gtag 16 - veri analizi teknolojileri...2 global teknoloji denetim rehberi (gtag®) 16 veri analizi...
TRANSCRIPT
1
GTAG
Global Teknoloji Denetim Rehberi
UMUÇ – Uygulama Rehberi
Veri Analizi
Teknolojileri
IIA – Uluslararası İç Denetçiler
Enstitüsü
2
Global Teknoloji Denetim Rehberi
(GTAG®) 16
Veri Analizi Teknolojileri
Yazarlar
Altus J. Lambrechts, CISA, CRISC
Jacques E. Lourens, CIA, CISA, CGEIT, CRISC
Peter B. Millar
Donald E. Sparks, CIA, CISA
Gözden Geçirenler
IIA – Güney Afrika
İç Denetçiler Enstitüsü (Birleşik Krallık)
Ağustos 2011
Telif Hakkı © 2007, Uluslararası İç Denetçiler Enstitüsü, 247 Maitland Ave., Altamonte Springs, FL 32701 – 4201’e aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde basılmıştır.
Bu dokümanın okurları, IIA’in ön iznini almadan, bu yayında yer alan istatistiksel veya diğer tüm verilerin hiçbirini, bu belge yayımlanırken belirlenen hedefler dışında çoğaltamaz, herhangi bir bilgi depolama ve erişim sisteminde saklayamaz, yeniden dağıtamaz veya hiçbir formatta ve hiçbir kanal yoluyla – elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktaramaz,
ifşa edemez, kiralayamaz, ödünç veremez, satamaz, uyarlayamaz veya bu bilgilerden ticari olarak istifade edemez.
Bu dokümanda yer alan bilgiler doğaları gereği genel niteliktedir ve herhangi bir kişiye, iç denetim birimine veya kuruma yönelik olması amaçlanmaz. Bu dokümanın amacı, doğru, tarafsız ve zamanlı
araçları, kaynakları, bilgileri ve/veya diğer her türlü veriyi paylaşmaktır. Ancak, dokümanın yayımlandığı tarih ve değişen ortamlar esas alındığında, hiçbir kişi, iç denetim birimi veya kurum,
uygun bir danışmana başvurmadan veya soruşturma yapmadan bu dokümanda yer alan bilgilere göre hareket etmemelidir.
3
İÇİNDEKİLER TABLOSU
YÖNETİCİ ÖZETİ …………………………………………………………………………..4
GİRİŞ………………………………………………………………………………………….6
VERİ ANALİZİ İÇ DENETÇİLERE NASIL YARDIMCI OLABİLİR?………………..9
VERİ ANALİZİ TEKNOLOJİSİNİ KULLANMAK……………………………………..12
KİLİT TEKNOLOJİ KAVRAMLARI HAKKINDA DETAYLAR……………………..15
İÇ DENETÇİLER NEREDEN BAŞLAMALIDIR?............................................................23
SONUÇ…………………………………………………………………………………..…...26
EK A: ÖRNEK – TEDARİK SÜRECİNDE VERİ ANALİZİ……………………………28
EK B: VERİ ANALİZİ YAZILIM SEÇİMİ İÇİN DERECELENDİRME MATRİSİ…30
EK C: DENETİM DEPARTMANININ VERİ ANALİZİ KULLANIMI OLGUNLUK
DÜZEYLERİ ………………………………………………………………………………..32
4
1. YÖNETİCİ ÖZETİ
Değişiklikler herkes için zor olabilir. Mucit Charles Kettering, bir keresinde “Dünya
değişikliklerden nefret eder, ama ilerlemeyi sağlayan tek şey bu olmuştur.” demiştir. Bu söz,
denenmiş ve somut manüel denetim yöntemlerini aşıp bilgisayar-destekli denetim tekniklerine
(CAAT’ler) ve veri analizini kullanmaya geçiş konusunda bilhassa doğru bir sözdür.
İç denetçiler 25 yıldan fazla bir süredir veri analizini uygulamalarına karşın, standart bir
uygulama haline gelmesi çok yeni bir süreçtir. Doğamız gereği biz mali müşavirlerin ve
denetçilerin çoğu, bizi daha fazla başarılar elde etmeye yardım edecek alternatif yollar aramak
için konfor alanımızın dışına çıkmak yerine, geçmişte işe yaramış yöntemlere yapışıp
kalmaya eğilimliyiz. Kendimize sormamız gereken soru, “Normalde 20 saat alan bir işi
elektronik yollarla 20 dakikada bitirebilir miyiz ve sonuç olarak işimizin kalitesini de
yükseltme imkanımız var mıdır?”
Tüm kurumlar birçok farklı şekilde BT’den etkilendikleri için, teknoloji kullanmadan etkin
bir denetim gerçekleştirmek neredeyse imkansızdır. Güncel denetim standartları, haklı
gerekçelerle, veri analizinin kullanılmasının düşünülmesini gerektirmektedir. Veri analizinin
kullanılması, denetçilerin üst düzey kurumsal operasyonları incelemelerine ve verilerin
derinine inmelerine olanak sağlamaktadır. Veri analizi bir denetimin tüm aşamaları boyunca
kullanılabilir. Ayrıca hataları tespit etmek için de kullanılarak suiistimal eylemlerinin ortaya
çıkarılmasına yardımcı olabilir. Teknoloji, denetimi geliştirmek ve görevi tamamlamak için
gereken zamanı azaltmak amacıyla kullanılabilmesine rağmen, bazı denetçiler teknolojiye
geçmek konusunda hâlâ gönülsüz davranabilmektedirler.
Veri analizi teoride manüel olarak yapılabilse de, en etkin sonuçlar veri analizi teknolojisini
kullanarak analizi gerçekleştirmekle elde edilebilir. İç denetim yöneticilerinin (İDY’ler) ve
ekibinin farkında olmaları gereken önemli bir nokta, veri analizi teknolojisini kullanmanın
yalnızca BT denetimiyle ilişkili kapsam ve faaliyetlerle sınırlı olmamasıdır. Genel olarak
teknoloji esaslı denetim tekniklerinin, özel olarak da veri analizi teknolojisinin kullanılması
çok daha yaygın bir uygulamadır. IIA, teknoloji esaslı denetim tekniklerini, “Genelleştirilmiş
denetim yazılımı, test verileri üreticileri, bilgisayarlı denetim programları, özelleştirilmiş
yardımcı denetim yazılımları ve CAAT’ler gibi her türlü otomatik araçlar” 1 olarak
tanımlamaktadır. Bu tanımın geniş kapsamından dolayı, bu GTAG, veri analizi teknolojisine
odaklanmaktadır. Veri analizi teknolojisinin kullanılması; denetim kapsamını genişletmek,
daha tam ve tutarlı denetimler gerçekleştirmek ve sonuç olarak bağlı oldukları kurumlara
sağladıkları güvencenin düzeyini artırmak konusunda denetçilere yardımcı olan büyük
teknolojisi zırhının bir parçasıdır.
Bu rehber, İDY’lerin, denenmiş ve somut manüel denetim yöntemlerini aşıp teknolojinin
kullanıldığı gelişmiş veri analizine nasıl geçeceklerini anlamalarına yardımcı olmayı
amaçlamaktadır. Bu rehberi okuduktan sonra:
Veri analizinin kurumunuz için niçin önemli olduğunu anlayacak;
1www.theiia.org/guidance/standards-and-guidance/ippf/standards/glossary
5
Veri analizi teknolojisini kullanarak daha etkin nasıl güvence sağlayacağınızı
öğrenecek;
Departmanınız içerisinde veri analizi teknolojisini kullanırken karşılaşacağınız zorluk
ve risklere aşina olacak;
Yeterli planlama ve uygun kaynak yapılarıyla kurumunuza veri analizini nasıl dâhil
edeceğinizi bilecek ve
Veri analizi teknolojisini kullanmanın sağladığı fırsatları, trendleri ve avantajları
tanıyacaksınız.
Bu rehberi kullanan İDY’lere ve diğer kişilere daha fazla yardımcı olmak için, Ek A
bölümüne, veri analizlerinin tedarik kontrol faaliyetlerinde uygulanmasının bir örneğini de
ekledik. Çoğu veri analizinin başladığı noktaya uygun olarak, bu örnekler, büyük ölçüde,
güvence sağlamada kullanılan basit veri eşleştirme işlemine ve otomatik sistem
fonksiyonelliğinin yeniden gerçekleştirilmesine odaklanmaktadır.
6
2. GİRİŞ
İç denetçilerin kullandığı şekliyle veri analizi, iç denetimin amacını ve misyonunu daha ileri
seviyelere taşımak için çeşitli farklı veri formlarını tanımlama, toplama, doğrulama, analiz
etme ve yorumlama sürecidir. Veri analizi, tipik olarak değerlendirme faaliyetlerinin
yürütülmesinde kullanılmasının yanı sıra, katma değer sağlayan başka danışmanlık faaliyetleri
de sunmaktadır.
Veri analizi teknolojileri, denetçinin denetim sürecinin etkinliğini ve verimliliğini artırmak
amacıyla denetim açısından önemli verileri işlemek için denetimin bir parçası olarak
kullandığı bilgisayar programlarıdır. Veri analizi kullanıldığı zaman, denetimin genel amacı
ve kapsamı değişmez. Veri analizi, spesifik denetimin amacına ulaşmak için kullanılabilecek
bir başka denetim aracı olarak görülmelidir.
Veri analizi araçları arasında, amaca özel yazılan yardımcı paket programlar veya sistem
yönetimi programları bulunabilir. Veritabanı sorgulama araçları (jenerik standart sorgu dili-
tabanlı araçlar) ve denetime özgü paketler dahil farklı teknolojiler bu kavram kapsamında yer
almaktadır.
Fırsatlar
Günümüzün ekonomik ortamında pek çok şirket maliyetlerini düşürmek için çabalamaktadır.
Yeni denetim standartlarıyla birlikte, bu durum, iç denetim departmanlarına veri analizini
kullanma ve “daha az çabayla daha çok iş” kavramını potansiyel bir gerçeğe dönüştürme
fırsatını sunmaktadır.
Ayrıca, veri analizi, güvence fonksiyonunun bir parçası olarak yönetişim, risk yönetimi ve
kontrol (GRC) süreçlerini değerlendirme ve iyileştirme sorumluluklarını yerine getirmek
konusunda denetim departmanlarına yardımcı olan kolaylaştırıcı bir teknoloji olabilir. Veri
analizi, denetim departmanlarının iç kontrollerin faaliyet etkinliği üzerine değerlendirmeler
yapabilmesini ve ortaya çıkan risklere ilişkin göstergeleri araştırabilmesini sağlamaktadır.
Denetim döngüsü boyunca veri analizinin kullanılması, bu bölümün ilerleyen kısımlarında
tartışılmaktadır.
Büyük ana bilgisayarların iş dünyasında hüküm sürdüğü günlerde, yalnızca en fazla fon
sağlanan iç denetim birimleri veri analizi faaliyetlerinin departmana getirilmesini
düşünebilmekteydi. Son on yıl içerisinde teknoloji müthiş bir hızla ilerleyerek fiyatlarda
düşüşlere neden oldu ve bir kurumda veri analizinin uygulanmasını kolaylaştırdı. Böylece,
denetim analizleri, bir zamanlar uzman BT denetçilerinin çalışma alanı olan bir uzmanlık
teknolojisinden, denetim prosedürlerinin çoğunluğunda değerli bir rol oynayan elzem bir
tekniğe dönüşmüştür. Günümüzde birçok denetim birimi, denetim analizlerini denetim
sürecinin tamamına entegre etmeyi ve tüm denetçilerin teknoloji konusunda uygun bir
yetkinlik kazanmalarını beklemektedir.
Veri analizi kullanılarak gerçekleştirilebilecek pek çok fayda mevcuttur. Bunlar aşağıda
açıklanmıştır:
7
Verimlilik ve Maliyet Tasarrufu
Veri analizi teknolojisi, birçok kurumun denetim planlama ve risk değerlendirme
alanında anlamlı verimlilik elde etmesini ve görev sırasında denetim kapsamının
genişliğini ve derinliğini artırmasını sağlamıştır. Sonuç olarak da denetim
departmanlarının denetim ekiplerini büyütmek zorunda kalmadan güvence
faaliyetlerinin kapsamını genişletmelerine olanak tanımıştır. Bazı durumlarda, analitik
basamakların otomasyonla gerçekleştirilmesi, denetim planını tamamlamak için
gereken personel sayısını azaltarak maliyet tasarrufu sağlamıştır.
Veri Erişiminde Verimlilik
Veri analizi teknolojileri, denetçilerin verilere kendilerinin erişmelerini ve bu verileri
sorgulamalarını sağlayarak veri ekstrelerini yürütmek zorunda olan meşgul BT
personeline olan bağımlılıklarını azaltmaktadır. Bu da, analiz edilen veri
popülasyonunun doğruluğuna ve tamlığına daha fazla güvenilmesine yardımcı olmakta
ve bu bilgilerin doğruluğunun teyit edilmesi konusunda verimler sağlamaktadır.
İlgili Standartlar / Rehberler Standart 2300: Görevin Yapılması
İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgileri belirlemeli, analiz etmeli, değerlendirmeli ve kaydetmelidir.
Standart 2310: Bilgilerin Tespiti ve Tanımlanması İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı
olan bilgileri tespit etmeli ve tanımlamalıdır.Standart 2320: Analiz ve Değerlendirme
İç denetçiler, vardıkları sonuçları ve görev sonuçlarını uygun analiz ve değerlendirmelere dayandırmalıdır.
Uygulama Önerisi 2320-1: Analitik Prosedürler İç denetçiler, denetim bulguları elde etmek için analitik prosedürler
kullanabilirler. Analitik prosedürler kapsamında, finansal bilgiler ile finansal olmayan bilgiler arasındaki ilişkilerin incelenmesi ve karşılaştırılması bulunmaktadır. Analitik prosedürlerin uygulanması, “bilinen aksi bir durum mevcut olmadıkça, makul olarak, bilgiler arasında ilişkilerin var olması ve var olmaya devam etmesi beklenmektedir” önermesine dayanmaktadır. Aksi durumlara örnek olarak, olağandışı veya tek seferlik işlemler veya olaylar; muhasebeye ilişkin, kurumsal, operasyonel, çevresel ve teknolojik değişiklikler; verimsizlikler; yetersizlikler; hatalar; suiistimal veya yasadışı eylemler verilebilir.
Denetim Riski
Veri analizinin kullanılması, risk değerlendirmesindeki pürüzleri ortadan kaldırarak ve
popülasyonu katmanlara ayırarak denetim riskini anlamlı düzeyde azaltabilir.
8
Eğilimler (Trendler)
Denetim departmanlarına daha az çabayla daha fazla iş yapmaları konusunda artan bir baskı
vardır. İç denetim mesleği, günlük kurumsal faaliyetler sırasında denetim komitesine ve üst
yönetime daha fazla güvence ve şeffaflık sağlamaya önem verdiği için iç denetim biriminin
rolü en ön saflarda yer almaktadır. Bahsedilen görevi yerine getirmek için günümüzde birçok
denetim ekibinin odaklandığı nokta, teknoloji kullanarak yaptıkları işin kalitesini ve
departmanlarının etkinliğini artırmaktır. Ortaya çıkan riskler konusunda daha üretken ve
dikkatli olmalıdırlar. Ayrıca, denetim ekipleri, daha iyi kurumsal kavrayış ve kontrol
sağlamak amacıyla potansiyel sorunları dağıtarak, takip ederek ve kurumdaki üst düzey
kişilere ileterek işletmeye zamanında değer kazandırmayı amaçlamaktadır. 2
2IIA Global Denetim Bilgi Ağı (GAIN) 2009, BT Denetim Karşılaştırma Anketi.
9
3. Veri Analizi İç Denetçilere Nasıl Yardımcı Olabilir?
Veri analizi, iç denetçilere denetim amaçlarını gerçekleştirmek konusunda yardımcı olabilir.
Kilit kurumsal süreçlerdeki verileri analiz ederek, iç denetim birimi, kurumsal süreçlerdeki
değişiklikleri veya zafiyetleri ve kurumu aşırı veya planlanmamış risklere maruz
bırakabilecek potansiyel zayıflıkları tespit edebilir. Ortaya çıkan riskleri tespit etmeye ve veri
kaynaklarının kurumu aşırı riskten etkili bir şekilde korumaya ve genel performansı
geliştirmeye yöneltilmesine yardımcı olmaktadır. Ayrıca, iç denetim biriminin kurumsal
süreçlerdeki değişiklikleri tespit etmesini ve düne değil bugüne ait riskleri denetlediğini
anlamasını sağlamaktadır.
Çeşitli kaynaklardan alınan verileri; kontrol parametreleri, işletme kuralları ve politikalarını
esas alarak analiz ederek, iç denetim birimi, otomatik kontrollerin ne kadar iyi çalıştığına
yönelik yapılan olgu-esaslı değerlendirmeler sunabilir. Ayrıca, veri analizi teknolojisi,
verilerde göstergeler olup olmadığını araştırarak yarı-otomatik veya manüel kontrollerin
izlenip izlenmediğini tespit etmek için de kullanılabilir. İlgili işlemlerin yüzde 100’ünü analiz
ederek ve çeşitli kaynaklardan verileri karşılaştırarak, iç denetim birimi; suiistimal, hata,
verimsizlik ve mevzuata uymama örneklerini tespit edebilir.
Birkaç spesifik analiz tekniğinin verilerin denetim amaçlarıyla analiz edilmesinde oldukça
etkili olduğu kanıtlanmıştır.
Çevresel işlemlerin tespiti için istatistiksel parametrelerin (örneğin, ortalamalar,
standart sapmalar, en yüksek ve en düşük değerler) hesaplanması;
Veri unsuru grupları arasında bulunan örüntülerin ve ilişkilerin sınıflandırılması;
Olağandışı (yani, aşırı yüksek veya aşırı düşük) değerleri tanımlamak ve tespit etmek
için sayısal değerleri katmanlara ayırmak;
Doğal olarak ortaya çıkan veri setlerinde, istatistiksel olarak mümkün olmayan spesifik sayıların ortaya çıkışını tespit etmek amacıyla Benford Yasası’nı kullanarak sayısal analiz yapmak;
Farklı sistemlerdeki isimler, adresler ve hesap numaraları gibi birbiriyle eşleşmeyen değerleri tanımlamak amacıyla farklı veri kaynaklarını birleştirmek;
Ödemeler, bordro bilgileri, talepler veya gelir ve gider tablosu kalemleri gibi kurumsalişlemlerin basit ve/veya karmaşık tekrarlarını tespit etmek için çift test uygulaması yapmak;
Ardışık verilerdeki eksik numaraları tespit etmek için boşluk testi uygulamak; Hatalı olabilecek kontrol toplamlarını kontrol etmek amacıyla sayısal değerleri
toplamak; Uygunsuz veya şüpheli görünen güncellemeleri veya veri giriş zamanlarını tespit etmek
için veri giriş tarihlerini doğrulamak.
10
Benford Yasası’nın Tanımı
Benford Yasası, tabloda yer alan verilerdeki basamakların beklenen ortaya çıkış sıklıklarını göstermektedir. Beklenen basamak sıklıkları dizisi, adını, konu hakkında çığır açıcı bir makale yayımlayan fizikçi Frank Benford’dan almıştır (Benford, 1938). Benford, sanılanın aksine, tabloda yer alan verilerdeki basamakların tümünün eşit derecede olası olmadığını ve daha düşük değerdeki basamakların lehine bir yanlı eğriliğe sahip olduğunu saptamıştır.
Benford, bir ortak logaritma kitabının ilk birkaç sayfasının son birkaç sayfadan daha yıpranmış olduğunu belirterek makalesine başlar. Bundan ilk birkaç sayfanın son birkaç sayfadan daha çok kullanıldığı sonucuna varır. Logaritma kitaplarının ilk birkaç sayfası, ilk basamakları düşük olan (1, 2, 3 gibi) sayıların logaritmasını verir. Dünyada en fazla “kullanılan” sayıların ilk basamaklarının düşük olmasından dolayı kitabın ilk sayfalarının yıpranmış olduğu hipotezini ortaya atar. İlk basamak, bir sayıdaki en solda yer alan basamaktır (örneğin, 110.364 sayısının ilk basamağı 1’dir). Sıfır rakamı ilk basamak olarak kabul edilmez ve toplam 9 adet ilk basamak olabilecek rakam vardır (1, 2, … , 9). Negatif sayıların işaretleri dikkate alınmaz ve bu yüzden 34,38 sayısının ilk iki basamağı 34’tür.
Benford’un vardığı sonuçlar, ortalama olarak, sayıların yüzde 30,6’sının ilk basamağının 1 olduğunu, sayıların yüzde 18,5’inin ilk basamağının 2 olduğunu göstermiştir. Bu da, Benford’un kayıtlarının yüzde 49,1’inin ilk basamağının ya 1 ya da 2 olduğu anlamına gelmektedir. “Basamak skalasının” diğer ucunda ise, kayıtlarının yalnızca yüzde 4,7’sinin ilk basamağı 9’dur. Daha sonra Benford, sonuçları arasında bir örüntü olduğunun farkına varmıştır. Adli Analiz: Adli Muhasebe Soruşturmaları için Yöntem ve Teknikler (Wiley Corporate F&A) Mark Nigrini (Yazar).
Veri analizi, tipik bir denetim döngüsü boyunca kullanılabilir. Münferit denetim döngüsünün tanımları ve basamakları çeşitlilik gösterse de, aşağıda başlıklar halinde verilen sınıflandırma, veri analizinin bir denetim döngüsü sırasında çeşitli aşamalar boyunca uygulanabileceği yolları göstermektedir.
Planlama
Veri analizi, bir kurumda mevcut riskler veya ortaya çıkan risklerin veri güdümlü göstergelerini tespit etmek açısından oldukça etkin olabilir. Bu, iç denetim birimine, en fazla önem arz eden alanlara yoğunlaşan bir denetim planı tanımlamak ve oluşturmak konusunda yardımcı olabilir. İç denetim birimi, verilerin kullanılabildiği ve bu yaklaşımın uygulanabildiği denetim planlama aşamasında veri analizinin kullanılmasına öncelik vermeyi düşünmelidir.
Veri analizi teknolojisi, birçok süreçte risk göstergelerini tespit etmek amacıyla etkin bir şekilde kullanılabilir. Lütfen aşağıda verilen örnekleri kullanmayı düşününüz:
Konum, departman ve ürün hattına göre gelirler; Değere ve yaşa göre sınıflandırılmış gelir kayıtları;
11
Kilit pozisyonlarda (hukuk, finans, araştırma ve geliştirme departmanlarında) personel değişiklikleri;
Manüel yevmiye defteri kayıtlarının veya alacak dekontlarının hacmi; Alacak hesapları bakiyelerinin veya stok seviyelerinin yaşlandırılması; Tedarikçi yönetimi (tedarikçilerin sayısı, işlemlerin hacmi); Tedarik kartı kayıtlarına kıyasla fiili sipariş tedarik kayıtları; Müşterilerin borç ödemelerinde ortalama gün sayısı ve Kredi kartıyla yapılan satınalmalarda tedarikçi kodu.
Hazırlanma
Veri erişimi ve hazırlanma süreci, denetim süreci içerisinde zorlu bir basamak olabilir. BT departmanlarına gönderilen isteklerin yerine getirilmesi haftalar alabilir ve sonuçta elde edilen veriler, sıklıkla eksik veya yanlış olabilir, bu da, verimsiz bir sürecin doğmasına yol açabilir. Denetime hazırlanma aşaması sırasında veri analizi teknolojisi kullanılarak bu gecikmelerin çoğu önlenebilir. Veri analizinin kullanımı konusunda gerekli beceriye sahip denetçiler, denetim görevi için gereken verileri tedarik edebilir, veri bütünlüğü ve geçerliliği kontrollerini yapabilir ve denetim başlar başlamaz kadrolu denetçilerin kullanımına sunmak için test rutinlerini hazırlayabilir. Bu, denetim ekiplerinin hızlı ve etkin bir veri analizi gerçekleştirebilmeleri için güvenilir veri setlerine düzenli ve modernize bir erişim ve hatta çoklu veri kaynaklarına otomatik erişim imkanları sağlayacaktır. Veriler, denetim ekibinin veri setlerini sahip oldukları erişim yetkilerine ve erişim ihtiyaçlarına göre analiz etmelerine olanak tanıyacak merkezi bir havuzda tutulmalıdırlar.
Test Etme
Denetim testlerinin büyük bir bölümü, kurumsal verileri bir dereceye kadar, sıklıkla önemli bir dereceye kadar kullanmaktadırlar. Sürekli artan veri miktarları nedeniyle, bazı denetçiler örnekleme veya rasgele-kontrol gibi tekniklere dayanmışlardır. Bu teknikler, bozuklukları ve başarısızlığa uğrayan veya verimsiz iç kontrollere ait göstergeleri ortaya çıkarmak konusunda etkili olmayabilirler. Hataları ve olağandışı işlemleri araştırmak konusunda etkinliği artırmak amacıyla, denetim ekipleri, tüm veri popülasyonlarını analiz etmek için veri analizi teknolojisini kullanabilir. İlk analiz tamamlanır tamamlanmaz, denetim kaynakları daha etkin bir biçimde kullanılarak aykırı durumların saptandığı alanlara odaklanmaya çaba gösterilmelidir. Analiz senaryoları kullanarak mükerrer testleri otomatize edebilmek, departmandaki genel verimliliği artırmakta ve daha yüksek risk taşıyan alanlar hakkında daha fazla fikir sahibi olunmasına olanak tanımaktadır. Varılan sonuçlar ve senaryolar merkezi bir havuzda saklanarak, denetim ekibi üyelerinin bulguları gözden geçirmelerine ve analitik prosedürlere erişmelerine ve yeniden kullanabilmelerine imkan sağlanmalıdır.
Gözden Geçirme
Analiz rutinleri ve bu analizlerden elde edilen sonuçlar, denetim incelemesine dahiledilmelidir. Bu, veri analizi kullanılarak yapılan çıkarımlara güvenilebileceği ve sorguda yapılan tüm hataların tespit edildiği ve düzeltildiği ve analiz sonuçlarıyla ulaşılan çıkarımların hatalı olmadığından emin olunmasına yardımcı olmaktadır.
12
4. Veri Analizini Kullanmak
4.1. Veri Analizi Yazılım Araçları
Önde gelen iç denetim birimlerinin veri analizi araçları hakkında araştırma yapmak konusunda pek çok ortak noktası vardır. Öğrenmesi kolay ve yalnızca seçkin birkaç kişi tarafından değil tüm denetim personeli tarafından kullanılabilecek veri analizi araçları (yani, yazılımlar) aramaktadırlar. Söz konusu yazılım, denetim tekniklerini ölçülebilir oranda geliştirmeli ve kullanılmaya başlanır başlanmaz denetim döngülerini kısaltmalıdır. Bir denetim sırasında oluşturulan denetim rutinlerini geliştirmek için zamana ve becerilere yapılan yatırımlar, aynı veya benzer denetimlerde tekrar kullanılabilir, böylece birimi sürekli denetim / izleme süreçlerine doğru yönlendirebilir.
Denetime ilişkin özel amaçlı veri analiz teknolojileri, 20 yılı aşkın süredir mevcutturlar. Ancak, 2010 PricewaterhouseCoopers İç Denetim Mesleğinin Durumu Çalışmasına göre, denetçilerin çoğu bu teknolojilerden etkin biçimde istifade etmemektedirler. Aşağıdaki çizelge, veri analizi teknolojilerinin en sık kullanıldığı alanları göstermektedir.3
Doğru yazılım kullanıldığı takdirde, varılacak sonuçlar önemli olabilir. Başarılı iç denetim birimlerinde, denetim süreçlerinin verimliliğini anlayan ve daha önceden bilinmeyen sorunları düzenli olarak ortaya çıkaran sonuçları takdir eden paydaşlar bulunmaktadır. Aynı derecede önemli bir diğer husus da, iç denetim liderlerinin, uygulanan denetim testlerinin verdikleri talimatlara uygun olarak yapıldığını bilmeleri ve bu konuda güvenli hissetmeleridir. Başlangıç aşamasında personelin yüzde 100’ü yazılımı öğrenemese de, birkaç kısa ay içerisinde çalışanların çoğu veri analizini gerçekleştirebilecek bilgi düzeyine ulaşacaklardır.
Diğer tüm yazılım aracı veya teknolojinin benimsenmesinde olduğu gibi, seçilen ürün(ler)in ilk satınalma maliyetinin yanı sıra, sürekli bakım, onarım ve diğer ek masrafları da dikkate alınmalıdır. Seçilen teknoloji(ler)in istenilen kullanım amacına (geçici, mobil kullanım ile geniş hacimlerdeki verilerin merkezi işlenmesine kadar değişen amaçlar) uygun olduğundan emin olmak için bir ihtiyaç değerlendirmesi yapılmalıdır. Bu değerlendirmede yalnızca acil ihtiyaçlar değil, aynı zamanda gelecekte ihtiyaç duyulabilecek kapasite düzeyleri de düşünülmelidir. Bu ihtiyaçlar değerlendirmesi sonucunda, dizüstü bilgisayarlar, merkezi sunucu donanımları veya ek veri depolama kapasitesi gibi donanımları satın almaya yönelik maliyetler ortaya çıkabilir.
Veri analizi teknolojilerinin kullanılması, kurumun BT departmanının desteğini ve bağlılığını da gerektirmektedir. İDY, denetim departmanının genel veri analizi stratejisini, ondan istenen ve beklenen faydaları ve veri erişim gerekliliklerinin önemini vurgulamak için, BT kaynaklarını planlama aşamasında en önde yer almalıdır. İlk olarak veri erişimi protokolleri oluşturulmalı ve hassas verilere erişim ve bu bilgilerin paylaşılması ve saklanmasıyla ilgili tespit edilen riskler ele alınmalıdır. Bu da, müşteri/sunucu mimarisinin uygulandığı merkezi veri analizi kapasitelerinin uygulanmasını gerektirebilir ya da kurumun veri kaybetmesini önlemek amacıyla veri şifreleme ve koruma yazılımına olan ihtiyacı gösterebilir.
Ek B’de veri analizinde kullanılacak çeşitli farklı yazılım seçeneğini değerlendirmeye yardımcı olabilecek bir örnek derecelendirme matrisi bulunmaktadır.
3Fırsatlarla dolu bir gelecek: İç denetim birimi, anlamlılığını artırmak için fırsatlar yakalamalıdır,
PricewaterhouseCoopers 2010, İç Denetim Mesleğinin Durumu Çalışması, Mart 2010 s.22’den uyarlanmıştır.
13
4.2. Denetçilerin Sahip Olduğu Beceriler
Bir denetim departmanı içerisinde veri analizinin uygulanmasına karar verirken, İDY’nin departman içerisindeki mevcut becerileri düşünmesi gerekmektedir. Bazı kişiler için verilere erişmek ve bu verilerle çalışmak, sahip oldukları tecrübenin veya rahatlık düzeyinin ötesinde yer almaktadır. İDY, mevcut personelin eğitimine yatırım yapılmasının mı, yoksa veri analizi konusunda uzman yeni personel tutmanın mı daha uygun olacağına karar vermelidir. Her iki durumda da, büyük olasılıkla, bir dereceye kadar eğitim ve profesyonel gelişim gerekecektir. Veri analizi uygulamasının uzun vadede başarı sağlayacağından emin olmak için, hem zaman hem de para açısından devamlı bir masraf olarak bütçelenmelidir.
Veri Analizi Yazılımının Denetim Açısından Özellikleri Denetim görevinin kapsamını oluşturan tüm veri popülasyonlarını analiz edebilir. Verilerin içeri aktarılmasını kolaylaştırarak veri bütünlüğünü korumaktadır. Çeşitli kaynaklardan verilere erişime, bu verileri birleştirme, ilişkilendirme ve
karşılaştırmaya olanak tanımaktadır. Denetim prosedürlerinde gereken analiz kapsamını ve türünü destekleyen komutlar ve
fonksiyonlar sunmaktadır. Akran denetimini (emsal değerlendirmesi) ve denetim bulgularının kapsamını
kolaylaştırmak için sürdürülen bir analiz denetim izi oluşturmaktadır. Veri analizine merkezi erişimi, veri analizi prosesini ve yönetimini desteklemektedir. Denetçinin bağımsızlığını temin etmek için veri erişimi veya analizi için minimum
BT desteği gerektirmektedir. Denetimin verimliliğini, tekrarlanabilirliğini artırmak ve sürekli denetimi
desteklemek için denetim görevlerinin otomatize edilebilirliğini sağlamaktadır.
4.3. Potansiyel Engeller
Veri analizi teknolojisinin faydaları genellikle iyi bilinmesine rağmen, benimseme oranları, veri analizinin daha yaygın olarak kullanılabilmesi için aşılması gereken birkaç engel olduğunu göstermektedir. İDY’nin bu engellerden haberdar olması ve veri teknolojisinin
14
sağladığı kazançları anlaması için bu engelleri ele alması gerekmektedir. Bu engeller arasında şunlar sayılabilir:
İyi tanımlanmamış kapsam: Denetim hedefleri belirlenmez, analize başlamadan önce veri analizlerinin istenilen kullanım amacının kapsamının anlaşılması gerekir. Bazı iç denetçiler, kapsam konusunda hiçbir beklentileri olmadan hemen analize başlama eğilimi gösterirler ve daha sonra verileri anlamaya çalışırlar. Halbuki kapsamı anlamamak, çok az değeri olan veya konuyla ilgisiz sonuçlar elde edilmesine yol açabilir.
Veri konumu ve erişimi: Veri analizine başlamadan önce hangi verilerin nerede bulunacağını bilmek, ayrıca doğru verilere erişildiğinden (örneğin, değiştirilmiş metaveriler veya dökümler yerine veri kaynak dosyaları) emin olmak, iç denetçilere değerli bir zaman kazandırabilir. Ek olarak, doğru zamanda doğru verilere erişebilmek, ilgili ve zamanında sonuçlar elde edilmesine yardımcı olabilir. Bu konuda düşünülmesi gereken üç husus vardır: gereken verilerin hacmi; veri türleri, formatları ve kaynaklarının çeşitliliği ve veri setlerinin doğruluğu ve güvenilirliği.
Verileri anlama: Denetçinin analiz edilecek verileri (verilerin kaynağı, içeriği, kullanımı ve anlamı) anlamaması halinde, analiz tekniği ne kadar kompleks ve çok yönlü olursa olsun yanlış sonuçlara varılabilir.
Verileri hazırlama: Verileri özellikle farklı kaynak dosyalarından elde ederken temizlemek ve kullanıma hazırlamak önemlidir. Sonuç olarak, formatın tüm veriler için uygun olduğundan emin olmak için, iç denetçilerin, bilgileri standartlaştırmak ve bir araya getirmek üzere zaman ayırarak sonuçların doğruluğunu temin etmeye yardımcı olmaları gerekmektedir.
Manüel olarak muhafaza edilmiş veriler: Değişiklik kontrolleri yetersiz veya etkisiz olabileceği için, manüel olarak muhafaza edilen veri kullanmak veri bütünlüğüyle ilgili problemler yaratabilir. Mümkün olduğu sürece, iç denetçiler, analiz temeli olarak otomatik verileri kullanmalı ve manüel olarak muhafaza edilen verilerle karşılaştırarak doğrulaması gerekir.
Veri analizini kullanmanın pek çok faydası vardır, ancak, İDY’nin etkin bir veri stratejisi uygularken ve yürütürken yukarıda sayılan unsurları dikkate alması gerekmektedir. Denetim personelinin profesyonel olarak gelişimi, denetim prosedürlerinin değiştirilmesi ve denetimde kullanılmak üzere seçilen teknolojiyle, bu zorlukların ve risklerin çoğuyla mücadele edilebilir. Veri analizi teknolojilerinin ve diğer kullanıcı tarafından geliştirilen uygulamalar konusunda nasıl güvence sağlanacağıyla ilgili daha fazla yol gösterici bilgiler için, GTAG 14: Kullanıcı Tarafından Geliştirilen Uygulamaları Denetlemek başlıklı dokümana başvurunuz.
15
5. Kilit Teknoloji Kavramları Hakkında Detaylar
5.1. Veri Analizi İçin Kullanılan Teknolojiler
İç denetim birimleri, verileri analiz etmek için ya çalışma tabloları gibi genel amaçlı, kullanıma hazır araçları seçebilir, ya da özel amaçlı teknolojileri kullanmayı düşünebilirler. Veri analizi teknolojisinin belirgin avantajı, iç kontrollerin operasyonel etkinliğini ve spesifik uyum koşullarına bağlılığını değerlendirmek için verileri analiz ederken, kurumsal riski değerlendirirken ve suiistimal eylemlerinin göstergelerini tespit ederken, iç denetçinin spesifik ihtiyaçlarını dikkate almasıdır. Suiistimal tespitiyle ilgili daha fazla kılavuzluk bilgisi için, IIA’in Uygulama Rehberi “İç Denetim ve Suiistimal” ve “GTAG 13: Dijital Dünyada Suiistimalin Önlenmesi ve Tespiti” başlıklı dokümanlara bakınız.
Denetim amacıyla bir veri analizi teknolojisini değerlendirirken dikkate alınması gereken birkaç gerekli nitelik mevcuttur. Bunlar, üç alana ayrılabilir:
Verilere erişim Denetime özgü kapasiteler Günlük tutma ve otomasyon
5.1.1. Verilere Erişim
Denetim için gereken verilere erişim gibi basit bir işlem bile yorucu ve zorlu bir görev olabilmektedir. Bu durum, kısmen, meşgul BT departmanlarından veri dökümleri almak için gereken zamanın uzunluğundan kaynaklanmaktadır. Daha az zamanda ve daha az kaynaklarla daha çok iş yapma baskısı altındayken, iç denetçiler, engelleri ortadan kaldırmak ve denetim süreçlerini bir düzene oturtmak için yollar aramaktadırlar. Etkin bir veri analizi teknolojisi, spesifik veri setlerinin sürekli denetimini veya tekrar test edilmesini destekleyen düzenli veribeslemeleri için ya talep üzerine verileri “çekmek” ya da programlı veri “itme” teknikleriyle denetçilere doğrudan erişim imkanı sağlayabilir. Bunun, genel denetim sürecini düzene koymak ve meşgul BT personelinin denetim biriminden aldığı devamlı veri isteklerini hafifletmek şeklinde bir ortak faydası vardır.
Denetim biriminin veri analizi araçlarını kullanmasına yardımcı olmak için aşılması gereken üç ek veri erişim zorluğu bulunmaktadır:
Kurumsal süreçlerin etkin bir güvence sağlaması için gereken verilerin hacmi; Veri türleri, formatları ve kaynaklarının çeşitliliği; Veri setlerinin doğruluğu veya gerçekliği ve güvenilirliği.
Veri Hacmi:
Resmin tamamının görünür olduğundan emin olmak için, iç denetim birimine ait etkin bir veri analizi teknolojisinin tüm veri popülasyonlarını analiz edebilmesi gerekmektedir. Tüm veri popülasyonlarının analizi, kurumsal operasyonları benzersiz bir bakış açısıyla görmeye olanak tanımaktadır. Şüpheli işlemler daha kolay tespit edilebilir ve problemler ortaya çıkmadan, önemli zayıflıklara dönüşmeden veya dış raporlama gerektirmeden önce düzeltici eylemlerde bulunulabilir.
16
Son yıllarda, analiz etmek amacıyla bir kişisel bilgisayara indirilmesi veya içeri aktarılması düşünülecek mevcut veri hacimleri aşırı düzeye ulaşmıştır. Günümüzün çevresinde etkin bir veri analizi çözümünün, hem verilerin bütünlüğünü hem de bu verilere kontrollü erişimi muhafaza eden sağlam ve güvenilir bir teknik mimari sağlayan sunucu-bazlı platform çözümlerini kapsaması gerekebilir. Böyle bir çözümde, veriler denetçi tarafından güvenli BT departmanı içerisinde analiz edilebilir, böylece ağ trafiğini azaltılarak hassas kurumsal verileri dönüştürülmesi, kopyalanması ve yayılmasıyla ilgili riskler en aza indirilebilir.
Çeşitlilik
Kurumların çoğu, çeşitli veritabanlarından çeşitli formatlarda veriler toplayarak çeşitli sistemlerle çalışan pek çok uygulama kullanmaktadırlar. Genelleştirilmiş veri analizi yazılımı verileri içeri aktarmak konusunda daha kullanışlı hale gelse de, farklı formatlarda ve işletim çevrelerinden verilerle başa çıkmak konusunda hâlâ yetersiz kalmaktadır. Dönüştürme süreci sırasında verilerin istem dışı olarak değişikliğe uğraması riski bulunmaktadır. Örneğin, ana bilgisayar verileri genellikle genişletilmiş ikili kodlu ondalık ara değişim kodu formatındadır ve dönüştürülmeden bir PC-bazlı çalışma tablosuyla okunamamaktadır.
Denetim amaçlı etkin bir veri analizi çözümünün, ilişkisel veriler, mevcut veriler, çalışma tabloları, rapor dosyaları, düz dosyalar, genişletilebilir biçimlendirme dili ve genişletilebilir işletme dili formatındaki veriler dahil çok çeşitli veri formatlarını okuyabilmesi ve karşılaştırabilmesi gerekir. Verilerin veritabanlarında bulunduğu durumlarda, etkin bir teknolojinin bu verilere hızlı bir biçimde erişebilmesi ve iç denetçinin ihtiyaçlarını karşılayabilmesi gerekir.
Doğruluk
Verilerin doğruluğu, gerçekliği veya güvenilirliği, denetim sürecinde en önemli husustur. Denetim amacıyla yapılan etkin bir veri analizi teknolojisinin verilerin bütünlüğünü ve kalitesini koruması gerekmektedir. Veri dökümleri ve format dönüşümleriyle birlikte, verilerin bütünlüğü farkında olunmadan tehlikeye atılabilir ve sürecini istenmeyen bir denetim riskiyle karşı karşıya bırakabilir. Etkin bir veri analizi teknolojisi, verilere onları değiştirmeden ya da istenmeyen bir değişikliğe maruz bırakmadan erişebilmeli ve analiz edebilmelidir.
Denetim amaçlı etkin veri analizi araçlarının kullanıcıyı kazara değiştirilen değerlerden korumalı ve veri setindeki kayıtların bütünlüğünü sağlamalıdır. Analiz sonuçlarının çarpıtılmasını önlemek için verilerin doğruluğunu muhafaza etmelidir. Veriler çarpıtıldığı takdirde, bulgularda önemli hatalar ortaya çıkabilir ve hatalı denetim tavsiyelerine neden olabilir.
Seçilen veri analizi teknolojisinin kaynak verilerin bütünlüğünü ve kalitesini değişikliklere karşı koruması gerekirken, sıklıkla, kaynak verilerinin kendilerinde veri kalitesi hataları veya eksiklikleri bulunmaktadır. Veri analizini kullanırken, denetçilerin verilerin geçerliliğine ilişkin hatalar olup olmadığını her zaman kontrol etmeleri gerekmektedir. Doğru ve tam veriler elde etmek, etkin bir veri analizi için önkoşuldur. Örneğin, kaynak verilerdeki sayı alanlarında geçerli sayılar var mıdır, yoksa bu alanda başka karakterler mi mevcuttur veya tamamen boş mu bırakılmışlardır? Sosyal güvenlik veya sosyal sigorta numaraları gibi kilit alanlara geçerli girişler yapılmış mıdır? Veriler, istenilen veri aralığına uygun kayıtlar mı içermektedir yoksa veri setinde gereğinden az veya fazla mı temsil edilmektedirler? Kaynak
17
verilerdeki hatalar tespit edildiğinde, istenilen veri aralığına ulaşmak amacıyla veri döküm işlemi tekrarlanmalı, hatalı veri alanlarını düzeltmek için veri temizleme işlemleri gerçekleştirilmeli veya “bozuk veriler” esas analizden çıkarılmalı ve ardından bu bozuk verilerin genel denetim değerlendirmesini önemli oranda etkileyip etkilemediğini anlamak için soruşturulmalıdırlar.
5.1.2. Denetime Özgü Yetkinlikler
İç denetim biriminin kullanacağı veri analizi teknolojisinin, iç denetçilerin görevlerini etkin ve verimli bir biçimde yerine getirmeleri için gereken özelliklere ve fonksiyonlara sahipolması gerekmektedir. Veri analizi teknolojisinin, yalnızca veri erişimi zorluklarını ele alması değil, aynı zamanda denetçilerin çalışma tarzlarını ve denetim görevine uygun analiz türlerini desteklemesi de gerekmektedir.
Veri analizinin bazı yönleri arasında, kurumsal süreçlerin ve uygulamaların bütünlüğünü değerlendirmek, kontrollerin etkinliğini değerlendirmek, risk değerlendirmeleri gerçekleştirmek ve bazı durumlarda suiistimal tespiti bulunmaktadır. Bu, her zaman, model kalıplar ve ilişkiler aramak için çeşitli kaynaklardan verilerin analiz edilmesi gerektiği anlamına gelmektedir. Denetçilerin şirket verilerine ilişkin görüşlerini denetim amaçlarına uygun bir biçimde organize etmeleri gerekmektedir.
Bu görüş, kullanıcıların çeşitli kaynaklardan verileri karşılaştıracakları ve kıyaslayacakları uygun bir bağlam oluşturabilmelerini sağlamaktadır. Örneğin, denetim sürecinin bir parçası suiistimal tespitiyle ilgiliyse, veri analizi oldukça etkili bir şekilde kullanılabilir. Bir çalışana ait ana dosya ile onaylanmış bir satıcı veritabanı karşılaştırılabilir. Çalışanın adresiyle satıcının adresi arasında bir eşleşme olduğu takdirde, bu durum, “hayali bir satıcının” varlığına ve çalışanın suiistimal eylemi girişiminde bulunduğuna işaret edebilir. Böyle bir durumda, denetçilerin bu veri dosyalarını aralarında ilişkiler kurarak görsel olarak incelemelerine olanak tanıyacak veri analizi araçlarına sahip olmaları gerekmektedir.
Veri analizini kullanırken, denetçilerin çeşitli bilgi kaynaklarını karşılaştırmaları ve kıyaslamaları, veri bütünlüğünü ve doğruluğunu teyit etmeleri ve verilerde örüntüler ve bozukluklar olup olmadığını araştırmaları gerekmektedir. Denetim sürecinin yayımlanan finansal tablolarda belirtilen maddi olguların tam ve doğru olup olmadığı, gerçekten vuku bulup bulmadığı ve değerlemesinin ve sunumunun yapılıp yapılmadığını desteklemesi gerekmektedir. Veri analizi yazılımında, kullanıcı tarafından geliştirilen uygulamalarda (User Developed Applications-UDA’lar) denetim riskini azaltmak amacıyla özel sorguları veya makroları programlamaya gerek kalmadan bu testleri gerçekleştirmek için algoritmalar bulunabilir. UDA’larla ilgili daha fazla yol gösterici bilgiler için GTAG 14: Kullanıcı Tarafından Geliştirilen Uygulamaların Denetimi adlı dokümana bakınız.
Özel amaçlı veri analizi yazılımlarında; çift kopyaları araştıran, sayısal dizilerdeki boşlukları tespit eden ve işlemleri türüne, sayısal aralığına ve yaşına göre gruplayan komutlar ve fonksiyonlar bulunacaktır. Büyük miktarlardaki verileri hızlı ve verimli bir şekilde filtreleyebilmek de kilit öneme sahip bir gerekliliktir. Dijital analiz gibi gelişmiş örüntü tespit teknikleri, verilerdeki bozuklukları bulmak konusunda oldukça yardımcı olmaktadır.
Karşılaştırmalı analiz gerekli olduğu zaman, teknolojik araçların veri dosyalarını (sıklıkla farklı kaynaklardan ve farklı formatlarda) birleştirebilmesi ve eşleşen veya eşleşmeyen kayıtları araştırabilmesi gerekmektedir. Pek çok kaynaktan verilerin karşılaştırılması gereken
18
görevlerde, çeşitli veri setlerini ilişkilendirebilmek de gerekli olabilir. Denetim süreci sıklıkla geniş çaplı verilerin retrospektif analizini içerdiği için, etkin bir veri analizi teknolojisinin milyonlarca kaydı hızlıca işlemesi için yüksek verimde okunan algoritmalara gereksinimi vardır. Bu algoritmalar, interaktif veri analizinde görevleri hızlıca ya da uzun ve karmaşık otomatik analizlerde aralıksız periyotlarla yerine getirmek için güçlü ve güvenilir olmalıdırlar. Yapılan denetim işinin doğasına bağlı olarak bu interaktif iş; planlama, ilk kapsam oluşturma veya soruşturma aşamalarında proje bazlı (ad hoc) yapılabilir. Ayrıca, kurumsal süreçlerin dönemsel olarak tekrar tekrar analiz edilmesi (örneğin kilit kontrollerin üç aylık incelemeleri) için yazıya aktarılabilir. Bir sürekli denetim metodolojisi uygulamak isteyen kurumlarda, seçilen veri analizi teknolojisinin veri analizi testlerinin programlama ve otomasyonunudesteklemesi gerekmektedir.
Veri analizi görevleri üç gruba ayrılabilir:
Proje Bazlı Tekrar Eden SürekliDoğası gereği araştırma ve soruşturma amaçlı
Çoklu veri kaynaklarından alınan verilerin periyodik analizi
Kilit süreçlerin “her zaman işleyen” yazılı denetimi ve izlenmesi
Belgelenmiş sonuçların ve tavsiyelerin araştırılması
Denetimlerin verimli, tutarlı ve kaliteli olup olmadığının araştırılması
Eğilimlerin, örüntülerin ve istisnaların zamanında bildirilmesi için yolların araştırılması
Risk değerlendirmesinin desteklenmesi ve denetim verimliliğinin sağlanması
Denetim raporu bulguları oluşturmak amacıyla belli bir zamanda yapılan spesifik analiz sorguları
Yönetilen, uzmanlar tarafından oluşturulan ve merkezi ve güvenli bir çevreden tümuygun personele ulaştırılan analizler
Hataları, bozuklukları, örüntüleri ve istisnaları, ortaya çıktıkları anda tespit etmek için otomatik denetim testlerinindevamlı uygulanması
Proje bazlı analize örnek olarak, satınalma durum tespiti için “şüpheli satıcı” ve “sanal personel” analizinin yapılması verilebilir. Denetim ekibinin bir üyesi, bir eşleşme olup olmadığını görmek amacıyla satıcılarla çalışanları karşılaştırmak için birkaç spesifik sorgu oluşturabilir. Bir eşleşme bulunduğu takdirde, bu daha derin bir analiz yapılmasını gerektiren bir alan olabilir. Proje bazlı analiz, doğası gereği araştırma ve soruşturma amaçlıdır ve hedeflenen yüksek riskli alanların daha kapsamlı analizinin yapılmasına yardımcı olmaktadır.
Tekrar analize örnek olarak üç aylık yevmiye defteri girişleri verilebilir. Veri analizi, manüel kontroller de dahil bu alandaki kontrollerin operasyonel etkinliğini doğrulamaya ve kontrol aksaklıklarını tespit etmeye yardımcı olması için kullanılabilir. Örneğin, veri analizi:
Yetkisiz veya erişimi kısıtlı kullanıcıların yaptığı yevmiye defteri girişleri; Mükerrer yevmiye defteri girişleri; Geçersiz hesap kayıtları; Dönem kapanışları öncesi ve sonrasında yevmiye defteri girişleri; Sıklıkla düzeltilen yevmiye defteri girişleri.
Sürekli analize örnek olarak, bir üçüncü şahıs kurtarma ortağına haftalık raporlar gönderilmesini gerektiren yoğun işlemlerin gerçekleştirildiği bir çevrede ödeme döngüsünün gözden geçirilmesi verilebilir. Böyle bir durumda, iç kontrollere uygun olarak kullanıcı
19
tanımlı parametreler yoluyla sürekli raporlar sunmak ve istisnai durumları ve boşlukları tespit etmek gerekmektedir.
5.1.3. Loglama ve Otomasyon
Denetim performansını iyileştirmek ve daha iyi sonuçlar elde etmenin kilit noktalarından biri, yapılan işlemleri otomatik olarak kaydedebilmek ve bunu, takip eden alanlarda ve denetimlerde de güvenli bir biçimde tekrar edebilmektir. Bu sebepten dolayı, daha etkin veri analizi teknolojileri otomatik olarak geniş kapsamlı denetim izleri oluşturmaktadırlar. Aynı zamanda, verilere kaynaklarından erişebilmekten bu verilerin geçerliliğini doğrulamaya, veri analizi yapmaya ve denetim raporları üretmeye göre kadar çeşitli konularda güvenilir görev otomasyonu sağlamaktadır.
Etkin bir denetim izini oluşturan birkaç özellik mevcuttur. Etkin bir denetim izi, uygulamalar tarafından yürütülen tüm komutları, komutların yürütülmesi hakkında fikir sağlayan durum iletilerini ve kullanıcının eylemleriyle ortaya çıkan sonuçları kaydeden bir denetim izidir. Bu, etkin bir denetim için, bir denetim bulguları bağlamı da dahil birkaç kritik olgu sunmaktadır.
Denetim izi, gerekli görüldüğü yerlerde açıklanabilecek, teyit edilebilecek ve savunulabilecek istisnai durumları ortaya çıkarmak için atılacak adımları belgelemektedir. Ayrıca, denetim izi, akran veya yönetici denetim süreci için bir mekanizma sunmaktadır. Denetim adımlarının gözden geçirilmesi, denetim sürecinin doğruluğunu, tamlığını ve kalitesini temin etmek açısından önemli bir eylemdir. Bu gözden geçirme, denetim yönetimine, denetim raporlarında açıklanan fikirlerin doğru ve denetim tavsiyelerinin makul olduğunu göstermektedir.
Denetim izinin son bir faydası da, daha önceki sonuçları geri çağırabilmesidir. Bir denetim izi, yalnızca, istisnaları ve bozuklukları tespit etmek için kullanılan komutları ve fonksiyonları değil, aynı zamanda ara ve nihai sonuçları kayıt altına almaktadır. Bu şekilde, denetçiler, tavsiyelere uyulup uyulmadığını veya kurumun benimsediği tutumda ortaya çıkan bir riskin göstergesi olabilecek önemli bir dönüşüm olup olmadığını anlamak için geçmiş bulgular ile güncel bulguları karşılaştırabilirler.
Bir denetim sırasında yapılan denetim süreci sonucunda anlamlı sonuçlar ve görüşler elde edildiği takdirde, bu sonuç ve görüşlerin gelecekte yapılacak testlerde de tekrarlanmaya değer olması olasıdır. Etkin bir teknoloji, basit ve doğrudan bir görev otomasyonunun yapılmasını kolaylaştırır. Etkin teknolojiler, ya bir “görev kaydedici” fonksiyonu kullanarak ya da denetim izinde kaydedilen komutları seçerek analiz görevlerini otomatize etmek için çeşitli yöntemler sunmaktadırlar.
Görev otomasyonunu kullanarak denetçilerin kendileri de, genel denetim sürecini düzenekoymak ve aksayan kontroller, mevzuata uymama ve suiistimal eylemlerinin göstergelerinitespit etmek için verilerin tekrar analizini içeren sürekli denetimin çeşitli yönlerine katkı sağlamak için test bataryaları oluşturabilirler.
5.2. Veri Analizi ve Sürekli Denetim Arasındaki İlişki
Veri analizinin kullanılması, çeşitli gereksinimleri ve yaklaşımları artırarak bu süreç içerisinde etkin bir analiz yapılmasına olanak tanımaktadır.
20
İç denetim birimine ve yönetime kendi hedeflerini gerçekleştirmek konusunda yardımcı olmak amacıyla, iç denetimden artan beklentiler ve teknolojinin – spesifik olarak veri analizi, sürekli denetim ve izleme – önemi konusunda son yıllarda pek çok şey yazılıp tartışılmıştır.
Veri analizinin etkin bir biçimde kullanılması, sürekli denetim için öncü bir harekettir. Kilit iş süreçlerini anlamak ve bu aktiviteleri açıklayan verileri analiz edebilmek ve yorumlamak konusunda yetkinlik sahibi olmak bir gerekliliktir. Aynı şekilde, teknoloji-destekli bir sürekli denetim metodolojisi kullanmak istiyorlarsa, iç denetim departmanlarının veri analizini kullanmak konusunda çok yönlülük düzeylerini giderek geliştirmeleri gerekmektedir. İDY, departman hedeflerine uygun olup olmadıklarından emin olmak için departmanlarındaki çok yönlülük ve kapasite düzeylerini değerlendirebilmelidir. Bu GTAG’in amaçlarına uygun olarak beş adet kapasite düzeyi tartışılmaktadır.
Düzey 1 – Veri Analizinin Temel Düzeyde Kullanımı
Bu düzey, spesifik bir denetim hedefine ulaşmak için sorgular gerçekleştirmek ve verileri analiz etmek amacıyla veri analizinin temel düzeyde kullanımıyla nitelendirilmektedir. Gerçekleştirilen eylemler arasında tipik olarak istatistiksel analiz, sınıflandırmalar veya verilerin özetlenmesi bulunmaktadır. Analiz, genellikle sınırlı sayıda denetim personeliyle ve plansız olarak ve proje bazında kullanılmaktadır.
Veri analizinin kullanılması, belirli bir denetim alanındaki risk ve kontrol sorunları hakkında hızlıca fikir edinmek konusunda denetçilere yardımcı olmaktadır. Ancak, hâlâ geliştirilmesi gereken alanlar mevcuttur. Veri analizi teknolojisinin kullanılması, denetim prosedürlerine ve farklı aşamalarda denetim döngüsüne daha iyi entegre edilebilir. Bu süreç için, denetim personelini veri analizi kavramları ve teknolojinin kendisi konusunda eğitmek gibi değişen denetim süreçlerine yatırım yapmak gerekmektedir.
Düzey 2 – Uygulamalı Analiz
Veri analizi, bu düzeyde, temel düzeyin üzerine inşa ederek kullanılmaktadır ve veri analizinin hedeflenen denetim süreçlerine tamamen entegre edilmesiyle karakterizeedilmektedir. Hem denetim planlaması hem de bir denetim programı tasarımı veri analizini dikkate alarak, “veri analizi-destekli bir denetim programını” etkin bir biçimde oluşturmaktadır. Veri analizini kullanmaya yönelik bu daha iyi yapılandırılmış yaklaşım içerisinde, geniş kapsamlı test düzenekleri oluşturulabilir, bunlar gözden geçirilebilir ve kalite güvence prosedürlerine tâbi tutulabilir. Bu analizin kullanımı genellikle aşamalı olarak ilerleyen bir özelliğe sahiptir ve zaman içerisinde ve denetim sürecinin her tekrarlanışı sırasında sürece yeni testler eklenmektedir.
Bu aşamada, veri analizi denetim sürecini dönüştürmeye başlamakta ve etkinlik, güvence düzeyleri ve bulguların genel toplam değeri konusunda önemli gelişmeler sağlamaktadır. Belirli görevler, daha önce gerektirdikleri zamanın daha azı bir sürede gerçekleştirilebilirler, böylece denetim biriminin yeni veya ortaya çıkmakta olan risklere odaklanmasını sağlamaktadırlar.
Düzey 3 – Yönetilen Analizler
Yönetilen analizler düzeyi, uygulamalı analiz düzeyinin mantıklı bir dönüşümüdür. Bu artan çok yönlülük düzeyinin, veri analizinin daha geniş kapsamlı ve merkezi olmayan bir ortamda
21
kullanılmasıyla ortaya çıkan zorluklardan bazılarına cevap niteliğindedir. Veri analizine getirilen bu daha organize ve kontrollü yaklaşımda; veriler, denetim testleri, sonuçlar, denetim prosedürleri ve dokümantasyonu, merkezi ve yapılandırılmış bir havuzda toplanmaktadır. Bu bilgilere erişim ve bu bilgilerin kullanılması, kilit denetim prosedürlerine uygundur ve kontrollü ve güvenli bir özelliğe sahiptir. Bu yolla, teknik olmayan denetim personelinin test sonuçlarına erişmesi ve bu sonuçları kullanması daha kolay ve pratik hale gelmektedir.
Veri analizi merkezi olarak yönetilir yönetilmez, denetim ekipleri, veri analizi iş yükünü (veriler, testler ve sonuçlar) paylaşarak etkinliği artırabilir ve böylece fayda elde edebilir. Veri analizinin kullanımı, tekrar edilebilir, sürdürülebilir niteliktedir ve analiz işleminin genel kalitesini ve tutarlılığını sürdürmek açısından daha kolaydır. Sürekli denetimin temel yapı taşları bu düzeyde bulunmaktadır. Bu düzeyin kilit faydalarından biri, kritik öneme sahip bilgileri kendileriyle götürerek kurumdan ayrılabilecek münferit uzmanlara bağlı olma riskini azaltarak sürecin tamamını daha sürdürülebilir hale getirmesidir. Bu düzeydeki analiz prosedürleri iyi belgelenmekte ve merkez konuma alınmaktadırlar, böylece yönetimin daha kolay ve etkin incelemeler yapması sağlanmaktadır.
Düzey 4 – Otomatik Süreçler
“Sürekli Denetim” teriminin tanımı
Çözüm:“Sürekli denetim, denetçilerin denetimle ilgili faaliyetleri daha sürekli veya devamlı bir düzende gerçekleştirmek için kullandığı yöntemlerin tümünün genel adıdır. Sürekli kontrol değerlendirmesinden sürekli risk değerlendirmesine kadar olan tüm faaliyetleri – kontrol-risk zincirindeki tüm faaliyetleri – kapsayan bir zincirdir. Teknoloji; istisnalar ve/veya anormaldurumların tespitini, kilit sayısal bölgelerdeki basamakların dizilim analizini, trend analizlerini, sınır (cut-off) değerlerine ve eşik değerlerine kıyasla yapılan detaylı işlem analizlerini, kontrol testlerini ve süreç veya sistemin farklı zamanlardaki durumlarıyla ve/veya onlara benzer başka kuruluşlarla kıyaslanmasını otomatikleştirmek konusunda kilit bir rol oynamaktadır.”
GTAG 3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlendirmeye Etkileri
Otomatik Süreçler düzeyi, Yönetilen Analizler düzeyini desteklemek için tesis edilenkapasitelerin üzerine inşa edilmektedir. Daha önceki düzeylerde kurulan temel yapı taşları, analitik süreçlerin daha geniş ölçekte otomasyonu ve uygun görüldüğü yerlerde ve zamanlarda sürekli denetimin uygulanması için gereken temeli oluşturmaktadırlar. Analitik testlerin otomatik olarak yapılması için veri erişim protokolleri oluşturulmuştur. Geniş kapsamlı test düzenekleri geliştirilmiş ve test edilmiştir ve merkezi ve kontrollü bir çevrede bulunmaktadırlar.
Ancak sürekli denetim, teknoloji sorunlarını ele almaktan daha fazlasını gerektirmektedir. Geleneksel denetim yöntemlerine kıyasla denetim süreçlerinde anlamlı bir değişimi gerekli kılmaktadır. İç denetim departmanlarının çoğu, iç denetime bir alandan başlayıp, ardından uygun prosedürler belirlendikçe zaman içerisinde başka alanlara açılmaktadırlar.
22
Otomasyonun kullanılmasının sağladığı bir fayda, birden fazla alanın eşzamanlı, süregiden denetiminin yapılmasını mümkün kılmasıdır.4
Etkin ve etkili bir sürekli denetim, denetimin verimliliği ve etkinliği konusunda apaçık faydalar sağlasa da, bulguların yönetime raporlanmaması veya yönetimin gelişmiş kontrollerle ve iş performansıyla işletmeye değer katmak amacıyla zamanında bu bulgulara göre hareket etmemesi riski bulunmaya devam etmektedir. Bir sürekli denetim yaklaşımını uygularken, bulguların yönetime etkin bir şekilde raporlandığından emin olmak için süreçler ve tespit edilen sorunların ele alındığından emin olmak için prosedürler mevcut olmalıdır.
Düzey 5 – Sürekli İzleme
Bir sürekli denetim programı oluşturulur oluşturulmaz, iç denetim birimi, kontrol problemleri ve muhtemel hata, suiistimal veya mevzuata uymama vakaları hakkında düzenli olarak raporlar hazırlamalıdır ve atılacak bir sonraki mantıklı adım, yönetimin kendi süreçlerinin izleme işlemlerini üstlenmelerini sağlamak olmalıdır.
İç denetim birimi, genellikle, kontrol problemlerini tespit etmek ve operasyonel performansı iyileştirmek konusunda veri analizinin değerini ve önemini yönetime kanıtlamak için en iyi pozisyondur. Sürekli denetimin uygulanmasını teşvik ederek ve destekleyerek, veri analizi tekniklerinin faydaları daha geniş bir kitleye gösterilmiş olmakta ve daha geniş çapta uygulanmaya başlamaktadır. Suiistimal, hata ve istismar gibi istisnai durumları tespit etmek ve hızlıca çözebilmek, kuruma açık bir değer katabilir ve nicel fayda sağlayabilir.
Ayrıca, sürekli izleme, bir kurumun risk izleme süreçleri içerisinde önemli bir bileşen haline gelerek işletmeye risk konuları ve eğilimleri konusunda daha açık ve şeffaf bir görünüm sağlamaya yardımcı olmaktadır.
Genel olarak, iç denetim mesleğinin genel görünümü, yönetimin sürekli izleme faaliyetlerinden sorumlu olması ve iç denetim biriminin bu faaliyetleri bağımsız olarak değerlendirmesi gerektiği yönündedir. Bu yaklaşım kullanıldığı takdirde, istenilen sonuç, iç denetim biriminin gerçekleştirdiği sürekli denetim ve yönetimin gerçekleştirdiği sürekli izleme faaliyetlerinin bir birleşimi olabilir (bu ikisi, birlikte işlemsel bütünlük ve kontrollerin etkinliği konusunda güvence sağlamaktadır).
Sürekli İzleme (Sİ) ve Sürekli Denetim (SD)’nin Faydaları5
Sürekli izleme bir kuruma: Gelişmiş finansal kontroller ve işletim kontrolleriyle kurumun değerini artırmak; Raporlama sürecini hızlandırarak daha hızlı karar verme ve iş iyileştirme
faaliyetlerini desteklemek; Gerçek-zamanlı cevapları etkinleştirmek için istisnaları gerçek zamanlarda tespit
etmek; Mevzuata uyumla ilgili devamlı masrafları azaltmak ve nihayetinde en aza indirmek; Manüel önleyici kontroller yerine otomatik tespit edici kontroller getirmek;
4Sürekli denetim hakkında daha fazla bilgi almak için, lütfen GTAG 3: Sürekli Denetim: Güvence, İzleme ve
Risk Değerlendirmeye Etkileri başlıklı dokümana başvurunuz. 5 Sürekli İzleme ve Sürekli Denetim: Fikirden Uygulamaya, © 2010 Deloitte Development LLC
23
Daha az işçilik giderleriyle daha otomatik, risk-esaslı bir kontrol çevresi kurmak; Rekabet avantajını yükseltmek ve paydaşların değerini artırmak
konusunda yardımcı olmaktadır.
Sürekli Denetim bir kuruma:
Genellikle önceki yaklaşımlarla aynı veya daha az süre içerisinde, risk ve kontrol güvencesini artırmak;
İç denetim masrafları ve ele alınmamış kontrol eksiklikleriyle ilgili masraflar dahil tüm masrafları azaltmak;
İşletme riskleri için risk hafifletme düzeyini artırmak; Daha sağlam ve daha etkin bir denetim süreci gerçekleştirmek; Minimum düzeyde artan ek masrafla (veya hiçbir masraf olmadan) iç denetim
kapsamını genişletmek; Denetim döngülerini kısaltmak ve Kontrol sorunlarını gerçek zamanlı olarak tespit etmek
konusunda yardımcı olmaktadır.
6. İç Denetçiler Nereden Başlamalıdırlar?
Günümüzün fazlasıyla otomatikleşmiş dünyasının bir gerçeği de, her denetçinin verileri analiz etmesi gerektiğidir. Önceden özel bir uzmanlık alanı sayılan, BT denetçilerinin işi olarak görülen ya da kolaylıkla başka bir departman veya kurumdan dış kaynak desteği alınarak yapılan bir görev olan veri analizi, iç denetim mesleği için temel bir yetkinlik haline gelmiştir.
İç denetim liderleri, öncelikle, bağlı oldukları birimlerin veri analizi faaliyetlerinin stratejik hedeflerini değerlendirmekle süreci başlatabilirler. Piyasada, personelin ilgisini çekebilecek pek çok yazılım ürünü mevcuttur. Öncelikle birimin neler başarması gerektiğini ve bunu nasıl başaracağını tespit etmeden sürece devam etmek, sürecin başarısızlığa uğramasına neden olabilir.
İç Denetim Liderinin Netleşen Veri Analizine İlişkin Stratejileri
Yönetim ve denetim komitesi tarafından desteklenen ve uygun görülen bir stratejik plan tanımlamak ve yürütmek, sürece başlamak için iyi bir noktadır. Başlangıç noktasına bağlı olarak, bu süreç, iç denetçilerin bağlı oldukları birimin kapsamına, insanlarına, süreçlerine ve teknolojilerine tüm yönleriyle dikkatlice bakmalarını ve doğru stratejilerin ve kabiliyetlerin mevcut olup olmadığını gerçekten araştırmalarını gerektirmektedir. Bir plan yapmadan anlamlı değişiklikler yapmak oldukça zordur. Vizyonlarını ve hedeflerini mantıksal ve sistematik olarak ele alınabilecek kilit girişimlere ayıran iç denetim kurumları, aynı zamanda, kurumlarına değer katmak konusunda en başarılı olabilecek kurumlardır.
Bu GTAG, veri analizi teknolojisine odaklansa da, tek başına teknolojiyle bu dokümanda açıkça belirtilen istenilen sonuçların ve faydaların elde edilemeyeceğini ifade etmek önemlidir. İç denetim departmanlarının yazılımlara yaptıkları yatırımlarda başarılı olmaları ve hızlı ve sürekli getiriler elde etmeleri için ele alınması gereken üç kilit alan; insanlar, süreç ve teknolojidir.
24
Bu kilit alanların her birini tek tek ele almadan, etkin bir denetim programı mümkün olmayacaktır.
İnsanlar
İç denetim departmanları büyüklük ve yapı bakımından çeşitlilik gösterseler de, ister tek bir birey isterse pek çok personel tarafından olsun ele alınması gereken belirli görevler mevcuttur. Departman ne kadar büyük olursa, uzmanlık düzeyi o kadar fazla olabilir.
Eğitim ve Öğretim
İç denetim departmanlarının veri, veri analizi kavramları ve analitik sonuçların yorumlanması konusunda eğitilmesi gerekmektedir. “Gerçeklik eylemlerde yatar” deyişiyle, denetçiler, kurumsal süreçleri veya mevzuata uyum koşullarını inceleme yöntemlerini değiştirebilirler. Bir kurumun faaliyetlerinin veri dosyalarına ve veritabanlarına elektronik olarak nasıl kaydedildiğini daha iyi anlayarak, denetçiler, riski değerlendirme, iç kontrollerin etkinliğini doğrulama ve mevzuata uymama alanlarını tespit etme yöntemleri konusunda veri güdümlü bir metodoloji uygulayabilirler. Bu, aynı zamanda, yapılan analizin sonuçlarını yorumlamalarına da yardımcı olmaktadır. Varılan sonuçlar, zayıf iç kontroller, sistem eksiklikleri, yeterince eğitilmemiş personele mi işaret etmektedir, yoksa bir suiistimal eyleminin göstergesidirler? Verileri anlayarak bu tespitler yapılabilir ve denetim performansının iyileştirilmesine yardımcı olabilir.
Eğitim, seçilen teknolojinin etkin bir biçimde kullanılması açısından da gereklidir. İç denetim departmanı, kullanmak istedikleri teknolojinin son durumunu (yani, proje bazlı olarak mı, büyük oranda otomatik denetim rutinleriyle mi yoksa sürekli denetim kullanarak mı) belirlemelidir. Eğitimin belirlenen proje programlarına göre yapıldığından emin olmak için, doğuracağı sonuçlar da göz önüne alınarak bir eğitim rejiminin mevcut olması gerekmektedir.
Roller ve Sorumluluklar
Denetim, yapılan işin etkinliğini ve kalitesini sağlamak için farklı roller gerektiren bir ekip çalışmasıdır. Küçük departmanlarda, personel birden fazla rolden sorumlu olabilir. İDY’ler, veri analiz yazılım araçlarını etkin bir biçimde yaymak amacıyla denetim ekipleri içerisinde uzmanlık rolleri kurmak isteyebilirler. Bu kilit rollerden bazıları arasında şunlar sayılabilir:
Veri Uzmanları – Denetim ekibine tayin edilen, kurumun BT altyapısı, veri kaynakları ve analiz edilecek ilgili verilere nasıl erişileceği konusunda ayrıntılı bilgi sahibi, denetim ekibi üyesi veya BT kaynağı. Bu kişiler, farklı sistemlerden geniş hacimlerdeki verilere nasıl erişecekleri, bu verileri analiz için nasıl hazırlayacakları ve ekibe nasıl sunacakları konularında bilgi sahibi olacaklardır.
Veri Analizi Uzmanı – Seçilen teknolojinin detaylı kullanımı konusunda uzmanlık bilgisi sahibi, gelişmiş sorgu ve analizler gerçekleştirecek, otomatik denetim rutinleri oluşturacak ve yönetecek ve analiz sonuçlarını ekibin tümüyle doğrulayacak ve paylaşacak iç denetim ekibi üyesidir.
Personel Denetçileri – İç denetim ekibinin bu üyeleri, veriler ve veri analizi konusunda genel bilgi sahibi olacak, otomatik analiz rutinlerinin sonuçlarını gözden geçirmek ve yorumlamak ve basit analizler (Sınıflandırma, filtreleme, gruplama ve profil oluşturma) için gereken yeterli yetkinliğe sahip olacaktır. Ayrıca, yapılan analiz
25
sonucunda elde edilen bulguları belgelemek ve raporlamak konusunda eğitimli olacaklardır.
İç Denetim Liderliği – Ekip liderleri, hangi denetim basamaklarının otomatize edildiğini veya veri analizi yazılımına bağlı olduğunu bilmelidirler. Bu, denetim faaliyetlerinin ve genel denetim kapsamının gözetimine yardımcı olacak ve denetim liderlerinin analiz bulgularını ekip kapsamında ve denetim planı hedeflerine göre gözden geçirmelerine olanak tanımaktadır.
Süreç
Veri analizini bir denetim planına entegre etmek, denetimin gerçekleştirilme yöntemini değiştirecektir, böylece denetim süreçlerini, prosedürlerini ve programları da değiştirmek gerekli olacaktır. Yukarıda belirtildiği gibi, verim analizi teknikleri bir denetim döngüsü boyunca kullanılabilirler, bu nedenle, yalnızca test aşamasındaki değil, her basamaktaki süreç değişiklikleri düşünülmelidir. Teknolojinin veri güdümlü olarak kullanıldığı veya risk ya da kontrol yetersizliklerinin denetim planını etkileyebileceği durumlarda, denetimin planlanması ve hazırlanması normalden uzun sürebilir. Birden çok kaynaktan verilerin gerekli sayıldığı durumlarda, verilere erişmek için ilave hazırlama süresi gerekebilir. İDY’ler, sürecin bu kısmını bir düzene koymak için denetim yönetmeliklerinde bulunan kurum verilerine, erişim ve yetkilendirme ayrıcalıkları eklemeyi düşünebilirler.
Veri analizinin kullanım alanının genel denetim sürecinin bazı bölümlerine kadar genişlemesi halinde, kurumun birimlerinin istisnai vakalar hakkında zamanında bildirimler almaya ve bulgulardaki boşlukları kapatmak amacıyla bu vakaları yönetme amaçlı bir mekanizma oluşturmaya hazır olduklarından emin olmak için dahili süreçlerde anlamlı değişiklikler yapmak gerekebilir.
Teknoloji
Aralarından seçim yapılabilecek çeşitli veri analizi teknolojileri mevcuttur. Kilit nokta, kurumunuzun denetim görevleri, amaçları ve BT çevresi için doğru teknolojiyi seçmektir. İDY’ler, uzun vadede ne başarmak istediklerini düşünmelidirler ve amaçlarına ulaşabilmek için doğru veri analizi teknolojisini veya teknolojiler grubunu seçmelidirler.
İnsanlar, süreçler veya teknolojiyle ilgili ne kararlar alınırsa alınsın, iç denetim departmanları, denetim kapsamını denetim hedeflerine uygun hale getiren bir risk değerlendirmesiyle sürece başlamalıdırlar.
Engeller
Teknoloji kullanılarak yapılan bir veri analizine daha fazla odaklanmanın engellerle ve zorluklarla karşılaşma olasılığı vardır. En yaygın engeller arasında, süreci doğru uygulamak için gereken çabaları hafife almak, verileri ve bu verilerin ne anlama geldiklerini ve analiz sırasında gözlemlenen istisnai durumları ve bozuklukları uygun bir şekilde gözlemlemek için gereken uzmanlığı geliştirmeye yönelik ihtiyacı yeterince anlayamamak bulunmaktadır. Bu ve başka engeller, yeterli zaman ve kaynakların kullanıldığı iyi tasarlanmış bir planla ele alınabilirler.
En az maliyetle en fazla fayda sağlandığından emin olmak için, veri analizi kapasitelerini uygulama veya iyileştirmeye yatırım yapmaya yönelik bir kararın uygun bir şekilde
26
yönetilmesi gerekmektedir. Aşağıda, bu hedefleri gerçekleştirmeye yardımcı olabilecek birkaç tavsiye bulunmaktadır:
1. Genel veri analizi stratejinizi:a) Risk değerlendirme süreci; b) Güncel denetim planları ve c) Uzun-vadeli denetim hedefleri ve amaçlarınıza uygun hale getiriniz.
2. İstediğiniz azami olgunluk düzeyine odaklanarak, veri analizi girişiminizi bir programı yönettiğiniz şekilde yönetiniz.
3. Tüm değerlendirme görevlerinde tekdüzen bir analiz uygulamaları ve prosedürleri grubu geliştiriniz.
4. Veri yönetimi, kalite güvence ve diğer kilit roller için sorumluluklar tayin ediniz. 5. Otomatize edilen analizin gayesini ve içeriğini kaydetmek için yazıya geçirilen
analizleri belgeleyiniz ve/veya yorumlayınız. 6. Varılan sonuçların doğru olduğundan ve yürütülen denetim basamağına uygun
olduğundan emin olmak için kullanılan analizleri gözden geçiriniz ve test ediniz. 7. Analiz sırasında yanlış mantık veya formüller kullanarak varılan sonuçlara dayanma
riskine karşı korunmak için bir akran değerlendirme veya yönetici değerlendirme süreci başlatınız.
8. Prosedürleri ve testleri, merkezi ve güvenli bir havuzda standartlaştırınız. 9. Analizi gerçekleştirmek için kullanılan teknoloji aracını kullanarak ya da yedek
verileri veya yansıtılmış verileri denetim amaçlarıyla analiz ederek kaynak verilerini değişikliğe uğrama /bozulmaya karşı muhafaza ediniz.
10. Yoğun olmayan dönemlerde analizi programlayarak ya da yedek veya yansıtılmış verileri kullanarak, analizin üretim sistemleri üzerindeki potansiyel etkisini ele alınız.
11. Personeli, yapılan analizin sonuçlarını nasıl yorumlayacakları konusunda eğitiniz. 12. Eğitimi, kapasitelerin sürekli büyümesi ve devamlı gelişmesiyle ölçülen bir sürekli
süreç olarak düşününüz. 13. Analizler zaman içerisinde değiştiğinden dolayı, veri analizi yazılımını ileri
düzeylerde kullanarak sürekli gelişmeyi hedefleyiniz.
7. Sonuç
Bir kurumda yapılan hemen hemen tüm faaliyetler bir şekilde teknolojiyle desteklendiği veya teknolojiden etkilendiği için, teknoloji kullanmadan bir denetim gerçekleştirmek neredeyse imkânsızdır. Güncel denetim standartları da, haklı olarak, veri analizinin kullanılmasını gerektirmektedir. Kurumların işleme aldığı ve topladığı veriler, esas itibariyle, şirket için hayati öneme sahip elektronik verilerdir. Veri analizi yoluyla bir kurumun genel sağlık durumunu araştırıp değerlendirebilmek bir gerekliliktir.
Bu amaçla, veri analizi, kuruma sağlanabilecek etkinlik, verimlilik ve güvence düzeylerini artırmak konularında iç denetim birimine büyük değer katabilecek kolaylaştırıcı bir teknoloji olarak görülmelidir. Veri analizinin sağladığı faydalar, yalnızca, bir denetimi gerçekleştirmek için gereken zamanı azaltmak değil, ayrıca hataları, kontrol ihlallerini, verimsizlikleri veya suiistimal göstergelerini tespit etmeye yardımcı olmaktır. Ek olarak, önde gelen analistler, hangi denetimlerin gerçekleştirileceğini, hangi alanların daha yüksek risk altında olduğunu ve detaylı denetim çalışması sırasında hangi iş süreçlerinin daha fazla dikkat gerektirdiğini tespit etmek konusunda daha iyi ve etkin yöntemler bulmaktadırlar. Denetim döngüsü boyunca uygulandığında – veri güdümlüden risk değerlendirme, planlama ve hazırlama, test, inceleme
27
ve raporlama konusunda görüşlere kadar – iç denetim birimi kuruma sağladığı katkıyı büyük oranda artırabilir ve kurum içerisindeki itibarını artırabilir.
Veri analizini nerede ve ne zaman kullanmak gerektiğine karar vermek, İDY’nin vereceği stratejik bir karar olmalıdır. Veri analizini kullanıldığı takdirde, istenilen faydaları elde etmek için denetim personelinin neler bilmesi gerektiği, hangi süreçlerin ve faaliyetlerin yürütülmesi gerektiği ve hangi teknoloji veya teknolojilerin geliştirilebileceği konularında değişiklikler olacağı kabul edilmelidir. Doğru verileri elde etmek, analizlerin neye işaret ettiğini anlamak ve analiz sonuçlarını takip etmek önemli bir görev olabilir. Ancak bu görevin getirileri, iç denetim departmanlarına ve bir bütün olarak denetim mesleğine duyulan saygıyı artırabilir.
28
Ek A: Örnek – Tedarik Sürecinde Veri AnaliziTedarik Süreci
Alan Kontrol Veri AnaliziMalların satın alınması
Uygulama, mükerrer birödemeye izin vermeyecektir.
Sipariş verilerini temin ediniz. Hiçbir mükerrer ödemenin (aynı satıcı/aynı hesap) işleme alınmadığını doğrulayınız.
Üç aydan daha eski sipariş emirleri işleme alınmayacaktır.
İşleme alınan tüm sipariş emirlerinin bir listesini elde ediniz.Üç aydan daha eski sipariş emirlerinin işleme alınıp alınmadığını tespit ediniz.
Sipariş emrini dolduran kişi, aynı siparişi serbest bırakamaz / onaylayamaz
(Düzenleyici tarafından) Oluşturulan tüm siparişlerin bir listesini elde ediniz. Serbest bırakılan veya onaylanan tüm sipariş emirlerinin bir listesini elde ediniz.Uygun bir görev dağılımı (SOD) sisteminin olup olmadığını tespit ediniz.
Malların teslimalınması
Teslim alınan tüm mallar, siparişlerle karşılaştırılarak doğrulanır.
Mevcut tüm teslim alınan malları ve siparişlerin bir listesini temin ediniz.Miktarların aynı olduğunu doğrulayınız.
Siparişi oluşturan kişi, teslim alınan hiçbir malı işleme almayacaktır.
Alındı belgelerini imzalayan (işlem yapan) kişilerin bir listesini temin ediniz. Sipariş emrini dolduran kişilerin bir listesini temin ediniz.Uygunsuz SOD’lerin olup olmadığını tespit ediniz.
Faturalama Tedarikçi faturası alınmadan önce sipariş oluşturulmalıdır.
Sipariş tarihleri ile fatura tarihlerini karşılaştırınız ve fatura tarihlerinden sonra tarihli siparişler olmadığından emin olunuz.
Siparişte belirtilen tutar faturada belirtilen tutarla eşleşmelidir.
Sipariş tutarı ile fatura tutarını karşılaştırınız. Farklar olmadığını doğrulayınız.
Görev dağılımı (SOD) Faturaları işleme alan ve sipariş emirlerini dolduran kişilerin bir listesini temin ediniz. Uygunsuz SOD’lerin olup olmadığını tespit ediniz.
Ödeme Uygulama, mükerrer ödemelereizin vermemelidir.
Son 12 ay içerisinde satıcılara yapılan tüm ödemelerin bir listesini temin ediniz. Mükerrerödemelerin yapılıp yapılmadığını tespit ediniz. Örneğin: Aynı satıcı kodları ve fatura tutarları, ancak
farklı fatura numaraları Aynı satıcı kodları ve fatura numaraları,
ancak farklı fatura tutarları Aynı banka hesap bilgilerine sahip farklı
satıcı kodları Görev Dağılımı (SOD) Ödemeleri işleme alan ve sipariş emirlerini
dolduran kişilerin bir listesini temin ediniz. Uygunsuz SOD’lerin olup olmadığını tespit ediniz.
Satıcı kayıtlarını güncellemekve yeni satıcı dosyaları ilave etmek
Uygun bir kontrolün yapılmasını garanti etmek için görevlerindüzgün dağıtıldığından emin olunuz.
Tedarik son kullanıcı listesini (tedarik uygulamasına erişimi olan ve her bir kullanıcının sahip olduğu görevler) temin ediniz. Hangi görevlerin birbiriyle çeliştiğini tespit ediniz ve bu kullanıcıları açıklayan ve tanımlayan bir rapor hazırlayınız.
29
Tedarik SüreciAlan Kontrol Veri Analizi
Hangi bilginin ne zaman vehangi kullanıcı tarafından değiştirildiğini belgeleyen denetim izi
Satıcı kayıtlarında yapılan değişikliklerin detaylarını içeren denetim izlerini temin ediniz. Değişikliklerin yalnızca yetkili kişiler tarafından yapılıp yapılmadığını tespit ediniz. En fazla değişiklik yapan kişilerin muhtemel eğilimlerini tespit ediniz.
Kilit alanları tespit ediniz (örneğin, yönetimin onayıyla izlenmesi gereken banka hesabı detayları)
Personelin doğrudan mevduat hesaplarının bir listesini temin ediniz.Hesap bilgilerini satıcı kayıtlarında güncellenen banka bilgileriyle karşılaştırınız.
Doğru girdi, işleme ve çıktılar sağlandığından emin olmakiçin yeterliuygulamakontrolleri
1. Geçerli kod testi2. Kontrol basamağı 3. Alan kontrolü4. Limit testi5. Olabilirlik (uygunluk) testi6. Sıralanım (dizi) kontrolü 7. Yığın kontrol toplamları
1. Tedarik uygulaması içerisinde program kodunun aylık indirme dosyalarını temin ediniz→ Veri analizi yoluyla kodda bir değişiklik yapılıp yapılmadığını tespit ediniz.
2. Satıcıların sabit verilerini temin ediniz →Elde edilen Gelir Vergisi numarasının doğru uzunlukta olduğunu doğrulayınız.
3. Satıcıların sabit verilerini temin ediniz →Banka hesaplarında ve telefon numarası alanlarında yalnızca sayısal değerlerin ele geçirildiğini doğrulayınız.
4. Bir ay içerisinde yapılan tüm tedarik işlemlerinin bir listesini temin ediniz→ Belli bir tutarın üzerindeki (örneğin, 50.000 ABD$) tüm ödemelere uygun kullanıcı tarafından izin verildiğini doğrulayınız.
5. Bir ay içerisinde yapılan tüm tedarik işlemlerinin bir listesini temin ediniz→ Olağandışı işlemleri tespit etmek için, her bir satıcı veya her bir tedarik işlemi için bir trend analizi oluşturunuz.
Kurumkullanıcılarına katma değer sağlayan hizmetler
Bilgi mevcut değil. 1. Harcanan toplam maliyet2. Ortalama işlem tutarı 3. Her bir satıcının işlemleri 4. Her bir satıcı başına maliyet 5. İşlemleri satıcıya veya emtiaya göre
sınıflandırınız. 6. Trend analizi (örneğin, dönemsel ürünler) 7. Bütçeye kıyasla fiili harcamalar 8. Yaş analizi (örneğin, teslim alınan mallara
kıyasla fatura tarihi)
30
Ek B: Veri Analiz Yazılım Seçimi için Derecelendirme Matrisi
İhtiyaç: 0=İhtiyaç Yok; 1=Olması fayda sağlar; 2=Olması İstenir; 3=Zorunlu İhtiyaç İç Denetimin Stratejik Hedefleri
1 Yazılımı öğrenmek ve kullanmak kolaydır. 2 Rekabet avantajı sağlar. 3 BT uzmanlarına bağımlılığı minimize eder. 4 İş hesap verebilirliğini, sorumluluğunu ve gözetimini artırır. 5 Üretim program değişiklik kontrollerini uygular. 6 Güvenilirlik: Hatasız, hızlı, profesyonel çalışır. 7 Taşınabilirlik: Bir dizüstü bilgisayarda çalışır. 8 Ölçeklenebilir: Yeni bir yazılım öğrenmeden masaüstünden sunucu düzeyine
yükselir.9 Veri bütünlüğü ve güvenliği: Müşteri verileri denetçinin yaptığı değişikliklere
karşı korunur. 10 Ortak çalışmaya dayalı özellikler 11 Otomatik ve sürekli programların gelişimini destekler 12 Elektronik çalışma kâğıtlarıyla uyumludur 13 Tamamlanan denetim çalışmalarının dokümantasyonunu geliştirir
Sağlayıcı & Uygulayıcı Desteği 14 Global olarak mevcuttur15 İş alanında yılların tecrübesi vardır 16 Birden fazla dil17 Yardım masası mevcuttur 18 Birlikte iş yapmak kolaydır; denetim ihtiyaçları konusunda bilgi sahibidir. 19 Düzenli yazılım güncellemeleri 20 Eğitim imkânına kolayca ulaşılabilir 21 Yazılımı kullanan diğer kullanıcılarla ağ oluşturmak için kullanıcı grubu programı 22 Sağlayıcıdan bağımsız, kolayca ulaşılabilir, bilgili danışmanlar 23 Mevcut programları başlatır
Teknik Özellikler ve Fonksiyonellik24 Kurumun kullandığı tüm dosya tiplerini içeri aktarır 25 Büyük boyutlu kayıtları işler 26 Büyük hacimli verileri işler 27 Veri alma işlemini daha kolay doğrular ve karşılaştırır 28 İçeri aktarılan veriler alan özelliklerini değiştirir 29 Metin, sayı, zaman aramalarını destekler 30 Yapılan veri eylemlerinin görsel çizelgesini veya haritasını tasarlar 31 Dosya birleştirme/bütünleştirme/karşılaştırma 32 Dosya ekleme33 Görsel bağlayıcı 34 Sıralama, dizin oluşturma, filtreleme ve bulanık mantık 35 Özetleme36 Seçip çıkarma 37 Özet tablo38 Katmanlara ayırma 39 Boşlukları tespit etme 40 Yaşlandırma 41 Benford Yasası’na göre verileri tahmini verilerle karşılaştırma 42 Gelişmiş istatistiksel analiz: ilinti, trend analizi, zaman serileri 43 Örneklemek
31
İhtiyaç: 0=İhtiyaç Yok; 1=Olması fayda sağlar; 2=Olması İstenir; 3=Zorunlu İhtiyaç 44 İstatistiksel analiz
45 Tipik ofis uygulamalarına aktarmak
46 Özel raporlar ve grafikler oluşturmak
47 Basit ve karmaşık hesaplanan alanlar oluşturmak
48 Veri temizleme araçları
Maliyet49 Yazılım satınalma
50 İş yardımları – otomatik senaryolar ve uzmanlık bileşenleri
51 Ücretleri yükseltme
52 Yıllık yardım masası desteği
32
Ek C: Denetim Departmanının Veri Analizi Kullanımı Olgunluk Düzeyleri
Denetim liderleri, aşağıdaki tabloyu, departmanları içerisindeki veri analizi kullanımının olgunluk düzeyini değerlendirmek amacıyla, bu analizlerin sağlayabileceği güvence ve katma değer hizmetlerin düzeylerini de dikkate alarak kullanabilirler. Alternatif olarak, tabloda sıralanan açıklamalar ve özellikler de, departman içerisindeki etkinliği ve verimliliği artıracak bir veri analizi stratejisi formüle etmek amacıyla kullanılabilir. Kurumun hangi kısmının denetlendiğine bağlı olarak, tek bir iç denetim grubu içerisinde farklı olgunluk düzeylerinin olabileceği kabul edilmektedir.
Düzey Açıklama ÖzelliklerTam optimize Veri analizi tüm denetim programlarıyla
kaynaştırılmaktadır. Denetim departmanı, denetim planının tüm aşamalarında veri analizi teknolojilerini büyük orandakullanmaktadır. Sonuçların kaliteli ve tutarlı olduğundan emin olmak için birçok denetim süreci otomatize edilmektedir. Veri analiziteknolojisi, denetim biriminin denetimplanlarını tamamlamasını kolaylaştırmak konusunda elzem bir bileşen olarak kabul edilmektedir.
Beklenen güvence ve danışmanlık hizmetlerini desteklemek amacıyla veri analizini iç denetim biriminin temel biryetkinliği olarak kurum çapında kabul etmek ve desteklemek.
Entegre Veri analizi, her uygun denetim görevinde verisk değerlendirmesinden planlama, hazırlanma, test etme, sorun takibi ve raporlamaya kadar denetim döngüsünün heraşamasında kullanılmaktadır. Veri analizi teknolojisinde yeterlilik, büyüklüğüne ve yapısına bağlı olarak denetim personelinin tümü veya bir bölümü için bir görevkoşuludur. BT birimi ve kurumun geri kalanıyla uygun veriler ve sonuçların dağıtılması konusunda yakın entegrasyon vardır.
Fonksiyonel stratejik yönergeleri yerinegetirmek için yukarıdan aşağıya destek mevcuttur. Veri analizinin kurumun genelperformansını artırmak amacıyla, yetkisiz, eksik veya yanlış verileri arayarak veya verilerde, tavsiyeler verilmesine yardımcı olacak göstergeler araştırarak daha fazla düzeylerde güvence sağlamak konusunda iç denetim birimine yardımcı olabileceği kabul edilmektedir.
Ayrı ve Duruma göre
Denetim departmanının, veri analizi yazılımı hakkında bilgi sahibi olan tek veya münferit bazı kaynakları bulunmaktadır. Veri analizi rolü, sıklıkla tek bir kişide toplanmıştır. Denetim programlarında veri analizi seyrek ve formüle edilmeden uygulanmaktadır. BT’den veri elde etmek konusunda zorluklarmevcuttur.
Bazı yanlış başlangıçlar ve faaliyetler her zaman uzun süreli olmazlar. Tam olarakuygulama fırsatı olmadan, profesyonel veri analizi araçları edininiz. “Akran gruplarının” anlamlı adımlar atabileceğini dikkate alınız. Daha aşağıdan yukarıya odaklı veri analizi becerileri talep ediniz.
Öncelikleçalışma tablolarını kullanmak
Denetim süreçleri; basit analizler(sınıflandırma, hesaplama, kontrol toplamları, toplamlar vs.), küçük veri setlerininörneklenmesi, veri alt popülasyonlarında anormallikleri tespit etmek amacıyla makroların sınırlı kullanılması için çalışma kâğıtlarını kullanmaktadırlar.
Bağımsız doğrulama ve objektifliğe olan ihtiyacı fark etmeye başlamak. Olasılıklardan haberdar olmaya başlamak. Belirli sınırlarla uygulanan genelleştirilmiş yazılım araçları
Baskı/Kâğıt-esaslı
Denetçiler, kontrollere uyumla ilgilibulgular araştıran dokümanların basılı kopyalarını yerinde kontrol etmektedirler.
Başkalarının çalışmalarına bağlı olmak. Veri analizi becerilerinin henüzbaşlangıç basamağında, planlama aşamalarındayken geliştirilmesi en etkili sonuçları vermektedir.
33
Yeni ACL Denetim Analizi Kapasite Modeli, analiz yöntemlerini geliştirmek isteyen kurumlara açık, yol gösterici bilgiler sunmaktadır. Bu bilgiler, denetimin değeri hakkında kurumla konuşmaktan ibarettir.
Theodore K. Walter, CPAFinansal Denetimler Yöneticisi, Scripps Health
34
Denetim yazılımınızdan memnun değil misiniz?
Denetim analizi için hâlâ çalışma kâğıtları mı kullanıyorsunuz?
O halde IDEA’ya daha yakından bakma zamanı geldi.
______________________
Caseware IDEA Inc., Ana Ortak olarak iç denetim mesleğini ve IIA’yı desteklemekten
mutluluk duymaktadır.
_______________________
IDEA’nın, tüm dünyada, birçoğu IIA üyesi olmak üzere 120.000’den fazla aktif kullanıcısı
vardır. 90’dan fazla ülkede, 16 dilde denetçiler, denklerinden daha iyi iş çıkarmakta ve
müşterilerin, işverenlerin ve düzenleyici otoritelerin beklentilerinin de ötesine geçmektedirler.
IDEA hakkında daha fazla bilgi edinmek ve Ücretsiz bir Tanıtım Broşürü istemek için,
www.caseware-idea.com adresindeki Web sitemizi ziyaret ediniz.
20 yıldan fazla bir süredir, IDEA-Veri Analizi Yazılımı, kullanım kolaylığı, performans ve
işlevsellik konularında standartlar belirlemektedir.
IDEA, CaseWare International Inc. Firmasının tescilli markasıdır.
35
Enstitü Hakkında
1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD’de bulunan bir uluslararası meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi, genel kabul gören lideri, baş savunucusu ve baş eğitmenidir.
Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda ayrıntılı bir kılavuz bilgisi sağlarlar. Bu rehberler; proses ve prosedürler hakkında ve daha spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Uygulama Rehberleri, IIA’in UMUÇ Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye Edilen rehberler kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat kuvvetle tavsiye edilirler ve bu rehberler, IIA’in resmi inceleme ve onay sürecinden geçirilmek suretiyleonaylanmışlardır.
Bir Global Teknoloji Denetim Rehberi (GTAG), BT yönetimi, kontrolü ve güvenliği ile ilgili
sorunları ele almak amacıyla açık ve basit bir mesleki dille yazılan bir tür Uygulama
Rehberidir.
IIA’in sunduğu diğer âmir kılavuzlar için, lütfen www.theiia.org/guidance adresindeki Web
sitemizi ziyaret ediniz.
Sorumluluğun Reddi Beyanı
IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden kişiler için herhangi bir sorumluluk kabul etmez.
Telif Hakkı Uyarısı
Telif hakları © 2011 The Institute of Internal Auditors. Bu rehberi çoğaltma izni almak için, lütfen [email protected] adresinden IIA ile temas kurunuz.
IIATHE INSTITUTE OF INTERNAL AUDITORS(ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ)
www.theiia.org