gait-btgk eksikliklerinin değerlendirilmesi · pdf file4. terimler sözlüğü...
TRANSCRIPT
1
BİLGİ TEKNOLOJİLERİ GENEL KONTROL
EKSİKLİKLERİNİN DEĞERLENDİRİLMESİ
İÇİN REHBER (BTRDR-GAIT)
İç Denetim MESLEKİ REHBERLİK Enstitüsü Standardı Oluşturmak
2
BT Genel Kontrol Eksikliklerinin Değerlendirilmesi İçin BTRDR
Finansal raporlamayla ilgili iç kontrollerinSarbanes-Oxley Kanunu’nun 404. Maddesi kapsamında değerlendirilmesi ile ilgili bir
BTGK (ITGC) eksiklikleri değerlendirme yaklaşımı
İç Denetçiler Enstitüsü Mart 2008
3
İçindekiler
1. Giriş ................................................................................................................................................. 4
2. İlkeler............................................................................................................................................... 9
3. Değerlendirme Süreci .................................................................................................................... 14
4. Terimler Sözlüğü ........................................................................................................................... 22
5. EK: BTRDR (GAIT) Metodolojisi................................................................................................ 28
4
1. GİRİŞ
Arka plan
2004 senesinde, dokuz farklı yeminli mali müşavirlik firmasına bağlı temsilciler, Georgia Eyalet Üniversitesi’nden bir profesörün iştirakiyle, Kontrollerde Karşılaşılan İstisna ve Eksikliklerin Değerlendirilmesiyle İlgili Bir Çerçeve geliştirip yayımladılar.1 Bu çerçeve,2
finansal raporlama üzerindeki iç kontrol (ICFR) sisteminin eksikliklerinin; önemli zayıflıklar ya da ikinci derecede önemli eksiklikler teşkil edip etmediğinin değerlendirilmesi konusunda denetim firmalarına ve yöneticilere rehberlik etmektedir.
ABD Sarbanes-Oxley Kanunu (2002) 404. Maddede geçen değerlendirmelerle ilgili standartlar ve uygulamalar, 2004 senesinden beri geniş ölçüde değişikliğe uğramıştır. 2004 çerçeve referansları Denetim Standardı No. 2 (AS 2) yerine, Denetim Standardı No. 5 (AS 5) getirilmiştir; ikinci derecede önemli eksikliğin tanımı değiştirilmiş ve bu arada üç yıllık uygulama deneyimi kazanılmıştır.
Bunlara ek olarak diğer bir gelişme de BTRDR (GAIT) Metodolojisi’nin takdimidir.3 Budoküman, BT genel kontrolleriyle (BTGK’ler-ITGC’s) ilgili risklerin ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) veya ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nca (PCAOB) önerilen yukarıdan aşağıya, risk-esaslı kapsam tayin etme sürecini4 izleyerek nasıl tayin edilmeleri gerektiğini açıklamaktadır.
BTRDR serisinde yer alan uygulama rehberleri; finansal tablo riskleri, işletme süreçleri içindeki anahtar kontroller, otomatik kontroller ve diğer kritik BT işlevleri ve BTGK kapsamına giren anahtar kontroller arasındaki ilişkileri ortaya koymaktadır. BTRDR metodolojisi, finansal tablolarla ilgili olarak yapılan önemli yalan ve yanlış beyanları zamanında önlemeyi veya tespit etmeyi sağlamak için gereken BTGK kontrollerini tayin etme ve değerlendirme konusunda şirketlere yardımcı olur.
Bu uygulama rehberi, BTGK eksikliklerini değerlendirme konusunda güncel bir yaklaşım sağlayarak,5 söz konusu eksikliklerin önemli zayıflıkları veya ikinci derecede önemli eksiklikleri temsil edip etmediklerini değerlendirme konusunda denetçilere veya yönetime yardımcı olur. Bu rehberde tartışılan görüşler daha da genişletilip güçlendirilebilir.
İç Denetim Enstitüsü (IIA) sponsorluğunda geliştirilip hazırlanmış olan bu uygulama rehberini oluşturan ekipte, dış denetim firmalarına bağlı temsilciler de bulunmaktadır. Bu rehber ve tanımladığı metodoloji, yönetim, dış denetim firmaları, iç denetçiler ve diğer
1 En yeni sürümü, Aralık 2004 tarihinde yayımlanan 3 numaralı sürümdür. (BTRDR (GAIT): Bilgi Teknolojileri Risk Değerlendirme Rehberi) 2 Bu çerçevenin Menkul Kıymetler ve Borsa Komisyonu (SEC) veya Halka Açık Şirketler Muhasebe Gözetim Kurulu’nca (PCAOB) resmen kabul edilmiş olmadığı unutulmamalıdır. 3 BTRDR, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir ve İç Denetim Enstitüsü tarafından Ocak 2007 tarihinde yayımlanmıştır. BTRDR Metodolojisinden alınan pasajlar bu uygulama kılavuzunun sonunda kaynak göstermek amacıyla sunulmaktadır. Bu ilgili dokümanın tam ve eksiksiz versiyonuna www.theiia.org internet sitesi üzerinden ulaşabilirsiniz. 4 SEC ve PCAOB, 2005 senesinde takip eden dönemde uygulanması için bir yukarıdan aşağıya, risk-esaslı yaklaşım önermişler ve bu yaklaşım önerisini hem SEC yönetim kılavuzlarına hem basın açıklamalarına hem de AS 5’e eklemişlerdir. 5 Bu uygulama kılavuzu, BTGK kontrollerini ilgilendiren eksikliklerin kapsamına girmeyen diğer eksikliklerin değerlendirilmesinde kullanılmaya uygun bir çerçevede oluşturulmamıştır.
5
paydaşlar tarafından Sarbanes-Oxley Kanunu 404. Maddeye tâbi değerlendirme sürecinde kullanılabilir.
Burada sunmuş olduğumuz metodolojinin SEC6 ve PCAOB kılavuzlarına uygun ve onlarla tutarlı olduğuna inanıyoruz.
6 Örneğin, BTGK kontrollerinin rolü hakkındaki SEC kılavuzunda yapılan tanımlamalar, yalnızca BTRDR ile tutarlı olmakla kalmayıp, aynı terim ve kavramların birçoğunu da içermektedir.
6
Yukarıdan Aşağıya Yaklaşımın Kapsam Belirleme Sürecine Etkisi
Yukarıda da belirtildiği gibi, hem SEC hem PCAOB, değerlendirip test etmek için anahtar kontrollerin tayini gibi konular da dahil olmak üzere, Sarbanes-Oxley Kanunu 404. Maddeyleilgili çalışmaların kapsamının belirlenmesinde yukarıdan aşağıya, risk-esaslı bir yaklaşım kullanılmasını önermektedir.7 BTRDR, anahtar BTGK kontrollerinin tayin edilmesini de buyaklaşımın kapsamına sokmaktadır.
Yukarıdan aşağıya yaklaşım, finansal tablolarla ilgili önemli yanlış beyanları önlemek veya tespit etmek için oluşturulan anahtar kontrollerden (yani, kurum seviyesinde ve birim seviyesinde; manuel, otomatik ve BTGK) müteşekkil kontrol kombinasyonlarını tayin eder.
Bu anahtar kontrollerden birinin veya birden fazlasının başarısız olması halinde, ilgili kontrollerden oluşan kontrol grubu, önemli hataların8 önlenmesi veya tespit edilmesi yönündemakul güvence sağlamaya devam edemeyebilir.
Ancak kontrol başarısızlıkları farklı düzeylerde olabilir (örneğin, işlemlerin sadece belirli bir kısmında başarısız olunması; değişiklik onaylarının sistemlerin tümü için değil de sadece bir kısmı için başarıyla uygulanması gibi) ve dolayısıyla ilgili başarısızlığın boyutları yapılan değerlendirme sırasında anlaşılmalı ve dikkate alınmalıdır.
Öte yandan, kapsam tayin sürecinin hatalı yürütülmesi; lüzumsuz, birbiriyle çakışan veya gerçekte anahtar öneme sahip olmayan kontrollerin kapsanmasına neden olabilir. Örneğin, kontrol hedefinin geçerleme (validasyon) olduğu durumlarda, birden çok onaya tâbi olan belgelenmiş bir kontrolde, kontrol hedefine ulaşmak için onaylardan sadece birini almak yeterli olabilir.
Anahtar BTGK kontrolleriyle ilgili olanlar dahil anahtar kontrol başarısızlıklarını değerlendiren bir denetçi, bu başarısızlıkların neden önemli zayıflıklar teşkil ettiğinden ziyade neden önemli zayıflıklar teşkil etmediğinin ispat yükümlülüğünü taşımalıdır. Bu hususta görülen odur ki; önemli hataları önlemek veya tespit etmek için anahtar kontrollere ihtiyaç duyulmakta ve zaten bu yüzden anahtar kontroller olarak adlandırılmakta, dolayısıyla bu kontroller başarısız olduğunda önemli zayıflıkların ortaya çıkma olasılığı büyük olmaktadır.
7 PCAOB ve SEC, sırasıyla AS 5 ve kılavuzlarda farklı terimler kullanmaktadırlar. Örneğin, PCAOB ve SEC aynı kavramı tanımlamak için sırasıyla önemli hesaplar ve finansal raporlama elemanları terimlerindenfaydalanmaktadırlar. Bu dokümanda, AS 5’te geçen terimler esas alınmaktadır. 8 Bu dokümanda kullanılan önemli hata terimi, mali tablolardaki önemli yanlış beyanlar terimiyle eşanlamlıdır.
7
Genel Özet
Metodoloji, Bölüm II’de ele alınan altı değerlendirme ilkesine dayanmaktadır.
DEĞERLENDİRME İLKELERİ
1. BTGK eksikliklerinin değerlendirilmesi için, finansal tablolar ile eksiklik görülen anahtar BTGK kontrolleri arasındaki güven zincirinin anlaşılması gerekir.
2. Önemli bir zayıflığın varlığı konusunda iki test geçilmelidir: (a) olasılık ve (b) etki (yani, finansal tablolardaki potansiyel yanlış beyanlar)
3. Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için, değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede belirli adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında olasılık ve etki testleri gerçekleştirilir.
4. Aynı BTGK kontrol hedefiyle ilgili bütün BTGK eksiklikleri, bir grup halinde değerlendirilmelidirler.
5. Aynı anahtar otomatik kontrollerle, anahtar raporlarla veya diğer kritik işlevlerle ilişkili olup ulaşılamayan BTGK kontrol hedefleri bir grup halinde değerlendirilmelidirler.
6. Bir arada değerlendirme ilkesi, aynı önemli hesap veya özel durum açıklamasıyla ilgili manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin bir grup halinde değerlendirilmelerini gerektirir.
Değerlendirme süreci, aşağıda gösterildiği gibi 10 adımdan oluşmaktadır. Bu adımlar, Bölüm 3'te ayrıntılarıyla ele alınmaktadır.
8
9
2. İLKELER
1. BTGK eksikliklerini değerlendirmek için, finansal tablolar ile eksiklik oluşan anahtarBTGK kontrolleri arasındaki güven zinciri anlaşılmalıdır.
Sarbanes-Oxley Kanunu 404. Maddede belirtilen amaçlarla ilgili olarak BTGK kontroleksikliklerinde yapılan değerlendirme, bu eksikliklerin finansal tablolarda bulunan ancak saptanamayan hataları temsil edip etmedikleriyle ilgili bir risk değerlendirmesidir. Gelgelelim BTGK eksikliklerinin finansal tablolar ile doğrudan bir ilişkisi yoktur. Aşağıda açıklanan güven zinciri, bu bağlantıyı ve dolayısıyla BTGK eksiklikleri ile finansal tablolar arasındaki olası etkileşimi yansıtmaktadır.
Finansal tablolar ve anahtar BTGK kontrolleri arasındaki güven zinciri, tersi yönde olması dışında, hangi anahtar BTGK kontrollerinin kapsama alınması gerektiğini tanımlamak için izlenen yukarıdan aşağıya bir yaklaşımda geçerli olan mantıksal bağın aynısıdır.9
Anahtar BTGK kontrolleri, yukarıdan aşağıya, risk-esaslı bir yaklaşım çerçevesinde seçilmelidirler. Süreç, aşağıda gösterildiği gibi özetlenebilir:
Önemli hesapların, yerlerin ve ilgili iddiaların tayin edilmesi.
Önemli hesaplarda önemli hatalar olmasını önlemek veya tespit etmek için gereken şirket- ve birim-seviyesindeki işletme kontrollerinin tayin edilmesi.
Tayin edilen şirket- ve birim-seviyesindeki anahtar kontrollerden bazıları, otomatik uygulama kontrolleridir ya da otomatik işlevlere (örneğin, anahtar raporlar, hesaplamalar, güncellemeler, vb.) dayanan kontrollerdir. BT’nin bu kritik işleviyle ilgili süregelen işlemler için BTGK’ler temel alınabilir.
Kritik BT işlevi, önemli uygulamalar arasındadır.
Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek, otomatik kontrollerin (veya anahtar raporların, vb.) her biriyle ilgili olarak BTGK’lerde hangi noktalarda risk bulunduğu ve bu risklere yönelik uygun BTGK kontrol hedefleri tayin edilir.
BTGK kontrol hedeflerinin her birine ulaşmak için gereken anahtar BTGK’lerin tayin edilmesi.
Uygulamalarda işlevlere güvenmenin yanı sıra, yetkisiz değişikliklerden dolayı veri güvenliği de bir risk oluşturabilir. Bu risk değerlendirilirken, bir yetkisiz değişikliğin şirket- veya birim-seviyesindeki kontrollerle tespit edilemeyebileceği ve finansal tablolarda önemli bir hataya yol açabileceği dikkate alınmalıdır. Değerlendirme, önemli işletme süreçleri ve büyük işlem sınıflarına giren her uygulamayı kapsar. Yetkisiz değişiklik sonucunda bu gibi önemli bir hatanın oluşması mümkün ya da en azından makul ölçüde olası10 olarak görülüyorsa, ilgili BTGK kontrol hedefleri vemünferit anahtar BTGK kontrolleri tayin edilirler.
9 SEC yönetim kılavuzları ve PCAOB AS 5 dokümanı dahil SEC ve PCAOB dokümanlarında tartışılan yukarıdan aşağıya yaklaşıma, BTGK süreçlerine dahil olan anahtar kontrolleri belirleme faaliyetiyle nasıl devam edilebileceği ve bu faaliyetin yukarıdan aşağıya yaklaşımın kapsamına nasıl alınabileceği hakkında daha fazla bilgi almak için BTRDR Metodolojisine bakılmalıdır. 10 Terimler Sözlüğünde bulunan tanıma bakınız.
10
Güven zinciri, yani münferit BTGK kontrolleri ve finansal tablolar arasındaki bağlantı, yukarıda sergilenen ilişkinin tam tersi yönde işler:
Münferit BTGK’ler, BTGK kontrol hedefleriyle ilgilidiler. BTGK başarısızlıkları doğrudan doğruya bu hedeflere ulaşılmasına engel oluşturan bir etki yaratabilir. Bir kontrol hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrolün tayin edilmiş olabileceği ve BTGK’lerden birindeki başarısızlık veya zayıflamanın her zaman ilgili kontrol hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.11
Yapılan ilk risk değerlendirmesi, belirli BTGK hedeflerine ulaşılamamasının nedeninin kontrol başarısızlıkları olup olmadığı üzerinedir. BTGK kontrol hedeflerinde başarısız olunup olunmadığı değerlendirilirken, bir kontrol hedefini ilgilendiren tüm anahtar BTGK eksiklikleri bir grup halinde dikkate alınmalıdırlar.
BTGK’ler arasında yer alan telafi edici veya hafifletici kontroller, eksikliklerin etkisini azaltıyorsa, kontrol hedefine dair başarısızlığın otomatik kontrollerin düzgün işlemesi açısından önemli bir risk teşkil edecek ölçüde olup olmadığı, muhakeme edilerek belirlenmelidir.
BTGK kontrol hedeflerinin her biri; finansal tablolardaki önemli hataları önlemek veya tespit etmek için gerekli olan yukarıdan aşağıya, risk-esaslı kapsam belirleme süreci sırasında tayin edilen bir veya daha fazla otomatik uygulama kontrolüyle, diğer kritik BT işlevleriyle (örneğin, teknik olarak kontrol olmayan ancak daima planlandığı gibi faaliyet göstermesi gereken ve bu yüzden kritik BT işlevleri adı altında otomatik kontrollerin kapsamına sokulan hesaplamalar ve güncellemeler) veya yetkisiz veri değişikliği riskleriyle ilgilidir. Bir BTGK kontrol hedefinde başarısız olunması, bu anahtar otomatik kontroller açısından bir risk teşkil eder.
Otomatik kontrolle ilgili tüm riskler değerlendirilmelidir. Bu değerlendirme, altta yatan BTGK süreçlerindeki başarısızlıklardan dolayı planlandığı gibi faaliyet göstereceğine dair güvence verilemeyen otomatik uygulama kontrolleri veya diğer işlevlerin tayin edilmesini kapsar. Bu değerlendirme kapsamında, hangi verilerin önemli yanlış beyanlarla sonuçlanabilecek bir yetkisiz değişiklik riski altında oldukları da tayin edilir.
Kritik BT işlevleri genelde birden çok BTGK kontrol hedefine eirişilmesine bağlı olduğu için, başarısız olunan BTGK kontrol hedeflerinden doğan risklerin etkileri birleşik olarak veya bir arada değerlendirilmelidirler.
Anahtar otomatik işletme kontrolleriyle ya da veri güvenliğiyle ilgili potansiyel bir eksiklik - ya da güvence eksikliği, finansal tablolar açısından olası bir riski temsil eder.
Daha sonra, verilerin bozulma potansiyeli, uygulama kontrolleri veya diğer kritik BT işlevlerindeki potansiyel eksikliklerle ilgili olarak finansal tablolara dair tüm riskler değerlendirilir. Bu değerlendirme muhakemeye dayandırılır ve işletme süreçleri kapsamında telafi edici veya hafifletici kontroller bulunup bulunmadığı göz önünde tutulur.
11 Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir.
11
Güven zinciri aşağıda gösterilmektedir.
12
2. Önemli bir zayıflık karşısında, iki test geçilmelidir: (a) olasılık ve (b) etki (yani, finansal tablolardaki yanlış beyan potansiyeli).
Olasılık testi, kontrol eksikliğinden kaynaklanan bir finansal tablo hatası bulunmasının en azından makul ölçüde olası olmasını gerektirir.
Etki testinde, potansiyel hatanın önemli bir yanlış beyan olup olmadığı belirlenir.
İki test de geçilmelidir: En azından makul bir ölçüde, önemli bir yanlış beyanın bulunma olasılığı olmalıdır.
İkinci derecede önemli bir eksikliğin önemli bir zayıflıktan daha düşük bir risk seviyesine tekabül ettiği unutulmamalıdır (yani, önemli bir yanlış beyan bulunmasına dair makul olasılıktan daha düşüktür). Ancak ikinci derecede önemli eksikliklerle ilintili olsa dahi, finansal tablolarla ilgili bir risk yönetim kuruluna bağlı denetim komitesine gerekçe açıklaması yapmayı gerektirecek kadar ciddi bir risktir. Bu gibi durumlar karşısında karara varmak için olasılık ve etki testlerinden ziyade muhakeme gücüne başvurulmalıdır.
3. Bir BTGK eksikliği doğrudan doğruya finansal tabloları etkilemeyeceği için, değerlendirme de doğrudan doğruya bununla ilgili yürütülmez. Değerlendirmede belirli adımlar veya basamaklar izlenir ve bu adım veya basamaklar kapsamında olasılık ve etki testleri gerçekleştirilir.
Yukarıda 1 numaralı ilkede de tartışıldığı ve güven zinciri diyagramında örneklendirildiği gibi, değerlendirme süreci üç adımdan oluşur:
a. Bir veya daha fazla BTGK kontrol hedefine ulaşma konusunda bir başarısızlık var mıdır?
b. Varsa, otomatik kontroller, anahtar raporlar veya diğer kritik BT işlevlerinden herhangi biri bu aksaklıktan dolayı zarar görmüş mü (yani, bu unsurların daima tasarımlarına uygun faaliyet gösterecekleri konusunda bir güvence verilemediği durumlar)?
c. Böyle bir zarar varsa, otomatik kontrolün hataları önlemek veya tespit etmek konusunda başarısız olmasına bağlı olarak bir önemli yanlış beyanda bulunulması makul ölçüde olası mıdır?
Yalnızca bu üç sorunun hepsinin cevabının evet olduğu durumlarda, BTGK eksiklikleri, finansal tabloları ilgilendiren önemli bir yanlış beyanın önlenememesine veya tespit edilememesine yol açmaları mümkün ya da en azından makul ölçüde muhtemel12 sorunlarolarak değerlendirilmelidirler. Diğer bir deyişle;
BTGK kontrollerindeki başarısızlığın bir veya daha fazla BTGK kontrol hedefine ulaşılamamasına neden olması,
bir veya daha fazla anahtar otomatik uygulama kontrolünün (veya anahtar raporlar,vb.) tasarımlarına uygun etkili bir işlememesi ve/veya
finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit edilememesi mümkün ya da en azından makul ölçüde olası olmalıdır.
12 Bu dokümanda, makul ölçüde muhtemel ve makul ölçüde olası ifadeleri editöryel nedenlerden ötürü eşanlamlı olarak kullanılmaktadır. Bunların her ikisi de aynı anlama gelmekte ve Terimler Sözlüğünde makul olasılıkbaşlığı altında tanımlanmaktadır.
13
4. Aynı BTGK kontrolüyle ilgili tüm BTGK eksiklikleri, bir grup halindedeğerlendirilmelidirler.
1 ve 3 numaralı ilkelerde tartışıldığı gibi, finansal tablolarla ilgili risk, dolaylı bir risktir. Yalnızca BTGK kontrol hedefine ulaşma konusunda başarısız olunduğunda, önemli eksiklik potansiyeli bulunduğu düşünülmelidir. Bu tip bir değerlendirmeyi yapmak için, ilgili tüm BTGK başarısızlıkları birlikte değerlendirilerek bir veya birden fazla BTGK kontrol hedefinde başarısız olunup olunmadığı hakkında bir görüş oluşturulmalıdır.
5. Ulaşılamayan BTGK kontrol hedefleri arasından aynı anahtar otomatik kontroller,anahtar raporlar veya diğer kritik işlevlerle ilgili olanlar, bir grup halindedeğerlendirilmelidirler.
Güven zincirindeki son bağlantı, finansal tablolarda önemli hatalar olmasını önlemek ya da bu gibi hataları tespit etmek için gereken kritik BT işlevlerinden – anahtar otomatik kontroller, anahtar raporlar ve diğer kritik işlevlerden (örneğin, güncellemeler, arayüzler ve hesaplamalar) oluşmaktadır.
Kritik BT işlevinin başarısız olma riski değerlendirilirken, bu işlevle ilgili olan ve ulaşılamayan bütün BTGK kontrol hedefleri dikkate alınmalıdır.
Genelde, otomatik bir kontrolle ilgili BTGK kontrol hedefi başarısızlıkları arttıkça, bu otomatik kontrolün tasarlandığı şekilde işlememe olasılığı da artar. Ayrıca, bir otomatik kontrolün başarısız olma olasılığı yükseldikçe, finansal tabloları ilgilendiren bir hatanın önlenememesi veya tespit edilememesi olasılığı da yükselir.
6. Bir arada değerlendirme ilkesi, aynı önemli hesap veya dipnot açıklamasıyla ilgili manuel ve otomatik kontrol eksiklikleri de dahil, tüm kontrol eksikliği tiplerinin bir grup halinde değerlendirilmelerini gerektirir.
Bu ilke, AS 5’te açık ve net bir ifadeyle tanımlanmaktadır:
Aynı finansal tablo hesap bakiyesi veya dipnot açıklamasını ilgilendiren birden çok kontrol eksikliğinin bulunması, yanlış beyanda bulunma olasılığını arttırır ve bu eksikliklerin şiddeti tek başlarına daha az olsa dahi, birlikte bir önemli zayıflık oluşturacak kadar büyük olabilir. Dolayısıyla, denetçi, aynı önemli hesap veya dipnot açıklaması, önemli iddia veya iç kontrol unsurunu ilgilendiren münferit kontrol eksikliklerinden doğan etkilerin hep beraber önemli bir zayıflığa neden olup olmadıklarını belirlemelidir.13
Yukarıdan aşağıya, risk-esaslı kapsam tayini yaklaşımında, işletme süreçlerindeki (örneğin, satın alım-ödeme, sipariş-ödeme veya özkaynak süreçleri) önemli hataları önlemek veya tespit etmek için gereken manuel ve otomatik kontrollerin bileşimi tayin edilecektir. Değerlendirmeyi yapan kişi, bozulan kritik BT işlevlerinden her birini ayrı ayrı ele almalı ve ilintili önemli hesap ve dipnot açıklamalarını tayin etmelidir. Daha sonra, etkili olsun ya da olmasın, ilgili tüm manuel ve otomatik kontrollerin toplu olarak etkinliği değerlendirilmeli ve önemli yanlış beyan riski bulunup bulunmadığı belirlenmelidir.
13 65. fıkradan alıntılanmıştır.
14
3. DEĞERLENDİRME SÜRECİ
Değerlendirme Ekibi
BTGK eksikliklerinin finansal tablolar üzerindeki etkisi, güven zinciri çerçevesindegösterildiği gibi dolaylı bir etkidir. Buna binaen, BTGK eksiklikleriyle ilgili değerlendirme, sadece BTGK ile ilgili teknik meselelerin değil, aynı zamanda işletme süreçleri, dönem sonu süreçleri ve finansal tabloların da anlaşılmasını gerektirir.
Bu bağlamda, değerlendirmeyi yapan personel, güven zincirinde yer alan tüm aşamaları bütün olarak anlamış olmalıdır. Ekibin her bir üyesi değerlendirme sürecinin her aşamasında rol alabilecek olsa da, sürecin ilk adımları büyük oranda BTGK kontrollerinin anlaşılmasına, takip eden adımlar ise daha çok işletme süreçleri ve kontrollerine dayanır.
Kontrol Eksikliklerinin Tayini
Kontrol eksiklikleri, kontrollerin tasarımları değerlendirilirken ya da test aşamasında tayin edilebilir. Aşağıda tartışılan süreçte, genelde olan bu olduğu için, eksikliğin kontrollerde yapılan testler sırasında tayin edilmiş olduğu varsayılır, dolayısıyla süreç de buna göre anlatılmıştır. Eksiklik, kontrolün tasarımında yapılan inceleme sonucunda anlaşılmışsa, 1 numaralı adımı gerçekleştirmeye gerek yoktur.
Adım-Adım Süreç
1. Test istisnalarının münferit bir istisnayı olmayıp, bir kontrol başarısızlığını temsil ettiğini teyit et.
Az sayıda test istisnası bulunuyorsa, bu her zaman bir kontrol başarısızlığı anlamına gelmez. Kontrolün gerçekleştirildiği kütlenin büyüklüğüne bağlı olarak, istisna içermeyen başka bir örneklem kullanılarak, testi yapan kişi tarafından istisnanın münferit olduğunun görülmesi sağlanabilir.
Testi yapan kişi, kontrolün ve test tasarımının anlaşılıp anlaşılmadığını teyit etmek üzere yönetimle birlikte test sonuçlarını gözden geçirmelidir. Kontrolün kendisinin ve nasıl çalıştığının yanlış anlaşılmış olmasından ileri gelen bir başarısızlık yaşanmış olabilir; bu durumda, test yeniden tasarlanmalı ve gerçekleştirilmelidir.
Öte yandan, ilgili kontrol hedefini ya da ele alınan riski karşılamak için gerek duyulan kontrol unsurlarının hangileri olduğunun anlaşılması da önemlidir. Test, bu anahtar unsurların incelenmesini sağlayacak bir tarzda tasarlanmalıdır. Örneğin, bir kontrol hedefinde, belirli bir işlemin yönetim tarafından yetkilendirilmiş olmasının gerektiği belirtilmiş olabilir. Gelgelelim operasyonel nedenlerden ötürü bu süreçte birden fazla gözden geçirme ve onay (örneğin, iki farklı yönetim seviyesinden) bulunabilir. Buna bağlı olarak, anahtar kontrol, iki farklı onay seviyesini içeriyor olabilir. Onaylardan biri alınmamışsa, bir sonraki gözden geçirme neticesinde, kontrol hedefine ulaşmak için tek bir yöneticiden onay alınmasının yeterli olduğu ortaya çıkarılabilir. Bu gibi bir durumda yapılması gereken, kontrolün başarısız olduğunu söylemekten ziyade, anahtar kontrol için verilen tanımlamayı, operasyonel nedenlerden ötürü gerekli görülen ek onay katmanlarını ihraç etmeksizin, kontrol hedefine ulaşmak için yeterli olan onayı açıkça gösterecek şekilde değiştirmek olacaktır.
15
Test istisnaları bir kontrol eksikliğini temsil etmiyorlarsa, değerlendirme süreci sonlandırılır.
2. Test edilen kontrollere dayanan BTGK kontrol hedef(ler)ini tayin et.
Bir veya daha fazla BTGK kontrol hedefinin gerektirdiği değerlendirme sürecinin planlanması ve kapsam tayini aşamasında yapılan tespitlere dayandığı için, tüm anahtar BTGK kontrolleri test edilir. BTGK anahtar kontrollerindeki başarısızlıklar değerlendirilirken atılması gereken ilk adım, bu kontrollere dayanan BTGK kontrol hedeflerini belirlemektir. Daha sonra, bir veya daha fazla anahtar BTGK kontrolündeki başarısızlığın, BTGK kontrol hedeflerine ulaşılamadığı yönünde yorumlanmasını gerektirip gerektirmediğini belirlemek üzere BTGK kontrol hedeflerinin her biri değerlendirilecektir. Bir kontrolün her biri risk altında olabilecek olan birden fazla BTGK kontrol hedefine bağlı olabileceği unutulmamalıdır.
3. BTGK kontrol hedef(ler)ine ulaşılıp ulaşılmadığını belirle.
Ortada bir önemli zayıflık ya da ikinci derecede önemli eksiklik bulunup bulunmadığı, münferit bir BTGK kontrolündeki başarısızlığa değil, BTGK kontrol hedeflerine ulaşılıp ulaşılmadığına bağlı olarak belirlenir. İlke 1’de yürütülen tartışmada ve güven zincirinde gösterildiği gibi:
Münferit BTGK kontrolleri, BTGK kontrol hedefleriyle ilintilidir. BTGK başarısızlıkları, doğrudan doğruya ilgili kontrol hedeflerine ulaşılamamasına neden olabilir. Bir kontrol hedefine ulaşmak için gerekli görülen bir dizi anahtar kontrol tanımlanmış olabileceği ve bu BTGK kontrollerinden birindeki başarısızlık veya bozulmanın her zaman ilgili kontrol hedefine ulaşılamayacağı anlamına gelmediği unutulmamalıdır.14
İlk risk değerlendirmesi, belirli BTGK hedeflerinde başarısız olunmasına kontrol eksikliklerinin sebep olup olmadığı üzerine yapılır. BTGK kontrol hedeflerinde başarısız olunup olunmadığı değerlendirilirken, bir kontrol hedefini ilgilendiren bütün anahtar BTGK eksiklikleri bir grup halinde dikkate alınmalıdır.
Bu değerlendirmenin iki yönü vardır:
a. Telafi Edici15 BTGK Kontrolleri
Bir BTGK kontrol hedefine ulaşılmasında birden çok anahtar BTGK kontrolünün rol oynadığı durumlarda, bir veya daha fazla kontrolün güçlü yanları ile başka bir kontrolün zayıf yanlarının telafisi mümkün olabilir.
Örneğin, veritabanı yöneticisinin (VTY) finansal sistemlere (yani, borçlar, alacaklar, stoklar, duran varlıklar hesapları vb. dahil büyük defter ve yardımcı defterler) erişimini kısıtlamaya yönelik bir kontrol hedefiyle ilgili olarak iki adet anahtar kontrol tanımlanmış olabilir. İlk kontrolde VTY yetkileri tanımlı VTY’lerle sınırlandırılırken, ikincisi, büyük defter verilerine erişimi izlemeye yarayan bir kontrol olabilir. İlk anahtar kontrolde eksiklik oluşursa, sadece ikinci kontrolde başarıya ulaşılması bile, büyük defter sistemiyle ilgili kontrol hedefinin başarıldığı
14 Teknik olarak, kontrol hedeflerine ya ulaşılır ya da ulaşılmaz. Yazım kolaylığı sağlamak üzere, bu dokümanda bir kontrol hedefine ulaşılmaması, söz konusu kontrol hedefinin başarısızlığı olarak da ifade edilmektedir. 15 Telafi edici kontroller terimi, tamamlayıcı ve hafifletici kontrolleri kapsar.
16
yönünde bir sonuca varmak için yeterli olabilir. Diğer yandan, izleme kontrolünün kapsamı borçlar veya stoklar hesabında yapılan değişiklikler gibi erişim faaliyetlerini içine alacak ölçüde genişletilmemişse, bu gibi yardımcı defterler açısından kontrol hedefine ulaşılamadığı yönünde bir sonuca varılması muhtemeldir.
Başka bir örneğe göre, büyük defter uygulamasında yalnızca onaylı olan değişikliklerin yapılmasını sağlamakla ilgili bir kontrol hedefine dayanan üç farklı kontrol bulunabilir. İlk kontrol, tüm değişiklik taleplerinin şirket iç kontrolörü tarafından onaylanması; ikinci kontrol, tüm değişliklerin uygulamaya konmadan önce BT birimine bağlı bir değişiklik kontrol heyetince onaylanması; üçüncü kontrol ise, tüm değişikliklerin muhasebe bölümü tarafından test edilmesiyle ilgili olabilir. Şirket kontrolörünün onayı çoğu durumda alınmasa bile, diğer iki kontrol sayesinde sağlanan güvence seviyesi, kontrol hedefine yine de ulaşılmış olduğu yönünde bir kanaate varmak için yeterli olabilir.16
Telafi edici BTGK kontrolleri ele alınırken, bu kontrollerin tasarlandığı gibi etkin şekilde işlediğine dair bir güvence ortaya konmalıdır. Bu genelde, test edilmiş veya güvence altına alınmış olan anahtar BTGK kontrolleriyle sınırlandırılır.
b. Birden Çok Anahtar Kontrolde Başarısızlık Oluşması
Genellikle, bir BTGK kontrol hedefini ilgilendiren birden çok anahtar kontrolbaşarısızlığının görüldüğü durumlarda, bu kontrol hedefinin başarısız olarak değerlendirilme ihtimali daha fazladır. Birden çok kontrol başarısızlığının kontrol hedefine ulaşılamamasıyla sonuçlanan, azaltılamamış bir risk durumu yaratıp yaratmadığı, muhakeme edilerek belirlenmelidir.
Bu değerlendirme, muhakeme etmeyi gerektirir. Anahtar BTGK kontrolleri hesaba katılarak yapılan değerlendirmede BTGK kontrol hedeflerine ulaşılmış olduğu yönünde bir sonuca varılırsa, değerlendirme süreci sonlandırılır.
4. Finansal açıdan önemli uygulamalardan hangilerinin kontrol hedeflerine ulaşılmasına bağlı olduğunu tayin et.
Değerlendirilen BTGK kontrol hedefleri belirli bir bağlamda ele alınmalıdırlar. Kontrol hedeflerinin içerdikleri finansal açıdan önemli uygulamalar ve BT işlevleri hakkında güvence sağlamaları gerekir ve farklı uygulamalara konu olan aynı BTGK kontrol hedefiyle ilgili farklı sonuçlara varılması muhtemeldir. Örneğin, Unix yönetici erişiminin sınırlandırılmasını sağlamakla ilgili bir kontrol hedefine bazı sunucularda yer alan uygulamalar için ulaşılamamışken, başka sunucularda yer alan uygulamalar için ulaşılmış olabilir.
5. BTGK kontrol hedefine ulaşma konusundaki başarısızlığın rutin işlemlerle tespit edilebilmesi mümkün ya da en azından makul ölçüde olası mı, değil mi, belirle.
16 Değerlendirme sürecinde, bir riskle ilgili olarak aynı işlevi gören ve bu yönden çakışan iki veya daha fazla yani lüzumsuz kontrollerin bulunduğu tespit edilebilir. Bu kontroller, Bölüm 404 genel değerlendirmesi açısından kontrol başarısızlığı olarak ifade edilebilecek bir riski azaltmak amacıyla kapsam tayini sürecinde ihtiyaten oluşturulmuş olabilirler. Bu kontroller, yukarıdan aşağıya, risk-esaslı bir süreçten faydalanılmadığı için verimsiz bir kapsam tayini sürecinin sonucu da olabilirler. Eğer ikinci olasılık geçerliyse, kapsam tayini sürecini yeniden ele almak ve lüzumsuz kontrolleri kapsam dışına çıkartmak gerekebilir.
17
BTGK kontrollerinin doğası gereği, bu kontrollerdeki başarısızlıklar derhal görünür bir niteliktedir. Örneğin, antivirüs koruma sistemini güncelleme konusundaki başarısızlık hemen fark edilir. Eğer bu güncelleme başarısızlığı ağda bulunan bir enfeksiyondan (virüsten) kaynaklanıyorsa, kullanıcı işlevlerinde neden olacağı bozulmadan dolayı birçok durumda derhal fark edilecektir. Satıcı tarafından sağlanan ağ işletim sisteminde yapılan güncellemeleri test edilmesi konusundaki başarısızlık diğer bir örneği teşkil eder. Değerlendirmeyi yapan kişi, bunun finansal açıdan önemli uygulamalarla ilgili işlevler açısından tespit edilemeyen bir başarısızlıktan ziyade, ilgili sürücüler ve onlar üzerindeki uygulamalarda geniş çaplı ve açıkça görünür bir başarısızlığa yol açmasının daha olası olup olmadığını tartmalıdır.
Değerlendirmede, makul bir kişinin; incelenmekte olan belirli durum ve koşullarda, ilgili kontrol başarısızlığından kaynaklanan olumsuz bir gelişmenin rutin işlemler çerçevesinde tespit edilebilmesinin mümkün ya da en azından makul ölçüde olası olmadığı yönünde bir sonuca varıp varmayacağı göz önünde tutulmalıdır.
Bir BTGK kontrol hedefine ulaşamama gibi bir sorun bulunmadığı sonucuna varılırsa, bunun anlamı, görülen istisnanın sadece bir kontrol eksikliği olduğudur.17
6. Ulaşılamamış BTGK kontrol hedefleri açısından hangi kritik BT işlevlerinin risk altında olduğunu tayin et.18
Yapılan değerlendirmede, ulaşılamadığı belirlenen kontrol hedefleri arasından aynı anahtar otomatik kontrol, anahtar rapor veya diğer kritik işlevlerle ilgili olanlar önce tek tek ve ardından gruplar halinde ele alınırlar. Belirli bir anahtar otomatik kontrolü ilgilendiren kontrol hedeflerinden ulaşılamayanlar ne kadar fazla ise otomatik kontrolün kendisinin yerine getirilememiş olması da kadar olasıdır.
Test edilecek BTGK kontrolleriyle ilgili planlama ve kapsam tayininde, anahtar otomatikkontrollerin her biri için ulaşılması gereken BTGK kontrol hedeflerinin hangileri olduğu saptanacaktır. BTGK kontrol hedeflerine ulaşılamaması sonucunda bu başarısızlıkların her birinden ayrı ayrı etkilenen otomatik kontrolleri belirlemek için, düzenleme belgeleri (dokümantasyon) gözden geçirilmelidir.
Bu adım, iş süreçlerinin ve otomatik kontrollerin oynadığı rollerin vb. anlaşılmasını gerektirdiği için, değerlendirme ekibinde, BTGK riskleri hakkında bilgi ve birikime sahip kişiler de bulunmalıdır.
Değerlendirme sürecinde gelinen bu aşamada, BTGK kontrol hedeflerine ulaşılamamasından dolayı otomatik kontroller, anahtar raporlar, vb. unsurlardaki başarısızlığın finansal tablolar açısından yarattığı risk(ler) dikkate alınır. Dolayısıyla, bu aşamada değerlendirme ekibinin bütün üyeleri katkı sağlamalıdır.
17 Lüzumsuz kontroller için yürütülen tartışmaya benzer yönde bir değerlendirme olarak, başarısızlığı derhal fark edilebilecek olan kontrollerin kapsama alınmalarının nedeni, kapsam tayini sürecinin etkin olmayan, verimsiz bir tarzda yürütülmüş olması olabilir. Böyle bir durumda, kapsam yeniden değerlendirilmeli ve bu kontrollerin kapsam dışına çıkartılmasının üzerinde durulmalıdır. 18 BTGK testleriyle ilgili çalışmanın kapsamını tanımlamak üzere BTRDR Metodolojisi kullanılıyorsa, hazırlanan BTRDR belgelerinde, otomatik kontroller, anahtar raporlar, vb. unsurlar arasından hangilerinin değerlendirmeye alınan BTGK kontrol hedefiyle ilgili olduklarını gösteren bir açıklama da bulunmalıdır.
18
7. Risk altındaki kritik BT işlevlerinin her biri açısından, BTGK kontrol hedeflerine ulaşma konusundaki başarısızlık(lar)ın, işlevlerle ilgili tespit edilemeyen bir başarısızlığa neden olması makul ölçüde olası mıdır, belirle.
Bu noktada, kritik BT işlevlerinin (anahtar otomatik kontroller, raporlar, vb.) yerine getirilemeyeceğini ve bu başarısızlığın tespit edilemeyeceğini gösteren en azından makul ölçüde olası olup olmadığını değerlendirmek için muhakeme gücüne başvurulur.
Aşağıda belirtilen unsurlar dikkate alınmalıdır:
a. Aynı kritik BT işlevlerini ilgilendiren BTGK kontrol hedeflerinde birden fazla başarısızlık yaşanmış mıdır?
Genelde, otomatik kontroller veya diğer kritik işlevlerin yerine getirilmesinde bir başarısızlıkla karşılaşma olasılığı, bir dizi BTGK kontrol hedefiyle ilgili birden fazla riskin bulunduğu durumlarda artacaktır. BTGK kontrol hedefi başarısızlıklarının doğa ve niteliğinin, kritik BT işlevlerini her zaman düzgün şekilde yerine getirme güvencesi yönünden BTGK kontrollerine güvenilmeyeceğine işaret edip etmediğini değerlendirmek için muhakeme gücüne başvurulmalıdır.
b. İşlevlerdeki başarısızlığın, örneğin bir telafi edici bir iş kontrolü sayesinde zamanında tespit edilmeleri makul ölçüde olası mıdır?
Risk altındaki işlevin bir anahtar rapor olduğu ve tanımlanan riskin raporun oluşturulamaması olduğu durumları düşünün. Raporun oluşturulamadığını tespit etmek için, anahtar raporu incelemeye yönelik bir manuel anahtarkontrol yapılması yeterli olacaktır. Gelgelelim, eğer söz konusu risk, rapor içeriğinin eksik veya yanlış olmasıyla ilgiliyse, manuel inceleme prosedürünün hataları tespit etmek için yeterli olup olmadığı, incelemenin yürütüldüğü ilgili durumun belirli koşul ve olgularına bağlı olacaktır.
c. Kritik BT işlevlerinde daha önceden herhangi bir başarısızlıkla karşılaşılmış olup olmadığını bir risk göstergesi olarak ele alın.
Anahtar otomatik kontrollerde geçmişte karşılaşılmış ve zamanında tespit edilememiş olan başarısızlıkların bulunması, gelecekte bu kontrollerde başarısızlık riskini arttıran bir gösterge olarak ilk bakışta göze çarpar. Geçmiş başarısızlıkların ne kadar hızlı tespit edildikleri ve benzeri ancak anahtar öneme sahip olmayan işlevlerde başarısızlık yaşanmış olup olmadığı dahil, bu risk göstergesini değerlendirmek için muhakeme gücüne başvurulmalıdır. Örneğin büyük defter sistemini ilgilendiren anahtar otomatik kontroller ve anahtar raporlar varsa, büyük defter sistemidahilindeki farklı işlevlerde geçmişte başarısızlıklarla karşılaşılmış olması ilgili bir noktayı teşkil edebilir. Finansal tabloları ilgilendiren önemli yanlış beyanların önlenmesi veya tespit edilmesi hususunda temel alınan işlevlere ilişkin risk seviyesi belirlenirken, içinde bulunulan belirli koşullar ve gerçekler dikkate alınmalıdır.
19
Herhangi bir kritik işlevle ilgili tespit edilemeyen bir başarısızlığın bulunması makul ölçüde olası değilse, o halde söz konusu olan yalnızca bir kontrol eksikliğidir.
8. Hem kritik BT işlevleri hem de diğer işletme kontrollerinin nasıl yürütüldükleri dikkate alındığında, bir başarısızlığın finansal tablolarda önemli bir yanlış beyana neden olması makul ölçüde olası mıdır?
Değerlendirme süreci, kritik işlevlerde başarısızlık olasılığının en azından makul ölçüde var olduğunu ortaya koymuştur. Gelinen bu noktada, kurum seviyesindeki19 ve birimseviyesindeki ilgili tüm manuel ve diğer otomatik anahtar kontrollerin etkinliği dahil konuyla ilgili bütün gerçekler ve koşullar göz önünde tutularak, oluşan başarısızlığın finansal tablolarda tespit edilemeyen önemli bir hataya yol açmasının mümkün ya da en azından makul ölçüde olası olup olmadığını değerlendirmek için muhakeme gücüne başvurulur.
İlke 1’de anlatıldığı üzere:
BTGK başarısızlığının bir veya daha fazla BTGK kontrol hedefine ulaşılamamasına neden olması;
bir veya daha fazla anahtar otomatik uygulama kontrolünün (veyaanahtar raporlar, vb.) tasarlandığı gibi etkili bir şekilde işlememesi ve/veya
finansal tabloları ilgilendiren önemli bir yanlış beyanın tespit edilememesi mümkün ya da en azından makul ölçüde olası olmalıdır.
Değerlendirmede; yalnızca kritik işlevlerde bir başarısızlık olma riski üzerinde durulmamalı, bunun yanı sıra, bir önemli hesap veya dipnot açıklamasıyla ilgili bütün kontrollerin etkinliği de dikkate alınmalıdır. Bu bağlamda göz önünde tutulması gereken unsurlar şunlardır:
Aynı hesap veya dipnot açıklamasını ilgilendiren birden çok kontrol başarısızlığı olup olmadığı.
Adım 3’te anlatıldığı gibi, birden çok kontrol başarısızlığının bulunması, önemli bir yanlış beyan riskinin arttığını gösteriyor olabilir. Buna karşın, yapılan değerlendirmede kontrol eksikliklerinin kendilerine özgü doğası ve nitelikleri dikkate alınmalıdır. Eğer birbiri ile ilişkili değillerse (örneğin, aynı kişilerce veya aynı sistem kullanılarak gerçekleştirilmiyorlarsa), aynı dönem içerisinde birden çok hata olma olasılığı düşük seviyede olabilir. Örneğin, birbiriyle ilgisiz iki kontrolün her biri ayrı ayrı %10 olasılıkla 1 milyon ABD tutarında bir hataya neden olma riski taşıyorsa, olasılık teorisine göre, bunların aynı zamanda meydana gelme ve toplamda 2 milyon ABD tutarında bir hataya yol açma olasılığı sadece %1’dir. Fakat bu iki kontrol birbirleriyle ilişkiliyseler, 2 milyon ABD tutarında bir hata oluşma olasılığı çok daha yüksek olabilir.
BTGK eksiklikleri, birden fazla otomatik kontrolü ya da diğer kritik BT işlevlerini ilgilendiren BTGK kontrol hedeflerine ulaşılamaması yönünde bir etki sergileyebilir. Bu otomatik kontrollere duyulan güvenin azaldığı
19 Şirket seviyesi ve kurum seviyesi terimleri aynı anlama gelmektedir.
20
düşünülüyorsa, ortak sebep bunların (yani, anahtar BTGK kontrolleri ve kontrol hedefleri) birbirleriyle ilişkili olmasıdır.20
Bir veya birden fazla kontrol eksikliğinden, birden çok önemli hesabın etkilenip etkilenmeyeceği.
Yukarıda da kaydedildiği gibi, tek bir BTGK eksikliği birden fazla hesapla ilgili çok sayıda hatanın kök sebebi olabilir. Bu durum, ya etkilenen kritik BT işlevlerinin birden fazla önemli hesapta hata oluşmasının önlenmesi veya oluşan hataların tespit edilmesiyle ilgili olmasından ya da oluşan eksiklikten etkilenen birden çok otomatik kontrolün ve dolayısıyla birden çok hesabın bulunmasından kaynaklanabilir.
Değerlendirme ekibi, önemli bir zayıflık düzeyine ulaşan bir risk kümelenmesi bulunup bulunmadığını ele almalıdır.
Telafi edici veya hafifletici kontrollerin var olup olmadığı.
Adım 3’te, finansal tablolarla ilgili önemli bir hata olma olasılığının telafi edici kontroller sayesinde nasıl düşürülebileceği anlatılmaktadır. Bu telafi edici kontrollerin, üzerlerine yüklenen güven verme fonksiyonunu yerine getirmekonusunda etkili oldukları saptanmış olmalıdırlar.
Eğer bir önemli zayıflık tayin edilirse, değerlendirme sürecine tüm kümelenme etkilerinin
dikkate alındığı Adım 10 ile devam edilir.
9. Söz konusu riskin, önemli bir zayıflığı temsil edecek kadar yüksek düzeyde olmasa da, yönetim kuruluna bağlı demetim komitesine ikinci derecede önemli bir eksiklik olarak açıklanmasını gerektirip gerektirmediğini değerlendir.
SEC ve PCAOB, ikinci derecede önemli eksiklikleri aşağıda gösterildiği gibi tanımlamışlardır:
“…önemli bir zayıflıktan daha düşük şiddette seyreden, ancak yine de şirketin finansal raporlamasının gözetiminden sorumlu kimselerin dikkatine sunulmak için yeterince önemli olan ve finansal raporlama üzerindeki iç kontrolsisteminde görülen bir eksiklik ya da bir eksiklikler kümesi.”
Bu değerlendirme, değerlendirme ekibinin muhakeme gücünü kullanmasını gerektirecektir. BTGK eksikleri, finansal raporlama dışındaki alanlarla ilgili riskler (örneğin, operasyonel etkinlikle ilgili ya da gizli bilgilerin korunmasıyla ilgili riskler) üzerinde potansiyel bir etki gösterdikleri için, yönetimin yaptığı değerlendirme kapsamında ilgili tüm riskleri ele almasını ve denetim komitesiyle bunlar hakkında tartışma yürütmesini tavsiye ediyoruz.
20 Bu durum, bir çeşit kümelenme biçimi olarak değerlendirilebilir. Başkaları ise, bunun BTGK kontrollerinin yayılmacı tabiatından kaynaklandığını öne sürerler (yani, bir BTGK kusuru, birden çok işletme süreci kontrolünü ve birden çok önemli hesabı etkileyebilir).
21
10. Finansal tablolarla ilgili kontrol risklerinden oluşabilecek tüm kümelenmelerin dikkate alınıp değerlendirilmiş olduğunun teyit edilmesi de dahil olmak üzere, konuyu toparla ve bir makul kişi21 incelemesi gerçekleştir.
Finansal raporlama iç kontrol (ICFR) sistemi üzerinde yapılan değerlendirmede, bu sistemin önemli yanlış beyanların zamanında önlenmesini ya da tespit edilmesini sağlama yönünde makul bir güvence sunup sunmadığı ele alınır. Bunun için değerlendirme ekibinin bütün eksiklikleri ve özellikle bunların kök sebeplerini bir bütün olarak dikkate alması ve aşağıdaki sorulara cevap bulması gerekir:
İç kontrol sisteminde zayıflıkların var olup olmadığı. Varsa, bunlar ve kök sebepleri gerektiği şekilde tayin edilmiş midir?
Bütün risk kümelenmeleri tayin edilip ele alınmış mıdır? Makul bir kişi, işletmenin tabiatını, finansal tablolarla ilgili büyük riskleri ve anahtar
kontrollerin kuvvetli ve zayıf yönlerini göz önünde tutarak yaptığı değerlendirmede, önemli bir yanlış beyan riskinin makul ölçüde olası olduğuna kanaat getirir mi?
Deneyimler, kontrol eksikliklerinin kök sebeplerinin genellikle aynı olduğunu göstermektedir (örneğin, yeterli personeli bulunmayan bir BT güvenlik birimi, bir bütün olarak değişiklik yönetiminde disiplin eksikliği ya da teknik muhasebe deneyimi ve kavrayışında eksiklik). Değerlendirme ekibi, böyle bir durumda, altta yatan bu meselenin birleşik veya kümelenmiş etkisinin, önemli bir zayıflığı ya da ikinci derecede önemli bir eksikliği temsil edip etmediğini değerlendirmelidir. Kök sebebin tayin ve gerektiği gibi rapor edilmesi de önemli bir noktadır, zira , zayıflıklar yalnızca kök sebepleri ele alındığında etkili şekilde giderilebilirler.
Bu aşamaya kadar yapılan değerlendirme kapsamında, tam olarak hepsi olmasa da kümelenmiş mesele tiplerinin bazıları üzerinde durulmuştur. Bu bağlamda ele alınan hususlar aşağıda sıralanmaktadır.
Birden fazla anahtar BTGK eksikliği ve bunların tek bir BTGK hedefi üzerindeki etkisi (Adım 3'te).
Birden fazla BTGK kontrol hedefine ulaşılmasında başarısız olunması ve bunların tek bir otomatik kontrol veya bir diğer kritik BT işlevi üzerindeki etkisi (Adım 7a'da).
Manuel, otomatik ve başka tip kontrollerden oluşan kombinasyonlar dahil birden fazla kontrol başarısızlığı ve bunların finansal tablolar üzerindeki etkisi (Adım 8'de).
Aynı kök sebepten kaynaklanan eksiklikler (yukarıda).
Değerlendirme ekibi, bütün kontrol eksikliklerini gözden geçirmeli ve tamamının incelenmesinden sonra, başkaca ikinci derecede önemli eksiklikler ya da önemli zayıflıklar bulunmadığını teyit etmelidir. Örneğin, makul bir kişinin yönetimin iç kontrol sistemine verdiği ağırlığın yetersiz olduğu yönünde görüş bildirmesine neden olacak kadar çok kontrol eksikliği var mıdır?
Makul bir kişi ya da diğer adıyla SEC ve PCAOB tarafından önerilen basiretli bir memur, tarafından yapılan gözden geçirme, nihai ihtiyati adımı teşkil eder. Bu gözden geçirmenin amacı, yapılan değerlendirmenin gereğinden fazla koruyucu veya saldırgan olmadığından emin olunmasını sağlamak ve yanı sıra, raporlamanın yapıldığı tarihteki iç kontrol sisteminin sahip olduğu kaliteyi doğru yansıtan bir değerlendirmeye ulaşılmış olmasını teyit etmektir.
21 SEC ve PCAOB rehberlerinde, makul kişi teriminin yerine basiretli memur terimi kullanılmaktadır, ancak bu terimlerin anlamları ve kullanım amaçları aynıdır.
22
4. TERİMLER SÖZLÜĞÜ
Terimler Tanımlar
Uygulamakontrolü
"Uygulama seviyesindeki riskler için oluşturulan uygulama kontrolleri, sistemin içinde kurulmuş bilgisayarlı kontroller veya manuel olarak gerçekleştirilen kontroller formunda olabilecekleri gibi, bunların bir bileşimi biçiminde de olabilirler. Uygulama kontrollerine verilebilecek örneklerarasında, belgelerin bilgisayar ortamında eşleştirilmesi (satın alma siparişi, fatura ve mal alındı raporu), bilgisayarın ürettiği çıktının kontrolü ve imzalanması ve istisna raporlarının üst yönetim tarafından gözden geçirilmesi sayılabilir." (Uluslararası Bilişim Teknolojileri Yönetim ve Denetim Enstitüsü Derneği - ISACA, Uygulama Sistemleri Gözden Geçirmeleri, belge G14)
Otomatikuygulamakontrolü
Yukarıda tanımlandığı gibi, uygulama kontrolleri, "sistemin içinde kurulmuş bilgisayarlı kontroller, manuel olarak gerçekleştirilen kontroller ve bunların bir birleşimi biçiminde olabilirler." Burada kullanılan otomatik uygulamakontrolleri terimi, ISACA tarafından yapılan tanımlamada kullanılan bilgisayarlı kontroller terimiyle eşanlamlıdır.
Kontrol
"İş hedeflerine ulaşılacağı ve istenmeyen olayların önleneceği ya da tespit edilip düzeltileceği yönünde makul güvence sağlamak üzere tasarlanıp oluşturulmuş politikalar, prosedürler, uygulamalar ve organizasyonel yapılar." (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri - COBIT Terimler Sözlüğü)
Kontroleksikliği
Finansal raporlama iç kontrol (ICFR) sisteminde yer alan bir kontrolüntasarımı ya da işleyişi, atandıkları birimlerde ilgili rutin faaliyetleri yerine getiren yönetim veya çalışanlara, yanlış beyanları zamanında önleme ya da tespit etme olanağı sağlamıyorsa, ortada bir kontrol eksikliği vardır.
Kontrolbaşarısızlığı
Bir anahtar kontrol yetersiz düzeyde tasarlanmışsa ya da etkili şekilde işlemiyorsa, ortada bir kontrol başarısızlığı vardır.
Kritik BTişlevleri
Kritik BT işlevleri arasında aşağıda sayılanlar bulunur:
Anahtar otomatik kontroller Anahtar manuel kontrollerin doğru ve düzgün faaliyet göstermeleri için
esas alınan BT işlevi Anahtar raporlar Muhasebe kayıtlarıyla ilgili, tespit edilemeyerek finansal tablolarda bir
önemli hata oluşmasına sebebiyet verebilecek, hesaplamalar ya da büyük deftere geçirme gibi diğer kritik işlevlerdeki bir başarısızlık. Bazı kaynaklarda bunun için programlı muhasebe prosedürleri terimikullanılır.
23
Terimler Tanımlar
Kurumdüzeyindekontrol
Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) kontrolleri,kurum düzeyinde kontroller ve ayrıntı/süreç düzeyinde (birim düzeyinde) kontroller olarak iki grup altında toplamaktadır. Diğerine kıyasla kurum düzeyindeki riskler, organizasyonun bütünü ve birden fazla ayrıntı/süreç düzeyindeki kontrolün etkinliği üzerinde etki edebilecek olmalarından ötürü doğası gereği daha yayılmacı risklerdir.
Kurum seviyesi terimi, şirket seviyesi terimiyle eşanlamlıdır.
Finansalaçıdan önemli
Finansal açıdan önemli uygulamalarda, anahtar otomatik uygulama kontrolleri, anahtar raporlar ve diğer anahtar otomatik süreçler dahil, finansal raporlama sürecinin bütünlüğünü güvenceye alma konusunda esas alınan işlevler bulunur. Bu işlevler doğru, düzgün ve tutarlı bir çerçevede faaliyet gösteremiyorlarsa, önlenemeyen veya tespitedilemeyen önemli bir yanlış beyan bulunması en azından makul ölçüde olasıdır. Bir işlev önemli yanlış beyanların saptanması veya önlenmesi açısından mutlaka gerekli olduğu taktirde bu tanımlama kapsamındadır (örneğin, bir anahtar kontrolün parçası olarak).
Finansal açıdan önemli veriler, rutin uygulama kontrolleri atlatılmak suretiyle (örneğin, bir BTGK başarısızlığı sonucunda) yetkisiz değişikliklerden etkilenmeleri durumunda, önlenemeyen veya tespit edilemeyen önemli bir yanlış beyana neden olmaları mümkün ya da en azından makul ölçüde olası olan verilerdir. Bu gibi durumlarla finansal veriler kapsamında karşılaşılabileceği gibi, otomatik bir prosedürün tutarlı işleyiş göstermesi konusunda temel alınan verilerde de karşılaşılabilir.
ICFR Finansal raporlama üzerindeki iç kontrol (sistemi)
IIA
İç Denetim Enstitüsü (IIA), global merkez binası Altamonte Springs, Fla., Birleşik Devletler adresinde bulunan ve 122.000'i aşkın üyesi olan bir uluslararası meslek örgütüdür. IIA, dünya genelinde, sertifikasyon, eğitim, araştırma ve teknolojik rehberlik hizmetleri veren, iç denetçilik mesleği alanındaki lider kurum olarak tanınır.
BTGK(ITGC)
Bilgi teknolojileri genel kontrolleri (BTGK'ler), genelde BT birim vekuruluşlarına ait BTGK süreçleri üzerindeki kontrollerdir. Geniş anlamıyla BTGK'ler, işlemlerin yapılmasını ve otomatik kontrollerin hayata geçirilmesini sağlayan işlevler ve benzeri uygulamaların, geliştirilmesini ve takiben sürdürülmesini güvence altına alırlar. Aynı zamanda, bu uygulamaların düzgün işleyiş gösterdiklerinden ve verilerin ve programların yetkisiz değişikliklere karşı korunduklarından emin olunmasını sağlarlar.
24
Terimler Tanımlar
Anahtarkontrol
Başarısız olması durumunda, finansal tabloları ilgilendiren önemli bir hatanın zamanında önlenemeyecek veya tespit edilemeyecek olmasını mümkün ya da en azından makul ölçüde olası hale getiren bir kontroldür. Diğer bir deyişle, önemli hataların zamanında önlenmesi veya tespit edilmesi konusunda makul düzeyde güvence sağlayan kontrol, bir anahtar kontroldür.
Başarısızlık, münferit nitelikte olabileceği gibi, aynı zaman dilimi içerisinde başarısız olma olasılığı bulunan başka kontrollerle birlikte de görülebilir. İkinci durum, literatürde kümeleşme terimi ile anılır. Tek bir kontroldeki başarısızlık muhtemelen önemli bir yanlış beyana yol açmaz, ama aynı dönem içerisinde birden fazla kontroldeki başarısızlık, bu riski uzak olasılık mertebesinden daha üst bir seviyeye çıkarır. Kümeleşme durumunda, kontrollerin aynı dönem içerisinde başarısız olmalarının muhtemel olması gerekir; bunun nedeni, örneğin, bu kontrollerin aynı zaman dilimi içerisinde aynı bilgisayar sistemi kullanılarak veya aynı kişi tarafından gerçekleştirilmiş olmasıdır.
Bir hatanın zamanında tespit edilmesi önemli bir husustur. Aksi takdirde, finansal tablolar SEC komisyonuna gönderildikten sonra tespit edilen hatalar,finansal tabloların yeniden düzenlenmesini gerektirebilir.
PCAOB, 5 numaralı denetim standardında, anahtar kontrollerin esasını aşağıda gösterildiği gibi tanımlamaktadır:
"Denetçi, öne sürülen her önemli iddiayla ilgili yanlış beyan riskinin, şirket bünyesindeki kontroller kapsamında yeterli düzeyde ele alınıp alınmadığı hakkında bir sonuca varması açısından önemli bir yer tutan bu kontrolleri test etmelidir."
Anahtarrapor
Genellikle sistem içerisinde oluşturulmuş, bir anahtar kontrol kapsamında kullanılan bir rapordur. Bir raporun bir anahtar rapor sayılması için aşağıdaki koşulları karşılaması gerekir:
Raporda yapılan bir hata, tespit edilememesi halinde, örneğin raporda yer alan bilgilerin bir işlem (örneğin, bir yevmiye kaydı) oluşturmak için kullanılmasından ya da raporun yapılan kontrolün temelini teşkil eden bir unsur olarak (örneğin, vadesi geçmiş alacaklara yönelik bir gözden geçirme) kullanılmasından dolayı önemli bir hataya neden olabilir.
Kontrolün manuel yürütülen kısmı kapsamında, raporda yapılan bir hatanın tespit edilebilir olması mutlak değildir.
25
Terimler Tanımlar
Önemlizayıflık
ICFR sistemindeki, şirketin yıllık ya da ara dönem finansal tablolarında önemli bir yanlış beyanın zamanında önlenememesini veya tespit edilememesini makul ölçüde olası kılan bir eksiklik ya da bir eksiklikler birleşimi.
PCAOB
ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu (PCAOB), halka açık şirketlerde çalışan denetçilerin gözetim ve yönetimini yerine getirmek üzere Sarbanes-Oxley Kanunu uyarınca kurulmuş kâr amacı gütmeyen bir özel hukuk tüzel kişisidir. Hedefini, "bilgilendirici, adil ve bağımsız denetim raporlarının hazırlanmasında yatırımcıların çıkarlarını ve kamu yararını korumak" olarak açıklamaktadır.
Her ne kadar bir özel hukuk tüzel kişisi niteliğinde olsa da, PCAOB, devletin sahip olduğuna benzer birçok düzenleyici işleve sahiptir. Bu konumu, PCAOB'yi, Birleşik Devletler'de menkul kıymetler borsasını ve finans piyasalarının diğer unsurlarını düzenleyen özel teşebbüse ait öz-düzenleme kurumlarıyla benzer bir niteliğe kavuşturur.
Basiretlimemur
Bakınız: makul kişi
Makulgüvence
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja bakılabilir: "Komisyon'un uygulama kurallarında atıf yapılan 'makul güvence' kavramı, Yabancı Ülkelerde Yolsuzluk Uygulamaları Kanunu'nda (FCPA) (1977) benzer bir dille açıklanır. Makul güvence ve makul ayrıntı kavramları, Menkul Kıymetler ve Borsa Kanunu Madde 13(b) Fıkra (7)'de, 'kendi işlerini yerine getirirken basiretli memurları tatmin edecek düzeyde ayrıntı seviyesi ve güvence derecesi' olarak tanımlanırlar. Komisyon, 'makullük' kavramını uzun bir süreden beri 'şirket kayıtlarıyla ilgili mutlak bir kesinlik standardı' olarak ele almamaktadır. Ayrıca, Komisyon 'makullük' standardını nesnel bir standart olarak tanımasının yanı sıra, bir sertifikasyon kuruluşunun 404. Madde ve Komisyon kurallarının uygulanışı konusunda neyin 'makul' olduğu hakkında karar verirken belirli bir aralıkta inisiyatif kullanabilecek kadar öznel hareket edebileceğini de kabul eder. Dolayısıyla, 404. Maddenin uygulanışı bağlamında ele alınan 'makul', 'makul ölçüde' ve 'makullük' kavramları, sabit tek bir çıkarımı veya metodolojiyi yansıtmazlar, daha ziyade, bir sertifikasyon kuruluşunun makul bir çerçevede aldığı kararlara dayanak teşkil etmeye uygun olası tüm davranışları, çıkarımları veya metodolojileri kapsarlar."
Makul kişi
Bu terimle ilgili olarak SEC kılavuzunda geçen ve aşağıda alıntılanan pasaja bakılabilir: "ICFR sistemindeki bir eksikliğin veya eksiklik kümesinin şiddeti değerlendirilirken, yönetim, kendi işlerini yerine getirirken basiretli memurları tatmin edecek ve işlemlerin finansal tabloların Genel Kabul Görmüş Muhasebe İlkeleri ve Uygulamalarına (GAAP) uygun bir çerçevede hazırlanmalarına olanak tanımak için gerektiği gibi kayıt altına alındıkları yönünde bir makul güvence vermelerini sağlayacak düzeyde ayrıntı seviyesi ve güvence derecesinin ne olduğunu belirlemelidir."
26
Terimler Tanımlar
Makulolasılık
Bu terimle ilgili olarak PCAOB AS 5'te şu ifadeye yer verilir: "Finansal Muhasebe Standartları Kurulu (FASB) 'Beklenmedik Olaylarda Muhasebe' (FAS 5) başlıklı 5. Açıklamasında kullanıldıkları anlamlarıyla, bir olayın olma ihtimali makul ölçüde olası ya da muhtemel olduğunda, bu standartta kullanıldığı anlamıyla, bir olayın olması için bir makul olasılık vardır." SEC kılavuzunda da aynı tanım yer almaktadır.
Konu hakkında FAS 5'te yer verilen ifadeler ise şöyledir: "Bu Açıklama metninde geçen muhtemel, makul ölçüde olası ve uzak olasılık terimleri,ihtimal aralığındaki farklı olasılık düzeylerini aşağıda gösterildiği gibi tanımlamak için kullanılmaktadırlar:
a. Muhtemel: Olay veya olaylar büyük olasılıkla olacaktır.
b. Makul ölçüde olası: Olay veya olayların olma olasılığı, 'büyük olasılıkla' denilemeyecek kadar düşük, ama aynı zamanda, 'uzak olasılık' denilemeyecek kadar da yüksektir.
c. Uzak olasılık: Olay veya olayların olma olasılığı düşüktür."
SEC
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), ana sorumlulukları Federal Menkul Kıymetler Kanunu’nu uygulatmak ve menkul kıymetler sektörünü düzenlemek olan bir devlet kurumudur. SEC, 1934 yılında çıkarılan Menkul Kıymetler ve Borsa Kanunu 4. Maddesi (günümüzde, Birleşik Devletler Kanunnamesi 15. Başlık 78d Maddesi olarak geçmektedir) uyarınca kurulmuştur. SEC, kurulmasına önayak olan 1934 Kanununun yanı sıra, 1933 Menkul Kıymetler Kanunu, 1939 Tröst Senedi Kanunu, 1940 Yatırım Şirketleri Kanunu, 1940 Yatırım Danışmanlığı Şirketleri Kanunu, 2002 ABD Sarbanes-Oxley Kanunu ve yürürlükteki diğer kanunları da uygular.
İkinci derecedeönemlieksiklik
İkinci derecede önemli bir eksiklik, önemli bir zayıflıktan daha düşük bir şiddette seyreden, ancak yine de şirketin finansal raporlamasının gözetim ve yönetiminden sorumlu olanların dikkatine sunulmalarını gerektirecek kadar önemli olan ve ICFR sisteminde görülen bir eksiklik ya da çeşitli eksikliklerden oluşan bir eksiklik kümesidir.
27
Terimler Tanımlar
Yukarıdan aşağıya yaklaşım
Yukarıdan aşağıya yaklaşım, PCAOB AS 5'te aşağıda gösterildiği gibi tanımlanmaktadır:
"Denetçi, finansal raporlama üzerindeki iç kontrol sistemikapsamında test edeceği kontrolleri seçerken yukarıdan aşağıya bir yaklaşım kullanmalıdır. Yukarıdan aşağıya bir yaklaşım finansal tablo seviyesinden başlar ve denetçi ilk önce finansal raporlama üzerindeki iç kontrol sistemiyle ilgili genel riskler hakkında bilgi edinir. Akabinde, denetçi, kurum seviyesindeki kontrollere odaklanır ve önemli hesap ve dipnot açıklamaları ile bunlarla ilgili önemli iddialara doğru çalışmasını genişletir. Denetçi, bu yaklaşım sayesinde, finansal tablolar ve bağlantılı dipnot açıklamaları kapsamında önemli yanlış beyanlarda bulunulmasının makul ölçüde olası olduğu hesaplara, dipnot açıklamalarına ve iddialara odaklanabilir. Daha sonra, denetçi, şirkette izlenen süreçlerle ilgili riskler hakkındaki birikimini ve edindiği bilgileri doğrular ve öne sürülen önemli iddiaların her biriyle ilgili olarak, değerlendirilen yanlış beyan risklerini yeterli düzeyde ilgilendiren kontrolleri test etmek üzere seçer."
BTGK kontrolleriyle ilgisi bakımından yukarıdan aşağıya yaklaşım hakkında yürütülen kısa bir tartışma için BTRDR Metodolojisi ile ilgili bir sonrakibölüme de bakınız.
28
5. EK: BTRDR (GAIT) Metodolojisi
Aşağıdaki metin, İç Denetim Enstitüsü internet sitesinde (http://www.theiia.org) yer alan "GAIT Metodolojisi" başlıklı bölümden alınmıştır.
Yöneticiler İçin Özet
SEC ve PCAOB, Sarbanes-Oxley Kanunu 404. Maddesinin kapsamını ve bununla ilgili anahtar kontrolleri tanımlamak için yukarıdan aşağıya, risk-esaslı bir yaklaşım izlenmesini önermektedirler. Bu öneri, söz konusu yaklaşım finansal raporlamayla ilgili daha muhtemel ve önemli risklere odaklanan etkin bir değerlendirmeye olanak sağladığı için yapılmış olup genel kabul görmektedir.
IIA ve PCAOB gibi kurumlar, şirket seviyesindeki anahtar kontrollerin tayin edilmesine yardımcı olmak için yol gösterici bilgiler sunmaktadır. ISACA gibi kurumlar da, BT birim ve kuruluşları kapsamındaki kontrollerin nasıl değerlendirilmeleri gerektiği konusunda ilave rehberler çıkartmışlardır. Gelgelelim, BT birim ve kuruluşlarıyla ilgili kontrollere (BT genel kontrolleri veya BTGK'ler) yönelik çalışmaların kapsamının önerilen yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek nasıl belirleneceği konusu hâlâ tam olarak netlik kazanmış değildir.
BTGK süreçlerinde faaliyet gösteren anahtar BTGK kontrolleri, finansal tablolar ve önemlihesaplar seviyesinden başlayarak BTGK kontrollerine doğru ilerleyen yukarıdan aşağıya, risk-esaslı bir yaklaşım kullanılarak tayin edilmez ise aşağıdaki riskler açığa çıkar.
Değerlendirilen ve test edilen kontroller kritik nitelikte olmadığında, gereksiz maliyet ve kaynak kullanımı ortaya çıkar.
Kritik nitelikteki kontroller hiç test edilmediği ya da gerekenden geç bir zamanda test edildiği taktirde, değerlendirme veya denetim açısından bir risk oluşturur.
Bu metodoloji, ICFR sistemine bağlı anahtar kontrollerin kapsamının yukarıdan aşağıya, risk-esaslı bir çerçevede belirlenmesinin bir parçası ve devamı olarak, BTGK içerisinden anahtar kontroller tayin edilirken hem yönetim hem de dış denetçilerce kullanılabilecek bir kapsam tayin mekanizması sağlar. PCAOB AS 5'te, SEC açıklayıcı kılavuzunda (Haziran 2007 tarihinde yayımlanmıştır) ve "Sarbanes-Oxley Kanunu 404. Maddesi: İç Kontrol Uygulayıcıları Tarafından Yönetim İçin Hazırlanan Bir Rehber" başlıklı IIA kılavuzunda tarif edilen metodolojiyle tutarlıdır.
Bu metodoloji, bir kurumun gereksinimlerine göre uyarlanabilecek yapısal bir usavurma sürecini temsil eder. Yukarıdan aşağıya, risk-esaslı yaklaşım izlenerek işletme süreci risklerinin ve ilgili anahtar kontrollerin tayin edilmesi, metodolojinin başlangıç noktasını oluşturur. Finansal tablolarla ilgili bu riskler, bir kontrol veya güvenlik başarısızlığının işletme süreçleri bakımından büyük önem taşıyan başka bir kontrol başarısızlığına yol açarak finansal tablolarda önemli yanlış beyanların oluşma olasılığını büyük ölçüde arttırabileceği BTGK süreçleriyle ilgili riskleri tayin etmek suretiyle bir sonraki seviyeye taşınırlar.
Metodolojide, belirli anahtar kontroller tayin edilmez. Bunun yerine, tayini gereken anahtarkontrolleri ilgilendiren BTGK süreçleri ve ilgili BT kontrol hedefleri tayin edilir. BTRDRkullanıcıları, belirli anahtar BTGK kontrollerini saptayıp daha sonra değerlendirmek için COBIT gibi başka araçlardan da faydalanacaklardır.
29
BTGK süreçlerinin taşıdığı risklerin tayini, önemli hesaplar ve ilgili işletme süreçleriyle başlayan ve yukarıdan aşağıya yaklaşımın devamıyla ilgili bir eylem olduğu için, iş ve BT uzmanlarından oluşan karma bir ekip tarafından gerçekleştirilmelidir. İş uzmanları tek başlarına BT ile ilgili teknik unsurları anlayamazlar ve aynı şekilde, BT uzmanları da tek başlarına BT işlevlerine duyulan güvenin boyutlarını yeterli düzeyde kavrayamayabilirler.
BTRDR ve Yukarıdan Aşağıya Yaklaşım
Aşağıdaki şekil, Sarbanes-Oxley Kanunu 404. Maddesine tâbi anahtar BTGK kontrollerini metodolojiyi kullanarak tanımlamak için kullanılan bir yukarıdan aşağıya, risk esaslı süreçte atılması gereken adımlar gösterilmektedir. AS 5'te tartışılan adımlar ile BTRDR Metodolojisikapsamında tarif edilen müteakip adımlar arasındaki ilişki ortaya konmaktadır.