iç kontrollerin değerlendirilmesi ve denetim sürecinin iç kontrollere göre oluşturulması söz konusudur; çünkü denetçi finansal tablolara ilişkin bir görüş oluştururken uygulayacağı testlerin sayısını ve yoğunluğunu iç kontrollere göre belirlemektedir. Başka bir ifade ile, denetçi iç kontrollerinin güvenlik seviyesi yüksek olan bir işletmenin denetim testlerinin yoğunluğunu azaltabilmektedir. Diğer yandan BT denetimi, bilgi varlıklarına ilişkin risklerin belirlenmesine ve bu risklerin azaltılması veya yok edilmesi için kontroller oluşturulmasına (risk yönetimi) odaklanmaktadır. Bilgi varlıklarının korunmasında BT denetiminin amaçlarından biri de, işletmenin bilgi sistemlerinin uygunluğu, gizliliği ve bütünlüğünün gözden geçirilip değerlendirilmesidir. Bu doğrultuda BT denetçilerinin denetimlerini gerçekleştirirken cevap aradıkları bazı sorular aşağıdaki gibidir:  İşletmenin bilgi sistemleri iş akışını aksatmayacak şekilde her zaman kullanıma uygun mudur? 23 Allen-Senft, S. and Gallagos, Audit Concerns for End-user Computing and Application Development, EDP Auditing, Auerbach Publishers, 1996, s.15.
20  Sistemdeki bilgilere sadece yetkili kullanıcılar tarafından mı erişilebilmektedir?  Sistemdeki bilgiler her zaman doğru, eksiksiz, güvenilir ve güncel midir? BT denetimi uygulamalarında üç sistematik yaklaşım bulunmaktadır:24 1. Teknolojik yenilik süreci denetimi (Technological innovation process audit): Burada amaç; organizasyonun seçilmiş teknolojilerde, pazarlarda, proje organizasyonunda ve sanayi yapısında deneyimini tayin ederek mevcut ve yeni (potansiyel) projeler için risk profili oluşturmaktır. 2. Yenilikçi karşılaştırma denetimi (Innovative comparison audit): Burada işletmenin rakiplerine karşı yenilikçi olabilme kabiliyeti (innovative abilities) analiz edilmektedir. Analizde işletmenin yeni ürün geçmişi, ar-ge olanakları ve bunlara benzer diğer faktörlerin incelenmesi gerekmektedir. 3. Teknolojik durum denetimi (Technological position audit): Burada işletmenin ihtiyaç duyduğu bilgi teknolojileri incelenmektedir. BT denetçileri, yukarıda açıklanan sistematik yaklaşımları kullanarak bir işletmenin pazardaki yerini, güçlü ve zayıf yönlerini belirlemektedir. Bunun sonrasında da işletmenin bilgi sistemlerinin uygunluğu, gizliliği ve bütünlüğünü dikkate alarak bulgularını rapor etmektedir. 25 24 Goodman, ve diğerleri 1996, s.218. 25 COBIT Steering Committee and the IT Governance Institute, 2002.
21 2.2.2. Bilgi Teknolojileri Denetiminin Tarihsel GeliĢimi Daha önce de belirtildiği gibi BT denetimi ilk olarak elektronik veri işleme (EDP) denetimi olarak başlamıştır. Ticari veriler için teknoloji kullanımı ve muhasebe işlemleri, denetim (güvence-assurance) hizmetlerinde teknoloji kullanılması gereksinimini doğurmuştur. İşletmelerin finansal bilgilerinin kendi bilgi sistemlerinin çıktısı olmasıyla birlikte, bu bilgileri değerlendirmek ve kontrol edebilmek için denetçilerin bilgisayar becerilerini geliştirme ihtiyacı oluşmuştur. Diğer yandan, son yıllarda yaşanan ve bankacılık hileleri, bankalara ve denetçilere yanlış tablolar sunma, para aklama, sistem (bilgisayar-wire) hileleri gibi çok geniş kapsamlı finansal suçları içeren muhasebe skandalları sonucunda da muhasebe ve raporlama hizmetlerine karşı kamu güveni azalmıştır. Dolayısıyla, bu skandallar düzenlemelerin artırılması ihtiyacını ve BT denetiminin gerekliliğini ortaya çıkarmıştır.26 Kayıtlara göre bilgisayar teknolojisi muhasebe sistemlerinde ilk defa General Electric tarafından 1954 yılında kullanılmaya başlanmıştır. Bu tarihte, bilgi teknolojilerinin denetimi yalnızca bilgisayar sistemlerinin çıktılarının denetlenmesi şeklinde yürütülmekteydi. İş hayatında bilgisayarların kullanımının yaygınlaşması ve bilgisayar kullanabilen insan sayısının artması çeşitli muhasebe sistemlerinin doğmasını sağlamıştır. Bunun sonucunda elektronik veri işleme denetimi (EDP) ve elektronik veri işleme denetçileri ortaya çıkmıştır. Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) 1968 yılında ―Muhasebe ve EDP‖ adlı bir kitap yayınlamış ve bir denetim yazılımı geliştirmiştir. Daha sonra, 1969 yılında, EDP 26 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.18.
22 denetimleri için ilkeler, standartlar ve rehberler yayınlamak üzere EDP Denetçileri Birliği kurulmuştur. BT denetiminin büyümesini ve yaygınlaşması sürecini etkileyen beş önemli olay bulunmaktadır: 27  ―Equity Funding Corporation‖ Skandalı: Bilinen ilk bilgi teknolojisinin kötüye kullanımı ―Equity Funding Corporation‖ da gerçekleşmiştir. İşletmenin yöneticileri daha yüksek kar göstermek amacıyla muhasebe kayıtlarıyla oynamışlar ve bunun sonucunda 10 yıl boyunca işletmenin hisse senetleri büyük oranlarda artış göstermiştir. Bu hile 1973 yılında keşfedilmiş ve bilgisayarlı denetime ihtiyaç duyulduğu görüşü hakim olmuştur.  İnternet ve elektronik ticaret geliştikçe dünya genelinde iş yapmak kolaylaşmıştır. Ancak, her ne kadar internet ve elektronik ticaret avantajlı olsa da aynı zamanda işletmeyi suça açık hale getirmektedir. Bu nedenle, BT teknolojileri denetimi gelişmiş ve işletmelerin ve bireylerin internet ortamında güvenliklerinin korunmasına yardımcı olmuştur.  AT&T şirketinin bilgi teknolojilerinin, yazılım hataları yüzünden 1998 yılında çökmesi nedeniyle birçok kredi kartı sahibinin 18 saat boyunca fonlara ulaşamaması ve dünya genelinde ticaretin bu durumdan olumsuz etkilenmesi bilgisayar sistemleri için güvence hizmetlerinin gerekliliğini bir kez daha göstermiştir. 27 Ibid, s.18.
23  2001 yılının sonunda meydana gelen Enron skandalı, hem Enron‘un hem de onun muhasebe danışmanlığını yapan Arthur Andersen‘in iflasına neden olmuş ve ayrıca birçok yatırımcı önemli tutarda para kaybederken birçok kişi de işsiz kalmıştır. Enron skandalı ve sonrasında meydana gelen diğer skandallara bir tepki olarak 2002 yılında ABD‘de çıkartılan Sarbanes-Oxley yasası halka açık işletmeler ve de muhasebe firmaları için yeni ve iyileştirilmiş standartlar getirmiştir. 28  11 Eylül saldırıları sonucunda ABD‘de çıkartılan ―Yurt Güvenliği Yasası (Homeland Security Act)‖ bilgi sistemlerinin güvenliğini artırmıştır. 2.2.3. Bilgi Teknolojisi Denetimine ĠliĢkin Mesleki Örgütler ve Bilgi Teknolojisi Denetçisi Uluslararası Sistem Denetimi ve Kontrol Birliği (International Systems Audit and Control Association-ISACA) elektronik veri süreçlerini denetleyen ve bilgisayar sistemlerini kontrol eden bir grup tarafından 1967 yılında kurulmuştur. Birliğin görevi, kurumsal ve sistem kontrollerini denetleyen denetçilerin mesleki yeterliliklerini geliştirmek ve desteklemektir. Ayrıca, 1969 yılında; Elektronik Veri Süreçleri Denetçileri Birliği (Electronic Data Processes Auditors Association) kurularak bilgi teknolojileri denetimi alanında bilgi kaynağı ve rehberlik sağlayacak bir kuruluş oluşturulmuştur.29 28 Niskanen ve diğerleri, 2005, s.41. 29 Alter., 2006., s.65.
24 Günümüzde ISACA‘nın sayısı 65.000 ‗e ulaşan ve 140 ülkede faaliyet gösteren üyesi bulunmaktadır. Üyeler; bankacılık, finans, muhasebe, üretim ve kamu gibi çeşitli sektörlerde çalışan bilgi sistemi denetçileri, bilgi sistemi güvenlikçileri, danışmanlar, iç denetçiler ve eğitimciler gibi profesyonellerden oluşmaktadır. ISACA‘nın 70 ülkede faaliyet gösteren birimi bulunmaktadır. Bu birimlerde ISACA yerel düzeyde eğitim düzenlemekte ve bilgi teknolojileri araştırma projeleri yürütmektedir. ISACA‘nın yayınladığı denetim ve kontrol standartları dünya genelinde kabul görmektedir. Bu nedenle ISACA‘nın ―Sertifikalı Bilgi Sistemleri Denetçisi‖, ―Sertifikalı Bilgi Sistemleri Yöneticisi‖ ve ―Sertifikalı Bilgi Güvenliği Yöneticisi‖ gibi çeşitli meslek unvanları vermek için düzenlediği sınavlar bulunmaktadır. Ayrıca ISACA bilgi kontrolü alanında ―Bilgi Sistemleri Kontrolü‖ adında periyodik bir bilimsel dergi yayınlamaktadır. 30 İşletmelere bilgi teknolojilerinin yönetimi konusunda liderlik sağlamak ve örgütsel yapıların ve süreçlerin oluşturulmasına yardımcı olmak amacıyla ISACA tarafından Bilgi Teknolojileri Yönetim Enstitüsü (Information Technology Governance Institute-ITGI) kurulmuştur. ISACA ve ITGI birlikte bilgi teknolojileri yönetim ilkelerini ―Bilgi Teknolojileri ve İlgili Teknolojiler için Kontrol Amaçları (Control Objectives for Information and Related Technology-COBIT)‖ olarak yayınlamıştır. ISACA‘nın web sayfasında belirtildiği gibi, COBIT bilgi teknolojileri alanında faaliyet gösterenler için, uluslar arası genel kabul görmüş bilgi teknolojileri kontrol amaçları geliştirmekte ve yayınlamaktadır. Dolayısıyla, bilgi teknolojileri alanında faaliyet gösterenler COBIT sayesinde bilgi teknolojileri yönetim modeli geliştirerek 30 www.isaca.org
25 işletmelerinin varlıklarını korumak için gerekli kontrolü ve güvenlik seviyesini oluşturabilmektedirler. COBIT daha önce birçok defa güncellenmiş ve en yeni haliyle 2005 yılında yayınlanmıştır. 31 2011 yılında, son güncellenmiş hali taslak olarak yayınlanmış olup, yıl sonuna kadar son şeklini alarak yayınlanması planlanmaktadır. İşletmeler artan bir biçimde bilgisayar tabanlı MBS kullandıkça ve bu sistemler teknolojik olarak daha karmaşık hale geldikçe, bilgi teknolojisi denetçilerine olan talep artmaktadır. Sarbanes-Oxley Kanunu‘nun son yürürlüğe giren maddeleri de daha çok bilgi teknolojisi denetçisi ihtiyacı yaratmaktadır. Bilgi teknolojisi denetimi çok yönlü beceri gerektirmektedir. Bazı bilgi teknolojisi denetçileri bilgisayar veya bilgi sistemleri alanında lisans derecesine sahipken, diğer bir kısmı da muhasebe mezunu ve genel denetim deneyimine sahip kişilerdir. En ideali muhasebe ve bilgi sistemleri ya da bilgisayar bilimi bilgilerinin birleşimine sahip olmaktır. 32 Yukarıda da belirtildiği gibi, bilgi teknolojisi denetçileri mesleki bir sertifika niteliğinde olan ―Sertifikalı Bilgi Sistemleri Denetçisi‖ unvanını almak istemektelerdir. Bu sertifikayı almak için ISACA tarafından düzenlenen sınavı kazanmak, bir takım deneyim koşullarına uymak, Profesyonel Etik Kurallarına (Code of Professional Ethics) uymak, sürekli profesyonel eğitim sürecine dahil olmak ve Bilgi Sistemleri Denetimi Standartları‘na (Information Systems Auditing Standards) uymak gerekmektedir. Tablo 2.1. ISACA‘nın düzenlediği ―Sertifikalı Bilgi Sistemleri Denetçisi‖ sınavı kapsamındaki konuları göstermektedir. Sınavda sadece 31 www.isaca.org 32 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.14.
26 bilgi teknolojilerinin değerlendirilmesi değil bilgi teknolojileri yönetimi ve koruma gibi konular da yer almaktadır. Tablo 2.1: Sertifikalı Bilgi Sistemleri Denetçisi Sınavının Konu Dağılımı Konu Ağırlık Bilgi sistemleri denetim süreci 10% Bilgi teknolojileri yönetimi 15% Sistemler ve yaşam döngüsü boyunca yönetim 16% Bilgi teknolojileri hizmeti sunumu ve desteklenmesi 14% Bilgi varlıklarının korunması 31% İşletmenin sürekliliği ve olağanüstü durumlar 14% Kaynak: Cangemi, M.P., Managing the Audit Function: Corporate Audit Department Procedures Guide, Third Edition, 2003, s.61. Deneyimli bilgi güvenliği profesyonelleri için daha genel bir sertifika olarak, yine ISACA tarafından verilen Sertifikalı Bilgi Güvenliği Yöneticisi (Certified Information Security Manager – CISM) sertifikası bulunmaktadır. Bu sertifikayı almak isteyenlerin bir iş yönlendirmesine ve risk yönetimi ile güvenlik konularına ilişkin kavramsal bakış açısına sahip olması gerekmektedir. Sertifikayı almak için girilen sınav; bilgi güvenliği yönetişimi, bilgi güvenliği programı yönetimi, risk yönetimi, bilgi güvenliği yönetimi ve tepki yönetimi konularındaki bilgiyi değerlendirmektedir.33 33 Cangemi, 2003, s.61.
27 Bilgi teknolojisi denetçileri iç denetçi olarak da dış denetçi olarak da işe alınabilmektelerdir. Her iki durumda da, bu denetçiler bağımsız testlerden çok kontrol prosedürlerinin değerlendirilmesine odaklanmaktadır. Bilgi sistemleri donanımındaki ve çeşitli MBS uygulamalarındaki kontrolleri değerlendirmek, yüksek düzeyde uzmanlık gerektirmektedir. Örneğin, bir BT denetçisinin belli bilgilere ulaşmayı sınırlandıran kontrolleri değerlendirmesi için, herhangi bir uygulamanın giriş güvenliği düzenleme yöntemlerine aşina olması gerekmektedir. Bağımsız denetçilerle karşılaştırıldığında iç denetçiler; bir işletmenin donanımı, işletim sistemi platformu ve uygulama programları üzerinde daha kolay uzmanlaşmaktadır. Bir bağımsız denetçinin, birçok farklı işletmenin bilgi sistemlerini denetliyor olması beklenmektedir. Ancak bağımsız denetçi; belli bir işletim sistemi platformunda, güvenlik yazılımı paketinde, mikrobilgisayar ağ sisteminde veya belli bir minibilgisayar ya da anabilgisayar sisteminde uzmanlaşmayı tercih edebilmektedir. Aslında BT denetiminin etkili bir biçimde yürütülmesi için, hem uzmanlaşılmış beceriler hem de genel bir teknik bilgi gerekmektedir. Bağımsız bilgi sistemleri denetçisi, bazen finansal denetim ekibinin bir parçası olurken bazen de bu ekipte yer almamaktadır. Bazı durumlarda finansal denetim ekibi, bağımsız bilgi sistemleri denetçilerine sadece özel bir risk bulunduğunda başvurmaktadır. Dört büyük bağımsız denetim firmalarının hepsi, BT denetçileri istihdam etmekte ve müşterilerine çok çeşitli güvence ilişkili (assurance-related) BT hizmeti sunmaktadır.
28 Denetime başlama noktası olarak mizanın kullanılması zaman kazandıran bir yöntem olmasına rağmen, modern bilgisayar sistemlerinin incelenmesinde her zaman işe yaramamaktadır. Neyse ki, kıdemli denetçiler veya finans müdürleri elle (manuel) ve bilgisayarlaştırılmış yöntemleri birlikte barındıran, tutarlı ve mantıklı denetim veya yönetim yaklaşımlarının önemini görmektedir. Bilgisayar sistemlerinin denetimi, geleneksel mizan yaklaşımında değişiklik yapılmasını gerektirmektedir. Ancak herhangi bir yeni denetim yaklaşımının da tüm dünyada (evrensel olarak) uygulanabilir olması şarttır. 34 Elle (manuel) ve bilgisayarlaştırılmış sistemlere eşit olarak uygulanan evrensel yaklaşımlar, denetim mesleği için Denetim Standartları‘nda (Statement of Auditing Standards – SAS 1) resmi hale getirilmiştir. Bu standartlar ile denetimde tekdüze ve sürece yönelik bir yaklaşımın kullanılması zorunlu kılınmaktadır. Burada belirtilen yaklaşım, denetim sırasında izlenen, her biri belirli sonuçlara ulaşmak üzere hazırlanmış bir seri halindeki mantıklı ve sıralı adımlardan oluşan tam bir süreç tekniğidir. Bu yaklaşımın uygulanmasında, denetim inceleme merkezinde yapılan ilk birkaç inceleme ile muhasebe sisteminin nasıl olduğunun temel olarak anlaşılması sağlanmaktadır. Finansal tablolara yansıyan, finansal önemi olan verileri oluşturan uygulamaların incelenmesine geldiğinde ise süreç çok daha derinleşmektedir. 35 Genellikle şematik (sistemli) diyagramlar belirgin adımlar gösterse de, gerçekte denetim süreçleri bu kadar katı değildir. Ayrıca bazı tipik denetim aşamaları, daha 34 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.45 35 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.61.
29 önceden uygulanmış prosedürlerin yeniden değerlenmesi ve kaynağının aranmasını içermektedir. 36 2.3. Bilgi Teknolojileri Denetimi Süreci Bilgi teknolojileri denetimi fonksiyonu; bilgisayar tabanlı muhasebe bilgi sistemlerinin (MBS-AISs) insan, prosedürler, donanım (hardware), veri bildirimi ve veri tabanları gibi tüm bileşenlerini kapsamaktadır. Aslında bu bileşenler; denetçilerin denetim amaçlarını gerçekleştirmek için inceledikleri, birbiri ile etkileşen öğelerden oluşan bir sistemdir. 37 Bağımsız denetçiler, işletmenin bilgisayar işlemleri üzerindeki kontrol prosedürlerinin finansal tabloları nasıl etkilediğini değerlendirmek için, öncelikle işletmenin bilgisayar destekli muhasebe bilgi sistemlerini (MBS-AISs) incelemektedir (attest objective). Mevcut kontroller denetimin kapsamını direkt olarak etkilemektedir. Örneğin eğer bilgisayar kontrolleri zayıfsa veya hiç yoksa, denetçiler daha fazla bağımsız testler (substantive testing) yapmak ihtiyacı duymaktadır. Bağımsız testler, işlemlere ve hesap bakiyelerine ilişkin detaylı testlerdir. Alıcılar hesabında yer alan müşterilerle yapılan bakiye mutabakatları, bağımsız testlere örnek olarak gösterilebilmektedir. Eğer işletmenin bilgisayar destekli muhasebe bilgi sistemleri (MBS-AISs) üzerindeki kontrol prosedürleri güçlüyse, denetçiler alıcılar hesabında yer alan bakiyelere ilişkin az sayıda işlemi 36 Ibid, 1987. 37 Allen-Senft ve diğerleri, 1996, s.39.
30 inceleyerek, denetimlerinin kapsamını sınırlandırabilmektedir. Örneğimizde bu sınırlandırma, yeterince veya hiç güvenilmeyen bilgisayar destekli kontrollerin olduğu bir duruma oranla, bakiye mutabakatı yapmak için daha az sayıda müşteri ile temasa geçilmesi anlamına gelmektedir.38 Bilgi teknolojileri denetiminde yer alan adımlar, her finansal denetimde gerçekleştirilenlerle benzerlik göstermektedir. Farklı olan ise denetçinin incelemelerinde bilgisayar tabanlı muhasebe bilgi sistemlerinin dikkate alınmasıdır. Süreç, sistemin ön değerlendirmesi ile başlamaktadır. Denetçi ilk olarak, muhasebe verilerine dair bilgisayar sürecinin anlamlı mı veya bir incelemeyi gerektirecek derecede karmaşık mı olduğuna karar vermelidir. Eğer sistem büyük veya karmaşık değilse, denetim manuel veri işleme süreci söz konusuymuş gibi sürdürülebilmektedir. Çoğunlukla bilgisayar tabanlı süreçler, kontrol ortamı hakkında hızlı bir yargıya varmak için denetçi tarafından bir ön değerlendirmeyi gerektirmektedir. Genellikle denetçi, ileri incelemeleri gerektirecek derecede bilgisayar tabanlı kontroller bulmakta ve hem genel, hem de uygulama kontrollerine ilişkin daha detaylı analizler yapmayı istemektedir. Bu kontroller detaylı olarak incelendikten sonra, kontrollerin mevcudiyetinden ve belirlendiği üzere çalıştığından emin olmak için uygunluk testleri (compliance testing) gerçekleştirilmektedir. Bu testler, bilgisayar destekli muhasebe bilgi sistemlerinin denetimi için bilgisayar destekli denetim tekniklerinin (―BDDT‖- computer-assisted audit techniques-CAATs) 38 Cangemi, 2003, s.24.
31 kullanılmasını gerektirebilmektedir. Son olarak denetçi, bazı hesap bakiyelerini bağımsız olarak test etmektedir. Daha önce de belirtildiği üzere, önceki analizler ve testlerin sonuçları bu testin kapsamını belirlemektedir. Denetçiler çoğunlukla bu adımda bilgisayarla denetimde BDDT kullanmaktadır. Bazı denetim araçları, sürekli denetim veya zamanlı güvence sağlamak için bir bilgi sisteminin içine yüklenebilmektedir. Yıllar boyunca, muhasebeciler ve başka birçok kişi sürekli denetimi tartışmışlardır. Sürekli denetim yaygın bir biçimde kullanılmasa da, eş zamanlı finansal raporlamaya yönelindikçe önemi artmaktadır. Ayrıca, denetim akışı olarak bilinen, finansal bilginin üretimi ve denetimi arasındaki sürenin kısaltılması için de artan bir baskı bulunmaktadır. Hisse senedi sahipleri, karar verme süresi kısaldıkça, denetlenmiş bilgiyi daha çabuk istemektedir. Birçok firma finansal bilgilerini internet aracılığıyla raporlamakta ve birçokları da XBRL bu tip raporlamayı artırdıkça buna yönelmektedir. (XBRL, çeşitli finansal hesaplar için geliştirilmiş bir ortak sınıflandırma (etiketlendirme) sistemidir.) Sürekli denetim için bazı belirgin yaklaşımlar şu şekildedir: 1. Gömülü denetim modülü veya denetim kancası (embedded audit modules or audit hooks) 2. İstisna raporlaması (exception reporting) 3. İşlem etiketleme (sınıflandırma) (transaction tagging) 4. Enstantane tekniği (snapshot technique) 5. Sürekli ve aralıklı simülasyon (continues and intermittent simulation)
32 Bu araçlar, bir denetçi olmadan dahi denetim yapılmasını sağlamaktadır. Gömülü denetim modülleriyle, uygulama alt programları (application subroutines) denetim amaçları için veri yakalamaktadır. Bu veriler genellikle bir yüksek risk alanıyla ilgilidir. Örneğin ücret bordrosu için bir uygulama programı, sistemler kontrolü denetim inceleme dosyası (systems control audit review file (SCARF)) denilen özel bir log‘a (kayıt, seyir defteri) yazılan ve önceden belirlenmiş kriterlere uygun işlemler oluşturan bir kod içermektedir. Bir SCARF dosyasına kaydedilebilen olası işlemler; aktif olmayan hesapları etkileyenleri, işletme politikasından sapanları (uzaklaşanları) veya varlık değerlerini itfa edenlerin dahil olduklarını içermektedir. Ücret bordrosu uygulamalarında bu işlemler, çalışanların önceden belirlenen saatlerden daha fazla çalışması gibi durumları yansıtabilmektedir. Bir seride oluşan ilişkili işlemlerin kaydedilmesi de buna örnek gösterilebilmektedir. 39 İstisna raporlaması uygulaması da bir sürekli denetim türüdür. Eğer ki bilgi sistemi önceden belirlenen şartlardan sapan işlemleri ret eden mekanizmalar içeriyorsa (alışılmışın dışında yüksek tutarlı bir satıcı çeki gibi); o zaman istisnai işlemlerin süregelen raporlaması sistemin kendini sürekli izlemesine olanak sağlamaktadır. İşlem etiketlemesi kullanılarak, belli işlemler özel bir belirleyiciyle etiketlenebilmektedir. Böylece bu işlemler bilgi sisteminden geçerken kaydedilebilmektedir. Örneğin, bir denetçinin ücret bordrosu sisteminin işleyiş mantığını onaylayabilmesi için, belirli sayıda çalışanın kendi işlem kayıtlarına iliştirilmiş etiketleri bulunmaktadır. Bu durumda etiketleme, sistemdeki kontrollerin 39 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.55.
33 çalışmasını da kontrol etmiş olur. Örnek olarak bir ödeme döneminde olağandışı (önceden belirlenen kriterlere göre) çalışma saatleri tespit edildiğinde ücret bordrosu işlemlerinin ret gerektirdiği bir kontrol prosedürü sayılabilir. Denetçiler kontrol prosedürlerinin doğru çalıştığından emin olmak için etiketlenmiş işlemleri gözden geçirmektedir. 40 Enstantane (snapshot) tekniği işlemlerin işleyiş şeklini incelemektedir. Seçilmiş işlemler enstantane sürecini başlatan bir özel kod ile işaretlenmektedir. Bilgisayar programındaki denetim modülleri; bu işlemleri ve bu işlemlerin ana dosya kayıtlarını faaliyetlerinden önce ve sonra kaydetmektedir. Enstantane verileri özel bir dosyada kaydedilmekte ve denetçi tarafından her uygulama adımının düzgün çalışmış olduğunu onaylamak için gözden geçirilmektedir. 41 Sürekli ve aralıklı simülasyon (CIS) bir veri tabanı yönetim sistemindeki (database management system- DBMS) bir denetim modülünü saklamaktadır. CIS modülü (SCARF‘taki işe alma kriterlerinin benzeri) DBMS‘yi güncelleyen tüm işlemleri incelemektedir. Eğer bir işlem özel denetim önemine sahipse; denetim modülü veriyi özgürce işlemekte (paralel simülasyondakine benzer bir biçimde), sonuçları kaydetmekte ve bunları DBMS tarafından oluşturulan sonuçlarla karşılaştırmaktadır. Eğer ki herhangi bir farklılık (uyumsuzluk, çelişki – discrepancy) bulunuyorsa, bu farklılıkların ayrıntıları ileri soruşturma için bir denetim log‘una (kayıt, seyir defterine) yazılmaktadır. Ciddi farklılıklar bulunmuşsa, CIS DBMS‘nin güncelleme işlemini yürütmesini engelleyebilir. Karmaşık organizasyonlarda verinin çok yönlü 40 COBIT Steering Committee and the IT Governance Institute, 2002. 41 Cangemi, 2003, s.42.
34 DBMS‘ye yerleştirilmesi, sürekli denetim için aşılması gereken bir durumdur. Gerçek zamanlı güvence vermeyi (real-time assurance) etkili olarak yürütmek için denetçilerin özellikle denetim amaçları için bir veri pazarı (data mart) veya veri deposu alt kümesi yaratmaya ihtiyaçları bulunmaktadır‖. 42 Daha küçük ölçekte sürekli denetim için bir örnek de hesap çizelgelerine (spreadsheets) denetim modülü gömülmesidir (embed-saklanmasıdır). Bugünün hesap çizelgelerinin kapsamlı hesaplama ve düzenleme kapasitesi, kullanıcıların profesyonel çıktılar oluşturmasını sağlamaktadır. Ancak iyi görünümlü raporlar çok sayıda girdi yanlışlığını, formül hatasını ve diğer problemleri maskeleyebilmektedir. Uzmanlara göre her üç hesap çizelgesinden biri büyük bir hata içermektedir. 2.4. Muhasebe Skandalları, Denetim Standartları ve Bilgi Teknolojileri Denetimi Ticari alanda 1952‘den bu yana kullanılmakta olan bilgisayarlara ilişkin ilk elektronik suçun 1966 yılında ortaya çıktığı bilinmektedir. Buna rağmen Equity Funding Corporation of America‘da (EFCA) büyük sorunların ortaya çıktığı 1973 yılına kadar, denetim mesleği bilgisayar bilgi sistemlerindeki kontrolsüzlüğü ciddi bir biçimde ele almamıştır. 2002 yılında ise, finansal piyasalara şüphecilik ve çöküş getiren başka bir büyük yolsuzluk tespit edilmiştir. Bunun üzerine büyük denetim firmaları ve borsada büyük işlem hacmine sahip SEC (Securities and Exchange 42 Allen-Senft ve diğerleri, 1996, s.20.
35 Commission) düzenlemelerine tabi işletmeler; yatırımcılarda güvensizlik yaratmış ve sonuçta ABD hükümeti denetim ve kontrol alanında sıkı düzenlemeler getirmiştir.43 2.4.1. Muhasebe Skandalları 1973 yılında EFCA iflasını açıkladığında, yasadışı faaliyet sonucu oluşan asgari etki ve kayıpların 200 milyon dolar civarında olduğu raporlanmıştır. Bu büyük finansal yolsuzluğa ilişkin daha sonraki tahminler ise yasal ödemeler ve amortisman gideri gibi endirekt maliyetlerle birlikte 2 milyar dolara kadar yükselmiştir. Söz konusu kayıplar, şirketin bir hayat sigortası şubesinin kayıtlarında yeni poliçe düzenlemesi yapılmış gibi göstermek için tahrifat yapmasından kaynaklanan, bilgisayar destekli yolsuzluk sonucunda oluşmuştur. Poliçe düzenlemelerinin dışında alacaklar ve menkul kıymetler gibi diğer varlıklar da olduğundan farklı bir biçimde kayıtlara alınmıştır. Şirketin olağan yılsonu denetimlerinde, bu hayali varlıkların mevcut olmadığının ortaya çıkarılması gerekirken, bu durum tespit edilmemiştir. Bilgisayarların dosyaları manipüle etmek için kullanılması; denetim mesleğinde geleneksel ve elle uygulanan tekniklerin bilgisayar içeren denetimler için yeterli olmadığının anlaşılmasını sağlamıştır. 44 EFCA‘da meydana gelen olaylar sonucunda, Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (American Institute of Certified Public Accountants – AICPA) 1973 yılında, mevcut denetim standartlarının yeterliliğini incelemek üzere 43 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.36. 44 Ibid, s.37
36 özel bir komite oluşturmuştur. Komiteye uygulanan belirli prosedürleri ve onaylanan genel standartları değerlendirme görevi verilmiştir. Komite 1975 yılında tespitlerini yayımlamıştır. Denetim standartlarına yönelik başka bir eleştirel inceleme de 1974 yılında AICPA bu alanı kapsayan ilk standartlarını oluşturduğunda başlatılmıştır. Ancak tüm bu incelemelerden yaklaşık 29 yıl sonra 2002‘de Enron-Arthur Andersen fiyaskosu herkesi tekrar 1973 yılına döndürmüştür. 45 21. yüzyılın başında; Enron, Global Crossing ve diğer benzer skandallar sonucunda ―gerekli mesleki özen‖ sorunu denetim camiasının ilk sıradaki konusu olmuştur. 1973‘teki EFCA skandalı sigortacılık sektöründe ve yaratıcı muhasebe (corporate creative accounting) konusunda da havacılık ve uzay sanayinde katı eyalet ve devlet düzenlemeleri oluşturulmasına yol açmıştır. Bu şekilde 2002 yılında çıkarılan Sarbanes-Oxley Kanunu da gerekli mesleki özenin öneminin altını çizmiştir. Bu kanun, 1934‘teki Securities and Exchange Commission – SEC Kanunu‘ndan ve 1977‘deki FCAP‘den sonra ABD Kongresi‘nin iş dünyasına dayattığı en büyük değişiklikleri içeren temel bir reform paketidir. Kanun gelecekte olabilecek skandalları engellemeye ve yatırımcıların güvenini korumaya çalışmaktadır. Bu kanunla birlikte halka açık işletmelerin muhasebe gözetimini yapan bir kurul (public- company-accounting-oversight board) oluşturulmuş, denetçilerin bağımsızlık kuralları ve kurumsal yönetim standartları (corporate governance standards) yeniden gözden geçirilip düzeltilmiş, SEC Kanunu‘na aykırılıklara karşı cezalar belirgin bir şekilde artırılmış ve ağırlaştırılmıştır. 46 45 Ibid, s.37. 46 Gallegos, ve diğerleri, Information Technology Control and Audit, 2004, s.11.
37 Daha da önemlisi 2002 yılında ortaya çıkan yolsuzluklar ile kamuoyunun ilgisi finansal raporlamaya odaklanmıştır. Global Crossing, Adelphia ve Tyco gibi işletmelerdeki yolsuzluk/hile ve yanlış finansal raporlama sadece bir başlangıç olmuştur. Enron ve WorldCom şirketlerinin batışında ortaya çıkan milyarlarca dolarlık hileli raporlama ise finans çevrelerini allak bullak etmiştir. Bu yolsuzluklar ve bunları takip eden diğer olaylar ile yatırımcılar, emekliler ve vergi ödeyenler dahil kamuoyunun ABD Kongresine yaptığı baskı sonucunda; Sarbanes-Oxley Kanunu 30 Temmuz 2002‘de onaylanmıştır. Bu kanun kurumsal yönetimi, mali sorumluluğu, denetim kalitesini geliştirerek sermaye piyasalarındaki kamu güvenini artırma çabalarına katkıda bulunmuştur. Kanun işlem kontrolleri (operational controls) yerine finansal kontrollere daha fazla ağırlık verilmesine neden olmuştur. Böylece iç denetim yönetim açısından çok daha önemli bir kaynak olmuş ve bilgi teknolojileri denetçilerinin iş alanı genişlemiştir. Kurumsal yönetim açısından da denetim komitelerinin rolü ve bağımsızlığı üzerine eğilinmesi gereken bir konu olmuştur. 47 EFCA‘nın iflası sonucunda AICPA Komitesine denetim standartlarının yeniden incelenmesi görevi verilmiştir. Komite inceleme sonucunda genel kabul görmüş denetim standartlarının yeterli olduğunu ve denetçiler tarafından yaygın olarak kullanılan prosedürlerde değişiklik yapılmasına gerek olmadığını belirtmiştir. 48 Buna karşın Sarbanes-Oxley Kanunu‘nun denetim alanında çarpıcı etkileri olmuştur. Kısım 404 – İç Kontrolde Yönetim Görüşü‘ne (Section 404 – Management Assessment of 47 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.14 48 Gallegos ve diğerleri., Information Technology Control and Audit, 2004, s.81.
38 Internal Controls of the Act) göre şirketler aşağıdakileri yerine getirmekle yükümlü kılınmıştır: 49  Finansal raporlamada yeterli bir iç kontrol yapısı ve prosedürleri oluşturmak ve bunu korumak için yönetimin sorumluluğunu belirlemek.  Finansal raporlama için iç kontrol yapısı ve prosedürlerinin etkisini değerlendirmek. Bu yükümlülükler iç denetçiler ve bilgi teknolojileri denetçileri üzerinde büyük etkiye sahip olmaktadır. Söz konusu denetçiler işlerini yapmanın yanı sıra Sarbanes- Oxley Kanununun öngördüğü üzere yönetim raporu için de iç kontrolleri değerlendirip raporlamak durumundadır. 50 Ne zaman bir denetim süreci çökse, bilgisayarda oluşturulan kayıtlara dayalı finansal tabloların incelenmesinde yeni denetim standartları öngörülmektedir. Genel olarak alan çalışmasına ilişkin standartlar, elle oluşturulan kayıtlara uygulananlarla aynıdır. Ayrıca yeterli iç kontrolün temel öğeleri de aynı kalmaktadır. Sonuç olarak iç kontrolün incelenmesi ve değerlendirilmesindeki temel amaç halen, bir görüş için kanıt sağlamak ve gelecekteki denetim testlerine yönelik kapsam, zamanlama ve içerik belirlemektir. 51 Bilgisayar tabanlı finansal raporlama sistemleri var olduğu sürece, yeni denetim prosedürleri sürekli olarak oluşturulmalı ve geliştirilmelidir. Hesaplamalar, kayıt 49 Ibid, s.46. 50 Ibid, s.48 51 Ibid, s.42.
39 ekleme veya silmeler, işlemlerin yetki tasdiki; işlem akışıyla birlikte bilgisayar üzerinden yapılmalıdır. Bu şekilde bilgisayar tabanlı süreçlerde uygun iç kontrol tekniklerini sürdürmekte belirgin değişiklikler tespit edilebilmektedir. Ayrıca, iç kontrol incelemesi ve değerlendirmesinde de farklı tarzlar olabilir. Kişilerin iç muhasebe kontrolünün bazı safhalarından çıkarılması ve bilgisayar tabanlı onaylama süreci ve prosedürlerine güvenilmesi temel bir değişiklik olarak sayılabilir.52 Eğer bir işletme gerçek bir denetim fonksiyonu oluşturmak istiyorsa, denetimde bağımsızlık, işletmeye değer katacak çok kritik bir bileşendir. Eğer denetim sürecinin bütünlüğünün işletmenin hedef ve amaçlarına katkı sağlaması bekleniyorsa, denetim raporu ve görüşü önyargılardan ve herhangi bir etkiden uzak olmalıdır. Birçok mesleki örgüt (AICPA, the Institude of Internal Auditors-IIA, the Information Systems Audit and Control Association-ISACA (önceden EDP Auditors Association), Association of Government Accounts-AGA, vb.) bu konuya çok net bir şekilde değinmiştir. 53 2002 yılında çıkan Sarbanes-Oxley Kanunu ile denetim firmalarına denetim hizmeti ile eş zamanlı olarak denetledikleri müşterilere iç denetim, finansal bilgi sistemi tasarımı ve uygulama gibi hizmetleri vermeleri yasaklanmıştır. Hizmet kapsamındaki bu sınırlamalar, SEC‘in mevcut bağımsızlık düzenlemelerinin bile ötesine geçmiştir. Ayrıca, vergi hizmetleri dahil diğer tüm hizmetlere sadece müşterinin (issuer) denetim komitesinin ön onay vermesi (firmanın bu şekildeki tüm onayları SEC‘ye verilen dönemlik raporlarında açıklanmak zorundadır) durumunda izin 52 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.77. 53 Ibid, s.55.
40 verilebilmektedir. 54 Sarbanes-Oxley Kanunu denetçi rotasyonunu da (denetim firması değil) zorunlu kılmaktadır. Buna göre, işin başındaki denetim ortağı geçmiş beş mali yılda müşteriye denetim hizmeti vermişse, anlaşmayı başkasına devretmek zorundadır. 55 2.4.2. Denetim Standartları AICPA‘nın (Amerikalı Sertifikalı Kamu Muhasebecileri Kurumu) çıkardığı SAS, kamu muhasebecileri (Certified Public Accountant-CPA) için hazırlanmış mesleki standartlardır. Bu standartlar genel kabul görmüş denetim standartlarının (GAAS) açıklaması şeklindedir. AICPA üyelerine bu standartlara bağlı kalmalarını veya ayrılıklar olduğunda da yaptıklarının doğruluğunu kanıtlamaya hazır olmalarını bildirmektedir. 56 Muhasebe mesleği bilgi teknolojileri sistemlerinde iç kontrol konusunu, resmi olarak 1974 yılında AICPA‘nın SAS 3 ―Denetçinin Çalışmasında ve İç Kontrolün Değerlendirilmesinde Elektronik Veri İşlemenin (Electronic Data Processing-EDP) Etkisi‖ni yayımlamasıyla ele almıştır. SAS 3 bilgisayar sistemi kullanarak ciddi boyutta kayıt oluşturan müşterilerin iç kontrol değerlendirmesi ile ilgilidir. Bilgisayar tabanlı finansal sistemlerdeki artış ile birlikte denetçilerin finansal tabloların denetiminde iç kontrol konularından fazlasını ele alması ihtiyacı doğmuştur. Bu nedenle, 1984 yılında AICPA SAS 3‘ün yerine SAS 48 ―Finansal Tabloların 54 Ibid, s.59 55 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.82 56 Ibid, s.85
41 İncelenmesinde Bilgisayar İşlemlerinin Etkisi‖ni yayımlamıştır. SAS 48, denetçilerin sadece iç kontrollerin değerlendirilmesinde değil tüm denetim sürecinde bilgisayar işlemlerinin etkilerini dikkate almalarını öngörmektedir. Finansal sistemlerde bilgisayar tabanlı işlem kullanımının artışı ile birlikte, SAS 48 de senkronize denetim uygulaması sağlamak için tüm SAS‘ları düzeltmektedir. 57 SAS 48, bilgisayarlı muhasebe uygulamaları kullanan işletmelerin finansal tablolarının incelenmesinde gerekli denetim prosedürleri için temel kavramsal çerçeve sağlamaktadır. Tebliğ, bir denetçinin aşina olması gereken temel prosedürleri ve ilgi alanlarını bildirmektedir. Tebliğ genel olarak aşağıdaki konuları içermektedir 58 : • Denetimin aşağıdakilerden nasıl etkilendiği:  Her önemli muhasebe uygulamasında bilgisayar kullanımının kapsamı  İşletmenin bilgisayar işlemlerinin karmaşıklığı  Bilgi teknolojileri faaliyetlerinin organizasyonel yapısı  Denetim için verilerin mevcudiyeti  Denetim prosedürlerinin verimliliğini artırmak için bilgisayar destekli denetim tekniklerinin kullanılması (AU Sec. 311.09) • BT konusunda uzmanlaşmış denetçilere duyulan ihtiyaç (AU Sec. 311.10) • Bir işletmenin önemli verilerin işlenmesinde kullandığı yöntemlere uygulanan iç kontrol prosedürlerinin etkisi • Elle yapma ve bilgisayar kullanarak yapmayı birbirinden ayıran özellikler: 57 Ibid, s.84. 58 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.76.
42  İşlem yollarının kısaltılmış ömrü (Abbreviated life of transaction trails)  İşlemlerde daha çok tekdüzelik (bu işlem hatalarını azaltır ancak programlama hatalarının hassasiyetini artırır)  Birbirine zıt fonksiyonların yoğunlaşması için potansiyel  Sistem ve dosyalara yetkisiz giriş yapma kolaylığına bağlı olarak hata ve usulsüzlüklerin artma olasılığı  Artırılmış yönetim denetimi potansiyeli  İşleyen fonksiyonların otomatik kabulü  Elle ve otomatik kontrollerin birbirine bağlı olması (AU Sec. 320.33). • Kontrol prosedürlerinin birbirine bağlılığı (AU Sec. 320.57) • Genel ve uygulama kontrollerinin yeterliliği. Genel kontroller, sistem geliştirme üstündeki kontrol gibi birkaç tane bilgisayar tabanlı faaliyetle ilişkilidir. Uygulama kontrolleri ise uygulamaya özgü kontrollerdir. (AU Sec. 320.58) • Programlanmış kontrollerin çalışma güvenilirliği için makul güvence elde etme ihtiyacı (AU Sec. 320.65-66) • Kanıt toplama yöntemlerinin çeşitliliği karşısında denetim amaçlarının değişmez yapısı (AU Sec. 326.12) SAS 48 bilgisayar tabanlı finansal sistemlerin denetimi konusunda AICPA‘nın mevcut duruşunu göstermektedir. Buna ek olarak aşağıdaki destekleyici SAS‘ler de yayımlanmıştır:
43 • SAS 55, Bir Finansal Tabloda İç Kontrol Yapısının İncelenmesi, 1988 • SAS 78, Finansal Tablolarda Hilenin İncelenmesi, 1996 • SAS 94, Finansal Tablo Denetiminde Denetçinin İç Kontrol İncelemesinde Bilgi Teknolojilerinin Etkisi, 2001 • SAS 99, Bir Finansal Tabloda Hile İncelemesi, 2002 Birkaç tane SAS de genel olarak bilgi teknolojileri denetiminde uygulanmaktadır. Örneğin SAS 16 (AU Sec. 327) Hataların ve Usulsüzlüklerin Ortaya Çıkarılmasında Bağımsız Denetçinin Sorumluluğu standardı genel bir yapıdadır ve hem manuel hem de bilgisayarlı sistemlere uygulanmaktadır. Standart muhasebe sisteminde hataların ve usulsüzlüklerin tespit edilmesinde denetçinin sorumluluğunu açıklamaktadır. 59 Standartta denetçinin sorumluluğuna ilişkin aşağıdaki ifadeler yer almaktadır: “...Genel Kabul Görmüş Denetim Standartlarına göre bağımsız denetçinin finansal tabloları önemli ölçüde etkileyecek hataları ve usulsüzlükleri, denetim sürecinin doğal sınırlamaları içerisinde, araştırma ve incelemenin yürütülmesinde gerekli beceri ve özeni gösterme sorumluluğu bulunmaktadır.... Denetçi bir sigortacı veya garantör değildir; incelemesini Genel Kabul Görmüş Denetim Standartlarına göre yapmışsa, mesleki sorumluluğunu yerine getirmiş olmaktadır.” Geliştirilen diğer AICPA standartları, denetim sürecini ve finansal tabloları etkileyen teknoloji değişikliklerini belirtmektedir. Örneğin, 2001 yılında yayınlanan SAS 94, bilgi teknolojileri sistemlerindeki iç kontrolleri değerlendirmede uygun türde 59 Ibid, s.90.
44 değerleme araçları kullanılması konusunda denetçilere yol göstermek üzere yayımlanmıştır. Söz konusu denetim standardı, bilgisayar destekli denetim tekniklerinin belli bilgi teknolojileri ortamlarında belli bilgi teknolojileri kontrol türlerini test etmesi gerektiğini belirtmektedir. Daha önemlisi, SAS 48, 55 ve 78 konu ile ilgili ve bilgisayar tabanlı denetimlerde uygulanan temel standartlardır. Buna karşın, bu standartları kullanan denetçilerin büyük bir kısmı, kontrol riskini maksimum olarak değerlendirse de, sadece hesap bakiyelerine ve işlemlerine bağımsız testler uygulayarak finansal tablo beyanlarına kanıt toplamaktadır. SAS 94, bu tip eski yaklaşımların karmaşık bilgi teknolojileri ortamları için pek uygun olmadığını belirtmektedir. 60 Diğer standart düzenleyici kuruluşlar da kılavuz ilkeler yayımlamıştır. Örneğin IIA (İç Denetçiler Enstitüsü-The Institute of Internal Auditors), ISACA (Bilgi Sistemleri Denetimi ve Kontrolü Birliği-Information Systems Audit and Control Association) ve GAO (Devlet Hesap Bürosu-Government Accountability Office) denetimle ilgili kılavuzlar oluşturmakta aktif rol oynamışlardır. Standart geliştirme alanında diğer bir önemli kuruluş da Amerika Ticaret Departmanının bir birimi olan NIST‘dir (Standartlar ve Teknoloji Ulusal Enstitüsü-National Institute of Standards and Technology). NIST, FIPS‘leri (Federal Bilgi İşleme Standartları-Federal Information Processing Standards) yayımlamıştır. FIPS bilgisayar güvenliği ve bununla ilgili yayınlara odaklanmaktadır. 61 60 Gallegos ve diğerleri, 2004, s.92. 61 Ibid, s.93.
45 FIPS standartları muhasebe mesleği tarafından genel kabul görmüş muhasebe standartları olarak benimsenmiş olmasa da, AICPA‘da belirtilmeyen bazı konularda değerli kılavuz ilkeler sunmaktadır. Ayrıca, federal hükümete bir sözleşme çerçevesinde hizmet veya destek veren firmaların eşdeğerde standartlara uyumu mevcut değilse, FIPS‘e uymaları gerekmektedir. 62 IIA ve ISACA gibi mesleki kurumlar ve bunlara bağlı kuruluşlar ise kendi mesleki kılavuzlarını yayımlamışlardır. IIA 1978 yılında, İç Denetim Mesleki Uygulamaları İçin Standartları (Standards for the Professional Practice of Internal Auditing) ve arkasından İç Denetim Standartları Bildirgesini (Statements on Internal Auditing Standards -SIAS-) yayımlamıştır. Daha sonra İç Denetim Standartları Bildirgesi, Performans ve Niteliklere İlişkin Standartlar (Standards Related to Performance and Attributes) olarak değiştirilmiştir. IIA, iç denetçilere bilgi sistemleri ve bilgi teknolojileri kontrol ve denetimlerinde destek olmak amacıyla 1991‘de Sistem Denetlenebilirliği ve Kontrol (Systems Auditability and Control -SAC-) adında bir kılavuz yayımlamıştır. Söz konusu kılavuz, 1994 yılında düzeltilerek yeniden yayımlamıştır. 63 ISACA ise 1984 yılında Elektronik Veri İşleme Kontrol Amaçları (Electronic Data Processing-EDP Control Objectives — Update 1984) adı ile bir elektronik veri işleme (EDP) kontrol standartları seti yayımlamıştır. Bu standartlar seti 1975‘te yayımlanan Kontrol Amaçları‘nın yerini almak üzere yayımlanmıştır. Zaman içerisinde dört tane güncelleme seti oluşturulmuştur. Son olarak, Bilgi Sistemleri 62 Cangemi, 2003, s.56 63 Gallegous ve diğerleri, Audit and Control of Information Systems, 1987, s.75.
46 Denetimi ve Kontrol Kuruluşu (Information Systems Audit and Control Foundation) Bilgi ve İlgili Teknolojilerde Kontrol Amaçları‘nı (Control Objectives for Information and Related Technology - COBIT) yayımlamıştır. COBIT iş sahiplerinin kendi kontrol sorumluluklarını etkin ve etkili bir biçimde yerine getirmeleri için bir araç sağlayan kavramsal çerçevedir.64 Sarbanes-Oxley Kanunu öncesinde SEC çalışanları da Enron Skandalına kadar iç denetçinin rolünün önemine hep vurgu yapmışlardır. 2002 yılında, Sarbanes-Oxley Kanunu ile federal hükümet özel sektördeki iç denetçiler için bir takım standartlar yayımlamıştır. Yeterli bir kontrol sistemi planlama ve sürdürme bir işletme için çok önemlidir. Bu göz önüne alındığında, Sarbanes-Oxley Kanunu, SEC‘nin iç denetçilere iç kontrol incelemesi yaptırmasındaki konumuna büyük destek sağlamaktadır. Sarbanes-Oxley Kanunundan 10 yıl önce, COSO (the Committee of Sponsoring Organizations of the Treadway Commission) ―İç Kontrol-Entegre Kavramsal Çerçeve (Internal Control–Integrated Framework)‖ raporunu yayımlamıştır. Söz konusu rapor, yönetimlere kontrol sistemlerini nasıl değerlendirecekleri, geliştirecekleri ve raporlama yapacakları konularında önerilerde bulunmaktadır. 1989 ve 1999 yılları arasında COSO, SEC ile birlikte 300 hile vakasından 200 tanesi ile ilgili çalışmayı tamamlamıştır. Çalışma finansal hile vakalarının %83‘ünde bazen tek olarak bazen de birlikte CEO ve CFO‘ların olaya karıştığını saptamıştır. 65 64 Gallegos ve diğerleri., Information Technology Control and Audit, 2004, s.63. 65 Cangemi, 2003, s.74.
47 GAO‘nun yayımladığı denetim standartlarına aykırılıkların belirlenmesi, işletmelerin iç kontrol fonksiyonlarının değerlendirilmesinin bir yöntemidir. GAO tarafından yayımlanan ―Sarı Kitap (Yellow Book)‖ veya ―Devlet Denetim Standartları (Government Auditing Standards‖ federal işletmelerin, programların, faaliyetlerin ve fonların; kar amacı gütmeyen işletmelerin ve diğer dış işletmelerin denetimlerinde kullanmak zorunda oldukları standartlardır. Ayrıca, GAO yayımladığı standartlara ek olarak, raporlarda bilgisayar tabanlı bilginin kullanılması konusunda da bir denetçi rehberi yayımlamıştır.66 Söz konusu standartlar denetim çalışmasının kapsamı ve kalitesi ile denetim raporunun profesyonelliği ve anlamlılığını belirlemektedir. Standartlarda yer alan genişletilmiş denetim; finans ve uygunluk, ekonomi ve verimlilik, program sonuçları olmak üzere üç bölümden oluşmaktadır. Ayrıca, federal mevzuat federal birimlerdeki müfettişlerin de bu standartlara uymasını öngörmektedir. 67 Bilgi teknolojileri denetimi, denetim ve kontrol amaçlarına bilgisayarın rolünün değerlendirmesini de eklemektedir. Bilgi teknolojileri denetiminin güvence sunma biçimi; veri ve bilgilerin güvenilir, gizli, emniyette ve ihtiyaç duyulduğunda elde edilebilir olduğunun ispatlanması anlamına gelmektedir. Geleneksel finansal denetimin amaçları, bilgi teknolojileri denetiminde de geçerliliğini korumaktadır. Bu amaçlar, varlıklar ve verilerin entegrasyonunu korumak gibi kanıtlama amaçları ile operasyonel verimlilik gibi yönetim amaçlarını da içermektedir. 66 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.32. 67 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.43.
48 2.5. Bilgi Sistemleri Risk Değerlendirmesi Güçlü kontrollerin varlığı sonucunda, verilerin bilgisayar tabanlı sisteme doğru bir biçimde girişi ve burada tam olarak işlenmesi denetçilerin daha fazla güven hissetmelerini sağlamakta ve daha az bağımsız test uygulamalarına neden olmaktadır. Diğer taraftan, veri girişi ve işlenmesinde zayıf olan bir bilgisayar tabanlı sistem ise finansal işlemlerde daha detaylı testlerin yapılması sonucunu doğurmaktadır.68 Bilgi sistemleri kontrol prosedürlerinin incelenmesinde bir bağımsız denetçinin temel amacı, finansal raporlarda sunulan muhasebe verilerinin entegrasyonunun (bütünlüğünün) taşıdığı riskleri (herhangi bir kontrol zayıflığı ile ilgili) değerlendirmektir. Kontrollerin güçlü ve zayıf yönleri denetimin kapsamının belirlenmesinde etkili olmaktadır. Bağımsız denetçilerin incelemelerindeki ikinci derecedeki amaç ise, söz konusu kontrollerin geliştirilmesinde yöneticilere önerilerde bulunmaktır. Bu ikinci derecedeki amaç, aynı zamanda iç denetçilerinde amaçlarından biridir. Risk tabanlı denetim yaklaşımı çerçevesinde, bir işletmenin iç kontrol prosedürleri değerlendirilirken, aşağıda sayılan dört adım, işletmenin muhasebe bilgi sistemlerinin risk tabanlı denetimi için mantıklı bir kavramsal çerçeve sunmaktadır: 68 Pinto, J.; Millet, I., Successful Systems Implementation, Second Edition, 1999, s.74.
49 1. MBS‘nin karşılaştığı tehditleri (ör.hatalar ve düzensizlikler) belirlemek. 2. Herbir tehditi minimize etmek için olması gereken kontrol prosedürlerini belirlemek ve böylece hataları ve düzensizlikleri bulmak veya önlemek. 3. MBS‘de yer alan kontrol prosedürlerini değerlendirmek. Sistem dokümantasyonunun incelenmesi süreci ve gerekli kontrol prosedürlerinin olup olmadığını belirlemekte ilgili personelle görüşmeler yapmak. Bunlara ek olarak, denetçiler kontrol prosedürlerinin tatmin edici bir şekilde uygulanıp uygulanmadığına karar vermek için kontrollere ilişkin testleri yapmaktadır. Söz konusu testler; sistem faaliyetlerini gözlemlemek; belge, kayıt ve raporların denetlenmesi; sistem girdi ve çıktılarından örneklerin kontrol edilmesi; sistemde işlemlerin izlenmesi gibi uygulamaları içermektedir. 4. Denetim prosedürlerinin içeriğini, süresini, kapsamını belirlemek için MBS‘deki zayıflıkları (Ör: kontrol prosedürlerinin kapsamadığı hatalar ve düzensizlikler) değerlendirmek. Bu adım kontrol riskleri ve işletmenin kontrol sisteminin bütün olarak risklere açık olup olmadığına odaklanmaktadır. Eğer bir kontrol yetersizliği belirlenirse, denetçi bu yetersizliği telafi edecek kontroller veya prosedürler bulunup bulunmadığına karar vermelidir. MBS‘nin tek alanında kontrol zayıflıkları bulunması, diğer alanlarında bunları telafi edecek güçlü kontroller varsa kabul edilebilmektedir. Risk tabanlı denetim yaklaşımı, denetçinin bir işletmenin MBS alanında oluşabilecek hataları ve düzensizlikleri; işletmenin ilgili riskleri ve korunmasız alanlarını iyi bir biçimde anlamasını sağlamaktadır. Bu da, denetçinin işletme yönetimine MBS
50 kontrol sisteminin ne şekilde geliştirileceği hakkında öneriler oluşturmasına temel teşkil etmektedir. Bir iç kontrol prosedürünün çekiciliği, onun iş risklerini azaltma gücüne bağlıdır. Aslında, önemli olan iç kontrol sisteminden çok iş riskinin kendisidir. Örneğin, sel veya deprem gibi doğal afetler, işletmenin kesintisiz bir biçimde işini sürdürmesinde bir risk gibi görünmektedir. Bir afet kurtarma veya iş sürekliliği planı, böyle riskleri azaltmak için oluşturulan bir iç kontrol prosedürüdür. İş risklerine odaklanmak, sadece kesinlikle gerekli olan ve de maliyet esaslı kontrollerin geliştirilmesini sağlamaktadır. Bir denetçinin, belli bir iş riski için BT ile ilgli kontrollerin çekiciliğini değerlendirmesinde kullanılan bir yöntem de bilgi sistemleri risk saptamasıdır. Denetçilerin hile veya kasıtlı manipülasyon risklerine ek olarak, hatalar ve yanlışlıkların oluşturacağı riskleri de dikkate almaları gerekmektedir. Varlıklar, sadece kasıtlı hileler değil aynı zamanda yanlışlıklar karşısında da savunmasız olabilmektedir. Örneğin yanlış veri girişi, yanlış varlık değerlemesi sonucu finansal tabloların gerçeğe aykırı beyan edilmesine neden olabilmektedir. Bir bilgi sistemleri risk saptaması, hileleri dikkate aldığı kadar hata ve yanlışlıklarla ilgili riskleri de hesaba katmalıdır. İşletme sırlarının ifşa edilmesi, işletme dosyalarının izinsiz manipülasyonu ve bilgisayar girişinin aksatılması; BT ortamındaki tüm iş riskleridir. Maddi varlıkları değerlendirmek, bilgiye bir değer belirlemekten daha kolaydır; ancak bunun da bir
51 şekilde yapılması gerekmektedir. Denetçiler de zarar olasılığına karşı en iyi yargıyı ortaya koymalıdır. Koruma için tahmin edilen maliyetlerin, öngörülen zarardan az olduğu alanlar için denetçiler kontrol prosedürlerinin uygulanmasını önermektedir. Koruma maliyetlerinin beklenen zarardan fazla olduğu alanlarda ise, denetçiler belli kontrollerin kurulmasına karşı olabilmektedir. Bazı durumlarda işletmeler, penetration testi (giriş testi) yapmaları için etik hackerlar işe alarak bilgi sistemleri risklerini saptamaktadır. Bir BT denetçisi hacking tekniklerini kullandığı zaman amacı, riski değerlendirmek ve izinsiz girişlerden korunmak için kontroller tasarlamaktır. Bu tür etik hacking, penetration testi (giriş testi) olarak adlandırılmaktadır; çünkü burada denetçi kaynaklara veya hassas bilgilere ulaşmak için sisteme girmeye çalışmaktadır. 2.6. Bilgi Teknolojileri Kontrollerini Tasarlama Bilgi teknolojileri ile ilgili iç kontrolleri tasarlama ve değerlendirmede, bilgi teknolojileri denetçilerinin iki kılavuzu bulunmaktadır. IIA ilk olarak, Sistemlerin Denetlenebilirliği ve Kontrolü Raporu‘nu (Systems Auditability and Control - SAC- report) 1977 yılında yayınlamıştır. Bilgi teknolojilerindeki gelişmeler 1991 ve 1994 yıllarında düzeltilmiş baskıların yayınlanmasına neden olmuştur. 2001 yılında ise elektronik iş kontrollerinin değerlendirilmesi için bir kavramsal çerçeve sunan yeni bir model olan Elektronik Sistemler Güvence ve Kontrolü (Electronic Systems Assurance and Control -eSAC-) yayınlanmıştır. SAC raporu önemli bilgi
52 teknolojileri ve bu teknolojilere ilişkin riskleri belirlemektedir. Ayrıca, riskleri azaltmak için kontroller önermekte, bu kontrollerin varlığı ve etkinliğinin geçerliliğini denetleyecek denetim prosedürleri sunmaktadır. SAC raporu; riskleri, kontrolleri ve telekomünikasyon, son kullanıcı sistemleri, gelişen teknolojiler gibi birçok alan için denetim tekniklerini belirleyen başvuru ciltlerinden oluşan bir settir. 1994 yılında yayınlanan SAC raporu ile nesne teknolojisi (object technology), belge yönetimi ve multimedya (çoklu ortam) teknolojileri bölümleri eklenmiştir. Hem iç hem de bağımsız denetçiler, BT üzerindeki kontroller için ve bilgisayar tabanlı uygulamaların denetiminde rehber olarak SAC raporunu kullanmaktadır. 69 Bilgi Sistemleri Denetim ve Kontrol Kurumu (Information Systems Audit and Control Foundation), Bilgi ve Ġlgili Teknolojilerde Kontrol Hedefleri (Control Objectives for Information and Related Technology-COBIT-) paketini oluşturmuştur. Bu paket denetçilere, bilgi teknolojileri ortamına ilişkin iş risklerini saptama ve kontrolde rehber olmaktadır. COBIT 4. sürüm, kontrollerin etkinliğini değerlendirmedeki kontrol hedefleri ve denetim kurallarını içermektedir. Yöneticiler ve denetçiler bu paketi kullanarak, BT kaynakları ve işlemleri için maliyet etkili kontrol sistemleri tasarlayabilmektedir. COBIT paketi, BT kaynaklarının iş süreçlerine bilgi sağladığı yaklaşımını kabul etmektedir. Denetçilerin bir işletmenin bilgi gereksiniminin karşılandığından emin olmaları için; kontrolleri tanımlaması, uygulaması ve denetlemesi gerekmektedir. Bir işletmenin COBIT kullanımına ilişkin Sun Micrsosystems‘te yaşananlar örnek verilebilir: Sun Microsystems tüm dünyada donanım ve yazılım çözümleri sunmaktadır. İşletmenin bilgi teknolojileri 69 Ibid, s.34.
53 departmanı, bilgi teknolojilerinin stratejik değerini artırmak ve Sarbanes-Oxley kanunlarına uymak için, bilgi teknolojileri ile kurumsal strateji arasındaki ilişkiyi değerlendirmek ve ölçmekte COBIT‘i kullanmaya karar vermiştir. Sonuçta altı veri merkezi ve 600‘den fazla bilgi teknolojileri uygulaması olan bir bilgi teknolojileri işletmesinde, COBIT bir kontrol yapısı olarak başarıyla kullanılmıştır. Üst düzey bilgi teknolojileri yöneticileri, Sun Microsystems‘in bilgi teknolojileri süreçlerini ve faaliyetlerini COBIT için ayrıntılı olarak planlayan bir Sun BT/COBIT Faaliyet Listesi (Sun IT/COBIT Activities Listing) oluşturmuşlardır. (www.isaca.org) 2.7. Bilgi Teknolojileri Denetimi Araçları Denetçiler kendilerine denetimlerde yardımcı olması için bilgisayar destekli denetim teknikleri (computer-assisted auditing techniques -CAATs-) kullanabilmektedir. Aslında bir otomatikleştirilmiş muhasebe bilgi sisteminde, bilgisayar ile denetim (örneğin, bilgisayarı bir denetim aracı olarak kullanmak) zorunludur; çünkü veriler bilgisayar ortamında saklanmaktadır ve elle giriş mümkün değildir. Ancak bilgisayar ile denetim için, bilgisayar yoluyla muhasebe veri girişinin ötesinde birçok gerekçe bulunmaktadır. Bilgisayar ile denetimin en önemli nedenlerinden biri, bilgisayar tabanlı muhasebe bilgi sistemlerinin hızla artan bir şekilde karmaşıklaşmasıdır. Ayrıca CAAT de zaman kazandırmaktadır. Sayfalarca hesap tablosunu veya çizelgeleri bilgisayar
54 kullanmadan kontrol etmek veya mutabakat için örneklem müşteri hesapları verilerini elle seçmek düşünüldüğünde bile durum rahatlıkla anlaşılmaktadır. Denetçilerin bilgisayarla denetimde kullanmaları için çok sayıda yazılım bulunmaktadır. Bunlara örnek olarak kelime işleme programları, hesap çizelgesi yazılımları ve veri tabanı yönetimi sistemleri gibi genel kullanım yazılımları (general-use software) sayılabilmektedir. Diğer yazılımlar ise daha belirli bir biçimde denetçi görevlerine yöneliktir. Bunlara örnek olarak da genelleştirilmiş denetim yazılımı (generalized audit software -GAS-) ve otomatik çalışma kağıdı yazılımı (automated workpaper software) gösterilmektedir. Denetçiler genel kullanım yazılımlarını işlerini geliştirebilecek üretkenlik araçları olarak görmektedirler. Örneğin kelime işleme programları, rapor yazarken etkililiği artırmaktadır; çünkü yüklenmiş yazım kontrolü, belirgin bir biçimde yazım hatalarını azaltabilmektedir. Etkililiği geliştirmeye bir başka örnek de genel kullanım yazılımlarında bulunan e-posta birleştirme (mail-merge) özelliğidir. Bir denetçi kelime işleme programı kullanarak müşterilere mutabakat mektubu yazabilmekte ve bunları bir adres dosyası ile birleştirerek, herbir mektubun kişiye özel olarak hazırlanmasını sağlayabilmektedir. Hesap çizelgesi yazılımları ise hem muhasebecilerin hem de denetçilerin karmaşık hesaplamaları otomatik olarak yapmalarını sağlamaktadır. Bu yazılımlar ayrıca kullanıcıların bir rakam değiştirdikten sonra, sadece bir tıkla tüm ilgili rakamlarda güncelleme yapmasına da olanak vermektedir. Elektronik hesap çizelgeleri,
55 muhasebeciler ve denetçiler tarafından en çok faiz ve amortisman hesaplamaları gibi matematiksel hesaplamalarda kullanılmaktadır. Hesap çizelgesi yazılımları, oran hesaplamaları gibi analitik prosedürlerin uygulanmasında da kullanılmaktadır. Hesap çizelgelerinde bulunan veriler için farklı sunum şekillerinin olması da, yönetim kararlarının alınmasında ve diğer yönetim fonksiyonlarında bu verilerin kullanımına katkıda bulunmaktadır. Muhasebeciler ve denetçiler, hesap çizelgesi yazılımlarında olan bir takım fonksiyonları uygulamak için bir veritabanı yönetim sistemi (database management system -DBMS-) de kullanmaktadır. Örneğin DBMS‘ler veri sınıflandırmakta ve bazı matematiksel hesaplamalar yapabilmektedir. Ancak, DBMS‘ler büyük gruplar halindeki verileri oldukça kolay yollarla işleme kabiliyetlerinden dolayı hesap çizelgesi yazılımlarından farklılık göstermektedir. Genel bir kural olarak muhasebeciler ve denetçiler; hesap çizelgesi yazılımlarını küçük gruplar halindeki verilerle karmaşık hesaplamalar yaparken, DBMS‘leri de büyük gruplar halindeki verileri sınıflandırma yapmak gibi basit işlemler veya hesaplamalar yaparken kullanmaktadırlar. Bir DBMS neredeyse tüm organizasyonel muhasebe sistemlerini kotrol etmektedir. Denetçi, müşteri işletmenin verileri üzerinde çalışmak için (for manipulation purposes) alt gruplar seçebilir. Bu müşterinin bilgisayar sisteminde yapılabileceği gibi veriler yüklendikten sonra da denetçinin bilgisayarında yapılabilmektedir. Popüler bir veri işleme dili (data manipulation language) olan Structured Query Language (SQL), veri erişimi ve işlenmesinde değerli bir araçtır. Denetçiler SQL‘yi,
56 müşteri verilerine erişmek ve bu verileri denetim amaçlarına göre birçok farklı şekilde görüntülemek için kullanmaktadır. Örnek olarak, bir denetçi SELECT komutunu, minimum tutarlılar gibi belli bir kriterdeki stok kalemlerine erişmek için kullanabilmektedir. SQL‘nin diğer veri işleme becerileri ise: - belli bir kriterle eşleşen kayıtları seçmek, - belirlenen kritere göre bir dosyadan kayıtlar silmek, - tüm veya alt gruplardaki verilere göre kişiye özel raporlar oluşturmak, - ardışık sıraya göre dosya kayıtlarını yeniden düzenlemek. GenelleĢtirilmiĢ denetim yazılımı (generalized audit software -GAS-) paketleri veya programları, denetçilerin sürekli olarak işlem programlarını tekrar yazmadan bilgisayar dosyalarına erişimini sağlamaktadır. Büyük CPA (Certified Public Accountant) işletmeleri, bu paketlerin bazılarını kendileri geliştirmiştir. Birçok başka program da çeşitli yazılımcılardan temin edilebilmektedir. GAS paketleri; mikro bilgisayarlarda, mini bilgisayarlarda veya anabilgisayarlarda kullanılmak için uygundur. GAS programları, hesap çizelgesi veya DBMS yazılımlarının yapabileceği temel veri işleme görevlerini de yapabilecek kapasitededir. Bu görevler; matematiksel hesaplamaları, karşılıklı kontrol, kategorilere ayırma, özetleme, birleşme dosyaları, kayıtları sınıflandırma, istatistiki örnekleme ve raporların yazdırılmasını içermektedir. Diğer yazılımlara göre GAS paketlerinin avantajı, bu programların özellikle denetçi görevlerine uygun olarak oluşturulmasıdır. Denetçiler GAS programlarını; alıcılar, stoklar ve satıcılar gibi birçok uygulama alanında farklı şekillerde kullanabilirler.70 70 Sayana, S.A., Using CAATs to Support IS Audit, IS Control Journal, Vol.1, 2003, s.21.
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez
Bt tez

Recommended

Service Oriented Architecture (SOA)
Service Oriented Architecture (SOA)Service Oriented Architecture (SOA)
Service Oriented Architecture (SOA)
Mazhar Ishaq Khokhar
 
Web application security: Threats & Countermeasures
Web application security: Threats & CountermeasuresWeb application security: Threats & Countermeasures
Web application security: Threats & CountermeasuresAung Thu Rha Hein
 
Service Oriented Architecture
Service Oriented Architecture Service Oriented Architecture
Service Oriented Architecture
Prabhat gangwar
 
Network forensic
Network forensicNetwork forensic
Network forensic
Manjushree Mashal
 
CCNA 1 Routing and Switching v5.0 Chapter 4
CCNA 1 Routing and Switching v5.0 Chapter 4CCNA 1 Routing and Switching v5.0 Chapter 4
CCNA 1 Routing and Switching v5.0 Chapter 4
Nil Menon
 
OSI MODEL AND ITS PROTOCOL
OSI MODEL AND ITS PROTOCOLOSI MODEL AND ITS PROTOCOL
OSI MODEL AND ITS PROTOCOL
Ikhlas Rahman
 
Service Oriented Architecture
Service Oriented ArchitectureService Oriented Architecture
Service Oriented ArchitectureLuqman Shareef
 
Intrusion detection and prevention system
Intrusion detection and prevention systemIntrusion detection and prevention system
Intrusion detection and prevention system
Nikhil Raj
 

Recommended

Service Oriented Architecture (SOA)
Service Oriented Architecture (SOA)Service Oriented Architecture (SOA)
Service Oriented Architecture (SOA)
Mazhar Ishaq Khokhar
 
Web application security: Threats & Countermeasures
Web application security: Threats & CountermeasuresWeb application security: Threats & Countermeasures
Web application security: Threats & CountermeasuresAung Thu Rha Hein
 
Service Oriented Architecture
Service Oriented Architecture Service Oriented Architecture
Service Oriented Architecture
Prabhat gangwar
 
Network forensic
Network forensicNetwork forensic
Network forensic
Manjushree Mashal
 
CCNA 1 Routing and Switching v5.0 Chapter 4
CCNA 1 Routing and Switching v5.0 Chapter 4CCNA 1 Routing and Switching v5.0 Chapter 4
CCNA 1 Routing and Switching v5.0 Chapter 4
Nil Menon
 
OSI MODEL AND ITS PROTOCOL
OSI MODEL AND ITS PROTOCOLOSI MODEL AND ITS PROTOCOL
OSI MODEL AND ITS PROTOCOL
Ikhlas Rahman
 
Service Oriented Architecture
Service Oriented ArchitectureService Oriented Architecture
Service Oriented ArchitectureLuqman Shareef
 
Intrusion detection and prevention system
Intrusion detection and prevention systemIntrusion detection and prevention system
Intrusion detection and prevention system
Nikhil Raj
 
OSI model and TCP/IP model
OSI model and TCP/IP modelOSI model and TCP/IP model
OSI model and TCP/IP model
Rubal Sagwal
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
Sreekanth Narendran
 
Future protocol IP v6
Future protocol IP v6Future protocol IP v6
Future protocol IP v6
Manesh Sharma
 
Network tunneling techniques
Network tunneling techniquesNetwork tunneling techniques
Network tunneling techniques
inbroker
 
Wsdl
WsdlWsdl
Wsdl
sanmukundan
 
Wireshark Tutorial
Wireshark TutorialWireshark Tutorial
Wireshark Tutorial
Coursenvy.com
 
Understanding NMAP
Understanding NMAPUnderstanding NMAP
Understanding NMAP
Phannarith Ou, G-CISO
 
Cyber security power point templates
Cyber security power point templatesCyber security power point templates
Cyber security power point templates
Raul Flores
 
HTTPS
HTTPSHTTPS
HTTPS
R.K. University
 
Chapter06
Chapter06Chapter06
Chapter06
Muhammad Ahad
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
PECB
 
OSI model (7 layer )
OSI model (7 layer ) OSI model (7 layer )
OSI model (7 layer )
dimuthu22
 
steganography
steganographysteganography
steganography
shiveverma
 
Security Threats at OSI layers
Security Threats at OSI layersSecurity Threats at OSI layers
Security Threats at OSI layers
Department of Computer Science
 
OSI 7 Layer Model
OSI 7 Layer ModelOSI 7 Layer Model
OSI 7 Layer Model
Pritom Chaki
 
Understanding computer investigation
Understanding computer investigationUnderstanding computer investigation
Understanding computer investigation
Online
 
Ethernet 802.3.pptx
Ethernet 802.3.pptxEthernet 802.3.pptx
Ethernet 802.3.pptx
TanveerAthar1
 
Requirements elicitation techniques
Requirements elicitation techniquesRequirements elicitation techniques
Requirements elicitation techniques
Teniola Alimi
 
Http vs Https
Http vs HttpsHttp vs Https
Http vs Https
shikherwalia
 
Authentication Application in Network Security NS4
Authentication Application in Network Security NS4Authentication Application in Network Security NS4
Authentication Application in Network Security NS4koolkampus
 
Kursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleriKursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleriKürşat TAŞKIN
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakım
Sahin Akturk
 

More Related Content

What's hot

OSI model and TCP/IP model
OSI model and TCP/IP modelOSI model and TCP/IP model
OSI model and TCP/IP model
Rubal Sagwal
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
Sreekanth Narendran
 
Future protocol IP v6
Future protocol IP v6Future protocol IP v6
Future protocol IP v6
Manesh Sharma
 
Network tunneling techniques
Network tunneling techniquesNetwork tunneling techniques
Network tunneling techniques
inbroker
 
Wsdl
WsdlWsdl
Wsdl
sanmukundan
 
Wireshark Tutorial
Wireshark TutorialWireshark Tutorial
Wireshark Tutorial
Coursenvy.com
 
Understanding NMAP
Understanding NMAPUnderstanding NMAP
Understanding NMAP
Phannarith Ou, G-CISO
 
Cyber security power point templates
Cyber security power point templatesCyber security power point templates
Cyber security power point templates
Raul Flores
 
HTTPS
HTTPSHTTPS
HTTPS
R.K. University
 
Chapter06
Chapter06Chapter06
Chapter06
Muhammad Ahad
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
PECB
 
OSI model (7 layer )
OSI model (7 layer ) OSI model (7 layer )
OSI model (7 layer )
dimuthu22
 
steganography
steganographysteganography
steganography
shiveverma
 
Security Threats at OSI layers
Security Threats at OSI layersSecurity Threats at OSI layers
Security Threats at OSI layers
Department of Computer Science
 
OSI 7 Layer Model
OSI 7 Layer ModelOSI 7 Layer Model
OSI 7 Layer Model
Pritom Chaki
 
Understanding computer investigation
Understanding computer investigationUnderstanding computer investigation
Understanding computer investigation
Online
 
Ethernet 802.3.pptx
Ethernet 802.3.pptxEthernet 802.3.pptx
Ethernet 802.3.pptx
TanveerAthar1
 
Requirements elicitation techniques
Requirements elicitation techniquesRequirements elicitation techniques
Requirements elicitation techniques
Teniola Alimi
 
Http vs Https
Http vs HttpsHttp vs Https
Http vs Https
shikherwalia
 
Authentication Application in Network Security NS4
Authentication Application in Network Security NS4Authentication Application in Network Security NS4
Authentication Application in Network Security NS4koolkampus
 

What's hot (20)

OSI model and TCP/IP model
OSI model and TCP/IP modelOSI model and TCP/IP model
OSI model and TCP/IP model
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
 
Future protocol IP v6
Future protocol IP v6Future protocol IP v6
Future protocol IP v6
 
Network tunneling techniques
Network tunneling techniquesNetwork tunneling techniques
Network tunneling techniques
 
Wsdl
WsdlWsdl
Wsdl
 
Wireshark Tutorial
Wireshark TutorialWireshark Tutorial
Wireshark Tutorial
 
Understanding NMAP
Understanding NMAPUnderstanding NMAP
Understanding NMAP
 
Cyber security power point templates
Cyber security power point templatesCyber security power point templates
Cyber security power point templates
 
HTTPS
HTTPSHTTPS
HTTPS
 
Chapter06
Chapter06Chapter06
Chapter06
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
 
OSI model (7 layer )
OSI model (7 layer ) OSI model (7 layer )
OSI model (7 layer )
 
steganography
steganographysteganography
steganography
 
Security Threats at OSI layers
Security Threats at OSI layersSecurity Threats at OSI layers
Security Threats at OSI layers
 
OSI 7 Layer Model
OSI 7 Layer ModelOSI 7 Layer Model
OSI 7 Layer Model
 
Understanding computer investigation
Understanding computer investigationUnderstanding computer investigation
Understanding computer investigation
 
Ethernet 802.3.pptx
Ethernet 802.3.pptxEthernet 802.3.pptx
Ethernet 802.3.pptx
 
Requirements elicitation techniques
Requirements elicitation techniquesRequirements elicitation techniques
Requirements elicitation techniques
 
Http vs Https
Http vs HttpsHttp vs Https
Http vs Https
 
Authentication Application in Network Security NS4
Authentication Application in Network Security NS4Authentication Application in Network Security NS4
Authentication Application in Network Security NS4
 

Similar to Bt tez

Kursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleriKursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleriKürşat TAŞKIN
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakım
Sahin Akturk
 
Tcp ip iletim katmanı
Tcp ip iletim katmanıTcp ip iletim katmanı
Tcp ip iletim katmanıOnur Şaner
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
Resul Rıza Dolaner
 
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇ler
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇lerüReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇ler
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇lerSelin Kadıoğlu
 
İşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özelliklerİşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş ÖzelliklerBttBLog
 
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuUlusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuErol Dizdar
 
Tedarik Zincirinde BT Uygulamaları
Tedarik Zincirinde BT UygulamalarıTedarik Zincirinde BT Uygulamaları
Tedarik Zincirinde BT Uygulamaları
Ahmet S.
 
Ar ge
Ar geAr ge
Ar ge
mehmet12
 
Mobil i̇şletim sistemlerinde güvenlik
Mobil i̇şletim sistemlerinde güvenlikMobil i̇şletim sistemlerinde güvenlik
Mobil i̇şletim sistemlerinde güvenlik
Fuat Savaş
 
Merkezî si̇stemi̇ devreye alma
Merkezî si̇stemi̇ devreye almaMerkezî si̇stemi̇ devreye alma
Merkezî si̇stemi̇ devreye alma
erdinc klima
 
İşletim Sistemi Kurulum
İşletim Sistemi Kurulumİşletim Sistemi Kurulum
İşletim Sistemi KurulumBttBLog
 
14-İşletim Sistemleri Gelismis Özellikleri
14-İşletim Sistemleri Gelismis Özellikleri14-İşletim Sistemleri Gelismis Özellikleri
14-İşletim Sistemleri Gelismis ÖzellikleriMücahit Gürsoy
 
Yavuz's MS Thesis
Yavuz's MS ThesisYavuz's MS Thesis
Yavuz's MS Thesis
Yavuz Selim Keresteci
 
BTT. Modül 12.İşletim Sistemleri Kurulum
BTT. Modül 12.İşletim Sistemleri KurulumBTT. Modül 12.İşletim Sistemleri Kurulum
BTT. Modül 12.İşletim Sistemleri Kurulum
deniz armutlu
 

Similar to Bt tez (20)

Kursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleriKursat taskin yolsuzluk onlemede bdd teknikleri
Kursat taskin yolsuzluk onlemede bdd teknikleri
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakım
 
Tcp ip iletim katmanı
Tcp ip iletim katmanıTcp ip iletim katmanı
Tcp ip iletim katmanı
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
 
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇ler
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇lerüReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇ler
üReti̇m i̇şletmeleri̇nde kullanilan son teknoloji̇ler
 
İşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özelliklerİşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özellikler
 
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuUlusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
 
Tedarik Zincirinde BT Uygulamaları
Tedarik Zincirinde BT UygulamalarıTedarik Zincirinde BT Uygulamaları
Tedarik Zincirinde BT Uygulamaları
 
Ar ge
Ar geAr ge
Ar ge
 
Mobil i̇şletim sistemlerinde güvenlik
Mobil i̇şletim sistemlerinde güvenlikMobil i̇şletim sistemlerinde güvenlik
Mobil i̇şletim sistemlerinde güvenlik
 
Merkezî si̇stemi̇ devreye alma
Merkezî si̇stemi̇ devreye almaMerkezî si̇stemi̇ devreye alma
Merkezî si̇stemi̇ devreye alma
 
İşletim Sistemi Kurulum
İşletim Sistemi Kurulumİşletim Sistemi Kurulum
İşletim Sistemi Kurulum
 
14-İşletim Sistemleri Gelismis Özellikleri
14-İşletim Sistemleri Gelismis Özellikleri14-İşletim Sistemleri Gelismis Özellikleri
14-İşletim Sistemleri Gelismis Özellikleri
 
213 gim191
213 gim191213 gim191
213 gim191
 
Teknoloji Yönetimi
Teknoloji YönetimiTeknoloji Yönetimi
Teknoloji Yönetimi
 
Yavuz's MS Thesis
Yavuz's MS ThesisYavuz's MS Thesis
Yavuz's MS Thesis
 
Proje dökümanı
Proje dökümanıProje dökümanı
Proje dökümanı
 
BTT. Modül 12.İşletim Sistemleri Kurulum
BTT. Modül 12.İşletim Sistemleri KurulumBTT. Modül 12.İşletim Sistemleri Kurulum
BTT. Modül 12.İşletim Sistemleri Kurulum
 
Bilgisayarkullanımı.ppt_ 4
Bilgisayarkullanımı.ppt_ 4Bilgisayarkullanımı.ppt_ 4
Bilgisayarkullanımı.ppt_ 4
 
Bilgisayarkullanımı.ppt_ 4
Bilgisayarkullanımı.ppt_ 4Bilgisayarkullanımı.ppt_ 4
Bilgisayarkullanımı.ppt_ 4
 

Bt tez

  • 1. T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi LÜTFĠYE DEFNE YALKIN (DEMĠR) Ankara, 2011
  • 2. T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi LÜTFĠYE DEFNE YALKIN (DEMĠR) Tez DanıĢmanı: PROF.DR.ERCAN BAYAZITLI Ankara, 2011
  • 3. T.C. Ankara Üniversitesi Sosyal Bilimler Enstitüsü ĠĢletme Anabilim Dalı BĠLGĠ TEKNOLOJĠLERĠ DENETĠMĠ - KAVRAMSAL ÇERÇEVE, AŞAMALARI, SINIRLARI, SORUNLARI - Doktora Tezi Tez Danışmanı : PROF.DR.ERCAN BAYAZITLI Tez Jürisi Üyeleri Adı ve Soyadı Ġmzası Prof. Dr. Ercan BAYAZITLI .......................... Doç. Dr. Orhan ÇELĠK .......................... Doç. Dr. Akın KOÇAK .......................... Doç. Dr. Kadir GÜRDAL .......................... Yrd. Doç. Dr. Yiğit ÖZBEK .......................... Tez Sınavı Tarihi: 18 Temmuz 2011
  • 4. TÜRKĠYE CUMHURĠYETĠ ANKARA ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ MÜDÜRLÜĞÜNE Bu belge ile, tezdeki bütün bilgilerin akademik kurallara ve etik davranış ilkelerine uygun olarak toplanıp sunulduğunu beyan ederim. Bu kural ve ilkerlerin gereği olarak, çalışmada bana ait olmayan tüm veri, düşünce ve sonuçları andığımı ve kaynağını gösterdiğimi ayrıca beyan ederim. ……./………/…… Lütfiye Defne YALKIN (DEMİR)
  • 5. ĠÇĠNDEKĠLER TABLOLAR LĠSTESĠ……………………………………………………………iv ġEKĠLLER LĠSTESĠ……………………………………………………………..v GRAFĠKLER LĠSTESĠ…………………………………………………………..vi KISALTMALAR…...……………………………………………………………..vii GĠRĠġ………………………………………………………………………………1 1. TANIMLAMALAR VE KAVRAMSAL AÇIKLAMALAR ......................................... 2 1.1. Bilgi Sistemi ve Bilgi Teknolojisi.................................................................................... 2 1. 2. Bilgi Sisteminde Girdi İlişkili Kavramlar........................................................................ 3 1.2.1. Kaynak Dokümanı ......................................................................................................... 3 1.2.2. Veri Uyarlama................................................................................................................ 4 1.2.2.1. POS Makinaları........................................................................................................... 4 1.2.2.2. MICR .......................................................................................................................... 5 1.2.2.3. OCR ............................................................................................................................ 5 1.2.2.4. Manyetik Şeritli Plastik Kartlar .................................................................................. 6 1.2.2.5. Biometrik Tarayıcılar.................................................................................................. 7 1.3. Muhasebe Bilgi Sistemi (MBS) ve Bilgi Teknolojileri (BT)............................................ 8 2. FĠNANSAL DENETĠM VE BĠLGĠ TEKNOLOJĠLERĠ (IT) DENETĠMĠ................ 12 2.1. Finansal Denetim ............................................................................................................ 12 2.2. Bilgi Teknolojileri Denetimi........................................................................................... 15 2.2.1. Bilgi Teknolojileri Denetiminin İşlevi......................................................................... 18 2.2.2. Bilgi Teknolojileri Denetiminin Tarihsel Gelişimi...................................................... 21 2.2.3. Bilgi Teknolojisi Denetimine İlişkin Mesleki Örgütler ve Bilgi Teknolojisi Denetçisi ............................................................................................................................................... 23 2.3. Bilgi Teknolojileri Denetimi Süreci................................................................................ 29 2.4. Muhasebe Skandalları, Denetim Standartları ve Bilgi Teknolojileri Denetimi .............. 34 2.4.1. Muhasebe Skandalları.................................................................................................. 35 2.4.2. Denetim Standartları .................................................................................................... 40 2.5. Bilgi Sistemleri Risk Değerlendirmesi ........................................................................... 48
  • 6. 2.6. Bilgi Teknolojileri Kontrollerini Tasarlama ................................................................... 51 2.7. Bilgi Teknolojileri Denetimi Araçları............................................................................. 53 2.8. Bilgisayarlaştırılmış Muhasebe Bilgi Sisteminin Denetlenmesi..................................... 59 2.8.1. Bilgisayar Programlarının ve Verilerin Test Edilmesi................................................. 61 2.8.2. Entegre Test Tesisleri................................................................................................... 63 2.8.3. Paralel Simülasyon....................................................................................................... 64 2.8.4. Bilgisayar Programlarının Geçerliliğini Denetlemek................................................... 65 2.8.5. Program Değişim Kontrolü Testleri............................................................................. 65 2.8.6. Program Karşılaştırma ................................................................................................. 67 2.8.7. Sistem Yazılımının Gözden Geçirilmesi...................................................................... 68 2.8.8. Kullanıcıları Geçerli Kılmak ve Giriş Ayrıcalıkları..................................................... 71 3. ÖRNEK BT DENETĠMĠ RAPORU............................................................................... 73 SONUÇ................................................................................................................................ 112 KAYNAKÇA....................................................................................................................... 114 ÖZET.....................................................................................................................................117 ABSTRACT..........................................................................................................................119
  • 7. iv TABLOLAR Tablo 2.1:Sertifikalı Bilgi Sistemleri Denetçisi Sınavının Konu Dağılımı Tablo 2.2:Şifreleri Kontrol Etmek için Oluşturulan Parametre Örnekleri
  • 8. v ġEKĠLLER ġekil 1.1: Yönetim Bilgi Sistemlerinin İşleyişi ġekil 1.2: Gelir Döngüsü ve Muhasebe Bilgi Sistemi ġekil 3.1 Gelişim ve Bakım Süreci
  • 9. vi GRAFĠKLER Grafik 1 Mevcut ve Tahmini Bütçeler 2004-2009 Grafik 2 Bilgi Teknolojisi Harcaması
  • 10. vii KISALTMALAR ABD: Amerika Birleşik Devletleri AICPA: Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü BDDT: Bilgisayar Destekli Denetim Teknikleri (Computer-Assisted Audit Techniques-CAATs) BT: Bilgi Teknolojileri COBIT: Bilgi Teknolojileri ve İlgili Teknoloji için Kontrol Amaçları (Control Objectives for Information and Related Technology) EDP: Elektronik Veri İşleme FIPS: Federal Bilgi İşleme Standartları (Federal Information Processing Standards) GAO: Devlet Hesap Bürosu (Government Accountability Office) IIA: İç Denetçiler Enstitüsü (The İnstitute of Internal Auditors), ISACA: Bilgi Sistemleri Denetimi ve Kontrolü Birliği (Information Systems Audit and Control Association) ITGI: Bilgi Teknolojileri Yönetim Enstitüsü (Information Technology Governance Institute) NIST: Standartlar ve Teknoloji Ulusal Enstitüsü (National Institute of Standards and Technology) UFRS: Uluslararası Finansal Raporlama Standartları (International Financial Reporting Standards)
  • 11. 1 GĠRĠġ Günümüzde bilgisayar tabanlı muhasebe bilgi sistemlerinin yaygın biçimde kullanılması ve bunların işleyişlerindeki artan karmaşıklık, finansal denetimin yanında bilgi teknolojileri denetimini de önemli hale getirmiştir. Bilgisayarlaştırılmış bilgi sistemlerinde kullanılan donanım ve yazılım anlamına gelen bilgi teknolojileri, işletmenin yalnızca finansal değil aynı zamanda finansal olmayan verilerini de depolamakta; bu bakımdan hata ve hilelerin engellenmesini sağlayarak işletmenin fonksiyonlarının etkin biçimde çalışmasına katkıda bulunmaktadır. Ancak, bilgi teknolojilerindeki hatalar ve sistemlerin verimsiz biçimde kullanılması, işletmede meydana gelen hataların ve hilelerin tespit edilmesinin önündeki en büyük engellerden biridir. Bu nedenle, bağımsız denetimin yanında bilgi teknolojilerinin de denetlenmesi ve sistemlerdeki aksaklıkların tespit edilerek sistemlerin iyileştirilmesi gerekmektedir. Bilgi teknolojileri denetiminin ele alındığı bu çalışmanın birinci bölümünde kavramsal tanımlamalara yer verilmiş; ikinci bölümde finansal denetim ve bilgi teknolojileri tanımlanarak, aralarındaki ilişki incelenerek finansal denetim ve bilgi teknolojileri denetimi arasındaki farklılıklar ve benzerlikler ortaya çıkartılmış; üçüncü bölümde bilgi teknolojileri denetim raporu örneği üzerinde durularak çalışma sonlandırılmıştır.
  • 12. 2 1. TANIMLAMALAR VE KAVRAMSAL AÇIKLAMALAR 1.1. Bilgi Sistemi ve Bilgi Teknolojisi Bilgi teknolojisi bilgisayarlaştırılmış bilgi sistemlerinde kullanılan donanım ve yazılım anlamına gelmektedir. Bilgi teknolojisi ve bilgi sistemi kavramları bazen birbirlerinin yerine kullanılmaktadır. Ancak bilgi teknolojisi kavramı, bir organizasyondaki tüm işleyen sistemleri içererek daha geniş kapsamlı bir tanım oluşturmakta ve daha çok tercih edilmektedir.1 Günümüzde bilgi teknolojileri günlük hayatımızı şekillendirmektedir. Bir dijital kamera ile fotoğraf çekmek veya bir müzik çalardan müzik dinlemek, internetten bilgi edinmek, bir kişiyi aramak gibi birçok konuda bilgi teknolojilerinden yararlanılmaktadır. Hatta bazı kişiler için bilgi teknolojileri, işlerinin kaçınılmaz bir parçası hatta tamamı bile olabilmektedir. Bulunduğumuz bilgi çağında, organizasyonlarda ürünün oluşturulması için çalışan kişi sayısı; faaliyetlere ilişkin bilgi hazırlayan, analiz eden, manipüle eden ve dağıtan kişi sayısının yanında çok az kalmaktadır. Ayrıca internet üzerinden iş yapma anlamına gelen e-business (elektronik iş) ve e-business kapsamında, büyük ölçüde alım satım işlemlerini içeren e-commerce (elektronik ticaret) gibi faaliyetler de hayatımızda çok yaygın bir şekilde yer almaktadır. 2 1 Romney, M., Steimbart, P., Accounting Information Systems, Pearson Education, 11th Edition, 2008, s.15 2 Bodnar, G., Hopwood, W., Accounting Information Systems, Pearson Education, 10th Edition, 2009., s.27.
  • 13. 3 Tüm bilgi sistemlerinde girdilerle sisteme giriş sağlanmakta, bu girdiler ihtiyaçlara yönelik olarak işlenmekte ve anlamlı bir sonuç oluşturacak şekilde çıktılar elde edilmektedir. Bir finansal bilgi sistemi olan muhasebe de, mali karakterdeki bilgilerin oluşturulduğu bir sistemdir. Muhasebe bilgi sisteminde de (MBS) her bir muhasebe işlemi girdi-işlem-çıktı döngüsünde işlemektedir. 1. 2. Bilgi Sisteminde Girdi ĠliĢkili Kavramlar 1.2.1. Kaynak Dokümanı Çoğu MBS‘de veri toplamanın başlangıcı kaynak dokümanıdır. Kaynak dokümanı bilgisayar ortamında olan ve olmayan (manuel) şeklinde iki çeşittir. Zaman kartları, paket içlerini gösteren belgeler, araştırma formları, çalışan başvuru formları, hasta giriş formları, alım faturaları, satış faturaları, ödeme makbuzları ve seyahat masrafı iade formları gibi belgeler bilgisayar ortamında olmayan kaynak dokümanı örnekleridir. Havayolu rezervasyon ekranı, banka mevduatları ekranı ve web tabanlı müşteri sipariş formları da bilgisayar ortamında olan kaynak dokümanları olarak sayılabilmektedir. Kaynak dokümanları insanlar tarafından okunduğu ve kullanıcıları tarafından tamamlanabildiğinden MBS için önemlidir. Bilgisayar ortamında olmayan kaynak dokümanları; işlemlerin gerçekliği için kanıt niteliğinde olmanın yanında bilgisayar belgelerinin hasara uğraması veya yok olması durumları için bir
  • 14. 4 yedekleme görevi görmektedir. Ayrıca kaynak dokümanları denetim sürecinin de genellikle ilk adımını oluşturmaktadır.3 1.2.2. Veri Uyarlama Elle hazırlanan kaynak dokümanlarının en büyük dezavantajı bilgisayar tarafından okunamamasıdır. Bu nedenle kaynak dokümanları verilerinin elektronik olarak işlenmesi için öncelikle bilgisayar tarafından okunabilir şekilde uyarlanması (kopyalanması) gerekmektedir. Ancak bu veri uyarlaması (kopyalaması); verimsiz, emek yoğun, zaman alıcı ve maliyetli bir işlem olmasının yanında veri kaybı, hata, hile, suistimal, sabote etme gibi olasılıklara da ortam hazırlamaktadır. Tüm MBS‘lerdeki bilgisayar tarafından okunan veriler düşünüldüğünde bu durumun önemi çok daha iyi anlaşılmaktadır. Bu sorunu aşmak için bazı aygıtlar bulunmaktadır. 4 1.2.2.1. POS Makinaları Perakendeciler tarafından ihtiyaç duyulan bilgilerin çoğu satışın yapıldığı anda elde edilebilmektedir. Bu nedenle perakendeciler ilgili verileri elektronik olarak toplamak ve kaydetmek için yaygın olarak POS (point-of-sale) makineleri kullanmaktadır. 3 Boczko, T., Corporate Accounting Information Systems, Pearson Education, 2007, s.44 4 Gallegos, F., Senft, S., Manson, D.P., Gonzales, C., Information Technology Control and Audit, Second Edition, Auerback Publications, 2004, s.33.
  • 15. 5 Bilgisayara bağlı yazarkasa ve barkod okuyucu, POS makinelerine örnek olarak gösterilebilmektedir. 5 1.2.2.2. MICR Amerikan bankacılık sektörü, manyetik mürekkep karakter tanıma (MICR – Magnetic Ink Character Recognition) denilen manyetik kodlu kağıtların gelişimine öncülük etmiştir. Örneğin Amerika Birleşik Devletleri‘nde standart olarak çeklerin en alt kısmında garip gürünümlü rakamlar yer almaktadır. Bu rakamlar manyetik mürekkep karakter tanıma kodlamasıdır. Dolayısıyla yazılan bir çek, Amerika Birleşik Devletleri ve Kanada‘daki bankaların hepsinde bilgisayar tarafından okunabilmektedir. MICR hem kişiler hem de bilgisayar tarafından okunabilmesi ve çok çeşitli belgede kullanılabilmesi açısından iyi bir uygulamadır. Ancak en önemli dezavantajı karakterlerin manyetik gücünün zaman içinde yok olmasıdır. Bu nedenle MICR‘ye sahip belgeler girdi olarak çok fazla kullanıldığında, güvenilirliği kaybolmaktadır. 6 1.2.2.3. OCR Kaynak dokümanlarındaki verileri, manyetik okuyucu yerine optik okuyucu ile çeviren kodlamaya optik karakter tanıma (OCR – Optical Character Recognition) denilmektedir. Genel olarak OCR aygıtları, kayıtlı veriyi çevirmek için gerekli olan 5 Ibid, s.34. 6 Goodman ve diğerleri, 1996, s.218.
  • 16. 6 karakter tanıma fonksiyonunu yerine getirmek için ışık algılama mekanizması ve lazer teknolojisi kullanmaktadır. OCR kodlaması bilgisayarlaştırılmış sınavlardaki (optik okuyucunun okuduğu içleri karalanan daireler) gibi karakter olarak basit üçgen veya daireler kullandığı gibi; daha karmaşık versiyonlarında rakam ve harf setleri gibi toplu karakterleri de okuyabilmektedir. OCR kaynak dokümanları da MICR gibi hem kişiler hem de bilgisayar tarafından okunabilmektedir. Ancak OCR‘de veri girişi sırasında yüksek oranda hata bulunduğunu da belirtmek gerekmektedir. 7 1.2.2.4. Manyetik ġeritli Plastik Kartlar Çoğunlukla plastik kartların bir yüzünde manyetik şerit bulunmaktadır. Bu manyetik şerit sayesinde plastik karta, ihtiyaç duyulduğunda kullanılabilecek kalıcı bilgiler depolanmaktadır. Genel olarak bu bilgiler hesap numarası, kredi kartı numarası, oda numarası, güvenlik izin kodu gibi kartın kullanıcısına ait bilgilerdir. Amerika Birleşik Devletleri‘nde plastik kartlardaki manyetik şerit, farklı fiziki alanlara bölünmüş durumdadır. Bu kartları kullanan ana endüstrilerin her biri, bir anlaşma çerçevesinde manyetik şeritte kendine ait bir alana sahiptir. Dolayısıyla her endüstri, yanlışlıkla başka alanlarda kullanılma endişesi yaşamadan, plastik kartlara kendi ihtiyaçlarına uygun bilgileri kodlamaktadır. 7 Ibid, 1996, s.218.
  • 17. 7 MBS ise manyetik şeritli plastik kartları, kartların kullanıldığı anda veri toplamakta kullanmaktadır. Örneğin kredi kartları, her kullanıldığında ATM makinelerinin inceleyebileceği bir şifre içerebilir. Bu şekilde kişiler yerine bilgi-emniyetli elektronik cihazların manyetik şeriti okumasıyla, hem veri toplama kolaylaşmış olmakta hem de kişilerden kaynaklanabilecek hataların bertaraf edilmesi sağlanmaktadır. 8 1.2.2.5. Biometrik Tarayıcılar Birçok muhasebe uygulaması, bir kullanıcının sisteme yasal girişini onaylamaktadır. Kullanıcının ne bildiğine dayanan onay sistemleri; kod, hesap numarası, şifre gibi bir değer girişini gerektirmektedir. Bu tip sistemlerin güvenlik seviyesi düşüktür; çünkü kullanıcı kolaylıkla bilgileri unutabilmekte, kaybedebilmekte veya bu bilgiler başkaları tarafından tahmin edilebilmektedir. Dolayısıyla bu tip sistemler saldırıya ve yanlış kullanıma açık durumdadır. Kullanıcının neye sahip olduğuna dayanan onay sistemleri ise fiziksel anahtarlar, manyetik kartlar veya benzeri fiziksel araçları gerektirmektedir. Ancak birçok böyle sistem de şifre bazlı onay sistemine sahip olduğu için aynı tür problemlerle karşılaşılmaktadır. Biometrik tarayıcılar ise kullanıcının kim olduğunu temel alarak onaylama yapmaktadır. 9 8 Cangemi, M.P., Managing the Audit Function: Corporate Audit Department Procedures Guide, Third Edition, 2003, s.81. 9 Ibid, s.82.
  • 18. 8 1.3. Muhasebe Bilgi Sistemi (MBS) ve Bilgi Teknolojileri (BT) Yöneticilerin karar vermesini kolaylaştırmak için, değişik yerlerdeki bilgilerin toparlanarak, bütün halinde sunulmasını sağlayan sistemler, yönetim bilgi sistemi olarak adlandırılmaktadır. Şekil 2.1. yönetim bilgi sistemlerinin işleyişini göstermektedir.10 ġekil 1.1: Yönetim Bilgi Sistemlerinin ĠĢleyiĢi Yönetim Sistem Sistem Bilginin geri beslemesi Bilgi sistemi Ç E V R E Karar çıktıları Güncel çıktı Kaynak: Pearlson, K.E, Management and Using Information Systems, A Strategic Approach, John Wiley & Sons. New York, s.71. 10 Pearlson, K.E, Management and Using Information Systems, A Strategic Approach, John Wiley & Sons. New York, s.71.
  • 19. 9 İşletmeler faaliyet sistemlerine, faaliyet hacimlerine, örgütlenme şekillerine, yönetim anlayışlarına, düzenlemelere ve içinde bulundukları diğer koşullara göre, bir alt bilgi sistemi geliştirmek, kurmak ve çalıştırmak durumundadır: Üretim Bilgi Sistemi Üretim Planlaması Stok Kontrol Mamul Geliştirme Personel Bilgi Sistemi İşçi-İşveren İlişkileri İşe Alma Eğitim Pazarlama Bilgi Sistemi Pazarlama Araştırması Satış Analizleri Satış Planlaması Satışlar Muhasebe Bilgi Sistemi Finansal (Genel) Muhasebe Maliyet Muhasebesi Satışlar-Alacaklar
  • 20. 10 Satınalma-Borçlar Stok İşlemleri Ücret-İşçilik Maliyet Kontrolü Mali Analiz Nakit Bütçelemesi Sermaye Bütçelemesi MBS de yönetim bilgi sisteminin bir alt sistemi olarak karşımıza çıkmaktadır. Geniş anlamda MBS; ―para, insangücü, malzeme, makine, teknoloji ve bilgi gibi işletme kaynaklarının amaçlar doğrultusunda en etkin ve verimli bir şekilde kullanılmasını planlamak, örgütlemek ve kontrol etmek için, yönetimin gereksinim duyduğu işletme içi ve işletme dışı finansal ve finansal olmayan, niceliksel ve niteliksel bilgileri; gerektiği yer ve zamanda, gerekli kişilerin kullanabilecekleri şekilde sürekli olarak sağlamak amacı ile kurulan ve çalıştırılan bir sistemler bütünü‖ olarak tanımlanabilmektedir. MBS‘de verinin işlenmesi ve kaydedilmesi günümüzde çeşitli bilgi teknolojileri kullanımıyla mümkün olmaktadır. MBS genel olarak;  Yönetimin varlıklar üzerindeki yönetim sorumluluğunu yerine getirmek  İşletme eylemlerinin kontrolünü yapmak  Geleceğe ilişkin işletme eylemlerini planlamak için gerekli bilgileri sağlamaya yönelik bir bilgi sistemidir.11 11 Turner, L., Weickgenannt, A., Accounting Information Systems: Controls and Processes, John Wiley & Sons Editions, 2008, s.62.
  • 21. 11 Şekil 2.2. siparişin alınmasından nakdin tahsil edilmesine kadar geçen süreçte MBS‘nin nasıl işlediğini göstermektedir. ġekil 1.2: Gelir Döngüsü ve Muhasebe Bilgi Sistemi Sipariş Bölümü (Pazarlama) Kredi Bölümü (Finans) Lojistik Depo Nakliye bölümü Müşteri Müşteri Muhasebe kayıtları yapılır 1 Müşteri siparişi verir 2 Kredi onaylanır 3 Kredi izni verilir 4 Müşteri siparişin kabul edildiğine dair bilgilendirilir 5 Sipariş bölümü nakliye bölümünü bilgilendirir 6 Sipariş bölümü depoyu ve muhasebeyi bilgilendirir 7 Depo siparişi nakliye bölümüne teslim eder 8 Nakliye bölümü siparişin yüklendiğine dair sipariş bölümünü bilgilendirir Kaynak: Turner, L., Weickgenannt, A., Accounting Information Systems: Controls and Processes, John Wiley & Sons Editions, 2008, s.62. Şekil 1.2‘de de görüldüğü gibi, muhasebe bilgi sistemine işletme ile çevresi arasında oluşan eylemlerden (siparişin alınması) ve geri bildirimden gelen mali nitelikteki
  • 22. 12 işlemlere ilişkin veriler veya bilgiler, bilgi işlem eylemleri sonucunda çıktılara dönüştürülmekte ve bu çıktılar raporlar şeklinde ilgili taraflara iletilmektedir. 2. FĠNANSAL DENETĠM VE BĠLGĠ TEKNOLOJĠLERĠ (IT) DENETĠMĠ 2.1. Finansal Denetim Literatürde geleneksel olarak finansal denetim; iç denetim ve dış denetim olarak ikiye ayrılmaktadır. İç denetim işletmenin yönetim kuruluna bağlı olarak çalışan denetçiler tarafından gerçekleştirilirken, dış denetim bir denetim firmasında çalışan mesleki bağımsızlığa sahip profesyonel denetçiler tarafından yürütülmektedir. Genellikle iç denetim sonucunda elde edilen bulgular, üst yönetime ve/veya yönetim kuruluna bağlı denetim komitesine raporlanmaktadır. Aslında, her ne kadar iç denetim işletmedeki içsel bir olgu olsa bile, denetlenen birim veya departman dışsal olduğu için iç denetim fonksiyonu da, objektifliğini ve profesyonelliğini korumaktadır.12 İç denetim; çalışanların işletme politika ve prosedürlerine bağlılığı ile iç kontrollerin gelişimi ve değerlendirilmesiyle ilgilenmektedir. İç denetim göreceli olarak geniş kapsamlıdır, çünkü muhasebe sistemlerinin ve finansal raporların incelenmesinin yanında hile denetimi ve personelin yasal olmayarak bilgisayar programlarını kopyalayıp kopyalamadığı gibi denetim faaliyetlerini de içermektedir.13 12 Arens, A., Elder, R., Beasley, M. ―Auditing and Assurance Services‖, Auditing and Assurance Services: An Integrated Approach, Pearson Editions, 2009, s.56 13 Hayes, R., Dassen, R., Schilder, A., Wallage, P., Principles of Auditing: An Introduction to International Standards on Auditing, Second Editions, 2004, s.43.
  • 23. 13 1990‘lı yıllarda yaşanan kurumsal skandallar, iç kontrollerin önemini ve dolayısıyla iç denetçilere olan talebi arttırılmıştır. İç denetçilerin son dönemde artan önemi çeşitli araştırmaların sonuçlarında da görülmektedir. Örneğin, İç Denetçiler Enstitüsü‘nün 2005/2006 dönemini kapsayan bir araştırması; yönetim kuruluna bağlı denetim komitelerinin 2002‘de Sarbanes-Oxley Kanunu‘nun çıkarılmasından sonra, işletmelerin finansmanı ve faaliyetleriyle ilgili daha çok bilgi edinmek için iç denetçilere başvurduğunu ortaya koymaktadır. Ayrıca bu araştırma; iç denetçilerin işletmeye bağlı bir danışman gibi hilelerin ortaya çıkarılmasında, bilgi sistemlerinin tasarımında ve kontrol sistemlerinin geliştirilmesinde yönetime yardım ettiğini de göstermektedir. İç denetçilerin geniş kapsamının aksine, dış denetimin en temel amacı tasdiktir. Tasdikle kastedilen, finansal tabloların doğru ve dürüst olarak oluşturulduğuna ilişkin bağımsız dış denetçi tarafından görüş bildirilmesidir. Bu değerlendirme, genel kabul görmüş muhasebe ilkeleri çerçevesinde yürütülmekte ve genelleştirilmiş denetim standartlarının uygulanmasını gerektirmektedir. Bağımsız denetim; işletmenin yönetimi tarafından hazırlanan kayıt, ölçüm ve finansal raporların, gerçekliği ve dürüstlüğünün değerlendirilmesi ve tarafsız bir biçimde incelenmesini içeren bir destek fonksiyonudur. Bağımsız denetim fonksiyonu, denetçi veya mali müşavir olarak bilinen bağımsız kişiler tarafından yürütülmektedir. Denetçi, bağımsız denetim sonuçlarına göre bildirdiği görüşünün yer aldığı denetim raporundan ve denetlediği finansal tablolardan sorumlu olmaktadır. Dolayısıyla bağımsız denetçi temelde finansal tablo kullanıcılarına karşı sorumludur. Finansal tablo kullanıcıları, işletme yöneticilerini de kapsamakla birlikte daha çok işletmenin
  • 24. 14 dışındaki ilgili kişi ve kuruluşlardan oluşmaktadır. Bu ilgililerden en önemlileri yatırımcılar, kredi verenler ve devlettir. Finansal tabloların bir bağımsız denetçi tarafından denetlenmesinin amacı; işletmenin finansal durumunu, faaliyet sonuçlarını ve finansal durumundaki değişiklikleri dürüst bir biçimde ve genel kabul görmüş muhasebe ilkelerine veya UFRS‘ye (Uluslararası Finansal Raporlama Standartları- International Financial Reporting Standards-IFRS) uygun olarak sunduğuna dair bir görüş sunulmasıdır. 14 Bağımsız denetim ABD (Amerika Birleşik Devletleri) ve AB (Avrupa Birliği) üyesi ülkelerde halka açık işletmeler için zorunludur. Kuzey Amerika Gümrük Anlaşması‘nı (North American Free Trade Agreement – NAFTA) imzalayan ülkelerde bağımsız denetim Amerikan Genel Kabul Görmüş Muhasebe İlkeleri‘ne (US Generally Accepted Accounting Principles-US GAAP) göre yapılırken; AB‘de bağımsız denetim finansal tabloların UFRS‘ye göre gerçeğe uygun ve dürüst olarak sunulup sunulmadığını değerlendirecek şekilde yapılmaktadır. 15 Bağımsız denetim; halka açık olmayan işletmeler, dernekler ve bazı kamu kurumları için de gerçekleştirilebilmektedir. Hatta bazı özel sektör işletmeleri için bağımsız dış denetim yasal bir zorunluluk olmamasına rağmen kaçınılmazdır; çünkü bu işletmelere borç verenler ve bu işletmelerin hisse senetlerine yatırım yapanlar tarafsız bir bakış açısıyla söz konusu işletmelerin finansal tablolarının muhasebe ilkelerine uygunluğunun bağımsız denetim aracılığıyla test edilmesini talep etmektedirler. Bu doğrultuda birçok işletme, en azından yıllık olarak bağımsız denetim yaptırmakta ve finansal tablolarının ilgili mevzuat hükümlerine uygunluğunu bağımsız denetçilere tasdik ettirmektedir. Ayrıca, bağımsız denetimden geçmiş finansal tablolar, başka 14 Jancura, E.G., Audit and Control of Computer Systems, Mason/Charter Publishers Inc., New York, 1974, s.2. 15 Hayes ve diğerleri, 2004, s.35.
  • 25. 15 ülkelerde iş yapmak isteyen işletmeler için de çok önemlidir; çünkü belli standartlara göre yapılmış bir bağımsız denetim diğer işletmelere ve diğer tüm ilgililere güvenilir, karşılaştırılabilir ve anlamlı finansal tablolar sağlamaktadır. 16 Bağımsız denetimin finansal tabloların ve işletme kontrollerinin güvenilirliğinin test edilmesinin yanında, işletmenin yüksek riskli alanlarının belirlenmesi ve yöneticilerin bu alanlara ilgisinin çekilmesi gibi faydaları da bulunmaktadır. Stratejik sistem denetçileri, öncelikle işletmenin stratejisini ve rekabet avantajı sağlayacak unsurlarını belirleyerek, denetimde yukarıdan aşağıya bir yaklaşım (top down approach) sağlamaktadır. Diğer taraftan, son yıllarda hile denetiminin (fraud audit) önem kazanmasıyla birlikte bağımsız denetimin rolü de artmıştır. Bu doğrultuda, Uluslararası Denetim Standardı No. 99: Finansal Tablo Denetiminde Hile (Statement on Auditing Standards -SAS- No. 99, Consideration of Fraud in a Financial Statement Audit), bağımsız denetim şirketlerine bağlı denetçilerin, işletmelerin finansal tablolarında ciddi boyutta hatalı veya hileli beyan (erroneous or fraudulent material misstatements) olmadığını tespit etmeleri için birkaç özel işlem yapmasını dahi öngörmektedir. 2.2. Bilgi Teknolojileri Denetimi Finansal tablolar ve diğer finansal bilgiler, işletmelerin bilgisayar sistemlerinin bir çıktısıdır. Dolayısıyla finansal tablo denetiminin bilgi sistemlerinden yararlanması kaçınılmaz olmaktadır. Bu doğrultuda bağımsız denetçiler denetim işlemlerini 16 Arens ve diğerleri, 2009, s.78.
  • 26. 16 yürütürlerken, işletmelerin iç kontrollerini de gözden geçirerek bir genel kontrol yapmaktadırlar. Sonrasında da mevcut iç kontrol düzeyine bağlı olarak denetimlerini bu kontrollere göre oluşmaktadırlar. Aslında iç kontrollere yönelik genel bir kontrol yeterli değildir. Başarılı bir denetim yapılabilmesi için iç kontrollere yönelik uygulama kontrolleri gibi ayrıntılı kontrollerin yapılması gerekmektedir. İşletmelerin iç kontrollerinin gözden geçirilmesi ve bilgi sistemlerinin değerlendirilmesi için asıl gerekli olan bilgi teknolojileri denetimidir.17 Daha önce de belirtildiği gibi, bağımsız denetçiler verdikleri hizmetleri çok çeşitli tasdik hizmetlerini içerecek şekilde genişletmektedir. Bu hizmetlerin çoğu bir şekilde bilgi teknolojileri denetimini içermektedir. Ancak tasdik etmek (görüş bildirmek) dış denetçinin temel sorumluluğudur. İç ve dış denetimin temel hedefleri birbirinden farklı olsa da bu denetimler birbirini tamamlayıcı niteliktedir. Örneğin, iç denetçilerin işletmenin bilgi teknolojileri ortamında inceledikleri kontrollerin bir kısmı, bağımsız denetçilerin sorumluluğundaki finansal tabloların doğruluğunu artırmak üzere tasarlanmıştır. Benzer şekilde, uygun stok değerleme yöntemlerinden birinin uygulanması bağımsız denetçiler tarafından öngörülürken; bu aynı zamanda iç denetçilerin alanına giren işletme politikalarından önemli bir tanesini oluşturmaktadır.18 İç denetim ve bağımsız denetimin amaçlarındaki farklılığa karşın, hem iç denetçiler hem de bağımsız denetçiler, bilgisayar destekli muhasebe bilgi sistemlerinin denetiminde bazı benzer faaliyetler yürütmektedir. Dolayısıyla, finansal denetim ve 17 Weber, R., Information Systems Control and Audit, Prentice Hall, Upper Saddle River, 1999, s.32 18 Cangemi ve diğerleri, 2000, s.27.
  • 27. 17 bilgi teknolojileri denetimi arasındaki ilişkinin incelendiği çalışmanın bu bölümünde, denetçi terimi her iki tür denetçiyi de kapsayacak biçimde geniş anlamlı olarak kullanılmaktadır. Ancak iç denetçilerin ve bağımsız denetçilerin bazı benzer uygulamalarda bulunmaları; uyguladıkları denetim prosedürlerinin aynı olduğu anlamına gelmemektedir. Buna karşın, bir işletmenin iç denetçileri ile bağımsız denetçileri arasında yoğun bir iş birliği ve etkileşim söz konusu olmaktadır. İç denetçiler işletmenin finansal tablolarını değerlendirirken genellikle, dış denetçilerin gerçekleştirdiği denetimleri dikkate almaktadırlar. Bilgi sistemleri ve bilgi teknolojilerinin denetçiler tarafından değerlendirilmesi, BS denetimi kavramını doğurmaktadır. Bilgi teknolojileri denetimi ise, bir işletmenin bilgilerinin doğruluğunun tasdik edilmesi için o işletmenin bilgi sistemlerinin, uygulamalarının ve işlemlerinin değerlendirilmesidir. Bu değerlendirme bilgisayar tabanlı uygulamaların verimliliği, etkinliliği ve ekonomikliğinin belirlenmesini ve bilgisayarın bir denetim aracı olarak kullanılmasını da kapsamaktadır. Ayrıca değerlendirmede geçerli, yeterli, güvenilir bilgi sistemlerinin tasdiki yapılırken, bilgi teknolojileri ortamındaki iç kontrollerin yeterliliği de denetlenmektedir.19 Her ne kadar bilgi teknolojileri denetimi, bilgi teknolojileri işlemlerini gözden geçirse ve uygulama veya sistem oluşumlarını incelese de; bu alanlarda uygulanan kontrollerin doğruluğunun kanıtlanması gerekmektedir. Bilgi teknolojileri denetçisinin işlevi; varlıkların korunduğuna, bilginin zamanlı ve güvenilir olduğuna, tüm hata ve eksikliklerin tespit edilip hızla düzeltildiğine dair makul güvence sağlayarak iç denetçiyi tamamlamaktır. Bu işlevin eşit öneme sahip amaçları ise; 19 Gallegos ve diğerleri, 2004, s.32.
  • 28. 18 daha iyi kontrol sağlamak, denetime ait işlem geçmişi raporlarını oluşturmak (complete audit trails) ve işletme politikalarına tam uyumu test etmektedir.20 2.2.1. Bilgi Teknolojileri Denetiminin ĠĢlevi Bilgi teknolojileri denetimi; elektronik veri işleme denetimi (electronic data processing-EDP) ve bilgisayar denetimi olarak da bilinmektedir. Bir BT denetimi (Information Technology Audit-IT Audit) veya bilgi sistemleri denetimi (Information System Audit-IS Audit), bir işletmenin BT altyapısının (information technology infrastructure) içerdiği kontrollerin incelenmesidir. Bu incelemeler finansal denetim (bağımsız denetim), iç denetim ve diğer güvence (tasdik) hizmetleri ile birlikte yürütülebilmektedir.21 BT denetimi önceleri elektronik veri işleme denetimi olarak tanımlanmıştır. Bu şekilde bir tanımın benimsenmesi, ticari verilerin otomatik yöntemler kullanılarak işlenmesinden kaynaklanmaktadır. Bu uygulamalar, büyük miktarda benzer bilgilerin işlenmesine yönelik basit ve rutin faaliyetler için kullanılmıştır. Stok güncellemeleri, banka işlemleri, müşteri hesap hareketleri, bir havayolları rezervasyon sistemindeki rezervasyon ve bilet satış işlemleri gibi faaliyetler bunlara örnek gösterilebilmektedir.22 20 Ibid, s.36. 21 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.43 22 COBIT Steering Committee and the IT Governance Institute, COBIT Third Edition, Rolling Meadows, Information Systems Audit and Control Foundation, 2002.
  • 29. 19 BT denetimi, günümüzde işletmelerin bilgi sistemleri, uygulamaları ve süreçlerine yönelik kanıt toplama ve değerlendirme işlemlerinin bütünü olarak geniş kapsamlı şekilde tanımlanmaktadır. Toplanan kanıtların değerlendirilmesi bilgi sistemlerinin; işletmenin varlıklarını koruyup koruyamadığı, veri bütünlüğünü sürdürüp sürdüremediği, işletmenin amaçlarına ulaşmada etkin ve etkili bir biçimde işleyip işleyemediği konularında güvence sağlamaktadır.23 Aralarında etkileşim olmasına rağmen genel olarak BT denetimi, finansal denetimden (bağımsız denetim) farklıdır. Örneğin iç kontrollerin değerlendirilmesi BT denetiminde ihtiyariyken; bağımsız denetimde iç kontrollerin değerlendirilmesi ve denetim sürecinin iç kontrollere göre oluşturulması söz konusudur; çünkü denetçi finansal tablolara ilişkin bir görüş oluştururken uygulayacağı testlerin sayısını ve yoğunluğunu iç kontrollere göre belirlemektedir. Başka bir ifade ile, denetçi iç kontrollerinin güvenlik seviyesi yüksek olan bir işletmenin denetim testlerinin yoğunluğunu azaltabilmektedir. Diğer yandan BT denetimi, bilgi varlıklarına ilişkin risklerin belirlenmesine ve bu risklerin azaltılması veya yok edilmesi için kontroller oluşturulmasına (risk yönetimi) odaklanmaktadır. Bilgi varlıklarının korunmasında BT denetiminin amaçlarından biri de, işletmenin bilgi sistemlerinin uygunluğu, gizliliği ve bütünlüğünün gözden geçirilip değerlendirilmesidir. Bu doğrultuda BT denetçilerinin denetimlerini gerçekleştirirken cevap aradıkları bazı sorular aşağıdaki gibidir:  İşletmenin bilgi sistemleri iş akışını aksatmayacak şekilde her zaman kullanıma uygun mudur? 23 Allen-Senft, S. and Gallagos, Audit Concerns for End-user Computing and Application Development, EDP Auditing, Auerbach Publishers, 1996, s.15.
  • 30. 20  Sistemdeki bilgilere sadece yetkili kullanıcılar tarafından mı erişilebilmektedir?  Sistemdeki bilgiler her zaman doğru, eksiksiz, güvenilir ve güncel midir? BT denetimi uygulamalarında üç sistematik yaklaşım bulunmaktadır:24 1. Teknolojik yenilik süreci denetimi (Technological innovation process audit): Burada amaç; organizasyonun seçilmiş teknolojilerde, pazarlarda, proje organizasyonunda ve sanayi yapısında deneyimini tayin ederek mevcut ve yeni (potansiyel) projeler için risk profili oluşturmaktır. 2. Yenilikçi karşılaştırma denetimi (Innovative comparison audit): Burada işletmenin rakiplerine karşı yenilikçi olabilme kabiliyeti (innovative abilities) analiz edilmektedir. Analizde işletmenin yeni ürün geçmişi, ar-ge olanakları ve bunlara benzer diğer faktörlerin incelenmesi gerekmektedir. 3. Teknolojik durum denetimi (Technological position audit): Burada işletmenin ihtiyaç duyduğu bilgi teknolojileri incelenmektedir. BT denetçileri, yukarıda açıklanan sistematik yaklaşımları kullanarak bir işletmenin pazardaki yerini, güçlü ve zayıf yönlerini belirlemektedir. Bunun sonrasında da işletmenin bilgi sistemlerinin uygunluğu, gizliliği ve bütünlüğünü dikkate alarak bulgularını rapor etmektedir. 25 24 Goodman, ve diğerleri 1996, s.218. 25 COBIT Steering Committee and the IT Governance Institute, 2002.
  • 31. 21 2.2.2. Bilgi Teknolojileri Denetiminin Tarihsel GeliĢimi Daha önce de belirtildiği gibi BT denetimi ilk olarak elektronik veri işleme (EDP) denetimi olarak başlamıştır. Ticari veriler için teknoloji kullanımı ve muhasebe işlemleri, denetim (güvence-assurance) hizmetlerinde teknoloji kullanılması gereksinimini doğurmuştur. İşletmelerin finansal bilgilerinin kendi bilgi sistemlerinin çıktısı olmasıyla birlikte, bu bilgileri değerlendirmek ve kontrol edebilmek için denetçilerin bilgisayar becerilerini geliştirme ihtiyacı oluşmuştur. Diğer yandan, son yıllarda yaşanan ve bankacılık hileleri, bankalara ve denetçilere yanlış tablolar sunma, para aklama, sistem (bilgisayar-wire) hileleri gibi çok geniş kapsamlı finansal suçları içeren muhasebe skandalları sonucunda da muhasebe ve raporlama hizmetlerine karşı kamu güveni azalmıştır. Dolayısıyla, bu skandallar düzenlemelerin artırılması ihtiyacını ve BT denetiminin gerekliliğini ortaya çıkarmıştır.26 Kayıtlara göre bilgisayar teknolojisi muhasebe sistemlerinde ilk defa General Electric tarafından 1954 yılında kullanılmaya başlanmıştır. Bu tarihte, bilgi teknolojilerinin denetimi yalnızca bilgisayar sistemlerinin çıktılarının denetlenmesi şeklinde yürütülmekteydi. İş hayatında bilgisayarların kullanımının yaygınlaşması ve bilgisayar kullanabilen insan sayısının artması çeşitli muhasebe sistemlerinin doğmasını sağlamıştır. Bunun sonucunda elektronik veri işleme denetimi (EDP) ve elektronik veri işleme denetçileri ortaya çıkmıştır. Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) 1968 yılında ―Muhasebe ve EDP‖ adlı bir kitap yayınlamış ve bir denetim yazılımı geliştirmiştir. Daha sonra, 1969 yılında, EDP 26 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.18.
  • 32. 22 denetimleri için ilkeler, standartlar ve rehberler yayınlamak üzere EDP Denetçileri Birliği kurulmuştur. BT denetiminin büyümesini ve yaygınlaşması sürecini etkileyen beş önemli olay bulunmaktadır: 27  ―Equity Funding Corporation‖ Skandalı: Bilinen ilk bilgi teknolojisinin kötüye kullanımı ―Equity Funding Corporation‖ da gerçekleşmiştir. İşletmenin yöneticileri daha yüksek kar göstermek amacıyla muhasebe kayıtlarıyla oynamışlar ve bunun sonucunda 10 yıl boyunca işletmenin hisse senetleri büyük oranlarda artış göstermiştir. Bu hile 1973 yılında keşfedilmiş ve bilgisayarlı denetime ihtiyaç duyulduğu görüşü hakim olmuştur.  İnternet ve elektronik ticaret geliştikçe dünya genelinde iş yapmak kolaylaşmıştır. Ancak, her ne kadar internet ve elektronik ticaret avantajlı olsa da aynı zamanda işletmeyi suça açık hale getirmektedir. Bu nedenle, BT teknolojileri denetimi gelişmiş ve işletmelerin ve bireylerin internet ortamında güvenliklerinin korunmasına yardımcı olmuştur.  AT&T şirketinin bilgi teknolojilerinin, yazılım hataları yüzünden 1998 yılında çökmesi nedeniyle birçok kredi kartı sahibinin 18 saat boyunca fonlara ulaşamaması ve dünya genelinde ticaretin bu durumdan olumsuz etkilenmesi bilgisayar sistemleri için güvence hizmetlerinin gerekliliğini bir kez daha göstermiştir. 27 Ibid, s.18.
  • 33. 23  2001 yılının sonunda meydana gelen Enron skandalı, hem Enron‘un hem de onun muhasebe danışmanlığını yapan Arthur Andersen‘in iflasına neden olmuş ve ayrıca birçok yatırımcı önemli tutarda para kaybederken birçok kişi de işsiz kalmıştır. Enron skandalı ve sonrasında meydana gelen diğer skandallara bir tepki olarak 2002 yılında ABD‘de çıkartılan Sarbanes-Oxley yasası halka açık işletmeler ve de muhasebe firmaları için yeni ve iyileştirilmiş standartlar getirmiştir. 28  11 Eylül saldırıları sonucunda ABD‘de çıkartılan ―Yurt Güvenliği Yasası (Homeland Security Act)‖ bilgi sistemlerinin güvenliğini artırmıştır. 2.2.3. Bilgi Teknolojisi Denetimine ĠliĢkin Mesleki Örgütler ve Bilgi Teknolojisi Denetçisi Uluslararası Sistem Denetimi ve Kontrol Birliği (International Systems Audit and Control Association-ISACA) elektronik veri süreçlerini denetleyen ve bilgisayar sistemlerini kontrol eden bir grup tarafından 1967 yılında kurulmuştur. Birliğin görevi, kurumsal ve sistem kontrollerini denetleyen denetçilerin mesleki yeterliliklerini geliştirmek ve desteklemektir. Ayrıca, 1969 yılında; Elektronik Veri Süreçleri Denetçileri Birliği (Electronic Data Processes Auditors Association) kurularak bilgi teknolojileri denetimi alanında bilgi kaynağı ve rehberlik sağlayacak bir kuruluş oluşturulmuştur.29 28 Niskanen ve diğerleri, 2005, s.41. 29 Alter., 2006., s.65.
  • 34. 24 Günümüzde ISACA‘nın sayısı 65.000 ‗e ulaşan ve 140 ülkede faaliyet gösteren üyesi bulunmaktadır. Üyeler; bankacılık, finans, muhasebe, üretim ve kamu gibi çeşitli sektörlerde çalışan bilgi sistemi denetçileri, bilgi sistemi güvenlikçileri, danışmanlar, iç denetçiler ve eğitimciler gibi profesyonellerden oluşmaktadır. ISACA‘nın 70 ülkede faaliyet gösteren birimi bulunmaktadır. Bu birimlerde ISACA yerel düzeyde eğitim düzenlemekte ve bilgi teknolojileri araştırma projeleri yürütmektedir. ISACA‘nın yayınladığı denetim ve kontrol standartları dünya genelinde kabul görmektedir. Bu nedenle ISACA‘nın ―Sertifikalı Bilgi Sistemleri Denetçisi‖, ―Sertifikalı Bilgi Sistemleri Yöneticisi‖ ve ―Sertifikalı Bilgi Güvenliği Yöneticisi‖ gibi çeşitli meslek unvanları vermek için düzenlediği sınavlar bulunmaktadır. Ayrıca ISACA bilgi kontrolü alanında ―Bilgi Sistemleri Kontrolü‖ adında periyodik bir bilimsel dergi yayınlamaktadır. 30 İşletmelere bilgi teknolojilerinin yönetimi konusunda liderlik sağlamak ve örgütsel yapıların ve süreçlerin oluşturulmasına yardımcı olmak amacıyla ISACA tarafından Bilgi Teknolojileri Yönetim Enstitüsü (Information Technology Governance Institute-ITGI) kurulmuştur. ISACA ve ITGI birlikte bilgi teknolojileri yönetim ilkelerini ―Bilgi Teknolojileri ve İlgili Teknolojiler için Kontrol Amaçları (Control Objectives for Information and Related Technology-COBIT)‖ olarak yayınlamıştır. ISACA‘nın web sayfasında belirtildiği gibi, COBIT bilgi teknolojileri alanında faaliyet gösterenler için, uluslar arası genel kabul görmüş bilgi teknolojileri kontrol amaçları geliştirmekte ve yayınlamaktadır. Dolayısıyla, bilgi teknolojileri alanında faaliyet gösterenler COBIT sayesinde bilgi teknolojileri yönetim modeli geliştirerek 30 www.isaca.org
  • 35. 25 işletmelerinin varlıklarını korumak için gerekli kontrolü ve güvenlik seviyesini oluşturabilmektedirler. COBIT daha önce birçok defa güncellenmiş ve en yeni haliyle 2005 yılında yayınlanmıştır. 31 2011 yılında, son güncellenmiş hali taslak olarak yayınlanmış olup, yıl sonuna kadar son şeklini alarak yayınlanması planlanmaktadır. İşletmeler artan bir biçimde bilgisayar tabanlı MBS kullandıkça ve bu sistemler teknolojik olarak daha karmaşık hale geldikçe, bilgi teknolojisi denetçilerine olan talep artmaktadır. Sarbanes-Oxley Kanunu‘nun son yürürlüğe giren maddeleri de daha çok bilgi teknolojisi denetçisi ihtiyacı yaratmaktadır. Bilgi teknolojisi denetimi çok yönlü beceri gerektirmektedir. Bazı bilgi teknolojisi denetçileri bilgisayar veya bilgi sistemleri alanında lisans derecesine sahipken, diğer bir kısmı da muhasebe mezunu ve genel denetim deneyimine sahip kişilerdir. En ideali muhasebe ve bilgi sistemleri ya da bilgisayar bilimi bilgilerinin birleşimine sahip olmaktır. 32 Yukarıda da belirtildiği gibi, bilgi teknolojisi denetçileri mesleki bir sertifika niteliğinde olan ―Sertifikalı Bilgi Sistemleri Denetçisi‖ unvanını almak istemektelerdir. Bu sertifikayı almak için ISACA tarafından düzenlenen sınavı kazanmak, bir takım deneyim koşullarına uymak, Profesyonel Etik Kurallarına (Code of Professional Ethics) uymak, sürekli profesyonel eğitim sürecine dahil olmak ve Bilgi Sistemleri Denetimi Standartları‘na (Information Systems Auditing Standards) uymak gerekmektedir. Tablo 2.1. ISACA‘nın düzenlediği ―Sertifikalı Bilgi Sistemleri Denetçisi‖ sınavı kapsamındaki konuları göstermektedir. Sınavda sadece 31 www.isaca.org 32 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.14.
  • 36. 26 bilgi teknolojilerinin değerlendirilmesi değil bilgi teknolojileri yönetimi ve koruma gibi konular da yer almaktadır. Tablo 2.1: Sertifikalı Bilgi Sistemleri Denetçisi Sınavının Konu Dağılımı Konu Ağırlık Bilgi sistemleri denetim süreci 10% Bilgi teknolojileri yönetimi 15% Sistemler ve yaşam döngüsü boyunca yönetim 16% Bilgi teknolojileri hizmeti sunumu ve desteklenmesi 14% Bilgi varlıklarının korunması 31% İşletmenin sürekliliği ve olağanüstü durumlar 14% Kaynak: Cangemi, M.P., Managing the Audit Function: Corporate Audit Department Procedures Guide, Third Edition, 2003, s.61. Deneyimli bilgi güvenliği profesyonelleri için daha genel bir sertifika olarak, yine ISACA tarafından verilen Sertifikalı Bilgi Güvenliği Yöneticisi (Certified Information Security Manager – CISM) sertifikası bulunmaktadır. Bu sertifikayı almak isteyenlerin bir iş yönlendirmesine ve risk yönetimi ile güvenlik konularına ilişkin kavramsal bakış açısına sahip olması gerekmektedir. Sertifikayı almak için girilen sınav; bilgi güvenliği yönetişimi, bilgi güvenliği programı yönetimi, risk yönetimi, bilgi güvenliği yönetimi ve tepki yönetimi konularındaki bilgiyi değerlendirmektedir.33 33 Cangemi, 2003, s.61.
  • 37. 27 Bilgi teknolojisi denetçileri iç denetçi olarak da dış denetçi olarak da işe alınabilmektelerdir. Her iki durumda da, bu denetçiler bağımsız testlerden çok kontrol prosedürlerinin değerlendirilmesine odaklanmaktadır. Bilgi sistemleri donanımındaki ve çeşitli MBS uygulamalarındaki kontrolleri değerlendirmek, yüksek düzeyde uzmanlık gerektirmektedir. Örneğin, bir BT denetçisinin belli bilgilere ulaşmayı sınırlandıran kontrolleri değerlendirmesi için, herhangi bir uygulamanın giriş güvenliği düzenleme yöntemlerine aşina olması gerekmektedir. Bağımsız denetçilerle karşılaştırıldığında iç denetçiler; bir işletmenin donanımı, işletim sistemi platformu ve uygulama programları üzerinde daha kolay uzmanlaşmaktadır. Bir bağımsız denetçinin, birçok farklı işletmenin bilgi sistemlerini denetliyor olması beklenmektedir. Ancak bağımsız denetçi; belli bir işletim sistemi platformunda, güvenlik yazılımı paketinde, mikrobilgisayar ağ sisteminde veya belli bir minibilgisayar ya da anabilgisayar sisteminde uzmanlaşmayı tercih edebilmektedir. Aslında BT denetiminin etkili bir biçimde yürütülmesi için, hem uzmanlaşılmış beceriler hem de genel bir teknik bilgi gerekmektedir. Bağımsız bilgi sistemleri denetçisi, bazen finansal denetim ekibinin bir parçası olurken bazen de bu ekipte yer almamaktadır. Bazı durumlarda finansal denetim ekibi, bağımsız bilgi sistemleri denetçilerine sadece özel bir risk bulunduğunda başvurmaktadır. Dört büyük bağımsız denetim firmalarının hepsi, BT denetçileri istihdam etmekte ve müşterilerine çok çeşitli güvence ilişkili (assurance-related) BT hizmeti sunmaktadır.
  • 38. 28 Denetime başlama noktası olarak mizanın kullanılması zaman kazandıran bir yöntem olmasına rağmen, modern bilgisayar sistemlerinin incelenmesinde her zaman işe yaramamaktadır. Neyse ki, kıdemli denetçiler veya finans müdürleri elle (manuel) ve bilgisayarlaştırılmış yöntemleri birlikte barındıran, tutarlı ve mantıklı denetim veya yönetim yaklaşımlarının önemini görmektedir. Bilgisayar sistemlerinin denetimi, geleneksel mizan yaklaşımında değişiklik yapılmasını gerektirmektedir. Ancak herhangi bir yeni denetim yaklaşımının da tüm dünyada (evrensel olarak) uygulanabilir olması şarttır. 34 Elle (manuel) ve bilgisayarlaştırılmış sistemlere eşit olarak uygulanan evrensel yaklaşımlar, denetim mesleği için Denetim Standartları‘nda (Statement of Auditing Standards – SAS 1) resmi hale getirilmiştir. Bu standartlar ile denetimde tekdüze ve sürece yönelik bir yaklaşımın kullanılması zorunlu kılınmaktadır. Burada belirtilen yaklaşım, denetim sırasında izlenen, her biri belirli sonuçlara ulaşmak üzere hazırlanmış bir seri halindeki mantıklı ve sıralı adımlardan oluşan tam bir süreç tekniğidir. Bu yaklaşımın uygulanmasında, denetim inceleme merkezinde yapılan ilk birkaç inceleme ile muhasebe sisteminin nasıl olduğunun temel olarak anlaşılması sağlanmaktadır. Finansal tablolara yansıyan, finansal önemi olan verileri oluşturan uygulamaların incelenmesine geldiğinde ise süreç çok daha derinleşmektedir. 35 Genellikle şematik (sistemli) diyagramlar belirgin adımlar gösterse de, gerçekte denetim süreçleri bu kadar katı değildir. Ayrıca bazı tipik denetim aşamaları, daha 34 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.45 35 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.61.
  • 39. 29 önceden uygulanmış prosedürlerin yeniden değerlenmesi ve kaynağının aranmasını içermektedir. 36 2.3. Bilgi Teknolojileri Denetimi Süreci Bilgi teknolojileri denetimi fonksiyonu; bilgisayar tabanlı muhasebe bilgi sistemlerinin (MBS-AISs) insan, prosedürler, donanım (hardware), veri bildirimi ve veri tabanları gibi tüm bileşenlerini kapsamaktadır. Aslında bu bileşenler; denetçilerin denetim amaçlarını gerçekleştirmek için inceledikleri, birbiri ile etkileşen öğelerden oluşan bir sistemdir. 37 Bağımsız denetçiler, işletmenin bilgisayar işlemleri üzerindeki kontrol prosedürlerinin finansal tabloları nasıl etkilediğini değerlendirmek için, öncelikle işletmenin bilgisayar destekli muhasebe bilgi sistemlerini (MBS-AISs) incelemektedir (attest objective). Mevcut kontroller denetimin kapsamını direkt olarak etkilemektedir. Örneğin eğer bilgisayar kontrolleri zayıfsa veya hiç yoksa, denetçiler daha fazla bağımsız testler (substantive testing) yapmak ihtiyacı duymaktadır. Bağımsız testler, işlemlere ve hesap bakiyelerine ilişkin detaylı testlerdir. Alıcılar hesabında yer alan müşterilerle yapılan bakiye mutabakatları, bağımsız testlere örnek olarak gösterilebilmektedir. Eğer işletmenin bilgisayar destekli muhasebe bilgi sistemleri (MBS-AISs) üzerindeki kontrol prosedürleri güçlüyse, denetçiler alıcılar hesabında yer alan bakiyelere ilişkin az sayıda işlemi 36 Ibid, 1987. 37 Allen-Senft ve diğerleri, 1996, s.39.
  • 40. 30 inceleyerek, denetimlerinin kapsamını sınırlandırabilmektedir. Örneğimizde bu sınırlandırma, yeterince veya hiç güvenilmeyen bilgisayar destekli kontrollerin olduğu bir duruma oranla, bakiye mutabakatı yapmak için daha az sayıda müşteri ile temasa geçilmesi anlamına gelmektedir.38 Bilgi teknolojileri denetiminde yer alan adımlar, her finansal denetimde gerçekleştirilenlerle benzerlik göstermektedir. Farklı olan ise denetçinin incelemelerinde bilgisayar tabanlı muhasebe bilgi sistemlerinin dikkate alınmasıdır. Süreç, sistemin ön değerlendirmesi ile başlamaktadır. Denetçi ilk olarak, muhasebe verilerine dair bilgisayar sürecinin anlamlı mı veya bir incelemeyi gerektirecek derecede karmaşık mı olduğuna karar vermelidir. Eğer sistem büyük veya karmaşık değilse, denetim manuel veri işleme süreci söz konusuymuş gibi sürdürülebilmektedir. Çoğunlukla bilgisayar tabanlı süreçler, kontrol ortamı hakkında hızlı bir yargıya varmak için denetçi tarafından bir ön değerlendirmeyi gerektirmektedir. Genellikle denetçi, ileri incelemeleri gerektirecek derecede bilgisayar tabanlı kontroller bulmakta ve hem genel, hem de uygulama kontrollerine ilişkin daha detaylı analizler yapmayı istemektedir. Bu kontroller detaylı olarak incelendikten sonra, kontrollerin mevcudiyetinden ve belirlendiği üzere çalıştığından emin olmak için uygunluk testleri (compliance testing) gerçekleştirilmektedir. Bu testler, bilgisayar destekli muhasebe bilgi sistemlerinin denetimi için bilgisayar destekli denetim tekniklerinin (―BDDT‖- computer-assisted audit techniques-CAATs) 38 Cangemi, 2003, s.24.
  • 41. 31 kullanılmasını gerektirebilmektedir. Son olarak denetçi, bazı hesap bakiyelerini bağımsız olarak test etmektedir. Daha önce de belirtildiği üzere, önceki analizler ve testlerin sonuçları bu testin kapsamını belirlemektedir. Denetçiler çoğunlukla bu adımda bilgisayarla denetimde BDDT kullanmaktadır. Bazı denetim araçları, sürekli denetim veya zamanlı güvence sağlamak için bir bilgi sisteminin içine yüklenebilmektedir. Yıllar boyunca, muhasebeciler ve başka birçok kişi sürekli denetimi tartışmışlardır. Sürekli denetim yaygın bir biçimde kullanılmasa da, eş zamanlı finansal raporlamaya yönelindikçe önemi artmaktadır. Ayrıca, denetim akışı olarak bilinen, finansal bilginin üretimi ve denetimi arasındaki sürenin kısaltılması için de artan bir baskı bulunmaktadır. Hisse senedi sahipleri, karar verme süresi kısaldıkça, denetlenmiş bilgiyi daha çabuk istemektedir. Birçok firma finansal bilgilerini internet aracılığıyla raporlamakta ve birçokları da XBRL bu tip raporlamayı artırdıkça buna yönelmektedir. (XBRL, çeşitli finansal hesaplar için geliştirilmiş bir ortak sınıflandırma (etiketlendirme) sistemidir.) Sürekli denetim için bazı belirgin yaklaşımlar şu şekildedir: 1. Gömülü denetim modülü veya denetim kancası (embedded audit modules or audit hooks) 2. İstisna raporlaması (exception reporting) 3. İşlem etiketleme (sınıflandırma) (transaction tagging) 4. Enstantane tekniği (snapshot technique) 5. Sürekli ve aralıklı simülasyon (continues and intermittent simulation)
  • 42. 32 Bu araçlar, bir denetçi olmadan dahi denetim yapılmasını sağlamaktadır. Gömülü denetim modülleriyle, uygulama alt programları (application subroutines) denetim amaçları için veri yakalamaktadır. Bu veriler genellikle bir yüksek risk alanıyla ilgilidir. Örneğin ücret bordrosu için bir uygulama programı, sistemler kontrolü denetim inceleme dosyası (systems control audit review file (SCARF)) denilen özel bir log‘a (kayıt, seyir defteri) yazılan ve önceden belirlenmiş kriterlere uygun işlemler oluşturan bir kod içermektedir. Bir SCARF dosyasına kaydedilebilen olası işlemler; aktif olmayan hesapları etkileyenleri, işletme politikasından sapanları (uzaklaşanları) veya varlık değerlerini itfa edenlerin dahil olduklarını içermektedir. Ücret bordrosu uygulamalarında bu işlemler, çalışanların önceden belirlenen saatlerden daha fazla çalışması gibi durumları yansıtabilmektedir. Bir seride oluşan ilişkili işlemlerin kaydedilmesi de buna örnek gösterilebilmektedir. 39 İstisna raporlaması uygulaması da bir sürekli denetim türüdür. Eğer ki bilgi sistemi önceden belirlenen şartlardan sapan işlemleri ret eden mekanizmalar içeriyorsa (alışılmışın dışında yüksek tutarlı bir satıcı çeki gibi); o zaman istisnai işlemlerin süregelen raporlaması sistemin kendini sürekli izlemesine olanak sağlamaktadır. İşlem etiketlemesi kullanılarak, belli işlemler özel bir belirleyiciyle etiketlenebilmektedir. Böylece bu işlemler bilgi sisteminden geçerken kaydedilebilmektedir. Örneğin, bir denetçinin ücret bordrosu sisteminin işleyiş mantığını onaylayabilmesi için, belirli sayıda çalışanın kendi işlem kayıtlarına iliştirilmiş etiketleri bulunmaktadır. Bu durumda etiketleme, sistemdeki kontrollerin 39 Gallegos, F.; Schneider, S., The Audit Process and the Information Center, EDP Auditing, Auerbach Publishers, 1998, s.55.
  • 43. 33 çalışmasını da kontrol etmiş olur. Örnek olarak bir ödeme döneminde olağandışı (önceden belirlenen kriterlere göre) çalışma saatleri tespit edildiğinde ücret bordrosu işlemlerinin ret gerektirdiği bir kontrol prosedürü sayılabilir. Denetçiler kontrol prosedürlerinin doğru çalıştığından emin olmak için etiketlenmiş işlemleri gözden geçirmektedir. 40 Enstantane (snapshot) tekniği işlemlerin işleyiş şeklini incelemektedir. Seçilmiş işlemler enstantane sürecini başlatan bir özel kod ile işaretlenmektedir. Bilgisayar programındaki denetim modülleri; bu işlemleri ve bu işlemlerin ana dosya kayıtlarını faaliyetlerinden önce ve sonra kaydetmektedir. Enstantane verileri özel bir dosyada kaydedilmekte ve denetçi tarafından her uygulama adımının düzgün çalışmış olduğunu onaylamak için gözden geçirilmektedir. 41 Sürekli ve aralıklı simülasyon (CIS) bir veri tabanı yönetim sistemindeki (database management system- DBMS) bir denetim modülünü saklamaktadır. CIS modülü (SCARF‘taki işe alma kriterlerinin benzeri) DBMS‘yi güncelleyen tüm işlemleri incelemektedir. Eğer bir işlem özel denetim önemine sahipse; denetim modülü veriyi özgürce işlemekte (paralel simülasyondakine benzer bir biçimde), sonuçları kaydetmekte ve bunları DBMS tarafından oluşturulan sonuçlarla karşılaştırmaktadır. Eğer ki herhangi bir farklılık (uyumsuzluk, çelişki – discrepancy) bulunuyorsa, bu farklılıkların ayrıntıları ileri soruşturma için bir denetim log‘una (kayıt, seyir defterine) yazılmaktadır. Ciddi farklılıklar bulunmuşsa, CIS DBMS‘nin güncelleme işlemini yürütmesini engelleyebilir. Karmaşık organizasyonlarda verinin çok yönlü 40 COBIT Steering Committee and the IT Governance Institute, 2002. 41 Cangemi, 2003, s.42.
  • 44. 34 DBMS‘ye yerleştirilmesi, sürekli denetim için aşılması gereken bir durumdur. Gerçek zamanlı güvence vermeyi (real-time assurance) etkili olarak yürütmek için denetçilerin özellikle denetim amaçları için bir veri pazarı (data mart) veya veri deposu alt kümesi yaratmaya ihtiyaçları bulunmaktadır‖. 42 Daha küçük ölçekte sürekli denetim için bir örnek de hesap çizelgelerine (spreadsheets) denetim modülü gömülmesidir (embed-saklanmasıdır). Bugünün hesap çizelgelerinin kapsamlı hesaplama ve düzenleme kapasitesi, kullanıcıların profesyonel çıktılar oluşturmasını sağlamaktadır. Ancak iyi görünümlü raporlar çok sayıda girdi yanlışlığını, formül hatasını ve diğer problemleri maskeleyebilmektedir. Uzmanlara göre her üç hesap çizelgesinden biri büyük bir hata içermektedir. 2.4. Muhasebe Skandalları, Denetim Standartları ve Bilgi Teknolojileri Denetimi Ticari alanda 1952‘den bu yana kullanılmakta olan bilgisayarlara ilişkin ilk elektronik suçun 1966 yılında ortaya çıktığı bilinmektedir. Buna rağmen Equity Funding Corporation of America‘da (EFCA) büyük sorunların ortaya çıktığı 1973 yılına kadar, denetim mesleği bilgisayar bilgi sistemlerindeki kontrolsüzlüğü ciddi bir biçimde ele almamıştır. 2002 yılında ise, finansal piyasalara şüphecilik ve çöküş getiren başka bir büyük yolsuzluk tespit edilmiştir. Bunun üzerine büyük denetim firmaları ve borsada büyük işlem hacmine sahip SEC (Securities and Exchange 42 Allen-Senft ve diğerleri, 1996, s.20.
  • 45. 35 Commission) düzenlemelerine tabi işletmeler; yatırımcılarda güvensizlik yaratmış ve sonuçta ABD hükümeti denetim ve kontrol alanında sıkı düzenlemeler getirmiştir.43 2.4.1. Muhasebe Skandalları 1973 yılında EFCA iflasını açıkladığında, yasadışı faaliyet sonucu oluşan asgari etki ve kayıpların 200 milyon dolar civarında olduğu raporlanmıştır. Bu büyük finansal yolsuzluğa ilişkin daha sonraki tahminler ise yasal ödemeler ve amortisman gideri gibi endirekt maliyetlerle birlikte 2 milyar dolara kadar yükselmiştir. Söz konusu kayıplar, şirketin bir hayat sigortası şubesinin kayıtlarında yeni poliçe düzenlemesi yapılmış gibi göstermek için tahrifat yapmasından kaynaklanan, bilgisayar destekli yolsuzluk sonucunda oluşmuştur. Poliçe düzenlemelerinin dışında alacaklar ve menkul kıymetler gibi diğer varlıklar da olduğundan farklı bir biçimde kayıtlara alınmıştır. Şirketin olağan yılsonu denetimlerinde, bu hayali varlıkların mevcut olmadığının ortaya çıkarılması gerekirken, bu durum tespit edilmemiştir. Bilgisayarların dosyaları manipüle etmek için kullanılması; denetim mesleğinde geleneksel ve elle uygulanan tekniklerin bilgisayar içeren denetimler için yeterli olmadığının anlaşılmasını sağlamıştır. 44 EFCA‘da meydana gelen olaylar sonucunda, Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (American Institute of Certified Public Accountants – AICPA) 1973 yılında, mevcut denetim standartlarının yeterliliğini incelemek üzere 43 Gallegos, F. Senft, S., Manson, D.P., Gonzales, C., Audit and Control of Information Systems, Thomson Corporation-South-Western Publishers, Cincinnati, OH, 1987, s.36. 44 Ibid, s.37
  • 46. 36 özel bir komite oluşturmuştur. Komiteye uygulanan belirli prosedürleri ve onaylanan genel standartları değerlendirme görevi verilmiştir. Komite 1975 yılında tespitlerini yayımlamıştır. Denetim standartlarına yönelik başka bir eleştirel inceleme de 1974 yılında AICPA bu alanı kapsayan ilk standartlarını oluşturduğunda başlatılmıştır. Ancak tüm bu incelemelerden yaklaşık 29 yıl sonra 2002‘de Enron-Arthur Andersen fiyaskosu herkesi tekrar 1973 yılına döndürmüştür. 45 21. yüzyılın başında; Enron, Global Crossing ve diğer benzer skandallar sonucunda ―gerekli mesleki özen‖ sorunu denetim camiasının ilk sıradaki konusu olmuştur. 1973‘teki EFCA skandalı sigortacılık sektöründe ve yaratıcı muhasebe (corporate creative accounting) konusunda da havacılık ve uzay sanayinde katı eyalet ve devlet düzenlemeleri oluşturulmasına yol açmıştır. Bu şekilde 2002 yılında çıkarılan Sarbanes-Oxley Kanunu da gerekli mesleki özenin öneminin altını çizmiştir. Bu kanun, 1934‘teki Securities and Exchange Commission – SEC Kanunu‘ndan ve 1977‘deki FCAP‘den sonra ABD Kongresi‘nin iş dünyasına dayattığı en büyük değişiklikleri içeren temel bir reform paketidir. Kanun gelecekte olabilecek skandalları engellemeye ve yatırımcıların güvenini korumaya çalışmaktadır. Bu kanunla birlikte halka açık işletmelerin muhasebe gözetimini yapan bir kurul (public- company-accounting-oversight board) oluşturulmuş, denetçilerin bağımsızlık kuralları ve kurumsal yönetim standartları (corporate governance standards) yeniden gözden geçirilip düzeltilmiş, SEC Kanunu‘na aykırılıklara karşı cezalar belirgin bir şekilde artırılmış ve ağırlaştırılmıştır. 46 45 Ibid, s.37. 46 Gallegos, ve diğerleri, Information Technology Control and Audit, 2004, s.11.
  • 47. 37 Daha da önemlisi 2002 yılında ortaya çıkan yolsuzluklar ile kamuoyunun ilgisi finansal raporlamaya odaklanmıştır. Global Crossing, Adelphia ve Tyco gibi işletmelerdeki yolsuzluk/hile ve yanlış finansal raporlama sadece bir başlangıç olmuştur. Enron ve WorldCom şirketlerinin batışında ortaya çıkan milyarlarca dolarlık hileli raporlama ise finans çevrelerini allak bullak etmiştir. Bu yolsuzluklar ve bunları takip eden diğer olaylar ile yatırımcılar, emekliler ve vergi ödeyenler dahil kamuoyunun ABD Kongresine yaptığı baskı sonucunda; Sarbanes-Oxley Kanunu 30 Temmuz 2002‘de onaylanmıştır. Bu kanun kurumsal yönetimi, mali sorumluluğu, denetim kalitesini geliştirerek sermaye piyasalarındaki kamu güvenini artırma çabalarına katkıda bulunmuştur. Kanun işlem kontrolleri (operational controls) yerine finansal kontrollere daha fazla ağırlık verilmesine neden olmuştur. Böylece iç denetim yönetim açısından çok daha önemli bir kaynak olmuş ve bilgi teknolojileri denetçilerinin iş alanı genişlemiştir. Kurumsal yönetim açısından da denetim komitelerinin rolü ve bağımsızlığı üzerine eğilinmesi gereken bir konu olmuştur. 47 EFCA‘nın iflası sonucunda AICPA Komitesine denetim standartlarının yeniden incelenmesi görevi verilmiştir. Komite inceleme sonucunda genel kabul görmüş denetim standartlarının yeterli olduğunu ve denetçiler tarafından yaygın olarak kullanılan prosedürlerde değişiklik yapılmasına gerek olmadığını belirtmiştir. 48 Buna karşın Sarbanes-Oxley Kanunu‘nun denetim alanında çarpıcı etkileri olmuştur. Kısım 404 – İç Kontrolde Yönetim Görüşü‘ne (Section 404 – Management Assessment of 47 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.14 48 Gallegos ve diğerleri., Information Technology Control and Audit, 2004, s.81.
  • 48. 38 Internal Controls of the Act) göre şirketler aşağıdakileri yerine getirmekle yükümlü kılınmıştır: 49  Finansal raporlamada yeterli bir iç kontrol yapısı ve prosedürleri oluşturmak ve bunu korumak için yönetimin sorumluluğunu belirlemek.  Finansal raporlama için iç kontrol yapısı ve prosedürlerinin etkisini değerlendirmek. Bu yükümlülükler iç denetçiler ve bilgi teknolojileri denetçileri üzerinde büyük etkiye sahip olmaktadır. Söz konusu denetçiler işlerini yapmanın yanı sıra Sarbanes- Oxley Kanununun öngördüğü üzere yönetim raporu için de iç kontrolleri değerlendirip raporlamak durumundadır. 50 Ne zaman bir denetim süreci çökse, bilgisayarda oluşturulan kayıtlara dayalı finansal tabloların incelenmesinde yeni denetim standartları öngörülmektedir. Genel olarak alan çalışmasına ilişkin standartlar, elle oluşturulan kayıtlara uygulananlarla aynıdır. Ayrıca yeterli iç kontrolün temel öğeleri de aynı kalmaktadır. Sonuç olarak iç kontrolün incelenmesi ve değerlendirilmesindeki temel amaç halen, bir görüş için kanıt sağlamak ve gelecekteki denetim testlerine yönelik kapsam, zamanlama ve içerik belirlemektir. 51 Bilgisayar tabanlı finansal raporlama sistemleri var olduğu sürece, yeni denetim prosedürleri sürekli olarak oluşturulmalı ve geliştirilmelidir. Hesaplamalar, kayıt 49 Ibid, s.46. 50 Ibid, s.48 51 Ibid, s.42.
  • 49. 39 ekleme veya silmeler, işlemlerin yetki tasdiki; işlem akışıyla birlikte bilgisayar üzerinden yapılmalıdır. Bu şekilde bilgisayar tabanlı süreçlerde uygun iç kontrol tekniklerini sürdürmekte belirgin değişiklikler tespit edilebilmektedir. Ayrıca, iç kontrol incelemesi ve değerlendirmesinde de farklı tarzlar olabilir. Kişilerin iç muhasebe kontrolünün bazı safhalarından çıkarılması ve bilgisayar tabanlı onaylama süreci ve prosedürlerine güvenilmesi temel bir değişiklik olarak sayılabilir.52 Eğer bir işletme gerçek bir denetim fonksiyonu oluşturmak istiyorsa, denetimde bağımsızlık, işletmeye değer katacak çok kritik bir bileşendir. Eğer denetim sürecinin bütünlüğünün işletmenin hedef ve amaçlarına katkı sağlaması bekleniyorsa, denetim raporu ve görüşü önyargılardan ve herhangi bir etkiden uzak olmalıdır. Birçok mesleki örgüt (AICPA, the Institude of Internal Auditors-IIA, the Information Systems Audit and Control Association-ISACA (önceden EDP Auditors Association), Association of Government Accounts-AGA, vb.) bu konuya çok net bir şekilde değinmiştir. 53 2002 yılında çıkan Sarbanes-Oxley Kanunu ile denetim firmalarına denetim hizmeti ile eş zamanlı olarak denetledikleri müşterilere iç denetim, finansal bilgi sistemi tasarımı ve uygulama gibi hizmetleri vermeleri yasaklanmıştır. Hizmet kapsamındaki bu sınırlamalar, SEC‘in mevcut bağımsızlık düzenlemelerinin bile ötesine geçmiştir. Ayrıca, vergi hizmetleri dahil diğer tüm hizmetlere sadece müşterinin (issuer) denetim komitesinin ön onay vermesi (firmanın bu şekildeki tüm onayları SEC‘ye verilen dönemlik raporlarında açıklanmak zorundadır) durumunda izin 52 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.77. 53 Ibid, s.55.
  • 50. 40 verilebilmektedir. 54 Sarbanes-Oxley Kanunu denetçi rotasyonunu da (denetim firması değil) zorunlu kılmaktadır. Buna göre, işin başındaki denetim ortağı geçmiş beş mali yılda müşteriye denetim hizmeti vermişse, anlaşmayı başkasına devretmek zorundadır. 55 2.4.2. Denetim Standartları AICPA‘nın (Amerikalı Sertifikalı Kamu Muhasebecileri Kurumu) çıkardığı SAS, kamu muhasebecileri (Certified Public Accountant-CPA) için hazırlanmış mesleki standartlardır. Bu standartlar genel kabul görmüş denetim standartlarının (GAAS) açıklaması şeklindedir. AICPA üyelerine bu standartlara bağlı kalmalarını veya ayrılıklar olduğunda da yaptıklarının doğruluğunu kanıtlamaya hazır olmalarını bildirmektedir. 56 Muhasebe mesleği bilgi teknolojileri sistemlerinde iç kontrol konusunu, resmi olarak 1974 yılında AICPA‘nın SAS 3 ―Denetçinin Çalışmasında ve İç Kontrolün Değerlendirilmesinde Elektronik Veri İşlemenin (Electronic Data Processing-EDP) Etkisi‖ni yayımlamasıyla ele almıştır. SAS 3 bilgisayar sistemi kullanarak ciddi boyutta kayıt oluşturan müşterilerin iç kontrol değerlendirmesi ile ilgilidir. Bilgisayar tabanlı finansal sistemlerdeki artış ile birlikte denetçilerin finansal tabloların denetiminde iç kontrol konularından fazlasını ele alması ihtiyacı doğmuştur. Bu nedenle, 1984 yılında AICPA SAS 3‘ün yerine SAS 48 ―Finansal Tabloların 54 Ibid, s.59 55 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.82 56 Ibid, s.85
  • 51. 41 İncelenmesinde Bilgisayar İşlemlerinin Etkisi‖ni yayımlamıştır. SAS 48, denetçilerin sadece iç kontrollerin değerlendirilmesinde değil tüm denetim sürecinde bilgisayar işlemlerinin etkilerini dikkate almalarını öngörmektedir. Finansal sistemlerde bilgisayar tabanlı işlem kullanımının artışı ile birlikte, SAS 48 de senkronize denetim uygulaması sağlamak için tüm SAS‘ları düzeltmektedir. 57 SAS 48, bilgisayarlı muhasebe uygulamaları kullanan işletmelerin finansal tablolarının incelenmesinde gerekli denetim prosedürleri için temel kavramsal çerçeve sağlamaktadır. Tebliğ, bir denetçinin aşina olması gereken temel prosedürleri ve ilgi alanlarını bildirmektedir. Tebliğ genel olarak aşağıdaki konuları içermektedir 58 : • Denetimin aşağıdakilerden nasıl etkilendiği:  Her önemli muhasebe uygulamasında bilgisayar kullanımının kapsamı  İşletmenin bilgisayar işlemlerinin karmaşıklığı  Bilgi teknolojileri faaliyetlerinin organizasyonel yapısı  Denetim için verilerin mevcudiyeti  Denetim prosedürlerinin verimliliğini artırmak için bilgisayar destekli denetim tekniklerinin kullanılması (AU Sec. 311.09) • BT konusunda uzmanlaşmış denetçilere duyulan ihtiyaç (AU Sec. 311.10) • Bir işletmenin önemli verilerin işlenmesinde kullandığı yöntemlere uygulanan iç kontrol prosedürlerinin etkisi • Elle yapma ve bilgisayar kullanarak yapmayı birbirinden ayıran özellikler: 57 Ibid, s.84. 58 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.76.
  • 52. 42  İşlem yollarının kısaltılmış ömrü (Abbreviated life of transaction trails)  İşlemlerde daha çok tekdüzelik (bu işlem hatalarını azaltır ancak programlama hatalarının hassasiyetini artırır)  Birbirine zıt fonksiyonların yoğunlaşması için potansiyel  Sistem ve dosyalara yetkisiz giriş yapma kolaylığına bağlı olarak hata ve usulsüzlüklerin artma olasılığı  Artırılmış yönetim denetimi potansiyeli  İşleyen fonksiyonların otomatik kabulü  Elle ve otomatik kontrollerin birbirine bağlı olması (AU Sec. 320.33). • Kontrol prosedürlerinin birbirine bağlılığı (AU Sec. 320.57) • Genel ve uygulama kontrollerinin yeterliliği. Genel kontroller, sistem geliştirme üstündeki kontrol gibi birkaç tane bilgisayar tabanlı faaliyetle ilişkilidir. Uygulama kontrolleri ise uygulamaya özgü kontrollerdir. (AU Sec. 320.58) • Programlanmış kontrollerin çalışma güvenilirliği için makul güvence elde etme ihtiyacı (AU Sec. 320.65-66) • Kanıt toplama yöntemlerinin çeşitliliği karşısında denetim amaçlarının değişmez yapısı (AU Sec. 326.12) SAS 48 bilgisayar tabanlı finansal sistemlerin denetimi konusunda AICPA‘nın mevcut duruşunu göstermektedir. Buna ek olarak aşağıdaki destekleyici SAS‘ler de yayımlanmıştır:
  • 53. 43 • SAS 55, Bir Finansal Tabloda İç Kontrol Yapısının İncelenmesi, 1988 • SAS 78, Finansal Tablolarda Hilenin İncelenmesi, 1996 • SAS 94, Finansal Tablo Denetiminde Denetçinin İç Kontrol İncelemesinde Bilgi Teknolojilerinin Etkisi, 2001 • SAS 99, Bir Finansal Tabloda Hile İncelemesi, 2002 Birkaç tane SAS de genel olarak bilgi teknolojileri denetiminde uygulanmaktadır. Örneğin SAS 16 (AU Sec. 327) Hataların ve Usulsüzlüklerin Ortaya Çıkarılmasında Bağımsız Denetçinin Sorumluluğu standardı genel bir yapıdadır ve hem manuel hem de bilgisayarlı sistemlere uygulanmaktadır. Standart muhasebe sisteminde hataların ve usulsüzlüklerin tespit edilmesinde denetçinin sorumluluğunu açıklamaktadır. 59 Standartta denetçinin sorumluluğuna ilişkin aşağıdaki ifadeler yer almaktadır: “...Genel Kabul Görmüş Denetim Standartlarına göre bağımsız denetçinin finansal tabloları önemli ölçüde etkileyecek hataları ve usulsüzlükleri, denetim sürecinin doğal sınırlamaları içerisinde, araştırma ve incelemenin yürütülmesinde gerekli beceri ve özeni gösterme sorumluluğu bulunmaktadır.... Denetçi bir sigortacı veya garantör değildir; incelemesini Genel Kabul Görmüş Denetim Standartlarına göre yapmışsa, mesleki sorumluluğunu yerine getirmiş olmaktadır.” Geliştirilen diğer AICPA standartları, denetim sürecini ve finansal tabloları etkileyen teknoloji değişikliklerini belirtmektedir. Örneğin, 2001 yılında yayınlanan SAS 94, bilgi teknolojileri sistemlerindeki iç kontrolleri değerlendirmede uygun türde 59 Ibid, s.90.
  • 54. 44 değerleme araçları kullanılması konusunda denetçilere yol göstermek üzere yayımlanmıştır. Söz konusu denetim standardı, bilgisayar destekli denetim tekniklerinin belli bilgi teknolojileri ortamlarında belli bilgi teknolojileri kontrol türlerini test etmesi gerektiğini belirtmektedir. Daha önemlisi, SAS 48, 55 ve 78 konu ile ilgili ve bilgisayar tabanlı denetimlerde uygulanan temel standartlardır. Buna karşın, bu standartları kullanan denetçilerin büyük bir kısmı, kontrol riskini maksimum olarak değerlendirse de, sadece hesap bakiyelerine ve işlemlerine bağımsız testler uygulayarak finansal tablo beyanlarına kanıt toplamaktadır. SAS 94, bu tip eski yaklaşımların karmaşık bilgi teknolojileri ortamları için pek uygun olmadığını belirtmektedir. 60 Diğer standart düzenleyici kuruluşlar da kılavuz ilkeler yayımlamıştır. Örneğin IIA (İç Denetçiler Enstitüsü-The Institute of Internal Auditors), ISACA (Bilgi Sistemleri Denetimi ve Kontrolü Birliği-Information Systems Audit and Control Association) ve GAO (Devlet Hesap Bürosu-Government Accountability Office) denetimle ilgili kılavuzlar oluşturmakta aktif rol oynamışlardır. Standart geliştirme alanında diğer bir önemli kuruluş da Amerika Ticaret Departmanının bir birimi olan NIST‘dir (Standartlar ve Teknoloji Ulusal Enstitüsü-National Institute of Standards and Technology). NIST, FIPS‘leri (Federal Bilgi İşleme Standartları-Federal Information Processing Standards) yayımlamıştır. FIPS bilgisayar güvenliği ve bununla ilgili yayınlara odaklanmaktadır. 61 60 Gallegos ve diğerleri, 2004, s.92. 61 Ibid, s.93.
  • 55. 45 FIPS standartları muhasebe mesleği tarafından genel kabul görmüş muhasebe standartları olarak benimsenmiş olmasa da, AICPA‘da belirtilmeyen bazı konularda değerli kılavuz ilkeler sunmaktadır. Ayrıca, federal hükümete bir sözleşme çerçevesinde hizmet veya destek veren firmaların eşdeğerde standartlara uyumu mevcut değilse, FIPS‘e uymaları gerekmektedir. 62 IIA ve ISACA gibi mesleki kurumlar ve bunlara bağlı kuruluşlar ise kendi mesleki kılavuzlarını yayımlamışlardır. IIA 1978 yılında, İç Denetim Mesleki Uygulamaları İçin Standartları (Standards for the Professional Practice of Internal Auditing) ve arkasından İç Denetim Standartları Bildirgesini (Statements on Internal Auditing Standards -SIAS-) yayımlamıştır. Daha sonra İç Denetim Standartları Bildirgesi, Performans ve Niteliklere İlişkin Standartlar (Standards Related to Performance and Attributes) olarak değiştirilmiştir. IIA, iç denetçilere bilgi sistemleri ve bilgi teknolojileri kontrol ve denetimlerinde destek olmak amacıyla 1991‘de Sistem Denetlenebilirliği ve Kontrol (Systems Auditability and Control -SAC-) adında bir kılavuz yayımlamıştır. Söz konusu kılavuz, 1994 yılında düzeltilerek yeniden yayımlamıştır. 63 ISACA ise 1984 yılında Elektronik Veri İşleme Kontrol Amaçları (Electronic Data Processing-EDP Control Objectives — Update 1984) adı ile bir elektronik veri işleme (EDP) kontrol standartları seti yayımlamıştır. Bu standartlar seti 1975‘te yayımlanan Kontrol Amaçları‘nın yerini almak üzere yayımlanmıştır. Zaman içerisinde dört tane güncelleme seti oluşturulmuştur. Son olarak, Bilgi Sistemleri 62 Cangemi, 2003, s.56 63 Gallegous ve diğerleri, Audit and Control of Information Systems, 1987, s.75.
  • 56. 46 Denetimi ve Kontrol Kuruluşu (Information Systems Audit and Control Foundation) Bilgi ve İlgili Teknolojilerde Kontrol Amaçları‘nı (Control Objectives for Information and Related Technology - COBIT) yayımlamıştır. COBIT iş sahiplerinin kendi kontrol sorumluluklarını etkin ve etkili bir biçimde yerine getirmeleri için bir araç sağlayan kavramsal çerçevedir.64 Sarbanes-Oxley Kanunu öncesinde SEC çalışanları da Enron Skandalına kadar iç denetçinin rolünün önemine hep vurgu yapmışlardır. 2002 yılında, Sarbanes-Oxley Kanunu ile federal hükümet özel sektördeki iç denetçiler için bir takım standartlar yayımlamıştır. Yeterli bir kontrol sistemi planlama ve sürdürme bir işletme için çok önemlidir. Bu göz önüne alındığında, Sarbanes-Oxley Kanunu, SEC‘nin iç denetçilere iç kontrol incelemesi yaptırmasındaki konumuna büyük destek sağlamaktadır. Sarbanes-Oxley Kanunundan 10 yıl önce, COSO (the Committee of Sponsoring Organizations of the Treadway Commission) ―İç Kontrol-Entegre Kavramsal Çerçeve (Internal Control–Integrated Framework)‖ raporunu yayımlamıştır. Söz konusu rapor, yönetimlere kontrol sistemlerini nasıl değerlendirecekleri, geliştirecekleri ve raporlama yapacakları konularında önerilerde bulunmaktadır. 1989 ve 1999 yılları arasında COSO, SEC ile birlikte 300 hile vakasından 200 tanesi ile ilgili çalışmayı tamamlamıştır. Çalışma finansal hile vakalarının %83‘ünde bazen tek olarak bazen de birlikte CEO ve CFO‘ların olaya karıştığını saptamıştır. 65 64 Gallegos ve diğerleri., Information Technology Control and Audit, 2004, s.63. 65 Cangemi, 2003, s.74.
  • 57. 47 GAO‘nun yayımladığı denetim standartlarına aykırılıkların belirlenmesi, işletmelerin iç kontrol fonksiyonlarının değerlendirilmesinin bir yöntemidir. GAO tarafından yayımlanan ―Sarı Kitap (Yellow Book)‖ veya ―Devlet Denetim Standartları (Government Auditing Standards‖ federal işletmelerin, programların, faaliyetlerin ve fonların; kar amacı gütmeyen işletmelerin ve diğer dış işletmelerin denetimlerinde kullanmak zorunda oldukları standartlardır. Ayrıca, GAO yayımladığı standartlara ek olarak, raporlarda bilgisayar tabanlı bilginin kullanılması konusunda da bir denetçi rehberi yayımlamıştır.66 Söz konusu standartlar denetim çalışmasının kapsamı ve kalitesi ile denetim raporunun profesyonelliği ve anlamlılığını belirlemektedir. Standartlarda yer alan genişletilmiş denetim; finans ve uygunluk, ekonomi ve verimlilik, program sonuçları olmak üzere üç bölümden oluşmaktadır. Ayrıca, federal mevzuat federal birimlerdeki müfettişlerin de bu standartlara uymasını öngörmektedir. 67 Bilgi teknolojileri denetimi, denetim ve kontrol amaçlarına bilgisayarın rolünün değerlendirmesini de eklemektedir. Bilgi teknolojileri denetiminin güvence sunma biçimi; veri ve bilgilerin güvenilir, gizli, emniyette ve ihtiyaç duyulduğunda elde edilebilir olduğunun ispatlanması anlamına gelmektedir. Geleneksel finansal denetimin amaçları, bilgi teknolojileri denetiminde de geçerliliğini korumaktadır. Bu amaçlar, varlıklar ve verilerin entegrasyonunu korumak gibi kanıtlama amaçları ile operasyonel verimlilik gibi yönetim amaçlarını da içermektedir. 66 Gallegos ve diğerleri, Information Technology Control and Audit, 2004, s.32. 67 Gallegos ve diğerleri, Audit and Control of Information Systems, 1987, s.43.
  • 58. 48 2.5. Bilgi Sistemleri Risk Değerlendirmesi Güçlü kontrollerin varlığı sonucunda, verilerin bilgisayar tabanlı sisteme doğru bir biçimde girişi ve burada tam olarak işlenmesi denetçilerin daha fazla güven hissetmelerini sağlamakta ve daha az bağımsız test uygulamalarına neden olmaktadır. Diğer taraftan, veri girişi ve işlenmesinde zayıf olan bir bilgisayar tabanlı sistem ise finansal işlemlerde daha detaylı testlerin yapılması sonucunu doğurmaktadır.68 Bilgi sistemleri kontrol prosedürlerinin incelenmesinde bir bağımsız denetçinin temel amacı, finansal raporlarda sunulan muhasebe verilerinin entegrasyonunun (bütünlüğünün) taşıdığı riskleri (herhangi bir kontrol zayıflığı ile ilgili) değerlendirmektir. Kontrollerin güçlü ve zayıf yönleri denetimin kapsamının belirlenmesinde etkili olmaktadır. Bağımsız denetçilerin incelemelerindeki ikinci derecedeki amaç ise, söz konusu kontrollerin geliştirilmesinde yöneticilere önerilerde bulunmaktır. Bu ikinci derecedeki amaç, aynı zamanda iç denetçilerinde amaçlarından biridir. Risk tabanlı denetim yaklaşımı çerçevesinde, bir işletmenin iç kontrol prosedürleri değerlendirilirken, aşağıda sayılan dört adım, işletmenin muhasebe bilgi sistemlerinin risk tabanlı denetimi için mantıklı bir kavramsal çerçeve sunmaktadır: 68 Pinto, J.; Millet, I., Successful Systems Implementation, Second Edition, 1999, s.74.
  • 59. 49 1. MBS‘nin karşılaştığı tehditleri (ör.hatalar ve düzensizlikler) belirlemek. 2. Herbir tehditi minimize etmek için olması gereken kontrol prosedürlerini belirlemek ve böylece hataları ve düzensizlikleri bulmak veya önlemek. 3. MBS‘de yer alan kontrol prosedürlerini değerlendirmek. Sistem dokümantasyonunun incelenmesi süreci ve gerekli kontrol prosedürlerinin olup olmadığını belirlemekte ilgili personelle görüşmeler yapmak. Bunlara ek olarak, denetçiler kontrol prosedürlerinin tatmin edici bir şekilde uygulanıp uygulanmadığına karar vermek için kontrollere ilişkin testleri yapmaktadır. Söz konusu testler; sistem faaliyetlerini gözlemlemek; belge, kayıt ve raporların denetlenmesi; sistem girdi ve çıktılarından örneklerin kontrol edilmesi; sistemde işlemlerin izlenmesi gibi uygulamaları içermektedir. 4. Denetim prosedürlerinin içeriğini, süresini, kapsamını belirlemek için MBS‘deki zayıflıkları (Ör: kontrol prosedürlerinin kapsamadığı hatalar ve düzensizlikler) değerlendirmek. Bu adım kontrol riskleri ve işletmenin kontrol sisteminin bütün olarak risklere açık olup olmadığına odaklanmaktadır. Eğer bir kontrol yetersizliği belirlenirse, denetçi bu yetersizliği telafi edecek kontroller veya prosedürler bulunup bulunmadığına karar vermelidir. MBS‘nin tek alanında kontrol zayıflıkları bulunması, diğer alanlarında bunları telafi edecek güçlü kontroller varsa kabul edilebilmektedir. Risk tabanlı denetim yaklaşımı, denetçinin bir işletmenin MBS alanında oluşabilecek hataları ve düzensizlikleri; işletmenin ilgili riskleri ve korunmasız alanlarını iyi bir biçimde anlamasını sağlamaktadır. Bu da, denetçinin işletme yönetimine MBS
  • 60. 50 kontrol sisteminin ne şekilde geliştirileceği hakkında öneriler oluşturmasına temel teşkil etmektedir. Bir iç kontrol prosedürünün çekiciliği, onun iş risklerini azaltma gücüne bağlıdır. Aslında, önemli olan iç kontrol sisteminden çok iş riskinin kendisidir. Örneğin, sel veya deprem gibi doğal afetler, işletmenin kesintisiz bir biçimde işini sürdürmesinde bir risk gibi görünmektedir. Bir afet kurtarma veya iş sürekliliği planı, böyle riskleri azaltmak için oluşturulan bir iç kontrol prosedürüdür. İş risklerine odaklanmak, sadece kesinlikle gerekli olan ve de maliyet esaslı kontrollerin geliştirilmesini sağlamaktadır. Bir denetçinin, belli bir iş riski için BT ile ilgli kontrollerin çekiciliğini değerlendirmesinde kullanılan bir yöntem de bilgi sistemleri risk saptamasıdır. Denetçilerin hile veya kasıtlı manipülasyon risklerine ek olarak, hatalar ve yanlışlıkların oluşturacağı riskleri de dikkate almaları gerekmektedir. Varlıklar, sadece kasıtlı hileler değil aynı zamanda yanlışlıklar karşısında da savunmasız olabilmektedir. Örneğin yanlış veri girişi, yanlış varlık değerlemesi sonucu finansal tabloların gerçeğe aykırı beyan edilmesine neden olabilmektedir. Bir bilgi sistemleri risk saptaması, hileleri dikkate aldığı kadar hata ve yanlışlıklarla ilgili riskleri de hesaba katmalıdır. İşletme sırlarının ifşa edilmesi, işletme dosyalarının izinsiz manipülasyonu ve bilgisayar girişinin aksatılması; BT ortamındaki tüm iş riskleridir. Maddi varlıkları değerlendirmek, bilgiye bir değer belirlemekten daha kolaydır; ancak bunun da bir
  • 61. 51 şekilde yapılması gerekmektedir. Denetçiler de zarar olasılığına karşı en iyi yargıyı ortaya koymalıdır. Koruma için tahmin edilen maliyetlerin, öngörülen zarardan az olduğu alanlar için denetçiler kontrol prosedürlerinin uygulanmasını önermektedir. Koruma maliyetlerinin beklenen zarardan fazla olduğu alanlarda ise, denetçiler belli kontrollerin kurulmasına karşı olabilmektedir. Bazı durumlarda işletmeler, penetration testi (giriş testi) yapmaları için etik hackerlar işe alarak bilgi sistemleri risklerini saptamaktadır. Bir BT denetçisi hacking tekniklerini kullandığı zaman amacı, riski değerlendirmek ve izinsiz girişlerden korunmak için kontroller tasarlamaktır. Bu tür etik hacking, penetration testi (giriş testi) olarak adlandırılmaktadır; çünkü burada denetçi kaynaklara veya hassas bilgilere ulaşmak için sisteme girmeye çalışmaktadır. 2.6. Bilgi Teknolojileri Kontrollerini Tasarlama Bilgi teknolojileri ile ilgili iç kontrolleri tasarlama ve değerlendirmede, bilgi teknolojileri denetçilerinin iki kılavuzu bulunmaktadır. IIA ilk olarak, Sistemlerin Denetlenebilirliği ve Kontrolü Raporu‘nu (Systems Auditability and Control - SAC- report) 1977 yılında yayınlamıştır. Bilgi teknolojilerindeki gelişmeler 1991 ve 1994 yıllarında düzeltilmiş baskıların yayınlanmasına neden olmuştur. 2001 yılında ise elektronik iş kontrollerinin değerlendirilmesi için bir kavramsal çerçeve sunan yeni bir model olan Elektronik Sistemler Güvence ve Kontrolü (Electronic Systems Assurance and Control -eSAC-) yayınlanmıştır. SAC raporu önemli bilgi
  • 62. 52 teknolojileri ve bu teknolojilere ilişkin riskleri belirlemektedir. Ayrıca, riskleri azaltmak için kontroller önermekte, bu kontrollerin varlığı ve etkinliğinin geçerliliğini denetleyecek denetim prosedürleri sunmaktadır. SAC raporu; riskleri, kontrolleri ve telekomünikasyon, son kullanıcı sistemleri, gelişen teknolojiler gibi birçok alan için denetim tekniklerini belirleyen başvuru ciltlerinden oluşan bir settir. 1994 yılında yayınlanan SAC raporu ile nesne teknolojisi (object technology), belge yönetimi ve multimedya (çoklu ortam) teknolojileri bölümleri eklenmiştir. Hem iç hem de bağımsız denetçiler, BT üzerindeki kontroller için ve bilgisayar tabanlı uygulamaların denetiminde rehber olarak SAC raporunu kullanmaktadır. 69 Bilgi Sistemleri Denetim ve Kontrol Kurumu (Information Systems Audit and Control Foundation), Bilgi ve Ġlgili Teknolojilerde Kontrol Hedefleri (Control Objectives for Information and Related Technology-COBIT-) paketini oluşturmuştur. Bu paket denetçilere, bilgi teknolojileri ortamına ilişkin iş risklerini saptama ve kontrolde rehber olmaktadır. COBIT 4. sürüm, kontrollerin etkinliğini değerlendirmedeki kontrol hedefleri ve denetim kurallarını içermektedir. Yöneticiler ve denetçiler bu paketi kullanarak, BT kaynakları ve işlemleri için maliyet etkili kontrol sistemleri tasarlayabilmektedir. COBIT paketi, BT kaynaklarının iş süreçlerine bilgi sağladığı yaklaşımını kabul etmektedir. Denetçilerin bir işletmenin bilgi gereksiniminin karşılandığından emin olmaları için; kontrolleri tanımlaması, uygulaması ve denetlemesi gerekmektedir. Bir işletmenin COBIT kullanımına ilişkin Sun Micrsosystems‘te yaşananlar örnek verilebilir: Sun Microsystems tüm dünyada donanım ve yazılım çözümleri sunmaktadır. İşletmenin bilgi teknolojileri 69 Ibid, s.34.
  • 63. 53 departmanı, bilgi teknolojilerinin stratejik değerini artırmak ve Sarbanes-Oxley kanunlarına uymak için, bilgi teknolojileri ile kurumsal strateji arasındaki ilişkiyi değerlendirmek ve ölçmekte COBIT‘i kullanmaya karar vermiştir. Sonuçta altı veri merkezi ve 600‘den fazla bilgi teknolojileri uygulaması olan bir bilgi teknolojileri işletmesinde, COBIT bir kontrol yapısı olarak başarıyla kullanılmıştır. Üst düzey bilgi teknolojileri yöneticileri, Sun Microsystems‘in bilgi teknolojileri süreçlerini ve faaliyetlerini COBIT için ayrıntılı olarak planlayan bir Sun BT/COBIT Faaliyet Listesi (Sun IT/COBIT Activities Listing) oluşturmuşlardır. (www.isaca.org) 2.7. Bilgi Teknolojileri Denetimi Araçları Denetçiler kendilerine denetimlerde yardımcı olması için bilgisayar destekli denetim teknikleri (computer-assisted auditing techniques -CAATs-) kullanabilmektedir. Aslında bir otomatikleştirilmiş muhasebe bilgi sisteminde, bilgisayar ile denetim (örneğin, bilgisayarı bir denetim aracı olarak kullanmak) zorunludur; çünkü veriler bilgisayar ortamında saklanmaktadır ve elle giriş mümkün değildir. Ancak bilgisayar ile denetim için, bilgisayar yoluyla muhasebe veri girişinin ötesinde birçok gerekçe bulunmaktadır. Bilgisayar ile denetimin en önemli nedenlerinden biri, bilgisayar tabanlı muhasebe bilgi sistemlerinin hızla artan bir şekilde karmaşıklaşmasıdır. Ayrıca CAAT de zaman kazandırmaktadır. Sayfalarca hesap tablosunu veya çizelgeleri bilgisayar
  • 64. 54 kullanmadan kontrol etmek veya mutabakat için örneklem müşteri hesapları verilerini elle seçmek düşünüldüğünde bile durum rahatlıkla anlaşılmaktadır. Denetçilerin bilgisayarla denetimde kullanmaları için çok sayıda yazılım bulunmaktadır. Bunlara örnek olarak kelime işleme programları, hesap çizelgesi yazılımları ve veri tabanı yönetimi sistemleri gibi genel kullanım yazılımları (general-use software) sayılabilmektedir. Diğer yazılımlar ise daha belirli bir biçimde denetçi görevlerine yöneliktir. Bunlara örnek olarak da genelleştirilmiş denetim yazılımı (generalized audit software -GAS-) ve otomatik çalışma kağıdı yazılımı (automated workpaper software) gösterilmektedir. Denetçiler genel kullanım yazılımlarını işlerini geliştirebilecek üretkenlik araçları olarak görmektedirler. Örneğin kelime işleme programları, rapor yazarken etkililiği artırmaktadır; çünkü yüklenmiş yazım kontrolü, belirgin bir biçimde yazım hatalarını azaltabilmektedir. Etkililiği geliştirmeye bir başka örnek de genel kullanım yazılımlarında bulunan e-posta birleştirme (mail-merge) özelliğidir. Bir denetçi kelime işleme programı kullanarak müşterilere mutabakat mektubu yazabilmekte ve bunları bir adres dosyası ile birleştirerek, herbir mektubun kişiye özel olarak hazırlanmasını sağlayabilmektedir. Hesap çizelgesi yazılımları ise hem muhasebecilerin hem de denetçilerin karmaşık hesaplamaları otomatik olarak yapmalarını sağlamaktadır. Bu yazılımlar ayrıca kullanıcıların bir rakam değiştirdikten sonra, sadece bir tıkla tüm ilgili rakamlarda güncelleme yapmasına da olanak vermektedir. Elektronik hesap çizelgeleri,
  • 65. 55 muhasebeciler ve denetçiler tarafından en çok faiz ve amortisman hesaplamaları gibi matematiksel hesaplamalarda kullanılmaktadır. Hesap çizelgesi yazılımları, oran hesaplamaları gibi analitik prosedürlerin uygulanmasında da kullanılmaktadır. Hesap çizelgelerinde bulunan veriler için farklı sunum şekillerinin olması da, yönetim kararlarının alınmasında ve diğer yönetim fonksiyonlarında bu verilerin kullanımına katkıda bulunmaktadır. Muhasebeciler ve denetçiler, hesap çizelgesi yazılımlarında olan bir takım fonksiyonları uygulamak için bir veritabanı yönetim sistemi (database management system -DBMS-) de kullanmaktadır. Örneğin DBMS‘ler veri sınıflandırmakta ve bazı matematiksel hesaplamalar yapabilmektedir. Ancak, DBMS‘ler büyük gruplar halindeki verileri oldukça kolay yollarla işleme kabiliyetlerinden dolayı hesap çizelgesi yazılımlarından farklılık göstermektedir. Genel bir kural olarak muhasebeciler ve denetçiler; hesap çizelgesi yazılımlarını küçük gruplar halindeki verilerle karmaşık hesaplamalar yaparken, DBMS‘leri de büyük gruplar halindeki verileri sınıflandırma yapmak gibi basit işlemler veya hesaplamalar yaparken kullanmaktadırlar. Bir DBMS neredeyse tüm organizasyonel muhasebe sistemlerini kotrol etmektedir. Denetçi, müşteri işletmenin verileri üzerinde çalışmak için (for manipulation purposes) alt gruplar seçebilir. Bu müşterinin bilgisayar sisteminde yapılabileceği gibi veriler yüklendikten sonra da denetçinin bilgisayarında yapılabilmektedir. Popüler bir veri işleme dili (data manipulation language) olan Structured Query Language (SQL), veri erişimi ve işlenmesinde değerli bir araçtır. Denetçiler SQL‘yi,
  • 66. 56 müşteri verilerine erişmek ve bu verileri denetim amaçlarına göre birçok farklı şekilde görüntülemek için kullanmaktadır. Örnek olarak, bir denetçi SELECT komutunu, minimum tutarlılar gibi belli bir kriterdeki stok kalemlerine erişmek için kullanabilmektedir. SQL‘nin diğer veri işleme becerileri ise: - belli bir kriterle eşleşen kayıtları seçmek, - belirlenen kritere göre bir dosyadan kayıtlar silmek, - tüm veya alt gruplardaki verilere göre kişiye özel raporlar oluşturmak, - ardışık sıraya göre dosya kayıtlarını yeniden düzenlemek. GenelleĢtirilmiĢ denetim yazılımı (generalized audit software -GAS-) paketleri veya programları, denetçilerin sürekli olarak işlem programlarını tekrar yazmadan bilgisayar dosyalarına erişimini sağlamaktadır. Büyük CPA (Certified Public Accountant) işletmeleri, bu paketlerin bazılarını kendileri geliştirmiştir. Birçok başka program da çeşitli yazılımcılardan temin edilebilmektedir. GAS paketleri; mikro bilgisayarlarda, mini bilgisayarlarda veya anabilgisayarlarda kullanılmak için uygundur. GAS programları, hesap çizelgesi veya DBMS yazılımlarının yapabileceği temel veri işleme görevlerini de yapabilecek kapasitededir. Bu görevler; matematiksel hesaplamaları, karşılıklı kontrol, kategorilere ayırma, özetleme, birleşme dosyaları, kayıtları sınıflandırma, istatistiki örnekleme ve raporların yazdırılmasını içermektedir. Diğer yazılımlara göre GAS paketlerinin avantajı, bu programların özellikle denetçi görevlerine uygun olarak oluşturulmasıdır. Denetçiler GAS programlarını; alıcılar, stoklar ve satıcılar gibi birçok uygulama alanında farklı şekillerde kullanabilirler.70 70 Sayana, S.A., Using CAATs to Support IS Audit, IS Control Journal, Vol.1, 2003, s.21.