Son yıllarda giderek artan rekabet ortamı ve teknolojideki büyük atılımlar bankacılık sektöründeki iş riskini daha da arttırmıştır. Sektörün düzenlenmesine yönelik artan yasal ve kurumsal düzenlemeler nedeniyle uluslararası yöntem ve metodolojileri kullanma zorunluluğunun ortaya çıktığı görülmektedir. Banka bünyesinde gerçekleştirilen bütün faaliyetlerin etkin ve efektif bir şekilde denetim ve gözetimi için Bilgisayar Destekli Denetim Teknikleri (Computer Assisted Audit Techniques – CAATs) bu bakımdan önemli bir yöntem ve metod olarak karşımıza çıkmaktadır. Bilgisayar Destekli Denetim yöntemi ile denetçiler veri yığınlarıyla uğraşmaktan kurtulmakta aksine özümsenmiş, süzülerek ve belli kontrollerden geçirilerek elde edilen sonuçlar üzerinden denetimlerini tamamlama imkanı bulmaktadırlar. Bilgisayar Destekli Denetim Tekniklerinin Türk Bankacılık sistemi içerisinde yeri, önemi ve gelişim noktalarını belirlemek çalışmanın amacını oluşturmaktadır.
Anahtar Kelimeler: Bilgisayar Destekli Denetim, Sürekli Denetim, Denetim Teknikleri, Bankacılık
Abstract(Computer Assisted Audit Techniques in Banking Sector)
Increasing competition environment and big strides in technology in recent years increased business risk further in banking sector. It is observed that using inrternational methods and methodologies are required due to increasing legal and corporate arrangements in regulation of the sector. Therefore computer assisted audit techniques appear as an important method for effective and efficient auditing and supervising of all activities carried out within the bank. With computer assisted audit methods, auditors, avoid working with data clusters, contrarily they have possibility of completing their audits based on the results that are absorbed filtrated an undergone certain controls. The aim of this study is to determine the place, importance and development points of computer assisted audit techniques in Turkish Banking System.
Key Words:Computer Assisted Audit, Continious Audit, Audit Techniques, Banking
Giriş
Günümüzün giderek değişen iş dünyası gerek bankalar gerekse bankaların denetim birimleri açısından önemli gelişmeler göstermektedir. Rekabet ortamının artması, katı mali ve yasal düzenlemeler, ticari faaliyetler ve teknolojideki büyük atılımlar iş riskini artırmakta ve yanlış mali analizlere neden olabilmektedir.
Günümüzde bankacılık sisteminin mali ve operasyonel yapısının güçlendirilmesine yönelik uygulamalar ile birlikte bankacılık sektöründe gözetim ve denetimin etkinliğini artıracak, sektörü daha etkin ve rekabetçi bir yapıya kavuşturacak yasal ve kurumsal düzenlemelerin arttığını görmekteyiz.
Uluslararası Muhasebe Standartları, Uluslararası Denetim Enstitüsü (IIA) standartları, Bankacılık alanında Basle Komitesinin Accord’ları ve bu normlar esas alınarak hazırlanan Bankacılık Kanunu ve BDDK Yönetmelikleri de bu gelişmeye işaret etmektedir.
Bu çerçevede Bankaların ve özel finans kuruluşlarının piyasa disiplini içerisinde, sağlıklı etkin ve dünya ölçeğinde rekabet edebilir yapıda işleyişi için uluslararası yöntem ve metodolojileri kullanma zorunluluğu doğmuştur.
Banka bünyesinde gerçekleştirilen bütün faaliyetlerinin etkin ve efektif bir şekilde denetim ve gözetimi için Bilgisayar Destekli Denetim Teknikleri (Computer Assisted Audit Techniques – CAATs ) önemli bir yöntem ve metod olarak karşımıza çıkmaktadır.
Bilgisayar Destekli Denetim yöntemi ile denetçiler veri yığınlarıyla uğraşmaktan kurtulmakta aksine özümsenmiş, süzülerek ve belli kontrollerden geçirilerek elde edilen sonuçlar üzerinden denetimlerini tamamlama imkanı bulmaktadırlar.
Çalışmamızın amacı Bilgisayar Destekli Denetim Tekniklerinin Türk Bankacılık sistemi içerisinde yeri, önemi ve gelişim noktalarını belirlemektir.
- Bilgisayar Destekli Denetimin Tanımı
Bilgisayar destekli denetim teknikleri; denetimi yapılan işletmenin muhasebe sistemini, bilgisayar imkânlarını kullanarak denetleme sürecidir. Diğer bir ifadeyle, denetçilerin şahsi üretkenliklerinin denetim fonksiyonlarıyla birlikte artmasını sağlayan bilgisayar tekniklerine “bilgisayar destekli denetim teknikleri” denilmektedir (Pamukçu, 2004; 75). Bilgisayar Destekli Denetim, denetimi yapılan organizasyonun ve dolayısıyla bilgisayarlı muhasebe sisteminin güvenilirliğinin, bilgisayar imkânları kullanılarak denetlenmesi süreci olarak tanımlanabilir (Aksoy,2002; 796). Denetimi yapan denetçi açısından ele alındığında ise bilgisayar destekli denetim , denetlemede verimliliği artıran araç ve teknikler olmanın yanı sıra denetçilerin kişisel verimliliğini artıran teknikler olarak da tanımlanmaktadır.
Bilgisayar destekli denetimler uygulamada, çok çeşitli bilgisayar programları ile gerçekleştirilmektedir. Bilgisayar Destekli Denetim Teknikleri, denetçilerin sistemsel bilgilere bilgisayar yardımı ile ulaşarak, denetim kanıtları ve destekleyici bilgileri temin ettikleri bir yoldur. (Vasarhelyi, Alles ve Kogan, 2004; 84) Başka bir ifade ile Bilgisayar Destekli Denetim Teknikleri, denetçilerin denetimler sırasında kullandığı önemli araçlardır. BDDT’ler; genelleştirilmiş denetim yazılımı, yardımcı program, test verileri, uygulama yazılımı izleme(tracing) ve eşleme (mapping) ve denetim uzmanı sistemleri gibi pek çok tipte araç ve teknikleri içerir (TİDE,2008; 127).
Bilgisayar Destekli Denetimin Tarihçesi
- 1960’larda ilk ana bilgisayarların ortaya çıkmasıyla çok sayıda bilginin elektronik olarak saklaması mümkün hale geldi. Veri girişine/elde edilmesine ilişkin metodlar oluşturuldu. Ayrıca büyük dosyaların hızla incelenmesi de olanaklı hale geldi. Denetim raporlarından, bir dosyanın güvenilirliğinin kanıtlanmasında yararlanılmaya başlandı. Ayrıca endeksleme, toplam alma ve istisnaî raporlama gibi verilerin basit şekilde incelenmesi/belli amaçlar için kullanılması da olanaklı hale geldi.
- Veri transferinin gelişmesiyle bu uygulamalar daha fazla yaygınlaştı. Denetlenen kuruluşun verilerini uzaktan inceleme olanağı doğdu. Veri saklama (manyetik teypler, disketler (floppy), bir modem bağlantısı yoluyla ana bilgisayarda incelenmesi gereken Bilgisayar Destekli Denetim Teknikleri farklı dosyalar oluşturulmasını sağladı.
- 1980’lerde, masa başı kişisel bilgisayarların ortaya çıkması, muhasebe amaçlı yazılımların gelişmesini sağladı. Muhasebe ile ilgili bütün defterler elektronik olarak tutulabildi ve endeksleme, toplam alma, istisnaî raporlama gibi karmaşık uygulamalar daha kolaylıkla yürütülebildi. MS-DOS gibi işletim sistemlerinden yararlanan kişisel bilgisayarların uyumluluğu, dosyanın daha kolay transfer edilebilirliğini sağladı ve denetçiler denetim dosyalarına daha kolay erişebildi.
- Kişisel bilgisayarların hızı ve kapasitesi daha fazla arttığından çok daha fazla sayıda dosya işlenebiliyordu. Dosyaların sistemden sisteme ve bilgisayardan bilgisayara aktarılabilesi amacıyla yazılım ve donanım geliştirildi.
- Muhasebe yazılımına paralel olarak dosya inceleme yazılımı geliştirildi. 1980’lerin sonunda IDEA ve ACL gibi araçlar kişisel bilgisayardaki dosyaların incelenmesi için geliştirildi. Şirketler de bilgisayar programlama dillerinden yararlanarak daha önceki ana bilgisayar incelemelerine benzeyen inceleme yolları yazmaya başlamışlardı.
- Bu eğilim, kişisel bilgisayarların muhasebe ve dosya incelemesine yönelik başlıca araç haline geldiği 1990’lara dek sürdü. Dosya uyumluluğu, çoğu dosya formatına ulaşabilen Windows ve Win95 programlarının gelişmesiyle birçok paketi standart hale getirmeyi sürdürdü (Yarar, 2000; 28).
- 2000 ‘li yıllarda sistem üzerinden spesifik denetim yapılmasına imkan veren özel denetim yazılımları ve paketleri geliştirildi.
Bugün dünya bankacılık sisteminde bilgisayar destekli denetim yazılımlarının kullanımı hızla artmaktadır. Hızlı etkin ve verimli bir denetim gerçekleştirilmesinde Bilgisayar Destekli Denetim teknikleri çok büyük katkılar sağlamaktadır.
Muhasebe Denetiminde Kullanılabilecek BDTT Türleri
3.1.Ticari Yazılımlar
Microsoft Excel ,Word gibi ticari yazılımlar müşteri veritabanı bilgilerinin aktarılarak analiz edilmesi için kullanılmaktadır.
3.2. Sistem Gömülü Denetim Yazılımları
Bu yazılımlar kullanıcı programlarına eklenen ve işleyişi kontrol eden sonuçları denetçilere aktaran devamlı denetim ve gözetim işlevi yürüten yazılımlardır.
3.3.Bütünleşik Test Yazılımları
Müşteri programlarına eklenen ve gerçek datanın denetçiler tarafından test edilebilmesine imkan veren yazılımlardır.
Bütünleşik test tekniği (Integrated Test Facility) ile denetçi, işletme uygulama programlarının mantığını ve kontrollerini tüm muhasebe bilgi sistemini içerecek biçimde test edebilir. Veri testinin bir türü olan bu teknikte denetçi hayali kayıtlar oluşturup bu kayıtları süreğen bir temelde kukla (dummy) verilerle çalıştırabilir ve testin etkinliği önemli ölçüde artırılmış olur.
Örneğin hayali bölüm, satıcı, müşteri, işçi gibi muhasebe verisinin birikebileceği bir temelde verinin işlenebileceği bir yığın yaratılabilir. Bu yığın oluşturulduktan sonra denetçi verileri işletmenin bilgisayar sisteminde işleyerek sonuçlarını alır. Önceden belirlenmiş işlem sonuçları, bütünleşik test tekniği verileri ile elde edilen sonuçlarla karşılaştırır (Erdoğan, 1999; 4) .
3.4.Simülasyon
Müşteri verileri üzerinde denetçiler tarafından karşılaştırmalı analizler ve geleceğe yönelik tahminler yapılabilmesine imkan veren yazılımlardır. Başka bir ifade ile simülasyon, gerçek bir sistemin modelini tasarlama süreci ve sistemin işlemesi için sistemin davranışlarını anlamak veya değişik stratejileri değerlemek amacıyla bu model üzerinde denemeler yapmaktır şeklinde tanımlayabiliriz (Helms, Mancino, 1998;52).
3.5.Program Kodlarının Analizi
Müşteri yazılım kodlarının yönetmeliklere ve kurallara uygun şekilde gerçekleştirildiğinin denetçiler tarafından sistem dökümanları kullanılarak tanımlanmasıdır.
3.6.Veri Analizi
Denetçiler tarafından hazırlanan verilerin bilgisayarlı analizi bir bilgisayar destekli denetim tekniğidir. İşlemler üzerinde inceleme yapılarak beklenen şekilde proses edilip edilmediklerine ilişkin kanıtlar toplanır.
3.7.Özel Denetim Yazılımları
Spesifik görevler ve amaçlar için hazırlanmış ve sistemde dataları işleyen ve inceleyen sonuçları değerlendirilmek üzere denetçilere sunan yazılımlardır.
Bu programlar, birikmiş verilerden denetim için önemli verilerin bilinçli veya tesadüfî seçiminde, hesaplama sonuçları ve verilerin karşılaştırılması v.b. tekdüze ve şekli denetim işlemlerinin yapılmasında kullanılırlar. Özel denetim programları, denetçinin kendisince yazılabileceği gibi, müşteri veya denetçinin siparişi üzerine bilgi işlem danışmanlık firmaları tarafından da hazırlanabilir. Ayrıca bunlar, belirli bir denetim işi için hazırlanmalarına rağmen, esnek bir yapıda programlandığında diğer müşteriler için de kullanılabilirler (Yılmaz, 2007; 82).
3.8.Genel Amaçlı Denetim Yazılımları
İlk olarak Amerikan denetim firmalarınca geliştirilen ve uygulanan standart programlardır. Bunlar, denetçi tarafından istenen denetim işlemlerinin alt programlar şeklinde bir araya getirilmesinden oluşurlar. Standart denetim programları olarak tasarlandıklarından her kullanım için denetimin özel şartlarına uyarlanabilirler. Ancak burada, farklı bilgi işlem sistemlerinin özellikleri ve müşterinin muhasebe organizasyonu dikkate alınmalıdır. Genel denetim programları yardımıyla denetim verileri bilinçli ya da tesadüfî olarak seçilebilirler ve ihtiyaca göre yeniden düzenlenebilirler (Porter, Burton, 1971; 253).
- Bilgisayar Destekli Denetimin Uygulama Aşamaları
4.1.Planlama
Bir BDDT’yi oluşturmaya başlamadan önce, o tekniğin gerektirdiği şekilde planlanması gerekir. BDDT’nin hedefi denetçinin bir hesabı doğrulamada gerek duyduğu güvenceyi elde etmesinde denetçiye yardımcı olmaktır (Yılmaz, 2007; 94).
BDDT incelemeleri için en uygun dosya/dosyaların seçilmesi denetçi için çok önemlidir ve mevcut veri dosyaları incelenirken özen gösterilmelidir. Denetçi, hangi dosyaların kullanıldığını tetkik etmek üzere denetlenen kuruluşun sistemindeki akış şemalarından yararlanmalıdır. Orijinal veri giriş sürecinden en az farklı olan verilerin seçilmesi gerekir (TİDE, 2008; 94).
4.1.1.BDDT’lerinin Kullanımı İçin Karar Faktörleri
Denetim planlanırken, manuel tekniklerin ve BDDT’lerin uygun bir kombinasyonu kullanılmalıdır. BDDT’ler kullanılırken şu faktörler dikkate alınır: (TİDE, 2008; 128)
-Denetçinin bilgisayar bilgisi, uzmanlığı ve tecrübesi
-Manuel tekniklere kıyasla BDDT’leri kullanmanın etkinliği ve verimliliği
-Zaman kısıtı
-Bilişim sistemi ve bilgi teknolojisi ortamının bütünlüğü
-Denetim risklerinin düzeyi
4.1.2.BDDT Planlama Adımları
BDDT’lerin uygulanması hazırlanırken yapılması gereken temel noktalar şunlardır:
-BDDT’lerin denetim hedeflerini belirlemek
-Uygulanacak prosedürleri(istatiksel örneklem, yeniden hesaplama, teyit/doğrulama, vb) tanımlamak.
-Çıktı ihtiyaçlarını tanımlamak
-Personel, BDDT’ler ve işleme ortamı gibi kaynak ihtiyaçlarını saptamak
-Kullanılacak BDDT’ler ile ilgili hedefler, üst düzey akış şemaları ve işletim talimatları da dahil dökümanların hazırlanması
4.1.3.Denetlenen İle Yapılacak Düzenlemeler:
BDDT incelemeleri için gerekli bilgiler belirlendikten sonra, veri formatı ve bu verileri saklama yöntemi konusunda anlaşma sağlanması gereklidir (Janruca, 1987; 89).
Ayrıntılı işlem dosyaları gibi veri dosyaları, genellikle, sadece kısa bir süre saklanmaktadır; bundan dolayı, denetçi, ilgili verilerin denetim için gerekli olan süre boyunca saklanması için gerekli düzenlemeleri yapmalıdır. Denetimin, kurumun üretim ortamı üzerindeki etkilerini asgari düzeye indirmek için BS olanakları, programları ve verilerine erişimle ilgili düzenlemeler, erişime ihtiyaç duyulan zamandan çok önce yapılmalıdır. Denetçi, üretim programlarında oluşan değişikliklerin BDDT’lerin kullanımı üzerinde yapabileceği etkiyi değerlendirmelidir. Bunu yaparken, denetçi, bu değişikliklerin hem BDDT’lerin bütünlüğü ve faydası üzerindeki hem de denetçinin kullandığı programlar/sistem ve verilerin bütünlüğü üzerindeki etkisini dikkate almalı ve değerlendirmelidir.
4.1.4.BDDT’lerin Test Edilmesi
Denetçi; uygun planlama, tasarım, test etme, işleme ve belge incelemesi yoluyla, BDDT’lerin bütünlüğü, güvenilirliliği, faydalılığı ve güvenliği hakkında makul seviyede bir güvence sağlamalıdır. BDDT’lere güvenmeden ve onları dayanak olarak kabul etmeden önce bu güvencenin elde edilmesi gerekir. Bu testin niteliği, zamanlaması ve kapsamı, BDDT’lerin ticari piyasada mevcudiyetine ve istikrarına bağlıdır.
4.1.5.BDDT’ler ve Verilerin Güvenliği
Denetçi ve BDDT uzmanı veri tamlığının ve dosya güvenilirliğinin sağlanmasında rol oynar. Genellikle BDDT uzmanının görevi verileri denetçilerin bilgisayarlarına yüklemektir. BDDT uzmanı şunları yapmalıdır:
– Veriler, floppy diskten aktarıldıysa, verilerde virüs kontrolü yapmak. Veriler floppy diskte bulunuyorsa, tüm verilerin virüs kontrolüne alınması uygun olur.
– Veriler, bir manyetik teypte bulunuyorsa kayıt sayıları hesaplanmalıdır. Bundan genellikle, BDDT uzmanı sorumludur. Bu hesaplama, dosyadaki tüm kayıtların dönüştürüldüğünü/yüklendiğini göstermek bakımından her zaman yapılmalıdır. Denetçi eksiksiz bir dosyayı incelemelidir.(Taylor, Glezen, 1994; 495)
-BDDT’lerin veri analizinde kullanılmak üzere bilgi elde etmek için kullanıldığı durumlarda denetçi, verilerin elde edildiği bilişim teknolojileri ortamının ve bilişim sisteminin bütünlüğünü teyit etmelidir.
– Denetçi, üretim verilerini ve program/sistsem bilgilerini uygun bir gizlilik ve güvenlik düzeyinde tutmalı ve korumalıdır.
-Denetçi, BDDT’lerin bütünlüğü, güvenilirliği, faydalılığı ve güvenliğinden sürekli emin olmak için uygun prosedürler uygulamalı ve prosedürlerin sonuçlarını kaydetmelidir.
-BDDT’ler denetçinin kontrolü altında olmayan bir ortamda bulunuyorsa, BDDT ‘lerdeki değişiklikleri tespit etmek amacıyla uygun kontroller yapmalıdır. BDDT’lerde bir değişiklik yapıldığında denetçi, bu BDDT’leri dayanak almadan önce uygun planlama, tasarım, test etme, işleme ve belge incelemesi yoluyla, BDDT’lerin bütünlüğü, güvenilirliği, faydalılığı ve güvenliği hakkında güvence sağlamalıdır.
4.2.DENETİM ÇALIŞMASININ YAPILMASI
BDDT’lerin ayrıntılı tanımlamalar ve denetim hedeflerini karşıladığı hususunda makul güvence elde edilmesi için, BDDT’lerin kullanımı denetçi tarafından kontrol edilmelidir. Denetçi:
-Uygunsa, kontrol toplamları arasında bir mutabakat çalışması yapmalıdır.
-Çktıların makul olup olmadığını incelemelidir.
-BDDT’lerin mantığını, parametrelerini veya ilgili diğer özelliklerini incelemelidir.
-İlgili kurumunu, BDDT’lerin bütünlüğüne katkıda bulunabilecek genel BS kontrollerini (örneğin, program değişiklik kontrolleri ve sisteme, programa veya veri dosyalarına erişim) incelenmelidir.
4.3.BDDT’LERİN YÜRÜTÜLMESİ VE DÖKÜMANTASYONU
BDDT’nin kavramlaştırıldığı aşamadan uygulanmasına kadar geçen tüm aşamaların belgelenmesi önemlidir. Aşağıdaki ayrıntıların belgelenmesi gereklidir. Denetimin hedefi nedir? Bu bilgi denetimin ihtiyaçlarını ve denetlenen kurumun hesaplarından çıkarılabilecek güvenceleri gösteren denetim planında yer alır. Bir BDDT bu hedefi gerçekleştirebilir mi? Denetim ekibi, incelemenin büyüklüğü ve karmaşıklığının BDDT’den yararlanılmasına uygun olup olmadığına karar verecektir. Örneğin küçük bir kuruluşun bir yılda bir kaç bin işlemi olabilir, bu yüzden bir BDDT maliyeti etkin olmayacaktır (Yılmaz, 2007; 107).
Yeterli denetim bulgusu ve delili sağlamak için, BDDT süreci adım adım ve yeterince kaydedilmelidir. Özellikle, BDDT uygulamasını tanımlamak için denetim çalışma kağıtları planlama, uygulama, denetim bulguları ve delilleri başlıkları altında aşağıda belirtilen unsurları içermelidir.
Planlama
-BDDT’lerin hedefleri
-Kullanılacak BDDT’ler
-Uygulanacak kontroller
-Personel ve zamanlama
Uygulama
-BDDT hazırlama ve test prosedürleri ve kontrolleri
-BDDT’ler tarafından yapılan testlerin ayrıntıları
-Girdiler(örneğin, kullanılan veriler, dosya düzenleri), işlemler(örneğin, BDDT’lerle ilgili üst düzey akış şemaları, mantık) ve çıktılar(örneğin, günlük dosyaları, raporlar) hakkında ayrıntılar
-İlgili parametreler veya kaynak kodu listesi
Denetim Bulgu ve Delilleri
-Üretilen çıktılar
-Çıktı üzerinde yapılan denetim analiz çalışmalarının tanımı
-Denetim bulguları
-Denetim sonuçları
-Denetim tavsiyeleri
4.4.RAPORLAMA
Raporun hedefler, kapsam ve metodoloji bölümü, kullanılan BDDT’lerin açık bir tanımını içermelidir. Bu tanım aşırı ayrıntılı olmamalı, fakat okuyucu için yeterli bir genel bilgi vermelidir. Kullanılan BDDT’lerin tanımı raporun, BDDT’lerin kullanımıyla ilgili somut bulguların tartışıldığı bölümüne de konulmalıdır. Kullanılan BDDT’lerin tanımı birden fazla bulgu için geçerli ise ya da aşırı ayrıntılı ise, bu tanım, raporun hedefler, kapsam ve metodoloji bölümünde kısaca açıklanmalı ve okuyucu daha ayrıntılı bir tanım içeren bir ekle yönlendirilmelidir.
4.5 BDDT İLE İLGİLİ ULUSLARARASI DÜZENLEMELER
Uluslararası düzeyde, elektronik bilgi ortamında denetim ile ilgili dört ulusal kuruluşun çalışmaları mevcuttur (Özbilgin, 2003; 17).
-IFAC “Uluslar arası Muhasebeciler Federasyonu(International Federation of Accounts)
-AICPA “Amerikan Sertifikalı Muhasebeciler Enstitüsü” (American Institute of Certified Public Accountant
-ISACA “Bilgi Sistemleri Denetimi ve Kontrolü Derneği” (Information System Auditing Control Association)
-IIA “ Amerikan İç Denetçiler Enstitüsü” (Institute of Internal Auditors)’dır.
Uluslararası Muhasebeciler Federasyonu (IFAC), dünyada uluslararası muhasebe uygulamalarına yön veren en önemli muhasebecilik meslek örgütü olup 118 ülkeden 159 kurumsal üyesi ile yaklaşık 2.5 milyon kamu ve özel sektör çalışan ve akademisyenden oluşan muhasebeciyi kapsamına almaktadır. 1977 de kurulan bu örgüt muhasebeciler için meslek yasası (ethic code), Uluslararası Denetim Standartları, Uluslararası Eğitim Standartları, Uluslararası Kamu Sektörü Muhasebe standartları geliştirmekte ve yayınlamaktadır. IFAC tarafından elektronik bilgi ortamlarında denetim ile ilgili 401 no lu “ Bilgi İşlem Sistemleri Ortamında Denetim (Auditing in a Computer Information System Environment) denetim standardı yayımlanmıştır. Bu standart Aralık 2004’de yerini 315 no lu “İşletmeyi ve çevresini tanıyarak maddi hata risklerinin değerlenmesi (Understanding the entity and its environment and assesing the risks of material misstatements), 330 no lu Değerlenen riskler karşısında denetçinin uygulayacağı prosedürler” (The auditors procedures in response to assessed risks) ve 500 no lu “Denetim kanıtları” standardı gelmiştir (Özbilgin, 2003; 18).
Bu kurumlardan AICPA 1887’de kurulmuş olup bugün ABD’nin muhasebe alanında faaliyet gösteren en büyük meslek örgütüdür. Esas amacı meslek mensuplarının haklarını korumak, yetki belgesi vermek mesleğe giriş ve eğitimle ilgili esasları düzenlemek olan AICPA’nın en önemli görevlerinden bir tanesi de ülke çapında muhasebe uygulamalarına yön veren genel kabul görmüş muhasebe standartları ile bağımsız denetime ilişkin denetim ilke ve standartlarını düzenlemektir (AICPA, http://www.aicpa.org/about/index .htm. 01.12.2004).
AICPA SAS 80 no lu standardı yayınlamıştır. Bu standart elektronik bir formatta denetim işlemlerini gerçekleştirebilmelerinde önemli bir konu olan “delile dayanma” konusunda bir kavram geliştirilmesini sağlamıştır. 94 no lu standart, denetçilerin bilgi teknolojilerini ve tüm iç kontrol sistemini anlaması gerektiğini ifade etmektedir. Denetçilerin, finansal bilginin doğruluğunun belirlenmesi ve risk tespiti gibi konularla ilgili olarak veri işleme sürecini iyi analiz etmeleri gerekmektedir.
Amerikan İç Denetçiler Enstitüsü iç denetim mesleğinin gelişmesi, iç denetçilerin eğitimi mesleki gelişimlerinin sağlanması, iç denetimle ilgili dünya çapında kabul gören standartların oluşturulmasını sağlamak amacıyla ABD’de 1941 yılında kurulmuş olup bugün 100 ülkeden 93000 üyesi bulunan uluslararası bir örgüt haline gelmiştir. Amerikan iç denetçiler enstitüsüne göre bütün iç denetçilerin, asıl sorumluluğu bilgi teknolojileri denetimi olan denetçiler kadar uzmanlığa sahip olması beklenmediği belirtilmektedir.
4.6.TÜRKİYE’DE BDDT İLE İLGİLİ DÜZENLEMELER
213 sayılı VUK ‘da BDDT ile ilgili düzenlemeler bulunmaktadır. 04.12.1985 tarihinde, 3239 sayılı kanunla, özel izin alma zorunluluğu kaldırılarak, tutulması zorunlu olan defterlerin ayrık yapraklı olarak tutulabilmesi mükelleflerin isteğine bırakılmıştır. Buna göre, ayrık yapraklı defter tutulduğunda, açılış ve kapanış tasdiklerinin yapılması ve kapanış tasdikinden sonra, kullanılmayan sayfalarla birlikte ciltlenmesi gerekmektedir. (Kutlan, 1995;20). Ayrıca 4108 Sayılı kanunla Maliye Bakanlığı, muhasebe kayıtlarını bilgisayar programları aracılığıyla izleyen mükellefler ile bu bilgisayar programlarını üreten gerçek ve tüzel kişilerce uyulması gereken kuralları ve bilgisayar programlarının içermesi gereken asgari hususlar ile standartları ve uygulamaya ilişkin usul ve esasları belirlemeye yetkilidir” şeklinde bir fıkra eklenmiştir (Vural, 1993; 27).
Ayrıca 1995 yılında kurulan Türkiye İç Denetim Enstitüsü ülkemizde iç denetimin bir meslek disiplini haline gelmesinde önemli bir rol üstlenmiştir. Enstitü’nün çeşitli sektörlerden ülkenin belli başlı kuruluşlarında görev yapan 700 civarında üyesi bulunmaktadır. Düzenlediği mesleki toplantılar, kongreler, seminerler, sempozyumlar, eğitimler ve uluslararası meslek standartlarının dilimize çevrilmesi gibi etkinlikleri ile Enstitü meslek bilinci etiğinin oluşturulmasında önemli katkılar sağlamaktadır.
5.TÜRK BANKACILIK SEKTÖRÜNDE BİLGİSAYAR DESTEKLİ DENETİM UYGULAMASI
Bilgisayar destekli denetim uygulamalarının ortaya çıkardığı sonuçları görebilmek amacıyla “özel denetim yazılımları” kullanan 4 banka örneği incelenmiştir. İncelenen bankalardan A ve C Bankası yabancı, B ve D Bankası ise özel sermayeli bankalardır.
Bu bankalardan bilgisayar destekli denetim uygulamalarına ilişkin alınan cevaplar aşağıdaki tabloda özetlenmiştir.
A Bankası | B Bankası | C Bankası | D Bankası | |
Kullanılan program | Webfocus | Denetim ve analiz çalışmaları için ağırlıklı olarak ACL, ayrıca Microstrategy ve Toad | ACL (Audit Analytics and Continous Monitoring Software).
Ayrıca Operasyonel Risk Yönetimi, Denetim ve ERM Risk Yönetimi, Uyumluluk konularında “Paisley” programının da yakın zamanda kullanılması planlanmaktadır. |
Siron AML |
Kullanılmaya başlama yılı | 2004 | ACL 2005
Microstrategy 2008 |
2005 | 2007 |
Kullanım Amacı
|
Ø Suistimal tespiti
Ø Scope belirlenmesi Ø Aykırı/hatalı işlemlerin yakalanması Ø Analiz
|
Ø Suistimal tespiti
Ø Karapara tespiti Ø Şube teftişi esnasında kullanılan raporlama ve analiz taplolarının oluşturulması ve örneklem seçimi Ø Hesap Hareket incelemeleri Ø İşlem kontrollerinin otomatize edilmesi
|
Ø Suiistimal tespiti
Ø Hesapların mutabakatının sağlanması, Ø Şube denetim ekiplerine gerekli bilgi/belge talebinin karşılanması, Ø Mali kontrol Bölümü raporlamaları
|
Ø Karapara tespiti |
Program ile denetlenen kütlenin tüm kütleye oranı | Proses edilen günlük tüm işlemler denetlenmektedir.
|
Risk odaklı çalışılmakta olup, denetlenen kütle ile tüm kütle arasındaki oran konuya göre değişmektedir. | Banka bünyesinde üretilen tüm bilgiler denetlenebilmektedir. | Günlük tüm işlemler |
Programı kullanan Birimler | Teftiş / İç Kontrol
|
Teftiş / İç Kontrol
|
Teftiş/ İç Kontrol/ Mali Kontrol | İç Kontrol |
Programı kullanan personel sayısı | Manager olarak 6 user olarak 60 | 5
|
Yaklaşık 20 kişi
|
2 |
Kullanım kolaylığı
|
Kolay anlaşılabilir ve kullanılabilir
|
Kolay anlaşılabilir ve kullanılabilir olmakla birlikte daha komplike (döngüler ve ileri seviyede değişkenler kullanılarak yapılan) sorgular da bulanmaktadır. | Script yazımı ve programın etkin kullanımı konularında belli bir birikim ve tecrübe gerektirmektedir. | Kolay anlaşılabilir ve kullanılabilir |
Kullanılan senaryo adedi | 1.200
|
40
|
40 | 25 |
Yeni senaryo entegrasyonu yapılabilmesi | Yeni senaryolar ilave edilebilmektedir. | Bilgi işlem desteği ile yapılabilmektedir. | Yeni senaryolar, yazılan script’ler vasıtasıyla kolaylıkla programa ilave edilebilmekte ve kullanılmaktadır. | Yeni senaryolar ilave edilebilmektedir. |
Raporlama sıklığı | Günlük/Haftalık/Aylık | Günlük, dönemsel | Günlük, dönemsel | Günlük |
Programın test edilmesi ve test sıklığı | Günlük incelemeler esnasında kontrol edilmekte, altı ayda bir defa da genel değerlendirme yapılmaktadır. | Yazılım sonrasında bir süre kontrol edildikten sonra çıkan sonuçların doğruluğu ya da doğruya yakınlığı kabul edilirse, yazılımda veya data da değişiklik olana kadar test yapılmamaktadır.
|
Program tarafından üretilen bilgiler, beklenmedik bir sonuç ile karşılaşıldığı veya bilginin tutarlılığı konusunda tereddüt yaşanılan durumlarda test edilmektedir. | Bilgilerin tutarlılığı konusunda tereddüt yaşanan durumlarda test edilmektedir. |
Teknik destek yeterliliği | Yeterli | Yeterli
|
Yeterli | Yeterli |
Elde edilen sonuçlar | Ø Şube ve birimlerin günlük olarak takip edildiklerini bilmeleri denetim etkinliğini arttırmıştır.
|
Ø Daha az zamanda daha fazla kontrol ile denetim etkinliği artmıştır.
Ø Örneklem seçimi ile teftiş/iç kontrol çalışmaları kolaylaşmış ve doğru kütle seçimi ile etkinlik artmıştır.
|
Ø Çok büyük boyutta dataların işlenip raporlanabilmesi
Ø Suistimal tespiti, Ø Denetimin etkinliğinin artışı, Ø Hataların/kuraldışı uygulamaların tespitleri |
Ø Kontrol ve denetim çalışmalarının etkinliğinin artışı
|
Bu tablonun değerlendirilmesi sonucunda;
- Dört bankanın ikisinde aynı, diğerlerinde farklı bilgisayar destekli denetim programlarının kullanıldığı, B Bankası’nda birden fazla program kullanıldığı, C Bankasında ikinci programın kullanımının planlandığı,
- Bilgisayar destekli denetim programlarının kullanımına A bankasında 2004, B ve C Bankası’nda 2005, D Bankası’nda 2007 yılında başlandığı,
- Üç bankada suiistimalleri tespit edebilmek amacının bu programların kullanılmasında ortak amaç olduğu, bunun dışında aykırı hatalı işlemlerin yakalanması, mutabakat, karapara uygulamaları ve analiz amaçlarının da söz konusu olduğu, D Bankası’nda ise yalnızca karapara tespiti amacının söz konusu olduğu,
- Üç bankada tüm faaliyetlerin denetim alanına alınabildiği, B Bankası’nda ise risk odaklı çalışıldığı, denetlenen kütle ile tüm kütle arasındaki oranın kontrol konusuna göre değiştiği,
- Bilgisayar destekli denetim yazılımlarının dört bankanın tamamında İç Kontrol Birimleri tarafından kullanılırken, aynı zamanda üç bankada Teftiş Kurulu, bir bankada da Mali Kontrol Birimi tarafından kullanıldığı,
- Programları yönetici ve kullanıcı olarak A Bankası’nda yaklaşık 66 kişi kullanırken, bu sayının B Bankası’nda 5, C Bankası’nda 20, D Bankası’nda da 2 kişi olduğu, programların kullanıcı sayılarının her bankada farklı olduğu,
- A ve D Bankalarınca, programların kullanım kolaylığına sahip olduğunu ifade ederken, B ve C Bankalarınca kullanım için belirli bir birikim ve tecrübe gerektirdiğinin ifade edildiği,
- Aynı programı kullanan B ve C Bankası’nda 40 senaryo kullanılırken, A Bankası’nda 1200 senaryo, D Bankası’nda ise 25 senaryo kullanıldığı,
- Üç banka, yeni senaryoların kolaylıkla programa dahil edilebildiğini ifade ederken, B Bankası’nda bunun bilgi işlem desteği ile yapılabildiği,
- Raporlamaların genellikle günlük ve dönemsel nitelikte üretildiği,
- A Bankasında programın düzenli aralıklarla test edilmesine rağmen, diğer bankalarda gerek görüldüğünde test yapıldığı,
- Her dört bankanın da programlar ile ilgili yeterli teknik destek alabildiği,
- Bilgisayar destekli denetim programlarının kullanılmasıyla, kontrol ve denetim çalışmalarının etkinliğinin arttığı
görülmektedir.
Bilgisayar Destekli Denetim Programları kullanan dört banka ile ilgili yapılan çalışmalarda elde edilen sonuçlar genel olarak değerlendirildiğinde;
- Bu programlar genel olarak 3-4 yıl gibi yakın dönemde kullanılmaya başlanmış,
- Bankanın tüm işlemlerinin denetlenebilmesi mümkün olmuş,
- Denetim etkinliği büyük oranda artmıştır.
SONUÇ
Türk Bankacılık sektörüne baktığımızda Bilgisayar Destekli Denetim faaliyetlerinin temel olarak Bilgi Sistemleri tarafından sağlanan raporların kontrolü çerçevesinde gerçekleştirildiği görülmektedir. Banka denetim birimleri sistemsel veriler kullanarak analizler yapmakla birlikte, denetim birimleri tarafından tasarlanan bu sorguların yazımı genellikle Bilgi Sistemleri (IT) personeli tarafından gerçekleştirilmektedir. Bununla birlikte son yıllarda özel denetim yazılımlarının kullanımının arttığı görülmektedir.
Bankalarda Bilgisayar Destekli Denetim faaliyetleri genel olarak Teftiş Kurulu ve İç Kontrol Merkezleri bünyesinde yürütülen faaliyetlerdir. Bu faaliyetler Merkezi Denetim / Uzaktan Gözetim vb. adlandırılan denetim ekipleri tarafından gerçekleştirilmektedir. Bu ekiplerde görev yapan personelin formasyonları incelendiğinde, bilgisayar yazılımları konusunda uzman olmadığı, daha çok mevcut personelin bu konuda hizmet içi yetiştirilerek bilgisayar destekli denetim uygulamalarının yürütülmesinde kullanıldığı görülmektedir. Dolayısıyla denetim formasyonu yeterli ancak teknik formasyonu zayıf personel ile bu faaliyet yürütülmektedir.
Bu konudaki en büyük eksikliklerden biri bilgisayar ve denetim alanında ortak formasyona ve teknik bilgi birikimine sahip personel eksikliğidir. Ayrıca özellikle Teftiş Kurullarında görevli denetim personelinin belirli dönem sonunda başka birimlerde görevlendiriliyor olması bilgi, tecrübenin kaybolmasına ve faaliyetlerin etkin şekilde devam etmemesine yol açmaktadır.
Bu nedenle mevcut yazılımların etkin ve verimli şekilde kullanılabildiğini söylemek de mümkün değildir.
Bilgisayar Destekli Denetim çalışmalarında elde edilen tecrübeler ve yaklaşımların diğer birimlere özellikle izleme ve kontrol birimlerine aktarılması önem arz etmektedir. Denetim birimlerinin kapalı organizasyonu nedeni ile raporlama ve veriye ulaşma konusunda edinilen önemli bilgilerin organizasyonun diğer birimleri ile paylaşılmasında eksiklikler mevcuttur.
Diğer bir eksiklik bilgisayar destekli banka denetimi konusunda bankaları yönlendirici ve eğitici literatür ve bilgi birikimi eksikliğidir. Bilgisayar Destekli Denetim faaliyetlerinin geliştirilmesi için her banka farklı bir yazılım ve yöntem arayışı içindedir. Fayda maliyet analizlerinin iyi yapılamaması nedeniyle, bu durum sektörde yüksek maliyetler ile kalitesiz/etkin olmayan yazılımlar alınmasına yol açabilmektedir.
Bilgisayar Destekli Denetim çalışmalarında özellikle bilgi güvenliği açısından Bilgi Teknolojileri Bölümlerinin sistem verileri ve spesifik yazılımların bünyesinde kalması ve geliştirilmesi yönünde direnci olmaktadır. Dolayısıyla Bilgi Teknolojileri Bölümleri genellikle Bilgisayar Destekli Denetimin ayrılmaz bir bacağı konumuna gelmektedir.
Sonuç olarak etkin ve efektif bir denetim faaliyeti için bilgisayar destekli denetim teknikleri ve yaklaşımlarının vazgeçilmez bir öneme sahip olduğu açıktır. Uygun formasyona sahip personel, fayda/maliyet oranı makul bir denetim yazılımı, devamlılığı olan etkin bir denetim organizasyonu bu faaliyetin beklenen yararları sağlayacak şekilde gerçekleştirilmesi için önem taşımaktadır. Yürütülmesi planlanan Bilgisayar Destekli Denetim faaliyetleri bu noktalar göz önüne alınarak tasarlanmalıdır.
Ekonomimizin lokomotifi konumunda bulunan bankacılık sektöründe faaliyet gösteren ve büyük ölçekli ifade edebilecek bankaların dahi özel denetim yazılımları kullanımına 3-4 yıl gibi yakın sayılabilecek dönemlerde başlamaları dikkate alındığında, bu uygulamalarının bankacılığımızda yaygınlaşmaya başladığını ifade etmek mümkün görünmektedir.
Bu uygulamaların bankalarımız başta olmak üzere özellikle finans sektöründe yaygınlaşması önemli katma değer ve kazanımlara imkan sağlayacaktır.
KAYNAKÇA
AKSOY, Tamer. Tüm Yönleriyle Denetim, AB ile Uyum Sürecinde Denetimde Yeni BirParadigma, Yetkin Basımevi, Ankara 2002
The American Institute of Certified Public Accountants, Consideration of the Internal Control Structure in a Financial Audit, SAS No.55, April
G.Eise, Janruca. “Elektronik Bilgi İşlem ve Resmi Denetleme” T.C. Sayıştay Yayınları, Yayın No:25/7, Ankara 1987
Helms, G.L, Mancino, J., The Electronic Auditor, Journal of Accountancy, April 1998
ERDOĞAN, Melih. “Bilgisayar Ortamında Muhasebe Denetimindeki Gelişmeler”, 4. Muhasebe Denetimi Sempozyumu, İstanbul, 1999
KUTLAN, Serhat. “Bilgisayar Ortamında Muhasebe Denetimi Esasları”, Vergi Dünyası Dergisi, Sayı:155, Temmuz 1995
ÖZBİLGİN, İzzet Gökhan. “Bilgi Teknolojileri Denetimi ve Uluslararası Standartları “Sermaye Piyasası Kurulu Meslek Personeli Derneği Dergisi, Kasım-Aralık 2003
PAMUKÇU, Ayşe. Muhasebede Bilgisayar Destekli Denetim Düzeni, Yayınlanmamış Doktora Tezi, İstanbul, 2004
PORTER, Thomas ve BURTON, John. Auditing: A Conceptual Aproach, Wadworth
Publishing, Belmont, 1971
TAYLOR, H. Donald, GLEZEN, G. William; Auditing: IntegratedConcepts and Procedure, 6.Edition, John Wiley & Sons Inc, New York, 1994
Türkiye İç Denetm Enstitüsü, Uluslararası İç Denetim Standartları, Mesleki Uygulama Çerçevesi(2007’deki Değişikliklerle), 2008
VASARHELYİ. M.A., M.G. Alles, and A. Kogan [2004], Principles of Analytic Monitoring for Continuous Assurance, Journal of Emerging Technologies in Accounting, Vol. 1.
VURAL, Mehmet. “Vergi Hukukumuzda Bilgisayar Ortamında Muhasebe”, Vergi Dünyası Dergisi, Sayı 144, ğustos 1993
YARAR, Emine. Instosai Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi, Bilgisayar Destekli Denetim Teknikleri, Kurs Notları, Nisan 2000, Ankara
YILMAZ, Gökhan. Muhasebe Denetiminde Bilgisayar Destekli Denetim Tekniklerinin İncelenmesi ve Bir Uygulama,(Basılmamış Yüksek Lisans Tezi) M.Ü. Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Muhasebe Denetimi Bilim Dalı, İstanbul 2007
The American Institute of Certified Public Accountants, http://www.aicpa.org/about/index .htm. 22.12.2008
Dr. Özgür Çatıkkaş, Marmara Üniversitesi Bankacılık ve Sigortacılık Yüksekokulu
Gürdoğan Yurtsever, Tekstil Bankası A.Ş. İç Kontrol Merkezi ve Uyum Başkanı