Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
1
GTAG®
Global Teknoloji Denetim Rehberi
UMUÇ – Uygulama Rehberi
UYGULAMA
KONTROLLERİNİN
DENETİMİ
IIA – Uluslararası İç Denetçiler
Enstitüsü
Global Teknoloji Denetim Rehberi
2
(GTAG) 8
Uygulama Kontrollerinin Denetimi
Yazarlar
Christine Bellino, Jefforson Wells
Steve Hunt, Crowe Horwath LLP
Orijinal Basım Tarihi: Temmuz 2007
Uluslararası Mesleki Uygulama Çerçevesi’ne (UMUÇ) uygunluk açısından revize edilmiştir, Ocak 2009
Telif Hakkı © 2007, Uluslararası İç Denetçiler Enstitüsü (IIA), 247 Maitland Ave., Altamonte Springs, FL 32701-4201 ABD’ye aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde
basılmıştır. Yayımcının ön yazılı izni alınmadan, bu dokümanın hiçbir bölümü çoğaltılamaz, herhangi bir bilgi depolama ve erişim sisteminde saklanamaz ya da hiçbir formatta ve hiçbir kanal yoluyla –
elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktarılamaz.
IIA, bu dokümanı bilgi vermek ve eğitim amacıyla yayımlamaktadır. Bu doküman, bilgi sağlamayı amaçlamaktadır; ancak hukuk veya muhasebe konularında bir tavsiye yerine kullanılamaz. IIA böyle
bir tavsiyede bulunmaz ve bu dokümanı yayımlamakla, muhasebeyle ilgili veya hukuki sonuçlara yönelik varılan sonuçların doğruluğu hakkında herhangi bir garanti vermez. Hukuk veya muhasebe
konularında sorunlar ortaya çıktığı takdirde, profesyonel yardıma başvurulmalıdır.
3
İÇİNDEKİLER TABLOSU
1. Yönetici Özeti ………………………………………………………………………………………..4
2. Giriş…………………………………………………………………………………………………..6
Uygulama Kontrollerinin Tanımı………………………………………………………………6
Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri……………………………………….7
Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan BT Ortamları………………………...8
Uygulama Kontrollerine Güvenmenin Faydaları………………………………………………9
İç Denetçilerin Rolü…………………………………………………………………………...11
3. Risk Değerlendirmesi……………………………………………………………………………….14
Risk Değerlendirmesi………………………………………………………………………….14
Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı…………………………………………15
4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi……………………………………..17
İş Süreci Yöntemi……………………………………………………………………………..17
Tekli Uygulama Yöntemi……………………………………………………………………..17
Erişim Kontrolleri……………………………………………………………………………..18
5. Uygulama İnceleme Yaklaşımları ve Diğer Mülahazalar…………………………………………...19
Planlama……………………………………………………………………………………….19
Uzman Denetim Kaynaklarına Olan İhtiyaç…………………………………………………..20
İş Süreci Metodu………………………………………………………………………………20
Dokümantasyon Teknikleri……………………………………………………………………22
Test Etme……………………………………………………………………………………...24
Bilgisayar-Destekli Denetim Teknikleri………………………………………………………25
6. Ekler…………………………………………………………………………………………………31
Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler…………………………………….31
Ek-B: Örnek Denetim Programı………………………………………………………………39
7. Sözlük……………………………………………………………………………………………….40
8. Referanslar…………………………………………………………………………………………..41
9. Yazarlar Hakkında…………………………………………………………………………………..42
4
1. YÖNETİCİ ÖZETİ
Son birkaç yıldır dünyanın dört bir tarafındaki kurumlar, 2000 Yılı Uyum Çalışması gibi
taktiksel hedeflerden, piyasada bir şirketi diğerinden farklı kılmayı sağlayacak bir unsur
olarak teknolojiyi kullanmak gibi stratejik hedeflere kadar çeşitli farklı nedenlerden dolayı
yeni iş uygulamaları sistemleri kurmak veya bu sistemleri yükseltmek için milyarlarca dolar
harcamışlardır. Uygulama veya uygulama sistemi, kullanıcıların doğrudan doğruya bir
bilgisayarın yetenek ve kapasitesini kullanarak görevleri yapmasını sağlayan bir tür
yazılımdır. Uluslararası İç Denetçiler Enstitüsü’nün (IIA) yayımladığı GTAG-4:BT
Denetiminin Yönetimi dokümanına göre bu sistem türleri ya hareket uygulamaları ya da
destek uygulamaları olarak sınıflandırılabilir.
Hareket uygulamaları, kurum çapındaki verileri:
Ticari işlemlerin değerini borç ya da alacak kalemi olarak kaydetmek;
Finansal, operasyonel ve düzenleyici veriler için havuz işlevini görmek;
Satış emirleri, müşteri faturaları, satıcı faturaları ve günlük defter girişlerinin işlenmesi
de dâhil çeşitli farklı finansal ve idari raporlama formlarını sağlamak
yoluyla işlemektedir.
Hareketişleme sistemlerine örnek olarak, sıklıkla girişim kaynak planlama (ERP) sistemleri
olarak anılan SAP R/3, PeopleSoft ve Oracle Financials’in yanı sıra ERP dışında da sayısız
örnek verilebilir. Bu sistemler, hareketleri programlanmış mantığa dayanarak ve birçok
durumda, özgün kurumsal iş ve işleme kurallarının saklandığı ayarlanabilir tablolara ek olarak
işlemektedir.
Diğer yandan destek uygulamaları, iş faaliyetlerini kolaylaştıran özel yazılım programlarıdır.
Örnek olarak e-posta programları, faks yazılımı, doküman görüntüleme yazılımı ve tasarım
yazılımı verilebilir. Ancak bu uygulamalar, genellikle hareketleri işlememektedir.1
İş süreçlerini desteklemek için kullanılan tüm teknolojilerde olduğu gibi, hareket ve destek
uygulamaları da kurumu teknolojinin kendi doğasından kaynaklanan ve çalışanların sistemi
nasıl ayarladığı, yönettiği ve kullandığına bağlı olarak görülen risklerle karşı karşıya
bırakabilir.Hareket işleme sistemlerinde riskler uygun bir biçimde hafifletilmezlerse, bu
risklerin finansal veya operasyonel verilerin bütünlüğü, tamlığı, zamanındalığı ve
kullanılabilirliğine olumsuz etkileri olabilir. Ayrıca iş süreçlerini desteklemek için hangi
uygulama kullanılırsa kullanılsın, bu süreçlerde de bir içsel risk unsuru bulunacaktır. Bu
uygulama teknolojisi ve iş süreci risklerinden dolayı, birçok kurum hareket ve destek
uygulamalarındaki söz konusu riskleri yönetmek için otomatik ve manuel kontrolleri birlikte
kullanmaktadır.
1GTAG 4: BT Denetiminin Yönetimi, s. 5.
5
Ancak, başarılı risk yönetiminin derecesi, doğrudan doğruya:
Kurumun risk iştahı veya toleransı;
Uygulamayla ilgili risk değerlendirmesinin tamlığı ve bütünlüğü;
Etkilenen iş süreçleri;
Genel bilgi teknoloji (BT) kontrollerinin etkinliği ve
Kontrol faaliyetlerinintasarımı ve devamlı faaliyet etkinliğinin büyüklüğüne
bağlıdır.
Kurumların bu riskleri yönetmek için kullandıkları en uygun maliyetli ve etkin
yaklaşımlardan biri, hareket ve destek uygulamalarının doğasında yer alan veya sonradan
dâhil edilen kontrollerin (örneğin, ödenecek faturalarda üç-yönlü fatura eşleme) yanı sıra
ayarlanabilir kontrolleri (örneğin, borçlu hesaplar fatura toleransları) kullanmaktır. Bu tip
kontroller genellikle uygulama kontrolleri olarak anılmaktadır. Verilerin düzenlenmesi, iş
fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin
günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya
uygulama sistemlerinin kapsamına ilişkin kontrollerdir.2
Ayrıca, iç denetim yöneticileri (İDY’ler) ve ekibinin uygulama kontrolleri ve genel BT
kontrolleri (ITGC’ler) arasındaki farkı anlamaları önemlidir. ITGC’ler kurum çapındaki tüm
unsurlar, süreçler ve verileri3 kapsarken, uygulama kontrolleri belirli bir iş sürecini
destekleyen bir program veya sisteme özgüdür. Bu bölümün “Uygulama Kontrollerine
Kıyasla Genel BT Kontrolleri” kısmında bu kontroller hakkında daha detaylı bilgiler
verilmektedir.
Uygulama kontrollerinin risk yönetimi stratejileri konusundaki önemi nedeniyle,İDY’ler ve
ekiplerinin, uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin
çalışıp çalışmadığını tespit etmek için denetimler geliştirmesi ve bu uygulama kontrollerini
periyodik olarak denetlemesi gerekmektedir. Dolayısıyla, bu GTAG’nin amacı İDY’lere:
1. Uygulama kontrollerinin ne olduğu ve faydaları;
2. İç denetçilerin rolü;
3. Bir risk değerlendirmesinin nasıl gerçekleştirileceği;
4. Uygulama kontrolü incelemelerinin kapsamının belirlenmesi ve
5. Uygulama inceleme yaklaşımları ve diğer mülahazalar
konularında bilgiler sağlamaktır.
İDY’lere ve bu rehberi kullanan diğer kişilere daha fazla yardımcı olmak için, yaygın
uygulama kontrolleri ile bir örnek denetim planını da rehbere ekledik.
2GTAG 1: Bilgi Teknolojisi Kontrolleri, s.3.3GTAG 1: Bilgi Teknolojisi Kontrolleri s.3.
6
Giriş
Uygulama Kontrollerinin Tanımı
Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem
toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve
hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına
ilişkin kontrollerdir. Dolayısıyla uygulama kontrollerinin amacı:
Giriş verilerinin kesin, tam, yetkilendirilmiş ve doğru olduğu;
Verilerin kabul edilebilir bir zaman içerisinde hedeflendiği şekilde işlendiği;
Saklanan verilerin tam ve doğru olduğu;
Çıktıların tam ve doğru olduğu ve
Verilerin girildikten sonra bellekte saklanması ve son olarak da çıktısının alınması
sürecini izlemek için kayıt tutulduğundan emin olmaktır.4
Birçok uygulama kontrolü türü mevcuttur. Bunlar arasında:
Girdi Kontrolleri – Bu kontroller, esas olarak, bir iş uygulamasına girilen verilerin
bütünlüğünü, bu verilerin doğrudan personel tarafından, uzaktan bir iş ortağı
tarafından veya Web-destekli bir uygulama veya arayüz aracılığıyla girilip
girilmediğini kontrol etmek amacıyla kullanılmaktadır. Veri girişi, belirtilen
parametreler dâhilinde olup olmadığından emin olmak amacıyla kontrol edilmektedir.
İşleme Kontrolleri – İşlemenin tam, doğru ve izin verilmiş olduğundan emin olmak
amacıyla otomatik yollar sunmaktadır.
Çıktı Kontrolleri – Bu kontroller verilerle neler yapıldığını ele almaktadır ve çıktıya
kıyasla girdileri kontrol ederek çıktı sonuçlarını hedeflenen sonuçla karşılaştırmalıdır.
Bütünlük Kontrolleri – Bu kontroller, tutarlılığını ve tamlığını koruduğundan emin
olmak için işlenen ve bellekte bulunan verileri izlemektedir.
Yönetim İzi – Sıklıkla denetim izi olarak anılan işleme tarihsel kontrolleri,
yönetimin,kaynaktan sonuca kadar işlem ve hareketleri izleyerek ve sonundan başına
doğru süreci tersine takip ederek kaydettiği hareket ve eylemleri tespit etmesine ve
tanımlamasına olanak sağlamaktadır. Bu kontroller, ayrıca, diğer kontrollerin
etkinliğini de izlemekte ve hataları mümkün olduğunca kaynaklarına kadar inerek
tespit etmektedirler.5
Diğer uygulama kontrol unsurları arasında söz konusu iki kontrol tipinin önleyici mi, yoksa
tespit edici mi olduğu bulunmaktadır. Her iki kontrol tipi de programlanmış veya ayarlanabilir
sistem mantığına dayanan bir uygulama kapsamında çalışsa da, önleyici kontroller adından
anlaşılacağı gibi gerçekleşmektedirler. Yani bir uygulama içerisinde ortaya çıkabilecek bir
hatayı önlemektedirler. Önleyici kontrole, bir girdi veri doğrulama rutini örnek verilebilir.
Rutin, girilen verilerin ilgili program mantığına uygun olduğundan emin olmak için kontroller
4,5GTAG 1: Bilgi Teknolojisi Kontrolleri, s.8.
7
yapmakta ve yalnızca doğru verilerin kaydedilmesine izin vermektedir. Diğer taraftan yanlış
veya geçersiz veriler veri girişi sırasında reddedilmektedir.
Tespit edici kontroller de adından anlaşıldığı gibi gerçekleşmektedir. Yani, daha önceden
tanımlanmış bir program mantığını esas alarak hataları tespit etmektedirler. Tespit edici
kontrole örnek olarak, bir satıcı faturasında belirtilen fiyat ile sipariş fiyatı arasında lehte veya
aleyhte bir farklılığın bulunması örnek verilebilir.
Özellikle doğası gereği tespit edici olan uygulama kontrolleri, ortamda kullanılan manüel
kontrolleri desteklemek amacıyla da kullanılmaktadır. En dikkat çekici olanı ise, bir tespit
edici kontrolden elde edilen veri ve sonuçların bir izleme kontrolünü desteklemek amacıyla
kullanılabilmesidir. Örneğin bir önceki paragrafta açıklanan tespit edici kontrol örneği, sipariş
fiyatları arasındaki farkları bir raporda sıralamak amacıyla bir program kullanarak her türlü
istisnayı kaydedebilir. Yönetimin bu istisnaları incelemesi daha sonra bir izleme kontrolü
sayılabilir.
Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri
İDY’lerin ve onlara bağlı personelin uygulama kontrolleri ile Genel Bilgi Teknolojisi
Kontrolleri (ITGC’ler) arasındaki ilişkiyi ve farkı anlamaları önem arz etmektedir. Aksi
takdirde, bir uygulama kontrol incelemesinin kapsamı uygun bir biçimde belirlenemeyebilir;
bu da denetimin kalitesini ve kapsamını etkileyebilir.
ITGC’ler, bir kurumda veya sistem ortamında yer alan tüm sistemleri, unsurları, süreçleri ve
verileri kapsamaktadır.6 Bu kontrollerin amacı, uygulamaların uygun bir şekilde geliştirilmesi
ve yürütülmesinin yanı sıra program ve veri dosyaları ile bilgisayar işlemlerinin bütünlüğünü
sağlamaktır.7 En yaygın ITGC’ler arasında:
Altyapı, uygulamalar ve veriler üzerinde yapılan mantıksal erişim kontrolleri;
Sistem geliştirme yaşam döngüsü kontrolleri;
Program değişiklik yönetimi kontrolleri;
Veri merkezinde yapılan fiziksel güvenlik kontrolleri;
Sistem ve veri yedekleme ve kurtarma kontrolleri ve
Bilgisayar işlemleri kontrolleri
bulunmaktadır.
Uygulama kontrolleri bilgisayar-tabanlı uygulama sistemiyle ilgili işlem ve verilerin tümüyle
bağlantılı olduğu için, her bir münferit uygulamaya özgüdürler. Uygulama kontrollerinin
amaçları, program işlemenin bir sonucu olarak kayıtların tamlığını ve doğruluğunu ve her
kayda girilen girişlerin geçerliliğini temin etmektir.8 Diğer bir deyişle, uygulama kontrolleri
6GTAG-1: Bilgi Teknolojisi Kontrolleri, s. 3.7,8ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14, s.3.
8
belirli bir uygulamaya özgüyken, ITGC’ler değildir. Yaygın uygulama kontrol faaliyetleri
arasında:
Satış emirlerinin müşteri kredi limit parametreleri dâhilinde işlenip işlenmediğini
tespit etmek;
Mal ve hizmetlerin yalnızca onaylanmış bir siparişle tedarik edildiğinden emin olmak;
Görevdağılımını tanımlanmış görev sorumluluklarını esas alarak izlemek;
Satın alınan malların teslim alınması üzerine borcun kesinleştiğini belirlemek;
Duran varlık amortismanının uygun mali dönemde ve doğru kaydedildiğini temin
etmek ve
Sipariş, alıcı ve satıcı faturası arasında bir üçlü fatura eşleme olup olmadığını tespit
etmek
yer almaktadır.
Ek olarak, yönetimin risk yönetimi konusunda uygulama kontrollerine ne kadar
güvenebileceğini İDY’lerin not etmesi önemlidir. Bu güven doğrudan ITGC’lerin tasarımına
ve faaliyet etkinliğine bağlıdır. Başka bir deyişle bu kontroller etkin bir biçimde uygulanıp
kullanılmadığı takdirde, kurum, riskleri yönetmek için uygulama kontrollerine
güvenmeyebilmektedir. Örneğin program değişikliklerini takip eden ITGC’ler etkin değilse,
bu durumda üretim ortamına yetkisiz, onaylanmamış ve test edilmemiş program değişiklikleri
uygulanarak uygulama kontrollerinin genel bütünlüğünü riske atabilir.
Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan Ortamlar
Kurumun BT ortamının karmaşıklığı veya kompleks yapısının genel risk profiline ve ilgili
mevcut yönetim stratejileri üzerinde doğrudan bir etkisi vardır. Karmaşık bir BT altyapısına
sahip kurumlar şu özelliklere sahiptir:
Mevcut uygulamalar, veritabanları ve sistemlerde değişiklikler yapılması;
Firma-içi geliştirilmiş kritik yazılımlar için kaynak kodunun oluşturulması;
Kurumun işleme gereksinimlerine göre hazır paket yazılımların uyarlanıp
özelleştirilmesi;
Hazır paket uygulamalar, değişiklikler ve kodun üretim ortamına aktarılması.9
Diğer yandan, daha az karmaşık bir BT ortamına sahip kurumlarda şu özellikler
görülmektedir:
Mevcut BT ortamında birkaç değişiklik yapılması;
Cari yılda tamamlanan hazır bir paket finansal uygulamanın önemli modifikasyonlar
(uyarlamalar) yapılmadan yürütülmesi;
Uygulamanın fonksiyonlarını önemli düzeyde değiştirmeyen, kullanıcı tarafından
ayarlanabilen seçeneklerin bulunması ve
BT geliştirme projelerinin eksikliği.10
9Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO) Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.61 10COSO, Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.56
9
Bu farklardan da görüldüğü gibi, hareket ve destek uygulamalarının karmaşıklığı ile içsel ve
ayarlanabilir uygulama kontrollerine ulaşabilme, kullanma ve bu kontrollere duyulan güven
arasında doğrudan bir bağıntı bulunmaktadır. Diğer bir ifadeyle, daha az karmaşık bir BT
altyapısı, risk yönetimi için pek fazla içsel veya ayarlanabilir uygulama kontrolleri
sunmayabilir. Dolayısıyla, hareket ve destek uygulamasının karmaşıklık düzeyi, bir uygulama
kontrol incelemesinin yürütülmesi için gereken kapsam belirleme, yürütme, çaba düzeyi ve
bilgiyi, aynı zamanda iç denetçilerin danışman sıfatıyla yardım etme düzeyini etkileyecektir.
Uygulama Kontrollerine Güvenmenin Faydaları
Uygulama kontrollerine güvenip dayanmak pek çok fayda sağlayabilir. Aşağıda kilit faydalar
açıklanmıştır.
Güvenilirlik
İnsan müdahalesinden kaynaklanan kontrol hatalarının ortaya çıkma ihtimalini
değerlendirmek konusunda uygulama kontrolleri manuel kontrollerden daha güvenilirdir. Bir
uygulama kontrolü yapılır yapılmaz ve bir uygulamada, veritabanında veya destekleyici
teknolojide küçük bir değişiklik yapıldığı takdirde, yeni bir değişiklik ortaya çıkana kadar
kurum uygulama kontrolüne güvenebilir.
Ayrıca, sistematik doğasına doğrudan etki eden ITGC’ler etkin çalıştığı sürece uygulama
kontrolü de etkin çalışmaya devam edecektir. Bu, özellikle BT yöneticileri için program
değişiklikleri ve görev dağılımıyla ilgili kontrollerde geçerlidir. Sonuç olarak test dönemi
süresince, denetçi, kontrolü birkaç değil tek seferde test edebilecektir.
Kıyaslama
ABD Halka Açık Şirketler Muhasebe Gözetim Üst Kurulu (PCAOB) Denetim Standardı No.
5’e ait Ek-B: Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne
Yönelik Bir Denetim dokümanında uygulama kontrollerinin kıyaslanabileceği, çünkü bu
uygulamalar genellikle insanların hatalarından kaynaklanan arızalara maruz
kalmamaktadırlar. Program değişikliklerini ve programlara erişimi izlemek için kullanılan
genel kontroller ile bilgisayar işlemleri etkili ve verimli olduğu ve düzenli olarak test
edilmeye devam edildiği takdirde, iç denetçi bir önceki senenin kontrol testini tekrarlamak
zorunda kalmadan uygulama kontrolünün etkin ve etkili olduğu sonucuna varabilecektir. Bu,
özellikle, iç denetçi uygulama kontrolünün denetçi tarafından son test edildiğinden beri
değişmediğini doğruladığı takdirde doğrudur.11
Ek olarak, kontrolün değişmediğini doğrulamak için iç denetçinin elde etmesi gereken
bulguların doğası ve kapsamı, kurumun program değişiklik kontrollerinin sağlamlığı gibi
durumlara bağlı olarak çeşitlilik gösterebilir.12 Dolayısıyla belirli bir kontrol için kıyaslama
11PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B2912PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29.
10
stratejisi kullanırken denetçinin ilgili dosyalar, tablolar, veriler ve parametrelerin uygulama
kontrolünün fonksiyonelliği üzerindeki etkisini düşünmesi gerekmektedir. Örneğin faiz
gelirini hesaplayan bir uygulama, otomatik hesaplamada kullanılan bir oran tablosunun
sürekli bütünlüğüne bağlı olabilir.13
Denetçinin, uygulamanın ne sıklıkta değiştiğini dikkate alarak, bir otomatik kontrol
kıyaslamasının uygun bir biçimde nasıl kullanıldığını değerlendirmesi gerekmektedir. Bu
nedenle, kod değişikliği sıklığı arttıkça bir uygulama kontrolünün kıyaslama stratejisine
güvenme olasılığı da azalmaktadır. Ek olarak, denetçinin sistemde yapılan değişikliklerle
ilgili bilgilerin güvenilirliğini değerlendirmesi gerekmektedir. Bu nedenle; uygulamada,
veritabanında veya destekleyici teknolojide yapılan değişikliklerle ilgili doğrulanabilir bilgi
veya raporlar yok denecek kadar azsa, uygulamanın kıyaslamaya uygun olma ihtimali
düşüktür.
Ancak şirketler hiçbir kaynak kod geliştirmesine veya uyarlamasına izin vermeyen hazır paket
yazılım kullandıklarında kıyaslama özellikle etkili olmaktadır. Bu gibi bir durumda kurumun
kod değişikliğinden daha ötesini düşünmesi gerekmektedir. Karmaşık bir uygulama
dâhilindeki SAP veya Oracle Financial gibi bir uygulama kontrolü, herhangi bir kod
değişikliğine gerek kalmadan kolayca değiştirilebilir, etkisiz veya ya da etkin hale getirebilir.
Son olarak, parametre ve konfigürasyon değişikliklerinin çoğunun uygulama kontrolü
üzerinde anlamlı bir etkisi vardır. Örneğin, tolerans düzeyi kontrollerini etkisiz hale getirmek
için tolerans düzeyleri kolayca manipüle edilebilir ve satınalma onay kontrolleri onay
stratejileri değiştirilerek manipüle edilebilir. Bütün bunlar hiçbir kod değişikliğine gerek
olmadan yapılabilir.
Kurumların, kıyaslamanın ne kadar süre etkin olabileceğini tespit etmeleri için her bir
uygulama kontrolünü değerlendirmeleri gerekmektedir. Kıyaslama artık etkisiz hale
geldiğinde, uygulama kontrolünü yeniden test ederek taban çizgisini tekrar belirlemek
önemlidir. Uygulama kontrolünün hâlâ başlangıçta yapılan kıyaslamadaki gibi ve etkin çalışıp
çalışmadığını tespit ederken denetçiler şu soruları sormalıdır:
İş süreci ve uygulama kontrolüyle ilgili risk düzeyi ile uygulama kontrolünün ilk
kıyaslandığı zamandaki risk düzeyi arasında herhangi bir değişiklik oldu mu (yani, iş
süreci finansal, operasyonel veya düzenleyici kurallara uyumu, uygulama kontrolünün
ilk kıyaslandığı zamandan anlamlı düzeyde daha yüksek riskle mi karşı karşıya
bırakmaktadır)?
ITGC’ler; mantıksal erişim, değişiklik yönetimi, sistem geliştirme, satınalma ve
bilgisayarlı operasyon kontrolleri de dâhil etkin çalışıyor mu?
Denetçi, değişikliklerin (varsa)uygulama kontrolleri içeren uygulamalar, veritabanları
veya destekleyici kontroller üzerindeki etkilerini tam olarak anlayabilmekte midir?
İş sürecinde yapılan değişiklikler, kontrolün tasarımına veya etkinliğine etki
edebilecek uygulama kontrolüne mi dayanmaktaydı?
13PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29 - 30
11
Zaman ve Maliyetten Tasarruf
Uygulama kontrolleri genellikle manuel kontrollerden daha az zaman almaktadırlar. Bunun
nedeni, manuel kontrollerinörneklem büyüklüğü kontrollerin yapılış sıklığıyla ilgiliyken
(örneğin günlük, haftalık, aylık, üç aylık veya yıllık), uygulama kontrollerinin örneklem
büyüklüğünün kontrollerin yapılış sıklığına genellikle bağlı olmamasıdır (yani uygulama
kontrolleri ya etkin bir biçimde çalışmaktadır ya da çalışmamaktadır). Ayrıca, ITGC’ler etkin
olduğu sürece uygulama kontrolleri genellikle bir kez test edilmektedirler. Dolayısıyla, tüm
bu faktörler bir araya gelerek bir manuel kontrole kıyasla uygulama kontrolünü test etmek için
gereken saat sayısında anlamlı tasarruflar elde edilmesine yardımcı olabilir.
İç Denetçilerin Rolü
Bilgi
Günümüzde kurumlar; riski yönetmek için doğal ve verimli yapıları, maliyet etkinliği ve
güvenilirlikleri nedeniyle uygulama kontrollerine daha fazla güvenmektedirler. Geleneksel
olarak, teknolojiyle ilgili kontroller deneyimli bir BT denetçisi tarafından test edilirken,
finansal, operasyonel veya düzenleyici kontroller BT-dışı bir denetçi tarafından test
edilmekteydi. Son birkaç yıl içinde BT denetçilerine olan talebin anlamlı bir şekilde artması
ve herhangi bir düşme belirtisi de göstermemesine rağmen, tüm denetçilerin baştan sona tüm
iş süreci kontrollerini değerlendirebilmeleri gerekmektedir.
Ek olarak, IIA’nın Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) –
spesifik olarak Standart 1220 ve 1210.A3’e göre, iç denetçilerin makul surette sağduyulu ve
yetkin bir denetçinin dikkat ve becerisiyle hareket etmeleri14, ayrıca tüm iç denetçilerin
birincil sorumluluğu BT denetimi olan bir denetçinin uzmanlığına sahip olmaları beklenmese
de kendilerine verilen görevi gerçekleştirmek için gereken kilit BT riskleri, kontroller ve
denetim teknikleri hakkında bilgi sahibi olmaları gerekmektedir.15 Başka bir ifadeyle, her iç
denetçinin finansal, operasyonel veya düzenleyici riskleri yönetmek için BT riskleri ve
kontrollerinin farkında ve bilincinde olması ve yürütülen uygulama kontrollerinin uygun bir
biçimde tasarlanıp tasarlanmadığı ve etkin çalışıp çalışmadığını tespit edecek düzeyde
yetenek ve beceri sahibi olmaları gerekmektedir.
Danışmanlık ve Güvence
Geleneksel güvence hizmetlerinden başka iç denetim biriminin kuruma değer katmak
amacıyla başvurabileceği en büyük fırsatlardan biri, birçok biçimde yapılabilecek ve iş
biriminin tüm bölümlerini kapsayabilecek danışmanlık görevleridir. Danışmanlık görevlerine
örnek olarak, hareket veya destek uygulamalarının yürütülmesi veya güncellenmesi sırasında
kontrollerin tasarlanması konusunda kurum personeline yardım etmek verilebilir.
Maalesef, denetçilerin çoğu, kurumda yeni bir hareket veya destek uygulaması
yürütüldüğünde ya da geniş çaplı bir güncelleme yapıldığında karşı karşıya kalınacak risklerin
nasıl değişeceğini anlamak konusunda yönetime yardımcı olmamaktadır. Neredeyse tüm
14 IIA Standardı 1220: Azami Mesleki Özen 15 IIA Standardı 1210.A3
12
durumlarda, iç denetçilerin sürece katılmaması bunu istememelerinden veya yeterince
odaklanmamalarından kaynaklanmaz, aksine sistem geliştirme faaliyetleri hakkında bilgi
sahibi olmamalarından veya yönetimin iç denetçilerin sürece katılımını istememesinden
kaynaklanmaktadır.
Sebep ne olursa olsun, iç denetçilerin bu faaliyetlerden haberdar olmasını sağlamak ve risk
yönetim hizmetlerini sağlamak üzere iç denetçilerin sahip oldukları değer, bilgi ve
uzmanlıkları uygun bir biçimde konumlandırmak İDY’nin sorumluluğundadır. Ayrıca iç
denetçilerin, uygulamadan doğan riskleri yönetmeye yardımcı olmak için bu tür sistem
geliştirme faaliyetlerine katılmaları ve uygulama kullanılmaya başlanmadan önce içsel ve
ayarlanabilir kontrollerin etkin bir şekilde çalıştığından emin olmaları gerekmektedir. Aksi
takdirde, uygulama kullanılmaya başlandıktan sonra bir inceleme yapmak, zayıf yönleri
bulmak ve kontrolleri iyileştirmek çok daha maliyetli olacaktır. Aşağıda, iç denetçilerin
sistem geliştirme çabaları sırasında uygulama kontrollerinebir danışmalık perspektifinden
nasıl değer katacaklarına ilişkin örnekler verilmektedir.
Bağımsız Risk Yönetimi
Yeni ve önemli güncellemeler yapılmış hareket veya destek uygulaması yürütüldüğü
zamanlarda iki şey meydana gelebilir: Birincisi, daha önceki ortamda riski yönetmek için
mevcut olan otomatik veya manuel kontrollerin çoğu yeni kontrollerle değiştirilecektir.
İkincisi de, uygulamanın risk profili değişebilir. Diğer bir deyişle, yeni uygulama beraberinde
yeni içsel riskler getirecektir (yani uygulamada ne tür ayarlamalar yapıldığına bağlı olarak) ve
riskler uygulama içerisinde hafifletilemeyeceği için manuel kontroller gerektirecektir.
Dolayısıyla iç denetçiler, yeni uygulamanın getirilmesiyle birlikte güncel risklerin nasıl
değişeceği konusunda kurumun çabalarına öncülük etmeseler de en azından yardımcı
olabilirler. Bu, iç denetçilerin söz konusu hizmet düzeyini sunmak konusunda beceri sahibi
olmaları ve yönetimden bağımsızlıkları nedeniyle bunu yapabilecek eşsiz konuma sahip
olmalarından kaynaklanmaktadır.
İç denetçilerin ve aşağıda sayılan diğer kişilerin bu hizmeti sunabilmeleri için, geliştirme
aşamasındaki uygulama hakkında yeterli bilgiye sahip olmaları gerekmektedir. Bu bilgiye
sahip olması gereken denetçilerin sayısı ve türü, geliştirme aşamasındaki uygulamaya,
etkilenen iş süreçleri bakımından yürütmenin kapsamına, kurumun büyüklüğüne ve uygulama
kurumun tamamına dağıtıldığında denetlenebilir birim veya alanların sayısına bağlıdır.
İDY’ler, yeterli bilgi edinildiğinden emin olmak için kitap kullanımı, çevrimiçi dersler, sınıf-
içi eğitim ve kurum-dışı danışmanlar dâhil farklı yollara başvurabilirler.
Kontrollerin Tasarımı
Yeni bir sistemin yürütülmesi veya önemli bir güncellemenin yapılması sırasında iç
denetçilerin verebileceği başka bir değerli hizmet de bağımsız risk değerlendirmesinin
kapsamını genişletmektir. Daha spesifik olmak gerekirse, denetçiler, risk değerlendirmesi
sırasında tespit edilen riskleri hafifletmek için yönetime risklerin tasarımı konusunda yardımcı
olabilirler. Bu göreve tayin edilen iç denetçiler yardımcı olarak değil, yürütme ekibinin bir
parçası olarak hareket etmelidirler. Bu nedenle, uygulama kontrollerinin tasarımı için gereken
13
görevler, zaman ve iç denetim kaynaklarının sayısının genel proje planına dâhil edilmesi
gerekmektedir.
İDY’lerin, uygun sayıda denetçinin yanı sıra görevi yapabilecek gerekli beceri ve deneyime
sahip denetçileri tayin etmeleri önemlidir. Birçok durumda denetçilerin proje üzerinde tam
zamanlı olarak çalışması gerekebilir. Böyle bir durumda, İDY’ler projede çalışmak üzere
seçilen personelin mevcut görevlerini departmandaki diğer iç denetçilere devretmelidir,
böylece projeye tayin edilen denetçiler görevlerine odaklanabilecektir. Ayrıca, proje üzerinde
çalışan iç denetçiler, sistemin uygulama yaşam döngüsü boyunca proje yöneticisine
raporlamalarda bulunmalıdırlar.
Uygulama kontrollerinin tasarımında yönetime yardımcı olmak amacıyla denetçiler atandığı
takdirde, İDY’lerin, güvence hizmetlerinin resmi bir danışmanlık görevinden bir yıl sonra
sunulması durumunda bağımsızlık ve objektifliğe zarar gelebileceğini not etmeleri
gerekmektedir. Ek olarak, zararın etkisini minimize etmek için atılması gereken adımlar; her
bir hizmet için farklı bir denetçi tayin etmek, denetçilerin bağımsız yönetim ve gözetimini
gerçekleştirmek, proje sonuçlarına yönelik ayrı hesap verebilirlikler tanımlamak ve
denetçilerin karşılaşacakları varsayılan zararları açıklamaktır. Son olarak, yönetim, tavsiye ve
önerileri kabul etmek ve uygulamakla yükümlü olmalıdır.16 Başka bir ifadeyle, iç denetçi
hareket veya destek uygulamasıyla ilgili kontrollerin tasarımına katıldığı takdirde, görevin
tamamlanmasından sonraki ilk 12 ay içerisinde kontrollerin faaliyet etkinliği
değerlendirmesine dâhil olmamalıdır.
Eğitim
İç denetçilerin eğitimle ilgili olarak kuruma katabileceği değer yalnızca uygulama
kontrolleriyle sınırlı değildir. İç denetçilerin kuruma değer katabileceği diğer bir kilit fırsat da
kontroller eğitimidir. Bir uygulama kontrolü perspektifinden bakıldığında, iç denetçiler:
Yeni uygulama çevrimiçi olarak sunulur sunulmaz risk profilinin nasıl değişeceği;
Geliştirme aşamasındaki uygulamalarda mevcut bilinen içsel kontrol zayıflıkları;
Tespit edilmiş zayıflıkları hafifletmeye yönelik ileriye dönük çözümler ve
Sistem geliştirme çabalarının bir parçası olarak denetçilerin yönetime sunabileceği
çeşitli farklı hizmetler
konusunda yönetime eğitim verebilirler.
Kontroller Testi
Yürütme ekibi risk değerlendirmesine dayanan kontroller tasarlayıp yaydığı takdirde veya
böyle bir uygulama olmasa bile,iç denetçiler uygulama kontrollerini bağımsız olarak test
ederek sürece değer katabilirler. Test, kontrollerin layığıyla tasarlanıp tasarlanmadığını ve
uygulama kuruma yayılır yayılmaz bu kontrollerin etkin bir şekilde çalışıp çalışmayacağını
tespit etmelidir. Kontrollerden herhangi biri layığıyla tasarlanmadığı veya etkin çalışmadığı
16 IIA Standardı 1130.C1
14
takdirde, uygulama kurumun tamamına yayıldığı zaman yönetilmemiş risklerin bulunmasını
önlemek için, denetçiler bu bilgiyle beraber her türlü tavsiye ve önerileri yönetime sunmalıdır.
Uygulama İncelemeleri
Hareket ve destek uygulamaları, genel kontrol ortamındaki önemlerine bağlı olarak zaman
zaman kontrol incelemeleri gerektirebilirler. Bu incelemelerin sıklığı, kapsamı ve derinliği,
uygulamanın türüne ve finansal raporlama, mevzuata uyum ya da operasyonel koşullara
etkisine ve kurumun risk yönetimiyle ilgili amaçları konusunda uygulama kapsamındaki
kontrollere olan güvenine göre çeşitlilik göstermelidir.
3. Risk Değerlendirmesi
Risk Değerlendirme
Denetçi, risk değerlendirme inceleme planı geliştirirken kurumun raporlama, operasyonel
koşullar ile mevzuata uyum koşullarına ilişkin kritik zafiyetleri tespit etmek amacıyla risk
değerlendirme tekniklerini kullanmalıdır. Bu teknikler arasında:
İncelemenin doğası, zamanı ve kapsamı;
Uygulama kontrollerinin desteklediği kritik iş fonksiyonları ve
İnceleme için harcanacak zaman ve kaynakların büyüklüğü
bulunmaktadır.
Ek olarak, inceleme için uygun bir kapsam belirlerken denetçilerin sorması gereken dört kilit
soru şunlardır:
1. Yönetimin görüşlerini dikkate alırken değerlendirilmesi ve yönetilmesi gereken
kurum-çaplı en büyük riskler ve denetim komitesinin ana kaygı ve sorunları nelerdir?
2. Hangi iş süreçleri bu risklerden etkilenmektedir?
3. Bu süreçleri gerçekleştirmek için hangi sistemler kullanılmaktadır?
4. Süreçler nerelerde gerçekleştirilmektedir?
Riskleri tespit ederken, denetçiler, kontrol incelemesine hangi uygulamaları dâhil edeceklerini
ve hangi testlerin yapılacağını belirlemek için yukarıdan aşağı bir risk değerlendirmesi
kullanmayı faydalı bulabilirler. Örneğin Şekil-1, finansal raporlama risklerini ve incelemenin
kapsamını belirlemeye yönelik etkili bir metodolojiyi ana hatlarıyla göstermektedir.
15
Şekil-1: Mali tablo risk analiz yaklaşımı
Uygulama Kontrolü:
Risk Değerlendirme Yaklaşımı
Kurum-çaplı uygulama kontrolü risk değerlendirme faaliyetlerine değer katmak için iç
denetçilerin aşağıda sayılanları yerine getirmesi gerekmektedir:
Uygulama kontrollerini kullanan uygulamalar, veritabanları ve destekleyici
teknolojilerin evrenini tanımlamanın yanı sıra risk değerlendirme süreci sırasında
dokümante edilen risk ve kontrol matrislerini kullanan risk ve kontrolleri özetlemek.
Her uygulama kontrolüyle ilişkili risk faktörlerini tanımlamak. Bu riskleri arasında:
o Birincil (yani kilit nitelikteki) uygulama kontrolleri;
o Uygulama kontrolleri tasarımının etkinliği;
o Hazır paket veya geliştirilmiş uygulamalar veya veritabanları.
Yapılandırılmamış hazır paket veya geliştirilmiş uygulamalara karşılık yüksek
düzeyde yapılandırılmış firma-içi veya satın alınmış uygulamalar;
o Uygulamanın birden fazla kritik iş sürecini destekleyip desteklemediği;
o Uygulamanın işlediği verilerin sınıflandırılması (örneğin finansal, mahrem
veya gizli)
16
o Uygulamalar veya veritabanlarındaki değişikliklerin sıklığı;
o Değişikliklerin karmaşıklığı (örneğin, tablo değişikliklerine kıyasla kod
değişiklikleri)
o Uygulama kontrollerinin finansal etkisi;
o ITGC’lerin uygulamadaki etkinliği (örneğin değişiklik yönetimi, mantıksal
güvenlik ve operasyonel kontroller) ve
o Kontrollerin denetim geçmişi.
Hangi risklere diğerlerinden daha fazla ağırlık verileceğini belirlemek amacıyla tüm
risk faktörlerini ölçüp tartmak;
Aşağıda verilen nitel ve nicel ölçekleri dikkate alarak her bir uygulama kontrol riskini
derecelendirmek için doğru ölçeği belirlemek:
o Düşük, orta veya yüksek kontrol riski;
o Nitel bilgileri esas alan sayısal ölçekler (örneğin 1=düşük-etkili risk,
5=yüksek-etkili risk, 1=güçlü kontrol ve 5=yetersiz kontrol);
o Nicel bilgileri esas alan sayısal ölçekler (örneğin 1= <50.000 USD ve 5= >
1.000.000 USD);
Risk değerlendirmesini yapmak ve tüm risk alanlarını derecelendirmek;
Risk değerlendirme sonuçlarını değerlendirmek ve
Risk değerlendirmesi ve derecelendirilen risk alanlarına dayanan bir risk inceleme
planı oluşturmak.
Şekil-2’de nitel derecelendirme ölçeği (1=düşük etki veya risk, 5=yüksek etki veya risk)
kullanan bir uygulama kontrol risk değerlendirmesine bir örnek verilmiştir. Her uygulamanın
toplam puanı, her bir risk faktörünün ve ağırlığının çarpılması ve toplamların birbirine
eklenmesiyle hesaplanır. Örneğin, tablonun ilk satırındaki 375 toplam puanı, risk faktör
oranının uygulamaya özgü oranla çarpılmasıyla [(20 x 5) + (10 x 1) + (10 x 5) + …]
hesaplanmaktadır. Bu örnekte, denetçi, uygulama kontrol incelemesinin 200 veya daha
yüksek puanlı tüm uygulamaları kapsayacağını tespit edebilir.
Risk Faktörü Ağırlıklandırması
20 10 10 10 10 10 15 15
Uygulama UygulamaBirincilKontrolleriİçerir.
UygulamaKontrolleriTasarımının Etkinliği
Hazır Paket veyaGeliştirilmiş
UygulamaBirden FazlaKritik İş SüreciniDestekler
Değişikliğin Sıklığı
Değişikliğin Karmaşıklığı
FinansalEtki
ITGC’lerinEtkinliği
ToplamPuan
APPA 5 1 5 5 3 3 5 2 375
APPB 1 1 2 1 1 1 4 2 170
APPC 5 2 2 1 5 5 5 2 245
APPD 5 3 5 1 5 5 5 2 395
APPE 5 1 1 1 1 1 3 2 225
Şekil-2: Uygulama kontrol risk değerlendirmesine bir örnek.
17
4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi
Aşağıda uygulama kontrollerinin inceleme kapsamını tespit etmeye yönelik iki yöntem
verilmektedir. İç denetçiler, incelemenin kapsamı, derinliği, yaklaşımı ve sıklığının risk
değerlendirme sonuçlarına ve iç denetim kaynaklarının ulaşılabilirliğine bağlı olduğunu
unutmamalıdırlar. Kapsam belirleme için seçilen yöntem ne olursa olsun, incelemedeveri
girdi kontrolleri, işleme kontrolleri ve çıktı kontrollerinin bir değerlendirmesi bulunmalıdır.
İş Süreci Yöntemi
İş süreci kapsam belirleme yöntemi, belirli bir iş sürecini destekleyen tüm sistemlerde mevcut
uygulama kontrollerini değerlendirmek için kullanılan bir yukarıdan aşağı inceleme
yaklaşımıdır. Son birkaç yıl içinde bu yöntem en yaygın ve en geniş çapta kabul edilen
kapsam belirleme yöntemi olarak önem kazanmıştır. Bu durum, esas olarak ERP hareket
uygulamasının kullanımındaki artış ve bağımsız, “türünün en iyisi” uygulamalarının
azalmasından kaynaklanmaktadır.
ERP-dışı dünyada iş süreci yöntemini kullanırken, iç denetçiler, inceleme kapsamına,
genellikle bağımsız sistemler oldukları için inceleme konusu iş sürecine katılan ve şirket
tarafından kullanılan tüm uygulamaları dâhil etmelidirler. Başka bir deyişle, iç denetçilerin,
inceleme kapsamına iş süreci döngüsünün farklı bileşenlerini oluşturan ayrı uygulamaları
dâhil etmeleri gerekmektedir. Ardından, iç denetçi, inceleme konusu uygulamadaki gelen ve
giden arayüzleri tespit ederek kapsam belirleme faaliyetini tamamlayabilir.
Uygulama kontrolleri incelemesinin kapsamını belirlemek için iş süreci yöntemini kullanmak,
ERP sistemi gibi entegre uygulamalarda farklıdır, çünkü iş süreçleri çoklu modüllerin ötesine
geçmektedir. Örneğin, tedarik işleminden ödemeye kadar olan iş sürecini düşününüz. Bir ERP
ortamında bu süreç genellikle tedarik, stok yönetimi, büyük defter ve borçlu hesap
modüllerini veya ERP sistemi içerisindeki alt-uygulamaları kapsamaktadır. Bu nedenle, iş
sürecini ve verilerin nasıl yönetildiği ve bir modülden diğerine aktığını da içine alan modülleri
tam olarak anlamak önemlidir.
Tekli Uygulama Yöntemi
Tekli uygulama kapsam belirleme yöntemi, denetçi bir iş süreci kapsam belirleme yaklaşımı
benimsemek yerine uygulama kontrollerini bir tekli uygulama veya modül dâhilinde
incelemek istediğinde kullanılmaktadır. Bir önceki bölümde de tartışıldığı gibi, ERP-dışı veya
entegre olmayan bir ortamda en etkili kapsam belirleme yöntemi budur, çünkü denetçi
uygulamanın etrafına kolaylıkla “bir kutu çizebilir” (yani uygulamayı kapsama dâhil edebilir).
Başka bir ifadeyle, veriler ve ilgili işleme kuralları yalnızca bir uygulamaya dâhil edildiği ve
bu uygulamada kullanıldığı için denetçi gelen veri girdileri ve çıktılarını belirleyebilir ve
tanımlayabilir.
Ancak bir ERP ortamı veya entegre ortamda bu yöntem istenmemektedir. Bir ERP veya
entegre hareket sistem modülünün etrafına bir kutu çizmek oldukça kolay görünse de, gerçek
şu ki bu faaliyet epey zor olabilir. Bunun nedeni, belirli bir modüle giren ve modülden çıkan
birden fazla veri beslemesi bulunabilir ve bunları tespit etmeye çalışmak boşuna bir uğraş
18
olabilir. Dolayısıyla modül yaklaşımını kullanmanın yetersiz bir incelemeye yol açma
olasılığı vardır ve ERP ortamında veya entegre ortamda iş süreci yöntemini kullanmak daha
etkili bir kapsam belirleme yöntemidir.
Erişim Kontrolleri
Uygulama kontrolleri incelemesinin kapsamını belirlemek için seçilen yöntem ne olursa
olsun, modülveya uygulamanın mantıksal erişim kontrolleri periyodik olarak gözden
geçirilmelidir. Çoğu durumda, kullanıcı ve yöneticilerin erişim hakları (örneğin okumak,
yazmak, silmek) uygulama içerisindeki dâhili güvenlik platformu ve araçları kullanılarak
oluşturulur. Kullanıcılara hangi mantıksal hakların verileceğini belirlemek için başvurulan
stratejiler, ‘bilinmesi gereken’ bir zeminden ‘muhafaza edilmesi gereken’ bir zemine kadar
çeşitlilik göstermektedir. Bunlar dikkate alınmaksızın, erişim hakları kullanıcının görev ve
sorumluluklarına göre verilmelidir.
Mantıksal erişim haklarının nasıl oluşturulduğu paketten pakete farklılık göstermektedir. Bazı
durumlarda mantıksal erişim hakları bir hareket koduna veya bir ekran adı ya da numarasına
göre verilmekte, SAP R/3 gibi başka sistemler ise daha karmaşık, nesne-tabanlı güvenlik
protokolleri kullanmaktadırlar. Bir uygulamanın mantıksal erişim kontrolleri incelendiği
zaman, genel uygulama güvenlik kontrollerinin de incelendiğinden emin olmak önem
taşımaktadır. Bu kontroller arasında:
Kullanıcı adı veya kullanıcı kimliğinin uzunluğu;
Parolanın uzunluğu;
Paroladaki karakterlerin kombinasyonu;
Parola yaşlanması (örneğin, kullanıcılar 90 günde bir parolalarını değiştirmek
zorundadırlar);
Parola döngüsü (örneğin, kullanıcılar, en son kullandıkları 5 parolayı kullanamazlar);
Başarısız oturum açma girişimleri belirli bir sayıya ulaştıktan sonra kullanıcı
hesabının kilitlenmesi ve
Oturum zaman aşımı (örneğin, kullanıcı uygulamada 15 dakika içerisinde herhangi
bir işlem yapmadığı takdirde uygulama kullanıcının oturumunu otomatik olarak
kapatır)
bulunmaktadır.
En yeni nesil uygulamalar, yukarıda sayılanlar gibi yönetimin ayarlayabileceği parametrelerle
oluşturulmaktadırlar. Ancak bazı durumlarda yönetim, parametre(ler)i etkinleştirmeyi
unutabilirler veya her parametre için kullanılan ayarlar en iyi uygulama standartlarına uygun
olmayabilirler. Örneğin parola yaşlanma parametresi her 90 günde bir parola değişimi
gerektirecek şekilde ayarlanabilir. Ek olarak, denetçiler, geliştirme ve test ortamındaki
yönetici erişim haklarını periyodik aralıklarla gözden geçirmelidirler.
19
5. Uygulama İnceleme Yaklaşımları ve Diğer Konular
İnceleme için uygun bir kapsam belirlenir belirlenmez bir sonraki görev incelemenin nasıl
yürütüleceğine karar vermektedir. Seçilen standart denetim metodolojisinin yanı sıra, aşağıda,
kapsamı düzgünce belirlenmiş bir uygulama kontrol incelemesini yürütmek konusunda
denetçilere yardımcı olabilecek öneriler yer almaktadır.
Planlama
Risk değerlendirmesini tamamladıktan ve incelemenin kapsamını belirledikten sonra,
denetçilerin detaylı inceleme planının geliştirilmesi ve iletilmesine odaklanmaları
gerekmektedir. Detaylı inceleme planı geliştirilirken atılacak ilk adım, aşağıda verilen
uygulama kontrol inceleme bileşenlerini sıralayan bir planlama tutanağı oluşturmaktır:
Yapılacak tüm inceleme prosedürleri;
Kullanılan her türlü bilgisayar-destekli araçlar ve teknikler ve bunların nasıl
kullanıldığı;
Varsa örnek boyutları;
Seçilecek inceleme öğeleri ve
İncelemenin zamanı.
Tutanak hazırlanırken gereken iç denetim kaynaklarının tümünün planlama ekibine dâhil
edilmesi gerekmektedir. BT uzmanlarının belirlenip planlama sürecine dâhil edilmesi de bu
sırada yapılmalıdır.
Planlama tutanağını tamamladıktan sonra, denetçinin detaylı bir inceleme programı
hazırlaması gerekmektedir (bir denetim programı örneği için bakınız Ek-B sayfa 21).
İnceleme programı hazırlanırken yönetimle şu konuların tartışılacağı bir toplantı yapılmalıdır:
Yönetimin risklerle ilgili kaygıları;
Daha önceden rapor edilen sorunlar;
İç denetim biriminin risk ve kontrol değerlendirmesi;
İnceleme metodolojisinin bir özeti;
İncelemenin kapsamı;
Kaygıların nasıl iletileceği;
İnceleme ekibinde hangi yöneticilerin çalışacağı;
Gereken her türlü ön bilgiler (örneğin, raporlar) ve
İncelemenin uzunluğu.
Risk değerlendirme aşamasının bir özetini çıkarmanın yanı sıra, bu toplantının önemli bir
parçası da yönetimin desteğini almaktır. Tartışmaların inceleme planlama aşamasının başında
yapılması gerekirken, planlanan kapsamla ilgili yönetimin de mutabık olduğundan emin
olmak için kilit iş süreçleri, riskler ve kontroller inceleme süreci boyunca tartışılmalıdır.
Bilinen her türlü kaygılar, spesifik olarak risk değerlendirme veya planlama aşaması sırasında
tespit edilen tüm sorunlar (bu sorunların doğruluğu ispatlanmamış olsa bile) yönetime
bildirilmelidir. Tespit edilen riskler ve kontroller hakkında yönetimin de aynı fikirde
20
olduğundan emin olmak için tartışmalar yapılmalıdır. Böylelikle, ekip, derhal düzeltici
eylemde bulunmak ve kurum çapında uygun, risk bilinçli davranışı teşvik etmek konusunda
yönetim üzerinde etkili olabilir. Bunun için, denetçiler, yönetime incelemenin yapılacağını
duyuran bir mektup yollayabilirler. Bu mektupta:
İncelemenin beklenen başlangıç tarihi;
İncelemenin zaman çerçevesi ve
İnceleme konusu kilit iş alanları
yer almalıdır.
Uzman Denetim Kaynaklarına Olan İhtiyaç
İç denetçi incelemenin kapsamını değerlendirmeli ve incelemenin bir kısmını yapması için bir
BT denetçisine ihtiyaç olup olmayacağını tespit etmelidir. Bununla beraber, inceleme ekibine
bir BT denetçisi dâhil etmek, denetçiyi BT kontrollerinin yeterliliğini değerlendirme
yükümlülüğünden kurtarmamaktadır. BT denetçisi, sadece, verilerin bütünlüğü ve
hareketlerin doğruluğu, tamlığı ve yetkisini belirlemek için kurumun BT’ye olan güven ve
bağlılığını değerlendirecektir. BT denetçilerinin gözden geçirebileceği bir diğer faktör,
uygulama tarafından işlenen hareketlerin sayısıdır. Uygulama kontrollerinin etkinliğini
değerlendirmek ve raporlamak için özel araçlar gerekebilir. BT denetçileri tarafından toplanan
bilgilerle birlikte iç denetçinin sahip olduğu bilgiler, uzman kaynakların gerekli olup
olmadığının tespitine yardımcı olacaktır.
Uzman kaynakların ne zaman gerekli olduğuna ilişkin verilen bir örnek, büyük bir imalat
şirketi için Oracle eBusiness Suite uygulamasının kurulumu sırasında görev dağılımı
incelemesini kapsamaktadır. Uygulama ve veritabanındaki rol ve görevlerin karmaşıklığından
dolayı, Oracle uygulamasının yapılandırma kapasiteleri hakkında yeterli bilgiye sahip
personelin kullanılması gerekmektedir. İncelemeyi kolaylaştırmak için Oracle uygulaması ve
veritabanından veri madenciliği yapmasını bilen ek personele ihtiyaç duyulabilir. Ayrıca
inceleme ekibi, veri özütleme ve analizini kolaylaştırmak üzere spesifik bir bilgisayar-destekli
denetim aracına aşina olan bir uzmana gereksinim duyabilir.
İş Süreci Yöntemi
Bir önceki bölümde, iş süreci yönteminin uygulama kontrolü incelemesi kapsam
belirlemesinde en yaygın kullanılan yöntem olduğu tespit edildi. Günümüz dünyasında birçok
hareket uygulaması bir ERP sistemine entegre edilmektedir. Bu ERP sistemlerinden geçen
ticari işlemler yaşam döngüleri boyunca pek çok modülle etkileşime girebileceğinden,
incelemeyi gerçekleştirmenin en iyi yolu bir iş süreci veya döngü yaklaşımı kullanmaktır
(yani, iş süreci dâhilindeki verileri oluşturan, değiştiren veya silen işlemleri tanımlamak ve en
azından ilgili girdileri, işleme ve çıktı uygulama kontrollerinitest etmek). İncelemeye karşı
sergilenecek en iyi yaklaşım, Şekil-3’te gösterilen dört aşamalı modeli kullanarak iş
süreçlerini bölümlere ayırmaktır:
Mega Süreç (Aşama 1): Satın al -öde süreci gibi tam,baştan-sona sürece atıf
yapmaktadır.
21
Ana Süreç (Aşama 2): Baştan-sona sürecin tedarik, teslim alma ve teslim alınan
mallara karşılık ödeme yapma gibi ana bileşenlerine atıf yapmaktadır.
İkincil veya Alt Süreç (Aşama 3): Bu aşamada, ana süreçlerin satın alma talebi ve
sipariş oluşturma gibi ikincil, alt süreçleri sayılmaktadır.
Faaliyet (Aşama 4): Son aşamada, ikincil ya da alt süreç bileşenleri için verilerin
oluşturulması, değiştirilmesi veya silinmesiyle sonuçlanan sistem hareketleri
sayılmaktadır.
Uygulama kontrollerine işletme-merkezli bir bakış açısıyla yaklaşmak, incelemenin yeterince
kapsamlı ve kurum için anlamlı olduğundan emin olmak açısından elzemdir. Bu noktadan
itibaren, inceleme, münferit bir görev veya entegre bir incelemenin parçası olarak yerine
getirilebilir.
Mega Süreç(Aşama1): Satın Al -Öde
Ana Süreç(Level2)
Alt Süreç(Level3)
Faaliyet (Aşama4)
Satın alma Talepişlemi
Oluştur, değiştir ve sil
Sipariş işlemi Oluştur, değiştir, sil onay ve serbestbırakma
Teslim Alma Mal alım işlemi
Oluştur, değiştir ve sil
Mal iadeişlemi
Oluştur, değiştir ve sil
Borçlu Hesaplar Satıcı yönetimi
Oluştur, değiştir ve sil
Faturaişlemi
Oluştur, değiştir ve sil
Alacakdekontuişlemi
Oluştur, değiştir ve sil
Ödemeişlemleri
Oluştur, değiştir ve sil
Geçersizödemeler
Oluştur, değiştir ve sil
Şekil-3: Bir iş sürecinin bölümlere ayrılması
22
Üçgenler süreçteki her bir kontrolü temsil etmektedir. Her kontrolün numarası, Risk ve Kontroller
Matrisinde verilen faaliyetlerle bağlantılıdır.
Şekil-4: Bir satın al -öde süreci akış şeması
Dokümantasyon Teknikleri
İç denetçilerin kullandığı dokümantasyon standartlarına ilaveten, her bir uygulama kontrolünü
belgelemek için aşağıda verilen yaklaşımlar önerilmektedir.
Akış Şemaları
Hareket akışlarını resimleyerek gösterdikleri için akış şemaları, hareketlerin ve bir baştan-
sona iş süreci içerisinde kullanılan ilgili uygulama ve manuel kontrollerin akışı hakkında bilgi
edinmek amacıyla yararlanılan en etkili tekniklerden biridir. Şekil-4, satın al -öde sürecine ait
bir akış şeması örneği göstermektedir. Kontrol tanımlarının kendisini akış şemasına
yerleştirmek zor olduğu için, bunun yerine kontrolleri akış şemasında basitçe numaralamak ve
bir risk ve kontroller matrisi (bakınız Şekil-6, sayda 14-17) gibi kontrol tanımlarını ve ilgili
bilgileri içeren ayrı bir doküman hazırlamak daha mantıklıdır. Ancak akış şemaları her zaman
pratik olmayabilir ve bir süreç açıklaması bazen daha uygun olabilir. Bu durum genellikle,
denetçinin alanları ve BT ortamında yapılan işleri dokümante ederken ortaya çıkmaktadır. Pek
çok durumda BT biriminin yaptığı iş ve ilgili uygulama kontrolleri, satın al -öde gibi iş
süreçlerinde olduğu gibi doğrusal bir biçimde ilerlememektedir.
Süreç Açıklamaları
Süreç açıklamaları, Şekil-5’te gösterildiği gibi, iş süreci hareket akışlarını ilgili
uygulamalarıyla birlikte belgelemek için kullanılan bir diğer tekniktir. Bu açıklamalar, en iyi
şekilde, nispeten karmaşık olmayan iş süreçleri ve BT ortamları için bir dokümantasyon aracı
olarak kullanılmaktadır. Çünkü iş süreci ne kadar karmaşık olursa, sürecin gerçek yapısını
23
yeterli ve doğru bir biçimde yansıtacak bir süreç açıklaması oluşturmak o denli zor olacaktır.
Bu nedenle nispeten karmaşık iş süreçleri dokümante edildiğinde, denetçiler, akış şemasıyla
birlikte bu akış şemasına denk düşen bir süreç açıklaması oluşturmalı ve bu süreç
açıklamasında kontrolleri numaralandırmalıdır. Denetçiler, risk ve kontroller matrisi gibi ayrı
bir doküman da oluşturmalıdırlar.
Açıklama Satın Al – Öde
Başlıca İrtibat(lar)
Kilit Bileşenler C1,C2,C3,C4,C5,C6,C7,C8,C9,C10,C11,C12,C13 veC14.
Şekil-5: Risk ve kontrol matrisi
Aşağıda, satın al -öde sürecini kapsayan süreç açıklamasına bir örnek verilmektedir.
1) Satın alma
a) Talep Etme:
i) Çalışanların mal ve hizmet satın alması gerektiğinde, satınalma
uygulamasında bir satınalma talebi oluşturacaklardır (C1 Kontrolü). Talep
oluşturulur oluşturulmaz, alıcı satınalma talebinin uygunluğunu, tamlığını ve
doğruluğunu değerlendirecektir. Gözden geçirilen satınalma talebi bileşenleri
arasında satıcı, satın alınacak öğe, miktar ve hesap kodu bulunmaktadır, ancak
bunlarla sınırlı değildir. İnceleme sonunda herhangi bir hata ortaya çıkmıyorsa
alıcı satınalma talebini onaylayacaktır. Herhangi bir nedenle alıcı satınalma
talebini reddederse, bu durum talep edene bildirilecektir. Son olarak, orijinal
taleple ilgili sorunlar çözüldüğü takdirde alıcı talebi onaylayacaktır.
ii) Tüm satınalma talepleri, her türlü yetkisiz talebin yanı sıra aşırı
siparişmiktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C2 ve
C3 Kontrolleri)
b) Sipariş İşlemi:
i) Satınalma talebi alıcı tarafından onaylanır onaylanmaz, tedarik
uygulamasındaki talebe atıf yapan bir sipariş oluşturur (C4 Kontrolü). Alıcı
daha sonra siparişin bir kopyasını tedarikçiye gönderecektir.
ii) Tüm siparişler, her türlü yetkisiz siparişin yanı sıra aşırı sipariş miktarlarını
tespit etmek amacıyla her ay kontrol edilmektedir (C5 ve C6 Kontrolleri)
2) Teslim Alma
a) Tüm mallar sevkiyat ve teslim kapısında teslim alınır. Bir depo çalışanı sevk
irsaliyesini gözden geçirerek sipariş numarasını not alır ve fiziksel olarak teslim alınan
malları sayar. Ardından depo çalışanı, tedarik uygulamasına giriş yapar ve sipariş emri
formunda uygun satır sayısının yanına teslim alınan malların sayısını girer.
24
b) Muhasebe departmanından uygun bir çalışan, satıcının teslim aldığı ancak
faturalamadığı malları tespit etmek amacıyla envanter defteri hesaplarını her ay
gözden geçirerek mutabakatını yapar (C7 Kontrolü).
c) Satınalma departmanından uygun bir alıcı eşleşmeyen tüm sipariş raporlarını
gözden geçirir (C8 Kontrolleri).
3) Borçlu Hesaplar
a) Borçlu hesaplar departmanı, pek çok farklı tedarikçiden her gün faturalaralmaktadır.
Bu faturalar sınıflandırılarak satıcının ismine göre her bir borçlu hesaplar sorumlusuna
gönderilir. Her sorumlu, faturaların her birini borçlu hesaplar departmanının faturayı
teslim aldığı tarihi de atarak mühürlemekle yükümlüdür. Her borçlu hesaplar
sorumlusu, daha sonra, fatura miktarları ve tutarlarını sipariş ve teslim alanla eşleştirir
ve faturayı borçlu hesaplar uygulamasına girer (C9 ve C14 Kontrolleri).
b) Borçlu hesaplar uygulaması, satıcı ödeme koşullarına bağlı olarak otomatik ödeme
istekleri oluşturur ve her Çarşamba günü bir borçlu hesaplar kontrol işlemi yapılır
(C10, C12 ve C13 Kontrolleri).
c) Ay sonunda borçlu hesaplar yöneticisi, borçlu hesaplar sisteminin yardımcı defter
toplamı ile büyük defter kontrol toplamını karşılaştırır. Kaydedilen tüm farklar daha
sonra düzeltilir (C11 Kontrolü).
Risk ve kontrol matrisleri, belirli bir iş sürecine ilişkin ilgili tüm bilgileri barındırmalıdır. Ek
olarak, kontrol faaliyetlerinin her biri numaralandırılmalı ve bu numara tekrar akış şemaları
veya süreç açıklamalarına bağlanmalıdır. Matriste bulunması gereken kontrol faaliyetleriyle
ilgili önemli bilgiler kapsamında:
Tespit edilen riskler;
Kontrol hedefleri;
Kontrol faaliyetleri;
Kontrol tipi (örneğin, otomatik veya manuel) ve sıklığı (örneğin günlük, haftalık,
aylık, yıllık vs.) gibi kontrol nitelikleri
Test bilgileri yer alır.
Test Etme
Denetçi, uygulama kontrollerinin çalışıp çalışmadığını ya da yaratıcı kullanıcılar veya
yöneticinin engellemesi sonucu etkisiz hale getirilip getirilmediğini değerlendirmelidir.
Kontrol ayarlarında bir inceleme yapmak yerine kontrollerin etkinliği konusunda bir maddi
doğruluk testi gerekmektedir. Ayrıca denetçiler, ITGC’lerin etkinliğini belirlemeli ve
uygulamayla oluşturulmuş değişiklik kontrol günlükleri, güvenlik günlükleri ve yönetim
günlüklerinin denetim ekibi tarafından incelenmesinin gerekli olup olmadığını
düşünmelidirler.
25
Denetçi, uygulama kontrollerini, uygulama kontrolünün tipini esas alan birçok yöntemi
kullanarak test edebilir. Testin doğasına, zamanına ve büyüklüğüne bağlı olarak bir spesifik
kontrol veya rapor:
Sistem konfigürasyonlarının teftişi;
Cari yılda yapılıyorsa kullanıcı kabul testinin teftişi;
Destekleyici detaylarla birlikte mutabakatların teftişi veya yeniden yapılması;
Sistem verilerini kullanarak kontrol faaliyetinin yeniden yürütülmesi;
Kullanıcı erişim listelerinin teftişi;
Bir test ortamında kontrol faaliyetinin (üretimle aynı programlı prosedürler
kullanılarak) sağlam test senaryolarıyla yeniden yapılması
yoluylagözden geçirilebilir.
Sistem konfigürasyon testine, bir hareketin izlenerek test edilen sistemin üçlü fatura eşleme
sistem parametrelerinin incelenmesi örnek verilebilir. Sistem konfigürasyonu incelemesinin
bir başka örneği de uygulama raporu üretim sürecinin temel programlama kodunun uygun
mantık açısından sorgulanmasıdır. Ek olarak, denetçi,bu raporu yönetimin ürettiği raporla
karşılaştırmak amacıyla sorgunun yeniden çalışmasını gözlemlemelidir.
Denetçi,alan değerleri üzerinde hareketleri katmanlaştırarak veya sınıflandırarak
doğrulanabilecek kilit alanların düzenleme kontrollerini test edebilir. Ayrıca yazılım
kullanarak sistem tarafından yapılan hesaplamaları yeniden hesaplamak ve doğrulamak kolay
olabilir. Örneğin, sistem toplam maliyeti hesaplamak için tutar ve birim fiyat alanlarını
kullandığı takdirde, denetçi aynı hesaplamayı gerçekleştirmek için denetim yazılımı
kullanabilir ve hesapladığı değerlerin uygulamanın hesapladığı değerlerden farklı olduğu
hareketleri tespit edebilir.
Son olarak denetçiler, kilit alanlar için olası veri aralıklarını incelemek amacıyla uygunluk
kontrolleri yapabilir. Örneğin, doğum tarihi alanına göre şimdiki yaşı hesaplayarak denetçiler,
beklenen aralıkların dışında kalan negatif değerler ile 100’ün üzerindeki değerler dâhil tüm
yaşları tespit edebilir.
Bilgisayar-Destekli Denetim Teknikleri
Bilgisayar-destekli denetim teknikleri (CAAT’ler), denetim prosesini otomatikleştirmek ve
kolaylaştırmak için ACL, IDEA, VIRSA, SAS, SQL, Excel, Crystal Reports, Business
Objects, Access ve Word gibi bilgisayar uygulamalarından faydalanmaktadırlar. CAAT’lerin
kullanımı, bir test periyodu boyunca özellikle binlerce, belki de milyonlarca hareket meydana
geldiğinde bir uygulama kontrolü için uygun kapsamın mevcut olduğunu temin etmeye
yardımcı olmaktadır. Böyle durumlarda otomatik bir araç kullanılmadan incelenebilecek
formatta yeterli bilgiler elde etmek imkansız olacaktır. CAAT’ler büyük hacimli verileri
analiz etme imkanı sağladığı için, CAAT testiyle desteklenen iyi-tasarlanmış bir denetim tüm
hareketlerin tam bir incelemesini yaparak anormallikleri (örneğin, mükerrer satıcılar veya
hareketler) ya da daha önceden tespit edilmiş kontrol sorunları dizisini (örneğin görev
dağılımı çatışmaları) tespit edebilir.
26
Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci
ve KontrolHedefleri
Riskler KontrolFaaliyetleri
COSOBileşenleri
KontrolÖzellikleri
KontrolSınıflandırması
Test
Say
ı
Ko
ntro
lH
edefle
ri
Risk
ler
Etki
/O
lasılık
Ko
ntro
lF
aaliyet
leri
CE
RA
CA
I/C M
K(Y
/N)
Man
/
Pre
/D
et
Sıklık
Gerçek
Kay
ıtlı
Değ
erli
Zam
anın
Sın
ıflandır
Yay
ınlan
Test
So
nuçlar
ı
Op
erasyo
nel
No
tlar
Ana Süreç: TedarikAlt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma C1 Kontroller,
satınalma taleplerinin
yetkilipersonel
tarafından tam ve doğru
yapıldığı konusunda
makulgüvencesağlar.
Uygun bir görevdağılımının
olmamasından dolayı, tek bir kullanıcı, bir
satınalma talebini oluşturabilir, onaylayabilir(yani serbestbırakabilir),
gerekligörevlendirmeleri
yapabilir vegerekiyorsa
dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla
ödemeyapılmasına ya da
stokların şişmesine sebep
olabilir.
H
Kontroller,erişimin
yalnızca sipariş oluşturmaya ilişkin bir iş amacı olan
kişilere verilecekşekilde
yapılmaktadır.
X A P
Her
Zam
an
X X X X X
C2 Kontroller,satınalma
taleplerininyetkili
personeltarafından
tam ve doğru yapıldığı
konusundamakul
güvencesağlar.
Uygun bir görevdağılımının
olmamasından dolayı, tek bir kullanıcı, bir
satınalma talebini oluşturabilir, onaylayabilir(yani serbestbırakabilir),
gerekligörevlendirmeleri
yapabilir vegerekiyorsa
dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla
ödemeyapılmasına ya da
stokların şişmesine sebep
olabilir.
H
Olabilecek tümyetkisiz
satınalma taleplerini tespitetmek amacıyla
satınalma talepleri her ay
gözdengeçirilmektedir.
X X X M D
Her
Ay
X X X X X
27
C1 Kontroller,satınalma
taleplerininyetkili
personeltarafından
tam ve doğru yapıldığı
konusundamakul
güvencesağlar.
Yetkisiz veya aşırı satınalma talep
miktarları; uygun olmayan fiyatlara,aşırı stoklara ve gereksiz ürün
iadelerine sebepolabilir.
M
Kontroller,erişimin yalnızca
satınalma talebi oluşturmaya ilişkin bir iş amacı olan
kişilere verilecekşekilde
yapılmaktadır.
X A P
Her
zaman
X X X X X
C3 Kontroller,satınalma
taleplerininyetkili
personeltarafından
tam ve doğru yapıldığı
konusundamakul
güvencesağlar.
Yetkisiz veya aşırı satınalma talep
miktarları; uygun olmayan fiyatlara,aşırı stoklara ve gereksiz ürün
iadelerine sebepolabilir.
M
Olabilecek tümyetkisiz satınalma taleplerini tespitetmek amacıyla
satınalma talepleri her ay gözden
geçirilmektedir X X X M D
Her
ay X X X X
Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: Kontrol Nitelikleri
1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme
3. CA: Kontrol Faaliyetleri4. I/C: Bilgi ve İletişim 5. M: İzleme
6. K: Kilit Kontrol7. Man/Aut: Manuel veya Otomatik Kontrol8. Pre/Det: Önle ya da Tespit Et
Şekil-6: Satın Al -Öde Süreci için Risk ve Kontrol Matrisi
28
Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve
KontrolHedefleri
Riskler KontrolFaaliyetleri
COSOBileşenleri
KontrolÖzellikleri
KontrolSınıflandırması
Test
Sayı
Ko
ntrolH
edefleri
Riskler
Etk
i/
Olasılık
Ko
ntrolF
aaliyetleri
CE
RA
CA
I/C M
K(Y
/N)
Man
/A
uto
Pre
/D
et
Sıklık
Gerçek
Kay
ıtlı
Değerli
Zam
anın
d
Sınıflandır
Yayınlanm
ış
Test
Son
uçları
Op
erasyon
elE
tkinlik
Notlar
Ana Süreç: TedarikAlt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma C4 Kontroller,
satınalma taleplerinin
yetkili personeltarafından tam
ve doğru yapıldığı
konusundamakul güvence
sağlar.
Uygun bir görevdağılımının
olmamasından dolayı, tek bir kullanıcı, bir
satınalma talebini oluşturabilir,
onaylayabilir (yaniserbest bırakabilir),
gerekligörevlendirmeleri
yapabilir vegerekiyorsa
dönüştürebilir. Bu da tedarikçilere iş
dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına
ya da stokların şişmesine sebep
olabilir.
H
Kontroller,erişimin yalnızca
sipariş oluşturmaya
ilişkin bir iş amacı olan kişilere
verilecek şekilde yapılmaktadır.
X A P
Her
Zam
an
X X X X X
C5 Kontroller,satınalma
taleplerininyetkili personeltarafından tam
ve doğru yapıldığı
konusundamakul güvence
sağlar.
Uygun bir görevdağılımının
olmamasından dolayı, tek bir kullanıcı, bir
satınalma talebini oluşturabilir,
onaylayabilir (yaniserbest bırakabilir),
gerekligörevlendirmeleri
yapabilir vegerekiyorsa
dönüştürebilir. Bu da tedarikçilere iş
dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına
ya da stokların şişmesine sebep
olabilir.
H
Olabilecek tümyetkisiz siparişleri
tespit etmekamacıyla siparişler
her ay gözdengeçirilmektedir.
X X X M D
Her
Ay
X X X X X
C6 Kontroller,satınalma
taleplerininyetkili personeltarafından tam
ve doğru yapıldığı
konusundamakul güvence
sağlar.
Yetkisiz veya aşırı siparişmiktarları; uygun olmayanfiyatlara, aşırı
stoklara ve gereksizürün iadelerine sebep
olabilir.M
Kontroller,erişimin yalnızca satınalma talebi
oluşturmaya ilişkin bir iş amacı
olan kişilere verilecek şekilde yapılmaktadır.
X X X M D
Her
ay X X X X X
Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: Kontrol Nitelikleri
1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme
3. CA: Kontrol Faaliyetleri4. I/C: Bilgi ve İletişim 5. M: İzleme
6. K: Kilit Kontrol7. Man/Aut: Manuel veya Otomatik Kontrol8. Pre/Det: Önle ya da Tespit Et
Şekil-6: Devamı.
29
Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve
KontrolHedefleri
Riskler KontrolFaaliyetleri
COSOBileşenleri
KontrolÖzellikleri
KontrolSınıflandırması
Test
Say
ı
Ko
ntrolH
edefleri
Risk
ler
Etki
/O
lasılık
Ko
ntrolF
aaliyetleri
CE
RA
CA
I/C M
K(Y
/N)
Man
/
Pre
/D
et
Sıklık
Gerçek
Kay
ıtlı
Değ
erli
Zam
anın
Sınıfland
Yay
ınlan
Test
So
nuçlar
ı
Op
erasyo
nel
No
tlar
Ana Süreç: Teslim AlmaAlt Süreç: Mal Tesellümü İşleme Faaliyet: Oluşturma C7 Kontroller, mal
tesellümlerininyetkili personeltarafından tam
ve doğru işlendiği
konusundamakul güvence
sağlar.
Bir maltesellümününyanlış sipariş emriyle veya
yanlış hesaplaeşleştirilmesi; stokların ve
teslim alınan mallar/
faturalanmamış hesapların yanlış ölçülmesine vesonuç olarak,
fatura ve ödemeişlemlerinde
gecikmelere yolaçabilir.
H
Teslim alınan mallar/
faturalanmamış hesapların her ay mutabakatı
yapılır.
X X X M D Her
Ay
X X X X X
C8 Kontroller, malalımlarının
yetkili personeltarafından tam
ve doğru işlendiği
konusundamakul güvence
sağlar.
Mal alımları uygun bir biçimdekaydedilmemekte
dir.
M
Eşleştirilmeyen sipariş raporları her ay gözden
geçirilir.
X X X M D
Her
Ay
X X X X
Ana Süreç: Borçlu HesaplarAlt Süreç: Fatura İşleme Faaliyet: Oluşturma C9 Kontroller,
satıcı faturalarının
yetkili personeltarafından tam
ve doğru oluşturulduğu
konusundamakul güvence
sağlar.
Bir siparişle eşleştirilerek
ödenmesi gerekenbir fatura, sipariş
dikkate alınmadan ödenmektedir; bu
da mal vehizmetlerde kabul
edilemez birödemeye (yani
kabul edilemez veuygun olmayanfiyat farklarına)
yol açabilir.
M
Uygulamagüvenliği,
sipariş dışındaki fatura giriş işlemlerini mümkün
olduğunca sınırlayacak
şekilde sağlanmaktadır.
X A P
Her
Ay
X X X X X
C10 Kontroller,satıcı
faturalarının yetkili personeltarafından tam ve doğru olarak oluşturulduğu
konusundamakul güvence
sağlar.
Yanlış fatura tutarları girilerek satıcılara yanlış ödeme yapılır.
H
Kontroller,yardımcı
dokümanlarla(fatura, kontroltalepleri veya
gider ödemeleri)parasal eşik esas
alınarak eşleştirilir.
X X M P
Gerek
tikçe X X X X
Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: Kontrol Nitelikleri
1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme
3. CA: Kontrol Faaliyetleri4. I/C: Bilgi ve İletişim 5. M: İzleme
6. K: Kilit Kontrol7. Man/Aut: Manuel veya Otomatik Kontrol8. Pre/Det: Önle ya da Tespit Et
Şekil-6: Devamı.
30
Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve
KontrolHedefleri
Riskler KontrolFaaliyetleri
COSOBileşenleri
KontrolÖzellikleri
KontrolSınıflandırması
Test
Say
ı
Ko
ntrolH
edefleri
Risk
ler
Etki
/O
lasılık
Ko
ntrolF
aaliyetleri
CE
RA
CA
I/C M
K(Y
/N)
Man
/
Pre
/D
et
Sıklık
Gerçek
Kay
ıtlı
Değ
erli
Zam
anın
Sınıfland
Yay
ınlan
Test
So
nuçlar
ı
Op
erasyo
nel
No
tlar
Ana Süreç: Borçlu HesaplarAlt Süreç: Fatura İşleme Faaliyet: Oluşturma C11 Kontroller,
satıcı faturalarının
yetkili personeltarafından tam
ve doğru oluşturulduğu
konusundamakul güvence
sağlar.
Borçlu Hesaplar,fatura yardımcı defter kayıtları, Büyük Deftere
kaydedilmemektedir.
L
Bir yaşlanma raporu
yardımıyla ay sonunda AP
yardımcı defter toplamı Büyük
Defterbakiyesiyle
karşılaştırılır. Kaydedilenfarklar varsa
düzeltilir.
X X X M D
Her
Ay X X X X
Ana Süreç: Borçlu HesaplarAlt Süreç: İşlem Ödemeleri Faaliyet: Oluşturma C12 Kontroller,
satıcı ödemelerinin
yetkili personeltarafından tam
ve doğru oluşturulduğu
konusundamakul güvence
sağlar.
Kaydedilenmasraflar ödenen
tutarlardanfarklıdır.
L
Borçlu Hesaplaruygulaması,
satıcı ödeme ve sistem
koşullarına göre onaylanmış
faturadeğerlerini esas alarak otomatikolarak çekler ya
da elektroniködemeler
yazmaktadır.
X A P
Her
Ay X X X X X
C13 Kontroller,satıcıödemelerin
in yetkilipersonel
tarafından tam ve doğru
oluşturulduğu konusunda
makul güvencesağlar.
Yapılan harcamalar
kaydedilmemektedir.
H
Erişim yalnızca çekleri
oluşturacak yetkili
personellesınırlandırılmıştı
r. X X M P
Gerek
tikçe X X X X
C14 Kontroller,satıcı
ödemelerininyetkili personeltarafından tam
ve doğru oluşturulduğu
konusundamakul güvence
sağlar.
Sanal harcamalarkaydedilir.
M
Uygulama,Borçlu Hesaplar
faturaları işlendiği zaman
sipariş ilgili kalemi, alıcı ve fatura arasında bir üçlü faturaeşleme yapar.
X X A P
Her
zaman X X X
Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: Kontrol Nitelikleri
1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme
3. CA: Kontrol Faaliyetleri4. I/C: Bilgi ve İletişim 5. M: İzleme
6. K: Kilit Kontrol7. Man/Aut: Manuel veya Otomatik Kontrol8. Pre/Det: Önle ya da Tespit Et
Şekil-6: Devamı.
31
Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler
Aşağıda, yaygın uygulama kontrolleri ve her kontrol için önerilen testler hakkında ana
hatlarıyla bilgiler yer almaktadır. Tablo, AXA Group tarafından sağlanmıştır.17
Girdi Kontrolleri
Bu kontroller, bilgisayarda işlenmek üzere alınan veriler için gereken uygun izinlerin alındığı
ve bu verilerin makineye duyarlı bir forma dönüştürüldükleri ve verilerin kaybolmadıkları,
baskılanmadıklara, eklemeler yapılmadığı, çoğaltma yapılmadığı veya usulsüz değişikliklere
tâbi tutulmadıkları konusunda makul güvence sağlayacak biçimde tasarlanmışlardır.
Bilgisayarlı girdi kontrolleri arasında; denetim (sağlama) sayısı, kayıt sayımı, denetim
(karma) toplamı ve toplu finansal toplamlar gibi veri kontrolleri ve doğrulama prosedürleri
bulunur; veri hatalarını tespit edecek şekilde tasarlanmış bilgisayarlı düzenleme yordamları
arasında ise, geçerli karakter testleri, eksik veri testleri, sıralama testleri ve limit veya
makullük testleri sayılabilir. Girdi kontrolleri ve önerilen testler aşağıdaki tabloda
açıklanmaktadır.
Girdi ve Erişim KontrolleriBu kontroller, tüm girdi hareket verilerinin tam ve doğru olmalarını ve bunlara izin verilmiş olmasını sağlamaktadır.
Alan Kontrol Olası Testler
Veri kontrollerive doğrulama
Mali değerler üzerinde uygunluk ve limit kontrolleri Format ve gerekli alan kontrolleri, standartlaştırılmış
girdi ekranları. Dizilim kontrolleri (örneğin eksik öğeler), aralık
kontrolleri ve kontrol haneleri Çapraz kontroller (örneğin, belirli politikalar yalnızca
belirli prim tablo kodlarıyla kullanıldıklarında geçerlidir).
Doğrulamalar (örneğin, saklanmış tablo ve aşağı açılan menü)
Her senaryonun bir örnek testi yapılır. Yanlış verileri girmeye ilişkin girişimleri
gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini
tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans
düzeylerini kimlerin değiştirebileceği tespit edilir.
Otomatik yetkilendirme,onaylama veetkisizleştirme
• Yetkilendirme ve onay hakları (örneğin, giderler veya hasar tazminatı ödemeleri ya da belirli bir eşiği aşan kredilerde), rollerine ve uygulamayı kullanma ihtiyaçlarına göre kullanıcılara verilmektedir.
• Etkisizleştirme kabiliyeti (örneğin, aşırı büyük tazminat ödemelerinin onayı) yönetim tarafından kullanıcının rolüne ve uygulamayı kullanma ihtiyacına göre sınırlanmıştır.
Kullanıcı erişim haklarına bağlı olarak testler yapmak.
Her bir hassas fonksiyon ya da hareketeyönelik erişim ayrıcalıklarını test etmek
Ayarlanabilir onay ve yetkilendirmelimitlerini oluşturan ve değiştiren erişim haklarını incelemek.
Otomatik görev dağılımı ve erişim hakları
Onaylı satıcıları ayarlayan kişiler satınalma hareketleri başlatamamaktadırlar.
Hasar tazminatı işlemlerine erişimi olan kişiler bir politika oluşturma veya değiştirme işlemlerini yapamamalıdır.
Kullanıcı erişim haklarına bağlı olarak testler yapmak.
Ayarlanabilir rolleri veya menü yapılarını değiştiren erişim haklarını incelemek
Bekletilen Öğeler Tamamen işlenmemiş yeni politika öğelerini kapsayan yaşlanma raporları, her hafta veya her ay gözetmenler tarafından gözden geçirilmektedir.
Hareketleri işlemek için yeterli bilgilerin olmadığı durumlarda dosyalar askıda tutulur.
Yaşlanma sonuçlarını ve gözetmenin inceleme prosedürlerine ilişkin bulguları gözden geçirmek.
Yaşlanma raporu veya askıdaki dosyalar arasındaki bulunan bir öğeler örneğini incelemek
17 AXA Group’a ait Yaygın Uygulama Kontrolleri ve Önerilen Testler
32
Dosya ve Veri Aktarım Kontrolleri Bu kontroller, elektronik yollarla aktarılan iç ve dış dosyaların ve hareketlerin tanımlanmış bir kaynaktan alınmasını ve tam ve doğru
olarak işlenmesini sağlamaktadır.Alan Kontrol Olası Testler
Dosya aktarım kontrolleri Tarih ve zaman, veri boyutu, kayıtların hacmi ve kaynakların doğruluğunun kanıtlanması da dâhil içeriğin tamlığı ve geçerliliğine ilişkin kontroller.
Aktarım raporları ve hata raporlarını gözlemlemek.
Geçerlilik ve tamlık parametreleri ve ayarlarını gözlemlemek
Veri aktarımlarındaki ayarlanabilir parametreleri düzenleme ve değiştirmeye erişimi gözden geçirmek.
Veri aktarım kontrolleri Alınan verileri doğrulamak amacıyla seçilen girdi kontrollerinin uygulanması (örneğin kilit alanlar, uygunluk vs.)
Her senaryoya ilişkin test örnekleri Yanlış verileri girmeye ilişkin girişimleri
gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini
tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans
düzeylerini kimlerin değiştirebileceğini tespit ediniz.
İşleme Kontrolleri
Bu kontroller, veri işlemenin istendiği gibi herhangi bir atlama ya da çift-sayım olmadan
yapıldığına yönelik makul güvence sağlamak üzere tasarlanmıştır. Birçok işleme kontrolü
özellikle çevrimiçi ya da gerçek-zamanlı işleme sistemlerinde girdi kontrolleriyle aynıdırlar,
ancak bunlar işleme aşamalarında kullanılmaktadırlar. Bu kontroller; iç ve dış etiketler,
bilgisayar operasyonlarına ait sistem günlükleri ve limit veya uygunluk testleri gibi
çalıştırmalar-arası toplamlar, kontrol-toplam raporları ve dosya ve işlemci kontrollerini
kapsamaktadır.
İşleme Kontrolleri Bu kontroller, geçerli girdi verilerinin tam ve doğru olarak işlendiğini temin etmektedir.
Alan Kontrol Olası Testler
Otomatik dosyatanımlama ve doğrulama
İşlemede kullanılacak dosyalar mevcut vetamdır.
Doğrulama ve test operasyonu için inceleme süreci
Otomatik fonksiyonlarve hesaplamalar
Bir ya da daha fazla girdi üzerindeyapılan spesifik hesaplamalar ve saklanan veri öğeleri, daha fazla veri öğesi üretmektedir.
Mevcut veri tablolarının kullanımı (örneğin ana dosyalar ya da oranlama tabloları gibi sabit veriler)
Genel gözden geçirme ve yeniden-performans ile tümsenaryoların girdi değerleri ve çıktı değerlerini karşılaştırmak.
Tablo bakım kontrollerini gözden geçirmek ve düzenlemelerile tolerans düzeylerini kimlerin değiştirebileceğini tespit etmek
Denetim izleri veetkisizleştirmeler
Değişiklik ile spesifik bir kullanıcı arasında bağlantı kurarak verilerde yapılan değişikliklerin otomatik takibi
Normal süreçlerde yapılan etkisizleştirmelerin izlenmesi ve vurgulanması
Raporları ve incelemelere ilişkin bulguları incelemek Normal süreçleri etkisizleştirmeye yönelik erişimi
incelemek.
33
Veri özütleme, filtrelemeve raporlama
Hesap özeti yordam çıktılarının makul ve tam olup olmadığı değerlendirilir.
Hareketlerin otomatik atamaları (örneğin, reasürans, ek aktüeryal süreçler ve fontahsisi amaçlarıyla)
Finansal raporlama amaçlarıyla yapılan tahminlerde kullanılan verilerin değerlendirilmesi.
Hesap özeti yordamının tasarımını kullanılan veri dosyalarına kıyasla incelemek.
Normal inceleme ve zorluklarla ilgili bulgular için hesapözeti yordamındaki çıktıların denetimsel değerlendirmesini incelemek.
Atamaların bir örneğini inceleyerek uygun olup olmadıklarına karar vermek
Özetlenen verilerin tam ve geçerli olup olmadıklarını değerlendirmek için süreci incelemek.
Arayüz dengeleme Besleme sistemlerinden alınan verilerin (örneğin, bordro, tazminat ödemeleri verileri vs.) veri depolarına veya büyük deftere aktarımlarının otomatik kontrolü
Her iki sistemin eşleşmesini dengeleyen otomatik kontrol. Dengelemediği takdirde bir istisna raporu hazırlanır ve kullanılır.
Arayüz hata raporlarını denetlemek.
Geçerlilik ve tamlık parametreleri ve ayarlarını denetlemek
Arayüzlerde ayarlanabilir parametreler oluşturma ve değiştirmeye yönelik erişimi incelemek
Eşleştirme raporları, kontroller ve hatalı dosya işlemeye ilişkin bulguları denetlemek.
Otomatik fonksiyonlar Yaşlanan hareketler hakkında yönetime veri sunmak için borçlu listesinden alınan dosya çıktıları
Yaşlanma işlemlerinin uygunluğunu doğrulamayla ilgili hareketlerin listelenmesine ilişkin test örneği.
Çift kontroller Alanları eşleştirmek amacıyla münferit hareketlerin daha önceden kaydedilmiş hareketlerle karşılaştırılması.
Münferit dosyaların beklenen tarihler, zamanlar, boyutlar vs. ilekarşılaştırılması.
Çift hareketler veya dosyalarda ayarlanabilir parametreleroluşturma ve değiştirmeye yönelik erişimi incelemek
Reddedilen dosyalar veya hareketleri ele almaya ilişkin süreci incelemek.
Çıktı Kontrolleri
Bu kontroller, işleme sonuçlarının doğru olduğuna ve yalnızca yetkili personele dağıtıldığına
yönelik makul güvence sağlamak üzere tasarlanmaktadır. İşleme sırasında çıktı olarak üretilen
kontrol toplamları, işleme sırasında üretilen girdi ve çalıştırmalar-arası kontrol toplamlarıyla
karşılaştırılmalı ve bunların mutabakatları yapılmalıdır. Ana dosyalar için bilgisayar-ürünü
değişiklik raporları, bilgilerin doğru olduğunu temin etmek amacıyla orijinal kaynak
dokümanlarıyla karşılaştırılmalıdır.
Çıktı Kontrolleri
Bu kontroller, çıktıların tam ve doğru olduğunu ve gereğine uygun bir biçimde dağıtıldığını göstermektedir.
Alan Kontrol Olası Testler
Büyük defter kayıtları Tüm münferit ve özetlenmiş hareketler büyük deftere kaydedilir.
Girdi ve yardımcı defter özet hareketleri örnekleri, büyük deftere kadar izlenir.
Yardımcı defter kayıtları Tüm başarılı işlemler yardımcı deftere kaydedilir.
Girdi hareketleri yardımcı deftere kadar izlenir.
Ana Dosyalar ve Sabit Veri Kontrolleri
Bu kontroller, ana dosyalar ile sabit verilerin bütünlüğünü ve doğruluğunu temin etmektedir.
Alan Kontrol Olası Testler
Güncelleme yetkilendirme Rollerine ve uygulamayı kullanma ihtiyaçlarına göre kıdemli kullanıcılara tahsis edilen hakları güncellemeye erişim
Ana dosyaları ve sabit verileri oluşturma ve değiştirmeye yönelik erişimi incelemek
34
Ek-B: Örnek Denetim Programı
İç denetçiler; amaçlar, kapsam, kaynak mülahazaları da dâhil her bir denetim görevi ve
denetim çalışması programı için bir plan geliştirmeli ve kaydetmelidirler. Amaçlar, uygulama
kontrollerinin finansal, operasyonel veya mevzuata uyum risklerini yönetmek için uygun bir
biçimde tasarlanıp tasarlanmadığını ve etkin bir şekilde çalışıp çalışmadığını tespit etmesine
olanak tanımaktadır. Uygulama kontrollerinin amaçları arasında, bu rehberin ikinci sayfasında
da ana hatlarıyla belirtildiği gibi şunlar yer almaktadır.
Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;
Veriler, hedeflendiği şekilde kabul edilebilir bir zaman periyodu dâhilinde
işlenmektedir;
Saklanan veriler tam ve doğrudur;
Veri girdisi, saklama ve çıktısını işleyen bir kayıt muhafaza edilmektedir.
Yukarıda belirtilen amaçlara ulaşmak için atılması gereken adımlar şunlardır:
Adım-1: Bir risk değerlendirmesi yapınız (Bu rehberin 7. sayfasına bakınız).
Adım-2: İncelemenin kapsamını belirleyiniz (Bu rehberin 9. sayfasına bakınız).
Adım-3: Detaylı inceleme planı geliştiriniz ve iletiniz (Bu rehberin 10. sayfasına
bakınız).
Adım-4: Uzman kaynaklara gereksinim duyulup duyulmadığını belirleyiniz (Bu
rehberin 10. sayfasına bakınız).
Adım-5: Bilgisayar-destekli denetim tekniklerine ihtiyaç duyulup duyulmayacağını
belirleyiniz (Bu rehberin 13. sayfasına bakınız).
Adım-6: Denetimi gerçekleştiriniz (aşağıda verilen örnek denetim programına
bakınız). Lütfen örnek programın kurumunuza uygulanabilecek tüm testleri kapsamayı
hedeflemediğini not ediniz.
35
Örnek Denetim ProgramıSpesifik şirket verileri ve denetimin kapsamına ilişkin bir inceleme, aşağıdaki inceleme faaliyetleriyle ilgili ayrıntılı test adımlarını belirleyecektir.
Kontrol Amacı Kontroller İnceleme Faaliyetleri
Amaç-1:Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;
Girdi verileri; veri girişinden önce tüm hareketlerin yetkilendirilmesinive onaylanmasını sağlayacak şekilde tasarlanmakta ve etkin bir biçimdeçalışmaktadır.
Veri girdi prosedürleri elde etmek, yetkilendirme ve onaysürecini anlamak ve bir inceleme ve onay süreci olupolmadığını ve uygun onaylar almakla yükümlü kullanıcılara iletilip iletilmediğini tespit etmek.
Uygulama sahibi veya süreç sahibinin girilmeden önce tümverilerin yetkilendirilmiş olduğundan emin olduklarını doğrulamak. Bu, roller ve sorumlulukların görevlere bağlı olarak verilmesiyle gerçekleştirilebilir.
Onay düzeylerinin bir kopyasını elde etmek ve uygun onayların tutarlı olarak verildiğini doğrulamak için sorumlu tayin edilip edilmediğini tespit etmek.
36
Örnek Denetim Programı
Kontrol Amacı Kontroller İnceleme Faaliyetleri
Girdi kontrolleri, girilen hareketlerintam ve doğru işlenmesini teminedecek şekilde etkin tasarlanmakta veçalışmaktadır.
Veri girdi prosedürlerini elde etmek ve veri girişlerinden sorumlu kişilerin girdilerin hazırlanması, girişi ve kontrolü hakkında eğitilmiş olduklarını doğrulamak.
Yanlış tarihler, yanlış karakterler, geçersiz alan uzunluğu, eksik veriler ve çift hareket girişleri/numaraları dâhil ancak bunlarla sınırla kalmayan belirli kriterlere uymayan girdi bilgilerini kontrol eden ve ardından reddeden uygulamalara düzenleme rutinleri yerleştirilip yerleştirilmediğini tespit etmek.
Çift kayıtların girilmesini önlemek amacıyla manüel verigiriş kontrollerinin mevcut olduğunu ve çalıştığını doğrulamak. Manuel veri kontrolleri kapsamında kaynak dokümanların önceden numaralandırılması ve kayıtlar girildikten sonra “girdi” olarak işaretlenmesi yer almaktadır.
Eklenen verilerin kabul edilebilir bir kaynaktan alındığını ve kaynağın faydalanıldığı ve bağımsız kaynak raporlarının kullanıldığı kontrol toplamları, kayıt sayımları ve başka tekniklere uygun hale getirildiğini doğrulamak.
Kullanıcıların hareketlere girmesini ve izin vermesini önlemek için uygun görev dağılımının olup olmadığını belirlemek.
Veri girişinden sorumlu personel ile çıktıların tam ve doğru olduğunu karşılaştırmak ve doğrulamakla yükümlü personel arasında uygun görev dağılımı olup olmadığını doğrulamak.
Hesaplamalar ve tablolar gibi sistem programlarında yetkisiz değişiklikleri önlemek amacıyla kontrollerin mevcut olduğunu doğrulamak.
Girdi kontrolleri, reddedilen tümhareketlerin tam ve uyguntanımlanmasını ve yeniden işlenmesini sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadır.
Reddedilen hareketleri ve ardından gelen hata düzeltme işlemlerini ele almak için veri girdi prosedürleri elde etmek ve hataların düzeltilmesinden ve verilerin yeniden girişinden sorumlu personelin yeterince eğitilip eğitilmediğini tespit etmek.
Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak.
Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak.
37
Örnek Denetim Programı
Kontrol Amacı Kontroller İnceleme Faaliyetleri
Kontroller, başka bir sistemden otomatik olarak kaydedilen verilerintam ve doğru işlenmesini sağlamakamacıyla etkin bir biçimde tasarlanmakta ve çalışmaktadır.
Prosedürler elde etmek ve otomatik arayüzlerin nasıl yetkilendirildiği ve otomatik işleme olayını neyin harekete geçirdiğiyle ilgili detaylı bilgilerin dâhil edildiğini doğrulamak.
İşleme programlarının dokümante edildiğini ve problemlerin zamanında tespit edildiğini ve düzeltildiğini doğrulamak.
Sistemler-arası kayıt sayımlarının ve toplam parasal değerlerin otomatik arayüzler için sistematik olarak doğrulanıp doğrulanmadığını ve reddedilen öğelerin kaydedilmesinin önlenip önlenmediğini ve daha sonra takip edilmek ve yeniden işlenmek üzere bayrakla işaretlenip işaretlenmediğini tespit etmek.
Başka uygulamalar tarafından kullanılmak üzere oluşturulan veya başka uygulamalara aktarılan dosya ve verilerin tüm aktarım süreci boyunca yetkisiz modifikasyonlardan korunduğunu doğrulamak.
Kontroller, işleme sırasında doğru veri dosyalarının ve veritabanlarının kullanılmasını sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.
Test verileri ve programlarının üretimden ayrı tutulduğunu doğrulamak ve onaylamak
Amaç -2:Veriler, hedeflendiği şekilde kabul edilebilir bir periyot içerisinde işlenmektedir.
İşleme kontrolleri, tüm hareketlerin zamanında ve doğru hesap dönemiiçerisinde işlenmesini sağlamakamacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.
Çıktıları tamlık ve doğruluk bakımlarından kaynak dokümanlara kıyasla doğrulamak. Buna kontrol toplamlarının doğrulanması da dâhildir.
Doğru girilen hareketlerin fiilen işlendiğimi ve hedeflendiği şekilde doğru hesap döneminde kaydedildiğini temin eden rutinlerin uygulamaya dâhil edilip edilmediğini tespit etmek
İşleme kontrolleri, reddedilen tüm hareketlerin zamanında tanımlanmasıve yeniden işlenmesini sağlamakamacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.
Reddedilen hareketleri ve ardından gelen hata düzeltme işlemlerini ele almak için prosedürler elde etmek ve hataların düzeltilmesinden ve verilerin yeniden girişinden sorumlu personelin yeterince eğitilip eğitilmediğini tespit etmek.
Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak.
Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak.
38
Örnek Denetim Programı
Kontrol Amacı Kontroller İnceleme Faaliyetleri
Amaç -3:Saklanan veriler tam ve doğrudur.
Mantıksal erişim kontrolleri; yetkisiz erişimi, modifikasyonları veya sistem verilerinin ifşasını önlemek amacıyla etkin birşekilde tasarlanmakta ve çalışmaktadır.
Şifre konfigürasyonu elde etmek ve politikalar kullanmak ve güçlü şifreler, şifre sıfırlamaları, hesap kilitleme ve şifreyi yeniden kullanmaya ilişkin koşulların mevcut olup olmadığını tespit etmek.
Yukarıdaki politikanın incelenen uygulama(lar)auygulandığını doğrulamak.
Uzak erişim kontrollerinin etkin bir şekilde tasarlanıp çalıştığını doğrulamak.
Kullanıcıların erişimlerinin görev sorumluluklarına göre spesifik fonksiyonlarla sınırlandığını doğrulamak (rol-esaslı erişim).
Ayrıcalıklı kullanıcılar dâhil tüm kullanıcılara özgün kullanıcı adlarının tayin edildiğini ve kullanıcı ve yönetici hesaplarının paylaşılmadığını doğrulamak.
Erişim izni verilmeden veya bu izinde herhangi bir değişiklik yapılmadan önce kullanıcı hesabının oluşturulmasına ve modifikasyonuna ilişkin onayların alındığını doğrulamak (kullanıcılar arasında ayrıcalıklı kullanıcılar, çalışanlar, yükleniciler, satıcılar ve geçici personel bulunmaktadır).
Erişimin hesap iptalinden hemen sonra kaldırıldığını doğrulamak
Kritik finansal veriler, uygulamalar ve işletim sistemlerine erişimin doğru ve güncel olduğunu temin etmek için uygulama sahibinin kullanıcı ve sistem hesaplarının her altı ayda bir incelemesinin yapıldığından emin olmakla sorumlu olduğunu doğrulamak.
Kontroller, veri yedeklemelerinintam ve doğru olduğundan ve zamanında yapıldığından emin olmak amacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır.
Yedeklemelerin programlandığını ve bu yedeklemelerin politikaya göre tam, doğru ve zamanında yapıldığından emin olmak için günlüklerin izlendiğini doğrulamak.
Yedeklerin uygun bir şekilde saklandığından ve etkin bir şekilde yeniden yüklenebileceğinden emin olmak amacıyla periyodik olarak testler yapıldığını doğrulamak.
Yedeklemelere ilişkin işletme koşullarının düzenli olarak onaylandığını doğrulamak.
Kontroller, verilerin güvenli,kurum dışında, çevresel açıdan kontrollü bir lokasyonda fizikselolarak saklanmasını sağlamakamacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır.
Verilerin kurum dışında, güvenli ve çevresel olarak kontrollü bir lokasyonda saklanmasına ilişkin mekanizmaların mevcut olduğunu doğrulamak.
39
Örnek Denetim Programı
Kontrol Amacı Kontroller İnceleme Faaliyetleri
Amaç - 4: Çıktılar tam ve doğrudur.
Tüm hareket çıktılarının tam ve doğru olduğundan emin olmak için etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır.
Veri çıktı prosedürleri elde etmek, inceleme sürecini anlamak ve veri girişinden sorumlu kişilerin veri çıktısı inceleme ve doğrulama konusunda eğitilmiş olduklarını doğrulamak.
Çıktıların tam ve doğru olup olmadığını anlamak amacıyla gözden geçirilerek kaynak dokümanlarla karşılaştırıldığını doğrulamak. Ayrıca kontrol toplamları da doğrulanmalıdır.
Tüm hareket çıktılarının uygun personele dağıtılmasını ve dağıtım sırasında hassas ve gizli bilgilerin korunmasını sağlamak amacıyla çıktı kontrolleri etkin bir şekilde tasarlanmakta ve çalışmaktadır.
Mevcut veri çıktı prosedürlerini incelemek ve buprosedürlerin veri çıktısını hangi personelin alacağını ve verilerin dağıtım sırasında nasıl korunacağını belgeleyip belgelemediğini tespit etmek.
Belirlenen zamanda bir çıktı raporu oluşturulmasını ve bu raporunbelirlenen dönemi kapsamasını sağlamak amacıyla etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır.
Bir çıktı raporunun oluşturulduğunu doğrulamak ve raporda belirtilen tarih ve zamanın belirlenen zaman olduğunu tespit etmek
Raporu söz konusu döneme ait kaynak dokümanlarlakarşılaştırarak belirlenen dönemi kapsayıp kapsamadığını tanımlamak
Amaç -5: Veri girişi, saklanması ve çıkışına ilişkin süreci izleyen bir kayıt tutulmaktadır.
Tüm hareket verileri için bir denetimizi oluşturulduğundan vesürdürüldüğünden emin olmak amacıyla kontroller etkili bir şekilde tasarlanmakta ve çalışmaktadır.
Tüm kayıtların işlendiğini ve hareketin girilmesinden saklanmasına ve çıkarılmasına kadar izlendiğini temin eden işleme denetim izleri ve günlüklerin mevcut olduğunu doğrulamak.
Reddedilen hareketlerin tanımlanmasını ve yeniden işlenmesini izleyen denetim raporlarının mevcut olduğunu doğrulamak. Raporlar kapsamında, reddedilen hareketinaçık bir tanımı ve belirlenen tarih ve zaman bulunmalıdır.
40
7. Sözlük
Uygulama Kontrolleri: Uygulama kontrolleri, her bir uygulamaya özgü ve her bilgisayar-
tabanlı uygulama sistemiyle ilgili verilerle ilgilidirler. Uygulama kontrollerinin amaçları,
kayıtların tamlığını ve doğruluğunu ve programlanmış işleme faaliyetleri sonucunda yapılan
girişlerin geçerliliğini güvence altına almaktır. Uygulama kontrollerine örnek olarak veri girdi
doğrulaması, yığın toplamlarının mutabakatı ve aktarılan verilerin şifrelenmesi verilebilir.
Veri Girdi Kontrolleri: Veri girdi kontrolleri, bir bilgisayara veya uygulamaya girildikten
sonra dönüştürülmeleri boyunca verilerin doğruluğu, tamlığı ve zamanındalığını temin
etmektedir. Veriler, bir bilgisayar uygulamasına, bir manuel çevrimiçi girdisi ya da otomatik
seri işlemeyle girilebilir.
Veri Çıktı Kontrolleri: Veri çıktı kontrolleri, çıktı bilgilerinin bütünlüğünün yanı sıra
oluşturulan her türlü çıktının doğru ve zamanında dağıtılmasını sağlamak amacıyla
kullanılmaktadırlar. Çıktılar, diğer sistemlere girdi olarak kullanılan dosyalar gibi yazılı
kopya formunda olabilir ya da çevrimiçi görüntüleme amaçlı mevcut olabilir.
Veri İşleme Kontrolleri: Veri işleme kontrolleri, bir uygulamanın yığın ya da gerçek-
zamanlı işlenmesi sırasındaki doğruluğu, tamlığı ve zamanındalığını temin etmek amacıyla
kullanılmaktadır.
Kurumsal Kaynak Planlama (ERP): ERP, bir işletmede kaynakların planlanması ve
yönetiminin yanı sıra tüm iş süreçlerini yönetmek ve satınalma, stoklar, personel, müşteri
hizmetleri faaliyetleri, sevkiyat, finans yönetimi ve işletmenin diğer yönlerini birleştirmek
amacıyla bir yazılım sisteminin kullanılmasını ifade etmektedir. Bir ERP sistemi, tipik olarak
bir ortak veritabanı, entegre iş süreci uygulama modülleri ve iş analiz araçlarına
dayanmaktadır.18
BT Genel Kontrolleri (ITGC’ler): Bu kontroller; tüm sistem bileşenleri, süreçler ve
verilerde belli bir kurum ya da BT ortamı için geçerlidir. ITGC’lerin amacı uygulamaların
uygun bir biçimde geliştirilmesi ve yürütülmesi ve program, veri dosyaları ve bilgisayar
operasyonlarının bütünlüğünün temin edilmesidir.
Aşağıda en yaygın ITGC’ler verilmektedir:
Altyapı, uygulamalar ve veriler üzerinde mantıksal erişim kontrolleri;
Sistem geliştirme yaşam döngüsü kontrolleri;
Program değişiklik yönetimi kontrolleri;
Veri merkezi fiziksel güvenlik kontrolleri;
Sistem ve veri yedekleme ve kurtarma kontrolleri;
Bilgisayar operasyon kontrolleri.
18ISACA’nın Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü’nden alıntılanmıştır.
41
Risk: Amaçların gerçekleştirilmesine etki edecek bir olayın ortaya çıkma ihtimali. Risk etki
ve olasılık bakımlarından ölçülmektedir. 19
Görev Ayrılığı: Hareketleri başlatmak, hareketleri kaydetmek ve varlıkları denetlemek
amacıyla farklı kişilere sorumluluklar tayin ederek hataları ve düzensizlikleri önleyen
kontroller. Görev ayrılığı, çok sayıda çalışanı olan kurumlarda, tek bir kişinin fark edilmeden
suiistimal eyleminde bulunacak bir konumda bulunmasını engellemek amacıyla
uygulanmaktadır.
8. Referanslar:
GTAG 4: BT Denetiminin Yönetimi
GTAG 1: Bilgi Teknolojisi Kontrolleri
ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14
COSO Finansal Raporlamaya İlişkin İç Kontrol – Halka Açık Küçük Şirketler İçin
Rehber.
PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş,
Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, B29 – 30 paragrafları
IIA Standardı 1220: Azami Mesleki Özen
IIA Standardı 1210.A3.
IIA Standardı 1130.C1.
AXA Group, Yaygın Uygulama Kontrolleri ve Önerilen Testler
ISACA Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü
IIA Uluslararası Mesleki Uygulamaları Çerçevesi
19IIA Uluslararası Mesleki Uygulama Çerçevesi Sözlüğü’nden alıntılanmıştır.
42
Yazarlar Hakkında
Christine Bellino, CPA, CITP
Christine Bellino, Jefferson Wells’ Denver uygulamasında teknoloji riski yönetimi başkanı ve
IIA’nın Gelişmiş Teknoloji Komitesi’nin bir üyesidir. Bellino, kurumun Risk Esas Alınarak
BT Genel Kontrolleri Kapsamının Değerlendirilmesine İlişkin Rehber (GAIT) çekirdek
ekibinin bir üyesidir. Şu anki sorumlulukları arasında küçük, orta ve büyük ölçekli kurumlar
için çoklu iş süreçlerinin ve ITGC’lerin yönetimi bulunmaktadır.
Bellino; finans, operasyonlar ve teknoloji risk yönetimi alanlarında 25 yılı aşkın tecrübeye
sahiptir ve yakın zamanda yayımlanan Finansal Raporlamaya İlişkin İç Kontrol –Halka Açık
Küçük Şirketler İçin Rehber’den sorumlu COSO İş Gücü’nün eş-başkanlığını yapmıştır.
Steve Hunt, CIA, CISA, CBM
Steve Hunt, Crowe Horwath LLP risk danışmanlık grubunda üst yönetici görevini
yapmaktadır ve IIA Gelişmiş Teknoloji Komitesi, ISACA ve İş Yönetimi Uzmanları Derneği
üyesidir. Hunt, farklı sektörlerde Fortune 1.000 orta ve küçük ölçekli şirketle çalışarak
finansal, operasyonel görevler ile BT risk yönetimi görevlerinin dağıtılmasını yönetmektedir.
Hunt; muhasebe, iç denetim ve yönetim danışmanlığı dâhil çeşitli farklı sektörlerde 20 yıldan
fazla çalışma deneyimine sahiptir. Daha spesifik olmak gerekirse, Sarbanex-Oxley’e uyumla
ilgili detaylı denetimler ve başka iç ve dış denetimler gerçekleştirmiş ve iş süreci yeniden
yapılandırma projeleri ve iş geliştirme girişimlerine katılmıştır. SAP R/3 uygulamaları ve
uygulama güvenlik ve iş süreci kontrollerini yapılandırmak konusunda yılların deneyimine
sahiptir ve Amerika Birleşik Devletleri’nde çeşitli üniversitelere ve kurumlara özel konuşmacı
olarak katılmıştır.
Gözden Geçirenler
IIA, değerli yorumlarıyla bu rehberin hazırlanmasına büyük katkılar sağlayan aşağıdaki kişi
ve kurumlara teşekkürlerini sunar:
43
BT Denetim Uzmanlığı Grubu, IIA, İsveç
IIA teknik komiteleri – BK ve İrlanda
Helge Aam, Deloitte – Norveç
Ken Askelson, JCPenney Co. Inc. ABD.
Rune Berggren, IBM – Norveç.
Shirley Bernal, AXA Equity Life Insurance Co., ABD
Lily Bi, IIA
Claude Cargou, AXA – Fransa
Maria Castellanos, AXA Equity Life Insurance Co., ABD
Nelson Gibbs, Deloitte & Touche, LLP.
Steven Markus, AXA Equity Life Insurance Co., ABD
Peter B. Millar, ACL Services Ltd. Kanada.
Stig J. Sunde, OAG – Norveç.
Jay R. Taylor, General Motors Corp. – ABD
Karine Wegrzynowicz, Lafarge Kuzey Amerika
Hajime Yoshitake, Nihon Unisys Ltd. – Japonya
Jim Zemaites, AXA Equity Life Insurance Co., ABD
Joe Zhou, GM Denetim Hizmetleri, Çin.
44
EEC’nin misyonu “diğerlerinin başarmasına yardımcı olmaktır” ve birçoğu Big 4 ve Tier 1 danışmanlık firmalarında çalışmış olan deneyimli uzmanlarımızla işletmenizde kontrol çözümlerini tam olarak uygulamak içingereken bilgi ve becerileri elimizdebulundurmaktayız. Müşterilerimiz, zamanında ve etkin çözümler sunarak işletmelerine ve operasyonel performanslarına pozitif etkide bulunma kabiliyetimiz takdir etmektedirler.
ECC’nin Kurumsal Çözümler ekibi, kurumunuzçapında idareciler ile yöneticilere süreçleri değerlendirmek, güvence altına almak ve optimize etmek konusunda yardımcı olmaktadır. Çözümlerimiz, birincil hizmet hatlarımız olan iç denetim eş-kaynak kullanımı ve dış kaynak kullanımı, kurumsal risk yönetimi, teknoloji riski ve kurumsal yönetişim yoluyla sunulmaktadır. Planladığınız iş süreçleri ve kontrollerinizle birlikte risk-esaslı, katma değer bir yaklaşım tasarladık. Bunu da söz konusu kontrolleri süreçlerinize ve sistemlerinize yerleştirerek kurumsallaştırmak amacıyla kurumunuzla işbirliği yaparak başardık.
Günümüzün rekabetçi danışmanlık ortamında, müşterilerimiz tarafından sürekli olarak “çalışanlarımız” ve ECC’nin kontrol danışmanlık uzmanlarından oluşan “mükemmel ekibi” sağlama kabiliyetimizle tanınmaktayız. Sizin ve kurumunuzun sahip olduğu tutku, heves ve istek ECC’yi sizin için en doğru seçim yapmaktadır. ECC’nin sizi başarıya ulaştırmasına izin verin. Enterprise Controls Consulting LP (“ECC”)genel merkezi Dallas/Fort Worth Texas’tabulunan, sahibi kadın olan ulusal bir profesyonel hizmetler firmasıdır. ECC iş performansını geliştirmekte ve verimli sonuçlar üretmektedir.
Enterprise Controls Consulting LP
4545 Fuller Drive, Suite 404
Irving, Texas 75038
Tel: 214.614.2400
Faks: 214.614.2401
45
İşletmenizi Şansın
Yönetmesine İzin Vermeyin
Enterprise Controls Consulting LP (ECC)4545 Fuller Drive, Suite 404Irving, Texas 75038Tel: 214.614.2400Faks: 214.614.2401.WWW. ECCLP.COM
Hepiniz şu eski “Şansa bak” deyişini duymuşsunuzdur. Hepimizin hayatında şansı birkaç kez yaver gitmiştir. Ancak olası riskleri görmezden gelip yalnızca şansa güvenmek işi çok fazla şansa bırakmak demektir.
Yöneticiler geleceğe ilişkin vizyonlarının bir şemasını oluştururken pek çok sayısız engelle karşılaşmaktadırlar. Şirketinizin hedeflerini belirlemeye yönelik temel taşı, güçlü ve kuvvetli uygulamalarla desteklenen kanıtlanmış iş süreçleriyle desteklenmektedir. ECC, veribütünlüğü sorunları, güvenlik tasarımındaki zayıf yönler, düzgün yapılandırılmamış işletme kuralları ve önemli işleme hataları gibi tehlikeler konusunda çok geç olmadan size yardımcı olabilir.
ECC’nin kontrol uzmanları, sistem uygulamalarınızın içinde ve dışında iş risk yönetimi stratejilerini geliştirmek amacıyla iş ekiplerinizle çalışmaktadır. Bir yandan sistem uygulaması çevrenizdeki zafiyetleri ortaya çıkarmak, diğer yandan pratik çözümler sunmak amacıyla risk-tabanlı yaklaşımımızı kullanarak sizinle el ele çalışacağız. Birlikte, hiçbir şeyi şansa bırakmayarak, sistem uygulamalarınızın sizin aleyhinize değil lehinize güçlenmesini sağlayacağız.
ECC… İş Performansını Geliştirir. Verimli Sonuçlar Üretir.
46
GTAG®
GTAG 8: Uygulama Kontrollerinin Denetimi
Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işleme
toplamlarının dengelenmesi, hareketlerin günlüğe kaydedilmesi ve hataların raporlanmasını
içeren münferit iş süreçler veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Etkili
uygulama kontrolleri, verileriniz ve sistemlerinizin bütünlüğü, doğruluğu, gizliliği ve
tamlığını temin etmek konusunda yardımcı olacaktır. Bu rehber, iç denetim yöneticilerine
(İDY) uygulama kontrolüyle ilgili bilgiler, bunların genel kontrollerle ilişkisi, risk-tabanlı bir
uygulama kontrolü incelemesinin kapsamı, bir uygulama kontrolü incelemesi yapılmasına
ilişkin adımlar, kilit uygulama kontrollerinin bir listesi ve bir örnek denetim planı
sunmaktadır.
Bize geribildirimde bulununuz! Bu Uygulama Rehberine oy vermek ve yorumlarda bulunmak
için lütfen www.theiia.org adresindeki GTAG 8 sayfasını ziyaret ediniz.
GTAG Nedir?
Uluslararası İç Denetçiler Enstitüsü tarafından hazırlanan Global Teknoloji Denetim Rehberi
(GTAG), BT yönetimi, kontrolü ve güvenliği ile ilgili sorunları zamanında ele almak
amacıyla açık ve basit bir mesleki dille yazılmaktadırlar. GTAG dizileri, hem teknolojiyle
ilgili farklı riskler hem de tavsiye edilen uygulamalar konusunda iç denetim yöneticileri için
hazır başvuru kaynağı görevini görmektedirler.
GTAG 1: Bilgi Teknolojisi Kontrolleri
GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı İçin Kritik Önemde
GTAG 3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlendirmesine İlişkin Mülahazalar
GTAG 4: BT Denetiminin Yönetimi
GTAG 5: Mahremiyet Risklerinin Yönetimi ve Denetimi
GTAG 6: BT Zafiyetlerinin Yönetimi ve Denetimi
GTAG 7: Bilgi Teknolojisinin Dış Kaynaklardan Elde Edilmesi
Teknolojiyle ilgili denetim rehberi hakkında daha fazla bilgi ve kaynağa ulaşmak için
www.theiia.org/technology web adresini ziyaret ediniz.
GTAG’ler Uluslararası Mesleki Uygulama Çerçevesi kapsamında düzenlenen Uygulama
Rehberleridir.
IIA – Uluslararası İç Denetçiler Enstitüsü www.theiia.org
Sipariş Numarası: 1033 IIA Üyeleri için Ücretsiz
Üye Olmayanlar için 25 USDIIA Etkinliği 22,50 USD