gtag 8- uygulama kontrollerinin denetimi...2 (gtag) 8 uygulama kontrollerinin denetimi yazarlar...

1

GTAG®

Global Teknoloji Denetim Rehberi

UMUÇ – Uygulama Rehberi

UYGULAMA

KONTROLLERİNİN

DENETİMİ

IIA – Uluslararası İç Denetçiler

Enstitüsü

Global Teknoloji Denetim Rehberi

2

(GTAG) 8

Uygulama Kontrollerinin Denetimi

Yazarlar

Christine Bellino, Jefforson Wells

Steve Hunt, Crowe Horwath LLP

Orijinal Basım Tarihi: Temmuz 2007

Uluslararası Mesleki Uygulama Çerçevesi’ne (UMUÇ) uygunluk açısından revize edilmiştir, Ocak 2009

Telif Hakkı © 2007, Uluslararası İç Denetçiler Enstitüsü (IIA), 247 Maitland Ave., Altamonte Springs, FL 32701-4201 ABD’ye aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde

basılmıştır. Yayımcının ön yazılı izni alınmadan, bu dokümanın hiçbir bölümü çoğaltılamaz, herhangi bir bilgi depolama ve erişim sisteminde saklanamaz ya da hiçbir formatta ve hiçbir kanal yoluyla –

elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktarılamaz.

IIA, bu dokümanı bilgi vermek ve eğitim amacıyla yayımlamaktadır. Bu doküman, bilgi sağlamayı amaçlamaktadır; ancak hukuk veya muhasebe konularında bir tavsiye yerine kullanılamaz. IIA böyle

bir tavsiyede bulunmaz ve bu dokümanı yayımlamakla, muhasebeyle ilgili veya hukuki sonuçlara yönelik varılan sonuçların doğruluğu hakkında herhangi bir garanti vermez. Hukuk veya muhasebe

konularında sorunlar ortaya çıktığı takdirde, profesyonel yardıma başvurulmalıdır.

3

İÇİNDEKİLER TABLOSU

1. Yönetici Özeti ………………………………………………………………………………………..4

2. Giriş…………………………………………………………………………………………………..6

Uygulama Kontrollerinin Tanımı………………………………………………………………6

Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri……………………………………….7

Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan BT Ortamları………………………...8

Uygulama Kontrollerine Güvenmenin Faydaları………………………………………………9

İç Denetçilerin Rolü…………………………………………………………………………...11

3. Risk Değerlendirmesi……………………………………………………………………………….14

Risk Değerlendirmesi………………………………………………………………………….14

Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı…………………………………………15

4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi……………………………………..17

İş Süreci Yöntemi……………………………………………………………………………..17

Tekli Uygulama Yöntemi……………………………………………………………………..17

Erişim Kontrolleri……………………………………………………………………………..18

5. Uygulama İnceleme Yaklaşımları ve Diğer Mülahazalar…………………………………………...19

Planlama……………………………………………………………………………………….19

Uzman Denetim Kaynaklarına Olan İhtiyaç…………………………………………………..20

İş Süreci Metodu………………………………………………………………………………20

Dokümantasyon Teknikleri……………………………………………………………………22

Test Etme……………………………………………………………………………………...24

Bilgisayar-Destekli Denetim Teknikleri………………………………………………………25

6. Ekler…………………………………………………………………………………………………31

Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler…………………………………….31

Ek-B: Örnek Denetim Programı………………………………………………………………39

7. Sözlük……………………………………………………………………………………………….40

8. Referanslar…………………………………………………………………………………………..41

9. Yazarlar Hakkında…………………………………………………………………………………..42

4

1. YÖNETİCİ ÖZETİ

Son birkaç yıldır dünyanın dört bir tarafındaki kurumlar, 2000 Yılı Uyum Çalışması gibi

taktiksel hedeflerden, piyasada bir şirketi diğerinden farklı kılmayı sağlayacak bir unsur

olarak teknolojiyi kullanmak gibi stratejik hedeflere kadar çeşitli farklı nedenlerden dolayı

yeni iş uygulamaları sistemleri kurmak veya bu sistemleri yükseltmek için milyarlarca dolar

harcamışlardır. Uygulama veya uygulama sistemi, kullanıcıların doğrudan doğruya bir

bilgisayarın yetenek ve kapasitesini kullanarak görevleri yapmasını sağlayan bir tür

yazılımdır. Uluslararası İç Denetçiler Enstitüsü’nün (IIA) yayımladığı GTAG-4:BT

Denetiminin Yönetimi dokümanına göre bu sistem türleri ya hareket uygulamaları ya da

destek uygulamaları olarak sınıflandırılabilir.

Hareket uygulamaları, kurum çapındaki verileri:

Ticari işlemlerin değerini borç ya da alacak kalemi olarak kaydetmek;

Finansal, operasyonel ve düzenleyici veriler için havuz işlevini görmek;

Satış emirleri, müşteri faturaları, satıcı faturaları ve günlük defter girişlerinin işlenmesi

de dâhil çeşitli farklı finansal ve idari raporlama formlarını sağlamak

yoluyla işlemektedir.

Hareketişleme sistemlerine örnek olarak, sıklıkla girişim kaynak planlama (ERP) sistemleri

olarak anılan SAP R/3, PeopleSoft ve Oracle Financials’in yanı sıra ERP dışında da sayısız

örnek verilebilir. Bu sistemler, hareketleri programlanmış mantığa dayanarak ve birçok

durumda, özgün kurumsal iş ve işleme kurallarının saklandığı ayarlanabilir tablolara ek olarak

işlemektedir.

Diğer yandan destek uygulamaları, iş faaliyetlerini kolaylaştıran özel yazılım programlarıdır.

Örnek olarak e-posta programları, faks yazılımı, doküman görüntüleme yazılımı ve tasarım

yazılımı verilebilir. Ancak bu uygulamalar, genellikle hareketleri işlememektedir.1

İş süreçlerini desteklemek için kullanılan tüm teknolojilerde olduğu gibi, hareket ve destek

uygulamaları da kurumu teknolojinin kendi doğasından kaynaklanan ve çalışanların sistemi

nasıl ayarladığı, yönettiği ve kullandığına bağlı olarak görülen risklerle karşı karşıya

bırakabilir.Hareket işleme sistemlerinde riskler uygun bir biçimde hafifletilmezlerse, bu

risklerin finansal veya operasyonel verilerin bütünlüğü, tamlığı, zamanındalığı ve

kullanılabilirliğine olumsuz etkileri olabilir. Ayrıca iş süreçlerini desteklemek için hangi

uygulama kullanılırsa kullanılsın, bu süreçlerde de bir içsel risk unsuru bulunacaktır. Bu

uygulama teknolojisi ve iş süreci risklerinden dolayı, birçok kurum hareket ve destek

uygulamalarındaki söz konusu riskleri yönetmek için otomatik ve manuel kontrolleri birlikte

kullanmaktadır.

1GTAG 4: BT Denetiminin Yönetimi, s. 5.

5

Ancak, başarılı risk yönetiminin derecesi, doğrudan doğruya:

Kurumun risk iştahı veya toleransı;

Uygulamayla ilgili risk değerlendirmesinin tamlığı ve bütünlüğü;

Etkilenen iş süreçleri;

Genel bilgi teknoloji (BT) kontrollerinin etkinliği ve

Kontrol faaliyetlerinintasarımı ve devamlı faaliyet etkinliğinin büyüklüğüne

bağlıdır.

Kurumların bu riskleri yönetmek için kullandıkları en uygun maliyetli ve etkin

yaklaşımlardan biri, hareket ve destek uygulamalarının doğasında yer alan veya sonradan

dâhil edilen kontrollerin (örneğin, ödenecek faturalarda üç-yönlü fatura eşleme) yanı sıra

ayarlanabilir kontrolleri (örneğin, borçlu hesaplar fatura toleransları) kullanmaktır. Bu tip

kontroller genellikle uygulama kontrolleri olarak anılmaktadır. Verilerin düzenlenmesi, iş

fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin

günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya

uygulama sistemlerinin kapsamına ilişkin kontrollerdir.2

Ayrıca, iç denetim yöneticileri (İDY’ler) ve ekibinin uygulama kontrolleri ve genel BT

kontrolleri (ITGC’ler) arasındaki farkı anlamaları önemlidir. ITGC’ler kurum çapındaki tüm

unsurlar, süreçler ve verileri3 kapsarken, uygulama kontrolleri belirli bir iş sürecini

destekleyen bir program veya sisteme özgüdür. Bu bölümün “Uygulama Kontrollerine

Kıyasla Genel BT Kontrolleri” kısmında bu kontroller hakkında daha detaylı bilgiler

verilmektedir.

Uygulama kontrollerinin risk yönetimi stratejileri konusundaki önemi nedeniyle,İDY’ler ve

ekiplerinin, uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin

çalışıp çalışmadığını tespit etmek için denetimler geliştirmesi ve bu uygulama kontrollerini

periyodik olarak denetlemesi gerekmektedir. Dolayısıyla, bu GTAG’nin amacı İDY’lere:

1. Uygulama kontrollerinin ne olduğu ve faydaları;

2. İç denetçilerin rolü;

3. Bir risk değerlendirmesinin nasıl gerçekleştirileceği;

4. Uygulama kontrolü incelemelerinin kapsamının belirlenmesi ve

5. Uygulama inceleme yaklaşımları ve diğer mülahazalar

konularında bilgiler sağlamaktır.

İDY’lere ve bu rehberi kullanan diğer kişilere daha fazla yardımcı olmak için, yaygın

uygulama kontrolleri ile bir örnek denetim planını da rehbere ekledik.

2GTAG 1: Bilgi Teknolojisi Kontrolleri, s.3.3GTAG 1: Bilgi Teknolojisi Kontrolleri s.3.

6

Giriş

Uygulama Kontrollerinin Tanımı

Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem

toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve

hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına

ilişkin kontrollerdir. Dolayısıyla uygulama kontrollerinin amacı:

Giriş verilerinin kesin, tam, yetkilendirilmiş ve doğru olduğu;

Verilerin kabul edilebilir bir zaman içerisinde hedeflendiği şekilde işlendiği;

Saklanan verilerin tam ve doğru olduğu;

Çıktıların tam ve doğru olduğu ve

Verilerin girildikten sonra bellekte saklanması ve son olarak da çıktısının alınması

sürecini izlemek için kayıt tutulduğundan emin olmaktır.4

Birçok uygulama kontrolü türü mevcuttur. Bunlar arasında:

Girdi Kontrolleri – Bu kontroller, esas olarak, bir iş uygulamasına girilen verilerin

bütünlüğünü, bu verilerin doğrudan personel tarafından, uzaktan bir iş ortağı

tarafından veya Web-destekli bir uygulama veya arayüz aracılığıyla girilip

girilmediğini kontrol etmek amacıyla kullanılmaktadır. Veri girişi, belirtilen

parametreler dâhilinde olup olmadığından emin olmak amacıyla kontrol edilmektedir.

İşleme Kontrolleri – İşlemenin tam, doğru ve izin verilmiş olduğundan emin olmak

amacıyla otomatik yollar sunmaktadır.

Çıktı Kontrolleri – Bu kontroller verilerle neler yapıldığını ele almaktadır ve çıktıya

kıyasla girdileri kontrol ederek çıktı sonuçlarını hedeflenen sonuçla karşılaştırmalıdır.

Bütünlük Kontrolleri – Bu kontroller, tutarlılığını ve tamlığını koruduğundan emin

olmak için işlenen ve bellekte bulunan verileri izlemektedir.

Yönetim İzi – Sıklıkla denetim izi olarak anılan işleme tarihsel kontrolleri,

yönetimin,kaynaktan sonuca kadar işlem ve hareketleri izleyerek ve sonundan başına

doğru süreci tersine takip ederek kaydettiği hareket ve eylemleri tespit etmesine ve

tanımlamasına olanak sağlamaktadır. Bu kontroller, ayrıca, diğer kontrollerin

etkinliğini de izlemekte ve hataları mümkün olduğunca kaynaklarına kadar inerek

tespit etmektedirler.5

Diğer uygulama kontrol unsurları arasında söz konusu iki kontrol tipinin önleyici mi, yoksa

tespit edici mi olduğu bulunmaktadır. Her iki kontrol tipi de programlanmış veya ayarlanabilir

sistem mantığına dayanan bir uygulama kapsamında çalışsa da, önleyici kontroller adından

anlaşılacağı gibi gerçekleşmektedirler. Yani bir uygulama içerisinde ortaya çıkabilecek bir

hatayı önlemektedirler. Önleyici kontrole, bir girdi veri doğrulama rutini örnek verilebilir.

Rutin, girilen verilerin ilgili program mantığına uygun olduğundan emin olmak için kontroller

4,5GTAG 1: Bilgi Teknolojisi Kontrolleri, s.8.

7

yapmakta ve yalnızca doğru verilerin kaydedilmesine izin vermektedir. Diğer taraftan yanlış

veya geçersiz veriler veri girişi sırasında reddedilmektedir.

Tespit edici kontroller de adından anlaşıldığı gibi gerçekleşmektedir. Yani, daha önceden

tanımlanmış bir program mantığını esas alarak hataları tespit etmektedirler. Tespit edici

kontrole örnek olarak, bir satıcı faturasında belirtilen fiyat ile sipariş fiyatı arasında lehte veya

aleyhte bir farklılığın bulunması örnek verilebilir.

Özellikle doğası gereği tespit edici olan uygulama kontrolleri, ortamda kullanılan manüel

kontrolleri desteklemek amacıyla da kullanılmaktadır. En dikkat çekici olanı ise, bir tespit

edici kontrolden elde edilen veri ve sonuçların bir izleme kontrolünü desteklemek amacıyla

kullanılabilmesidir. Örneğin bir önceki paragrafta açıklanan tespit edici kontrol örneği, sipariş

fiyatları arasındaki farkları bir raporda sıralamak amacıyla bir program kullanarak her türlü

istisnayı kaydedebilir. Yönetimin bu istisnaları incelemesi daha sonra bir izleme kontrolü

sayılabilir.

Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri

İDY’lerin ve onlara bağlı personelin uygulama kontrolleri ile Genel Bilgi Teknolojisi

Kontrolleri (ITGC’ler) arasındaki ilişkiyi ve farkı anlamaları önem arz etmektedir. Aksi

takdirde, bir uygulama kontrol incelemesinin kapsamı uygun bir biçimde belirlenemeyebilir;

bu da denetimin kalitesini ve kapsamını etkileyebilir.

ITGC’ler, bir kurumda veya sistem ortamında yer alan tüm sistemleri, unsurları, süreçleri ve

verileri kapsamaktadır.6 Bu kontrollerin amacı, uygulamaların uygun bir şekilde geliştirilmesi

ve yürütülmesinin yanı sıra program ve veri dosyaları ile bilgisayar işlemlerinin bütünlüğünü

sağlamaktır.7 En yaygın ITGC’ler arasında:

Altyapı, uygulamalar ve veriler üzerinde yapılan mantıksal erişim kontrolleri;

Sistem geliştirme yaşam döngüsü kontrolleri;

Program değişiklik yönetimi kontrolleri;

Veri merkezinde yapılan fiziksel güvenlik kontrolleri;

Sistem ve veri yedekleme ve kurtarma kontrolleri ve

Bilgisayar işlemleri kontrolleri

bulunmaktadır.

Uygulama kontrolleri bilgisayar-tabanlı uygulama sistemiyle ilgili işlem ve verilerin tümüyle

bağlantılı olduğu için, her bir münferit uygulamaya özgüdürler. Uygulama kontrollerinin

amaçları, program işlemenin bir sonucu olarak kayıtların tamlığını ve doğruluğunu ve her

kayda girilen girişlerin geçerliliğini temin etmektir.8 Diğer bir deyişle, uygulama kontrolleri

6GTAG-1: Bilgi Teknolojisi Kontrolleri, s. 3.7,8ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14, s.3.

8

belirli bir uygulamaya özgüyken, ITGC’ler değildir. Yaygın uygulama kontrol faaliyetleri

arasında:

Satış emirlerinin müşteri kredi limit parametreleri dâhilinde işlenip işlenmediğini

tespit etmek;

Mal ve hizmetlerin yalnızca onaylanmış bir siparişle tedarik edildiğinden emin olmak;

Görevdağılımını tanımlanmış görev sorumluluklarını esas alarak izlemek;

Satın alınan malların teslim alınması üzerine borcun kesinleştiğini belirlemek;

Duran varlık amortismanının uygun mali dönemde ve doğru kaydedildiğini temin

etmek ve

Sipariş, alıcı ve satıcı faturası arasında bir üçlü fatura eşleme olup olmadığını tespit

etmek

yer almaktadır.

Ek olarak, yönetimin risk yönetimi konusunda uygulama kontrollerine ne kadar

güvenebileceğini İDY’lerin not etmesi önemlidir. Bu güven doğrudan ITGC’lerin tasarımına

ve faaliyet etkinliğine bağlıdır. Başka bir deyişle bu kontroller etkin bir biçimde uygulanıp

kullanılmadığı takdirde, kurum, riskleri yönetmek için uygulama kontrollerine

güvenmeyebilmektedir. Örneğin program değişikliklerini takip eden ITGC’ler etkin değilse,

bu durumda üretim ortamına yetkisiz, onaylanmamış ve test edilmemiş program değişiklikleri

uygulanarak uygulama kontrollerinin genel bütünlüğünü riske atabilir.

Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan Ortamlar

Kurumun BT ortamının karmaşıklığı veya kompleks yapısının genel risk profiline ve ilgili

mevcut yönetim stratejileri üzerinde doğrudan bir etkisi vardır. Karmaşık bir BT altyapısına

sahip kurumlar şu özelliklere sahiptir:

Mevcut uygulamalar, veritabanları ve sistemlerde değişiklikler yapılması;

Firma-içi geliştirilmiş kritik yazılımlar için kaynak kodunun oluşturulması;

Kurumun işleme gereksinimlerine göre hazır paket yazılımların uyarlanıp

özelleştirilmesi;

Hazır paket uygulamalar, değişiklikler ve kodun üretim ortamına aktarılması.9

Diğer yandan, daha az karmaşık bir BT ortamına sahip kurumlarda şu özellikler

görülmektedir:

Mevcut BT ortamında birkaç değişiklik yapılması;

Cari yılda tamamlanan hazır bir paket finansal uygulamanın önemli modifikasyonlar

(uyarlamalar) yapılmadan yürütülmesi;

Uygulamanın fonksiyonlarını önemli düzeyde değiştirmeyen, kullanıcı tarafından

ayarlanabilen seçeneklerin bulunması ve

BT geliştirme projelerinin eksikliği.10

9Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO) Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.61 10COSO, Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.56

9

Bu farklardan da görüldüğü gibi, hareket ve destek uygulamalarının karmaşıklığı ile içsel ve

ayarlanabilir uygulama kontrollerine ulaşabilme, kullanma ve bu kontrollere duyulan güven

arasında doğrudan bir bağıntı bulunmaktadır. Diğer bir ifadeyle, daha az karmaşık bir BT

altyapısı, risk yönetimi için pek fazla içsel veya ayarlanabilir uygulama kontrolleri

sunmayabilir. Dolayısıyla, hareket ve destek uygulamasının karmaşıklık düzeyi, bir uygulama

kontrol incelemesinin yürütülmesi için gereken kapsam belirleme, yürütme, çaba düzeyi ve

bilgiyi, aynı zamanda iç denetçilerin danışman sıfatıyla yardım etme düzeyini etkileyecektir.

Uygulama Kontrollerine Güvenmenin Faydaları

Uygulama kontrollerine güvenip dayanmak pek çok fayda sağlayabilir. Aşağıda kilit faydalar

açıklanmıştır.

Güvenilirlik

İnsan müdahalesinden kaynaklanan kontrol hatalarının ortaya çıkma ihtimalini

değerlendirmek konusunda uygulama kontrolleri manuel kontrollerden daha güvenilirdir. Bir

uygulama kontrolü yapılır yapılmaz ve bir uygulamada, veritabanında veya destekleyici

teknolojide küçük bir değişiklik yapıldığı takdirde, yeni bir değişiklik ortaya çıkana kadar

kurum uygulama kontrolüne güvenebilir.

Ayrıca, sistematik doğasına doğrudan etki eden ITGC’ler etkin çalıştığı sürece uygulama

kontrolü de etkin çalışmaya devam edecektir. Bu, özellikle BT yöneticileri için program

değişiklikleri ve görev dağılımıyla ilgili kontrollerde geçerlidir. Sonuç olarak test dönemi

süresince, denetçi, kontrolü birkaç değil tek seferde test edebilecektir.

Kıyaslama

ABD Halka Açık Şirketler Muhasebe Gözetim Üst Kurulu (PCAOB) Denetim Standardı No.

5’e ait Ek-B: Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne

Yönelik Bir Denetim dokümanında uygulama kontrollerinin kıyaslanabileceği, çünkü bu

uygulamalar genellikle insanların hatalarından kaynaklanan arızalara maruz

kalmamaktadırlar. Program değişikliklerini ve programlara erişimi izlemek için kullanılan

genel kontroller ile bilgisayar işlemleri etkili ve verimli olduğu ve düzenli olarak test

edilmeye devam edildiği takdirde, iç denetçi bir önceki senenin kontrol testini tekrarlamak

zorunda kalmadan uygulama kontrolünün etkin ve etkili olduğu sonucuna varabilecektir. Bu,

özellikle, iç denetçi uygulama kontrolünün denetçi tarafından son test edildiğinden beri

değişmediğini doğruladığı takdirde doğrudur.11

Ek olarak, kontrolün değişmediğini doğrulamak için iç denetçinin elde etmesi gereken

bulguların doğası ve kapsamı, kurumun program değişiklik kontrollerinin sağlamlığı gibi

durumlara bağlı olarak çeşitlilik gösterebilir.12 Dolayısıyla belirli bir kontrol için kıyaslama

11PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B2912PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29.

10

stratejisi kullanırken denetçinin ilgili dosyalar, tablolar, veriler ve parametrelerin uygulama

kontrolünün fonksiyonelliği üzerindeki etkisini düşünmesi gerekmektedir. Örneğin faiz

gelirini hesaplayan bir uygulama, otomatik hesaplamada kullanılan bir oran tablosunun

sürekli bütünlüğüne bağlı olabilir.13

Denetçinin, uygulamanın ne sıklıkta değiştiğini dikkate alarak, bir otomatik kontrol

kıyaslamasının uygun bir biçimde nasıl kullanıldığını değerlendirmesi gerekmektedir. Bu

nedenle, kod değişikliği sıklığı arttıkça bir uygulama kontrolünün kıyaslama stratejisine

güvenme olasılığı da azalmaktadır. Ek olarak, denetçinin sistemde yapılan değişikliklerle

ilgili bilgilerin güvenilirliğini değerlendirmesi gerekmektedir. Bu nedenle; uygulamada,

veritabanında veya destekleyici teknolojide yapılan değişikliklerle ilgili doğrulanabilir bilgi

veya raporlar yok denecek kadar azsa, uygulamanın kıyaslamaya uygun olma ihtimali

düşüktür.

Ancak şirketler hiçbir kaynak kod geliştirmesine veya uyarlamasına izin vermeyen hazır paket

yazılım kullandıklarında kıyaslama özellikle etkili olmaktadır. Bu gibi bir durumda kurumun

kod değişikliğinden daha ötesini düşünmesi gerekmektedir. Karmaşık bir uygulama

dâhilindeki SAP veya Oracle Financial gibi bir uygulama kontrolü, herhangi bir kod

değişikliğine gerek kalmadan kolayca değiştirilebilir, etkisiz veya ya da etkin hale getirebilir.

Son olarak, parametre ve konfigürasyon değişikliklerinin çoğunun uygulama kontrolü

üzerinde anlamlı bir etkisi vardır. Örneğin, tolerans düzeyi kontrollerini etkisiz hale getirmek

için tolerans düzeyleri kolayca manipüle edilebilir ve satınalma onay kontrolleri onay

stratejileri değiştirilerek manipüle edilebilir. Bütün bunlar hiçbir kod değişikliğine gerek

olmadan yapılabilir.

Kurumların, kıyaslamanın ne kadar süre etkin olabileceğini tespit etmeleri için her bir

uygulama kontrolünü değerlendirmeleri gerekmektedir. Kıyaslama artık etkisiz hale

geldiğinde, uygulama kontrolünü yeniden test ederek taban çizgisini tekrar belirlemek

önemlidir. Uygulama kontrolünün hâlâ başlangıçta yapılan kıyaslamadaki gibi ve etkin çalışıp

çalışmadığını tespit ederken denetçiler şu soruları sormalıdır:

İş süreci ve uygulama kontrolüyle ilgili risk düzeyi ile uygulama kontrolünün ilk

kıyaslandığı zamandaki risk düzeyi arasında herhangi bir değişiklik oldu mu (yani, iş

süreci finansal, operasyonel veya düzenleyici kurallara uyumu, uygulama kontrolünün

ilk kıyaslandığı zamandan anlamlı düzeyde daha yüksek riskle mi karşı karşıya

bırakmaktadır)?

ITGC’ler; mantıksal erişim, değişiklik yönetimi, sistem geliştirme, satınalma ve

bilgisayarlı operasyon kontrolleri de dâhil etkin çalışıyor mu?

Denetçi, değişikliklerin (varsa)uygulama kontrolleri içeren uygulamalar, veritabanları

veya destekleyici kontroller üzerindeki etkilerini tam olarak anlayabilmekte midir?

İş sürecinde yapılan değişiklikler, kontrolün tasarımına veya etkinliğine etki

edebilecek uygulama kontrolüne mi dayanmaktaydı?

13PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29 - 30

11

Zaman ve Maliyetten Tasarruf

Uygulama kontrolleri genellikle manuel kontrollerden daha az zaman almaktadırlar. Bunun

nedeni, manuel kontrollerinörneklem büyüklüğü kontrollerin yapılış sıklığıyla ilgiliyken

(örneğin günlük, haftalık, aylık, üç aylık veya yıllık), uygulama kontrollerinin örneklem

büyüklüğünün kontrollerin yapılış sıklığına genellikle bağlı olmamasıdır (yani uygulama

kontrolleri ya etkin bir biçimde çalışmaktadır ya da çalışmamaktadır). Ayrıca, ITGC’ler etkin

olduğu sürece uygulama kontrolleri genellikle bir kez test edilmektedirler. Dolayısıyla, tüm

bu faktörler bir araya gelerek bir manuel kontrole kıyasla uygulama kontrolünü test etmek için

gereken saat sayısında anlamlı tasarruflar elde edilmesine yardımcı olabilir.

İç Denetçilerin Rolü

Bilgi

Günümüzde kurumlar; riski yönetmek için doğal ve verimli yapıları, maliyet etkinliği ve

güvenilirlikleri nedeniyle uygulama kontrollerine daha fazla güvenmektedirler. Geleneksel

olarak, teknolojiyle ilgili kontroller deneyimli bir BT denetçisi tarafından test edilirken,

finansal, operasyonel veya düzenleyici kontroller BT-dışı bir denetçi tarafından test

edilmekteydi. Son birkaç yıl içinde BT denetçilerine olan talebin anlamlı bir şekilde artması

ve herhangi bir düşme belirtisi de göstermemesine rağmen, tüm denetçilerin baştan sona tüm

iş süreci kontrollerini değerlendirebilmeleri gerekmektedir.

Ek olarak, IIA’nın Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) –

spesifik olarak Standart 1220 ve 1210.A3’e göre, iç denetçilerin makul surette sağduyulu ve

yetkin bir denetçinin dikkat ve becerisiyle hareket etmeleri14, ayrıca tüm iç denetçilerin

birincil sorumluluğu BT denetimi olan bir denetçinin uzmanlığına sahip olmaları beklenmese

de kendilerine verilen görevi gerçekleştirmek için gereken kilit BT riskleri, kontroller ve

denetim teknikleri hakkında bilgi sahibi olmaları gerekmektedir.15 Başka bir ifadeyle, her iç

denetçinin finansal, operasyonel veya düzenleyici riskleri yönetmek için BT riskleri ve

kontrollerinin farkında ve bilincinde olması ve yürütülen uygulama kontrollerinin uygun bir

biçimde tasarlanıp tasarlanmadığı ve etkin çalışıp çalışmadığını tespit edecek düzeyde

yetenek ve beceri sahibi olmaları gerekmektedir.

Danışmanlık ve Güvence

Geleneksel güvence hizmetlerinden başka iç denetim biriminin kuruma değer katmak

amacıyla başvurabileceği en büyük fırsatlardan biri, birçok biçimde yapılabilecek ve iş

biriminin tüm bölümlerini kapsayabilecek danışmanlık görevleridir. Danışmanlık görevlerine

örnek olarak, hareket veya destek uygulamalarının yürütülmesi veya güncellenmesi sırasında

kontrollerin tasarlanması konusunda kurum personeline yardım etmek verilebilir.

Maalesef, denetçilerin çoğu, kurumda yeni bir hareket veya destek uygulaması

yürütüldüğünde ya da geniş çaplı bir güncelleme yapıldığında karşı karşıya kalınacak risklerin

nasıl değişeceğini anlamak konusunda yönetime yardımcı olmamaktadır. Neredeyse tüm

14 IIA Standardı 1220: Azami Mesleki Özen 15 IIA Standardı 1210.A3

12

durumlarda, iç denetçilerin sürece katılmaması bunu istememelerinden veya yeterince

odaklanmamalarından kaynaklanmaz, aksine sistem geliştirme faaliyetleri hakkında bilgi

sahibi olmamalarından veya yönetimin iç denetçilerin sürece katılımını istememesinden

kaynaklanmaktadır.

Sebep ne olursa olsun, iç denetçilerin bu faaliyetlerden haberdar olmasını sağlamak ve risk

yönetim hizmetlerini sağlamak üzere iç denetçilerin sahip oldukları değer, bilgi ve

uzmanlıkları uygun bir biçimde konumlandırmak İDY’nin sorumluluğundadır. Ayrıca iç

denetçilerin, uygulamadan doğan riskleri yönetmeye yardımcı olmak için bu tür sistem

geliştirme faaliyetlerine katılmaları ve uygulama kullanılmaya başlanmadan önce içsel ve

ayarlanabilir kontrollerin etkin bir şekilde çalıştığından emin olmaları gerekmektedir. Aksi

takdirde, uygulama kullanılmaya başlandıktan sonra bir inceleme yapmak, zayıf yönleri

bulmak ve kontrolleri iyileştirmek çok daha maliyetli olacaktır. Aşağıda, iç denetçilerin

sistem geliştirme çabaları sırasında uygulama kontrollerinebir danışmalık perspektifinden

nasıl değer katacaklarına ilişkin örnekler verilmektedir.

Bağımsız Risk Yönetimi

Yeni ve önemli güncellemeler yapılmış hareket veya destek uygulaması yürütüldüğü

zamanlarda iki şey meydana gelebilir: Birincisi, daha önceki ortamda riski yönetmek için

mevcut olan otomatik veya manuel kontrollerin çoğu yeni kontrollerle değiştirilecektir.

İkincisi de, uygulamanın risk profili değişebilir. Diğer bir deyişle, yeni uygulama beraberinde

yeni içsel riskler getirecektir (yani uygulamada ne tür ayarlamalar yapıldığına bağlı olarak) ve

riskler uygulama içerisinde hafifletilemeyeceği için manuel kontroller gerektirecektir.

Dolayısıyla iç denetçiler, yeni uygulamanın getirilmesiyle birlikte güncel risklerin nasıl

değişeceği konusunda kurumun çabalarına öncülük etmeseler de en azından yardımcı

olabilirler. Bu, iç denetçilerin söz konusu hizmet düzeyini sunmak konusunda beceri sahibi

olmaları ve yönetimden bağımsızlıkları nedeniyle bunu yapabilecek eşsiz konuma sahip

olmalarından kaynaklanmaktadır.

İç denetçilerin ve aşağıda sayılan diğer kişilerin bu hizmeti sunabilmeleri için, geliştirme

aşamasındaki uygulama hakkında yeterli bilgiye sahip olmaları gerekmektedir. Bu bilgiye

sahip olması gereken denetçilerin sayısı ve türü, geliştirme aşamasındaki uygulamaya,

etkilenen iş süreçleri bakımından yürütmenin kapsamına, kurumun büyüklüğüne ve uygulama

kurumun tamamına dağıtıldığında denetlenebilir birim veya alanların sayısına bağlıdır.

İDY’ler, yeterli bilgi edinildiğinden emin olmak için kitap kullanımı, çevrimiçi dersler, sınıf-

içi eğitim ve kurum-dışı danışmanlar dâhil farklı yollara başvurabilirler.

Kontrollerin Tasarımı

Yeni bir sistemin yürütülmesi veya önemli bir güncellemenin yapılması sırasında iç

denetçilerin verebileceği başka bir değerli hizmet de bağımsız risk değerlendirmesinin

kapsamını genişletmektir. Daha spesifik olmak gerekirse, denetçiler, risk değerlendirmesi

sırasında tespit edilen riskleri hafifletmek için yönetime risklerin tasarımı konusunda yardımcı

olabilirler. Bu göreve tayin edilen iç denetçiler yardımcı olarak değil, yürütme ekibinin bir

parçası olarak hareket etmelidirler. Bu nedenle, uygulama kontrollerinin tasarımı için gereken

13

görevler, zaman ve iç denetim kaynaklarının sayısının genel proje planına dâhil edilmesi

gerekmektedir.

İDY’lerin, uygun sayıda denetçinin yanı sıra görevi yapabilecek gerekli beceri ve deneyime

sahip denetçileri tayin etmeleri önemlidir. Birçok durumda denetçilerin proje üzerinde tam

zamanlı olarak çalışması gerekebilir. Böyle bir durumda, İDY’ler projede çalışmak üzere

seçilen personelin mevcut görevlerini departmandaki diğer iç denetçilere devretmelidir,

böylece projeye tayin edilen denetçiler görevlerine odaklanabilecektir. Ayrıca, proje üzerinde

çalışan iç denetçiler, sistemin uygulama yaşam döngüsü boyunca proje yöneticisine

raporlamalarda bulunmalıdırlar.

Uygulama kontrollerinin tasarımında yönetime yardımcı olmak amacıyla denetçiler atandığı

takdirde, İDY’lerin, güvence hizmetlerinin resmi bir danışmanlık görevinden bir yıl sonra

sunulması durumunda bağımsızlık ve objektifliğe zarar gelebileceğini not etmeleri

gerekmektedir. Ek olarak, zararın etkisini minimize etmek için atılması gereken adımlar; her

bir hizmet için farklı bir denetçi tayin etmek, denetçilerin bağımsız yönetim ve gözetimini

gerçekleştirmek, proje sonuçlarına yönelik ayrı hesap verebilirlikler tanımlamak ve

denetçilerin karşılaşacakları varsayılan zararları açıklamaktır. Son olarak, yönetim, tavsiye ve

önerileri kabul etmek ve uygulamakla yükümlü olmalıdır.16 Başka bir ifadeyle, iç denetçi

hareket veya destek uygulamasıyla ilgili kontrollerin tasarımına katıldığı takdirde, görevin

tamamlanmasından sonraki ilk 12 ay içerisinde kontrollerin faaliyet etkinliği

değerlendirmesine dâhil olmamalıdır.

Eğitim

İç denetçilerin eğitimle ilgili olarak kuruma katabileceği değer yalnızca uygulama

kontrolleriyle sınırlı değildir. İç denetçilerin kuruma değer katabileceği diğer bir kilit fırsat da

kontroller eğitimidir. Bir uygulama kontrolü perspektifinden bakıldığında, iç denetçiler:

Yeni uygulama çevrimiçi olarak sunulur sunulmaz risk profilinin nasıl değişeceği;

Geliştirme aşamasındaki uygulamalarda mevcut bilinen içsel kontrol zayıflıkları;

Tespit edilmiş zayıflıkları hafifletmeye yönelik ileriye dönük çözümler ve

Sistem geliştirme çabalarının bir parçası olarak denetçilerin yönetime sunabileceği

çeşitli farklı hizmetler

konusunda yönetime eğitim verebilirler.

Kontroller Testi

Yürütme ekibi risk değerlendirmesine dayanan kontroller tasarlayıp yaydığı takdirde veya

böyle bir uygulama olmasa bile,iç denetçiler uygulama kontrollerini bağımsız olarak test

ederek sürece değer katabilirler. Test, kontrollerin layığıyla tasarlanıp tasarlanmadığını ve

uygulama kuruma yayılır yayılmaz bu kontrollerin etkin bir şekilde çalışıp çalışmayacağını

tespit etmelidir. Kontrollerden herhangi biri layığıyla tasarlanmadığı veya etkin çalışmadığı

16 IIA Standardı 1130.C1

14

takdirde, uygulama kurumun tamamına yayıldığı zaman yönetilmemiş risklerin bulunmasını

önlemek için, denetçiler bu bilgiyle beraber her türlü tavsiye ve önerileri yönetime sunmalıdır.

Uygulama İncelemeleri

Hareket ve destek uygulamaları, genel kontrol ortamındaki önemlerine bağlı olarak zaman

zaman kontrol incelemeleri gerektirebilirler. Bu incelemelerin sıklığı, kapsamı ve derinliği,

uygulamanın türüne ve finansal raporlama, mevzuata uyum ya da operasyonel koşullara

etkisine ve kurumun risk yönetimiyle ilgili amaçları konusunda uygulama kapsamındaki

kontrollere olan güvenine göre çeşitlilik göstermelidir.

3. Risk Değerlendirmesi

Risk Değerlendirme

Denetçi, risk değerlendirme inceleme planı geliştirirken kurumun raporlama, operasyonel

koşullar ile mevzuata uyum koşullarına ilişkin kritik zafiyetleri tespit etmek amacıyla risk

değerlendirme tekniklerini kullanmalıdır. Bu teknikler arasında:

İncelemenin doğası, zamanı ve kapsamı;

Uygulama kontrollerinin desteklediği kritik iş fonksiyonları ve

İnceleme için harcanacak zaman ve kaynakların büyüklüğü

bulunmaktadır.

Ek olarak, inceleme için uygun bir kapsam belirlerken denetçilerin sorması gereken dört kilit

soru şunlardır:

1. Yönetimin görüşlerini dikkate alırken değerlendirilmesi ve yönetilmesi gereken

kurum-çaplı en büyük riskler ve denetim komitesinin ana kaygı ve sorunları nelerdir?

2. Hangi iş süreçleri bu risklerden etkilenmektedir?

3. Bu süreçleri gerçekleştirmek için hangi sistemler kullanılmaktadır?

4. Süreçler nerelerde gerçekleştirilmektedir?

Riskleri tespit ederken, denetçiler, kontrol incelemesine hangi uygulamaları dâhil edeceklerini

ve hangi testlerin yapılacağını belirlemek için yukarıdan aşağı bir risk değerlendirmesi

kullanmayı faydalı bulabilirler. Örneğin Şekil-1, finansal raporlama risklerini ve incelemenin

kapsamını belirlemeye yönelik etkili bir metodolojiyi ana hatlarıyla göstermektedir.

15

Şekil-1: Mali tablo risk analiz yaklaşımı

Uygulama Kontrolü:

Risk Değerlendirme Yaklaşımı

Kurum-çaplı uygulama kontrolü risk değerlendirme faaliyetlerine değer katmak için iç

denetçilerin aşağıda sayılanları yerine getirmesi gerekmektedir:

Uygulama kontrollerini kullanan uygulamalar, veritabanları ve destekleyici

teknolojilerin evrenini tanımlamanın yanı sıra risk değerlendirme süreci sırasında

dokümante edilen risk ve kontrol matrislerini kullanan risk ve kontrolleri özetlemek.

Her uygulama kontrolüyle ilişkili risk faktörlerini tanımlamak. Bu riskleri arasında:

o Birincil (yani kilit nitelikteki) uygulama kontrolleri;

o Uygulama kontrolleri tasarımının etkinliği;

o Hazır paket veya geliştirilmiş uygulamalar veya veritabanları.

Yapılandırılmamış hazır paket veya geliştirilmiş uygulamalara karşılık yüksek

düzeyde yapılandırılmış firma-içi veya satın alınmış uygulamalar;

o Uygulamanın birden fazla kritik iş sürecini destekleyip desteklemediği;

o Uygulamanın işlediği verilerin sınıflandırılması (örneğin finansal, mahrem

veya gizli)

16

o Uygulamalar veya veritabanlarındaki değişikliklerin sıklığı;

o Değişikliklerin karmaşıklığı (örneğin, tablo değişikliklerine kıyasla kod

değişiklikleri)

o Uygulama kontrollerinin finansal etkisi;

o ITGC’lerin uygulamadaki etkinliği (örneğin değişiklik yönetimi, mantıksal

güvenlik ve operasyonel kontroller) ve

o Kontrollerin denetim geçmişi.

Hangi risklere diğerlerinden daha fazla ağırlık verileceğini belirlemek amacıyla tüm

risk faktörlerini ölçüp tartmak;

Aşağıda verilen nitel ve nicel ölçekleri dikkate alarak her bir uygulama kontrol riskini

derecelendirmek için doğru ölçeği belirlemek:

o Düşük, orta veya yüksek kontrol riski;

o Nitel bilgileri esas alan sayısal ölçekler (örneğin 1=düşük-etkili risk,

5=yüksek-etkili risk, 1=güçlü kontrol ve 5=yetersiz kontrol);

o Nicel bilgileri esas alan sayısal ölçekler (örneğin 1= <50.000 USD ve 5= >

1.000.000 USD);

Risk değerlendirmesini yapmak ve tüm risk alanlarını derecelendirmek;

Risk değerlendirme sonuçlarını değerlendirmek ve

Risk değerlendirmesi ve derecelendirilen risk alanlarına dayanan bir risk inceleme

planı oluşturmak.

Şekil-2’de nitel derecelendirme ölçeği (1=düşük etki veya risk, 5=yüksek etki veya risk)

kullanan bir uygulama kontrol risk değerlendirmesine bir örnek verilmiştir. Her uygulamanın

toplam puanı, her bir risk faktörünün ve ağırlığının çarpılması ve toplamların birbirine

eklenmesiyle hesaplanır. Örneğin, tablonun ilk satırındaki 375 toplam puanı, risk faktör

oranının uygulamaya özgü oranla çarpılmasıyla [(20 x 5) + (10 x 1) + (10 x 5) + …]

hesaplanmaktadır. Bu örnekte, denetçi, uygulama kontrol incelemesinin 200 veya daha

yüksek puanlı tüm uygulamaları kapsayacağını tespit edebilir.

Risk Faktörü Ağırlıklandırması

20 10 10 10 10 10 15 15

Uygulama UygulamaBirincilKontrolleriİçerir.

UygulamaKontrolleriTasarımının Etkinliği

Hazır Paket veyaGeliştirilmiş

UygulamaBirden FazlaKritik İş SüreciniDestekler

Değişikliğin Sıklığı

Değişikliğin Karmaşıklığı

FinansalEtki

ITGC’lerinEtkinliği

ToplamPuan

APPA 5 1 5 5 3 3 5 2 375

APPB 1 1 2 1 1 1 4 2 170

APPC 5 2 2 1 5 5 5 2 245

APPD 5 3 5 1 5 5 5 2 395

APPE 5 1 1 1 1 1 3 2 225

Şekil-2: Uygulama kontrol risk değerlendirmesine bir örnek.

17

4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi

Aşağıda uygulama kontrollerinin inceleme kapsamını tespit etmeye yönelik iki yöntem

verilmektedir. İç denetçiler, incelemenin kapsamı, derinliği, yaklaşımı ve sıklığının risk

değerlendirme sonuçlarına ve iç denetim kaynaklarının ulaşılabilirliğine bağlı olduğunu

unutmamalıdırlar. Kapsam belirleme için seçilen yöntem ne olursa olsun, incelemedeveri

girdi kontrolleri, işleme kontrolleri ve çıktı kontrollerinin bir değerlendirmesi bulunmalıdır.

İş Süreci Yöntemi

İş süreci kapsam belirleme yöntemi, belirli bir iş sürecini destekleyen tüm sistemlerde mevcut

uygulama kontrollerini değerlendirmek için kullanılan bir yukarıdan aşağı inceleme

yaklaşımıdır. Son birkaç yıl içinde bu yöntem en yaygın ve en geniş çapta kabul edilen

kapsam belirleme yöntemi olarak önem kazanmıştır. Bu durum, esas olarak ERP hareket

uygulamasının kullanımındaki artış ve bağımsız, “türünün en iyisi” uygulamalarının

azalmasından kaynaklanmaktadır.

ERP-dışı dünyada iş süreci yöntemini kullanırken, iç denetçiler, inceleme kapsamına,

genellikle bağımsız sistemler oldukları için inceleme konusu iş sürecine katılan ve şirket

tarafından kullanılan tüm uygulamaları dâhil etmelidirler. Başka bir deyişle, iç denetçilerin,

inceleme kapsamına iş süreci döngüsünün farklı bileşenlerini oluşturan ayrı uygulamaları

dâhil etmeleri gerekmektedir. Ardından, iç denetçi, inceleme konusu uygulamadaki gelen ve

giden arayüzleri tespit ederek kapsam belirleme faaliyetini tamamlayabilir.

Uygulama kontrolleri incelemesinin kapsamını belirlemek için iş süreci yöntemini kullanmak,

ERP sistemi gibi entegre uygulamalarda farklıdır, çünkü iş süreçleri çoklu modüllerin ötesine

geçmektedir. Örneğin, tedarik işleminden ödemeye kadar olan iş sürecini düşününüz. Bir ERP

ortamında bu süreç genellikle tedarik, stok yönetimi, büyük defter ve borçlu hesap

modüllerini veya ERP sistemi içerisindeki alt-uygulamaları kapsamaktadır. Bu nedenle, iş

sürecini ve verilerin nasıl yönetildiği ve bir modülden diğerine aktığını da içine alan modülleri

tam olarak anlamak önemlidir.

Tekli Uygulama Yöntemi

Tekli uygulama kapsam belirleme yöntemi, denetçi bir iş süreci kapsam belirleme yaklaşımı

benimsemek yerine uygulama kontrollerini bir tekli uygulama veya modül dâhilinde

incelemek istediğinde kullanılmaktadır. Bir önceki bölümde de tartışıldığı gibi, ERP-dışı veya

entegre olmayan bir ortamda en etkili kapsam belirleme yöntemi budur, çünkü denetçi

uygulamanın etrafına kolaylıkla “bir kutu çizebilir” (yani uygulamayı kapsama dâhil edebilir).

Başka bir ifadeyle, veriler ve ilgili işleme kuralları yalnızca bir uygulamaya dâhil edildiği ve

bu uygulamada kullanıldığı için denetçi gelen veri girdileri ve çıktılarını belirleyebilir ve

tanımlayabilir.

Ancak bir ERP ortamı veya entegre ortamda bu yöntem istenmemektedir. Bir ERP veya

entegre hareket sistem modülünün etrafına bir kutu çizmek oldukça kolay görünse de, gerçek

şu ki bu faaliyet epey zor olabilir. Bunun nedeni, belirli bir modüle giren ve modülden çıkan

birden fazla veri beslemesi bulunabilir ve bunları tespit etmeye çalışmak boşuna bir uğraş

18

olabilir. Dolayısıyla modül yaklaşımını kullanmanın yetersiz bir incelemeye yol açma

olasılığı vardır ve ERP ortamında veya entegre ortamda iş süreci yöntemini kullanmak daha

etkili bir kapsam belirleme yöntemidir.

Erişim Kontrolleri

Uygulama kontrolleri incelemesinin kapsamını belirlemek için seçilen yöntem ne olursa

olsun, modülveya uygulamanın mantıksal erişim kontrolleri periyodik olarak gözden

geçirilmelidir. Çoğu durumda, kullanıcı ve yöneticilerin erişim hakları (örneğin okumak,

yazmak, silmek) uygulama içerisindeki dâhili güvenlik platformu ve araçları kullanılarak

oluşturulur. Kullanıcılara hangi mantıksal hakların verileceğini belirlemek için başvurulan

stratejiler, ‘bilinmesi gereken’ bir zeminden ‘muhafaza edilmesi gereken’ bir zemine kadar

çeşitlilik göstermektedir. Bunlar dikkate alınmaksızın, erişim hakları kullanıcının görev ve

sorumluluklarına göre verilmelidir.

Mantıksal erişim haklarının nasıl oluşturulduğu paketten pakete farklılık göstermektedir. Bazı

durumlarda mantıksal erişim hakları bir hareket koduna veya bir ekran adı ya da numarasına

göre verilmekte, SAP R/3 gibi başka sistemler ise daha karmaşık, nesne-tabanlı güvenlik

protokolleri kullanmaktadırlar. Bir uygulamanın mantıksal erişim kontrolleri incelendiği

zaman, genel uygulama güvenlik kontrollerinin de incelendiğinden emin olmak önem

taşımaktadır. Bu kontroller arasında:

Kullanıcı adı veya kullanıcı kimliğinin uzunluğu;

Parolanın uzunluğu;

Paroladaki karakterlerin kombinasyonu;

Parola yaşlanması (örneğin, kullanıcılar 90 günde bir parolalarını değiştirmek

zorundadırlar);

Parola döngüsü (örneğin, kullanıcılar, en son kullandıkları 5 parolayı kullanamazlar);

Başarısız oturum açma girişimleri belirli bir sayıya ulaştıktan sonra kullanıcı

hesabının kilitlenmesi ve

Oturum zaman aşımı (örneğin, kullanıcı uygulamada 15 dakika içerisinde herhangi

bir işlem yapmadığı takdirde uygulama kullanıcının oturumunu otomatik olarak

kapatır)

bulunmaktadır.

En yeni nesil uygulamalar, yukarıda sayılanlar gibi yönetimin ayarlayabileceği parametrelerle

oluşturulmaktadırlar. Ancak bazı durumlarda yönetim, parametre(ler)i etkinleştirmeyi

unutabilirler veya her parametre için kullanılan ayarlar en iyi uygulama standartlarına uygun

olmayabilirler. Örneğin parola yaşlanma parametresi her 90 günde bir parola değişimi

gerektirecek şekilde ayarlanabilir. Ek olarak, denetçiler, geliştirme ve test ortamındaki

yönetici erişim haklarını periyodik aralıklarla gözden geçirmelidirler.

19

5. Uygulama İnceleme Yaklaşımları ve Diğer Konular

İnceleme için uygun bir kapsam belirlenir belirlenmez bir sonraki görev incelemenin nasıl

yürütüleceğine karar vermektedir. Seçilen standart denetim metodolojisinin yanı sıra, aşağıda,

kapsamı düzgünce belirlenmiş bir uygulama kontrol incelemesini yürütmek konusunda

denetçilere yardımcı olabilecek öneriler yer almaktadır.

Planlama

Risk değerlendirmesini tamamladıktan ve incelemenin kapsamını belirledikten sonra,

denetçilerin detaylı inceleme planının geliştirilmesi ve iletilmesine odaklanmaları

gerekmektedir. Detaylı inceleme planı geliştirilirken atılacak ilk adım, aşağıda verilen

uygulama kontrol inceleme bileşenlerini sıralayan bir planlama tutanağı oluşturmaktır:

Yapılacak tüm inceleme prosedürleri;

Kullanılan her türlü bilgisayar-destekli araçlar ve teknikler ve bunların nasıl

kullanıldığı;

Varsa örnek boyutları;

Seçilecek inceleme öğeleri ve

İncelemenin zamanı.

Tutanak hazırlanırken gereken iç denetim kaynaklarının tümünün planlama ekibine dâhil

edilmesi gerekmektedir. BT uzmanlarının belirlenip planlama sürecine dâhil edilmesi de bu

sırada yapılmalıdır.

Planlama tutanağını tamamladıktan sonra, denetçinin detaylı bir inceleme programı

hazırlaması gerekmektedir (bir denetim programı örneği için bakınız Ek-B sayfa 21).

İnceleme programı hazırlanırken yönetimle şu konuların tartışılacağı bir toplantı yapılmalıdır:

Yönetimin risklerle ilgili kaygıları;

Daha önceden rapor edilen sorunlar;

İç denetim biriminin risk ve kontrol değerlendirmesi;

İnceleme metodolojisinin bir özeti;

İncelemenin kapsamı;

Kaygıların nasıl iletileceği;

İnceleme ekibinde hangi yöneticilerin çalışacağı;

Gereken her türlü ön bilgiler (örneğin, raporlar) ve

İncelemenin uzunluğu.

Risk değerlendirme aşamasının bir özetini çıkarmanın yanı sıra, bu toplantının önemli bir

parçası da yönetimin desteğini almaktır. Tartışmaların inceleme planlama aşamasının başında

yapılması gerekirken, planlanan kapsamla ilgili yönetimin de mutabık olduğundan emin

olmak için kilit iş süreçleri, riskler ve kontroller inceleme süreci boyunca tartışılmalıdır.

Bilinen her türlü kaygılar, spesifik olarak risk değerlendirme veya planlama aşaması sırasında

tespit edilen tüm sorunlar (bu sorunların doğruluğu ispatlanmamış olsa bile) yönetime

bildirilmelidir. Tespit edilen riskler ve kontroller hakkında yönetimin de aynı fikirde

20

olduğundan emin olmak için tartışmalar yapılmalıdır. Böylelikle, ekip, derhal düzeltici

eylemde bulunmak ve kurum çapında uygun, risk bilinçli davranışı teşvik etmek konusunda

yönetim üzerinde etkili olabilir. Bunun için, denetçiler, yönetime incelemenin yapılacağını

duyuran bir mektup yollayabilirler. Bu mektupta:

İncelemenin beklenen başlangıç tarihi;

İncelemenin zaman çerçevesi ve

İnceleme konusu kilit iş alanları

yer almalıdır.

Uzman Denetim Kaynaklarına Olan İhtiyaç

İç denetçi incelemenin kapsamını değerlendirmeli ve incelemenin bir kısmını yapması için bir

BT denetçisine ihtiyaç olup olmayacağını tespit etmelidir. Bununla beraber, inceleme ekibine

bir BT denetçisi dâhil etmek, denetçiyi BT kontrollerinin yeterliliğini değerlendirme

yükümlülüğünden kurtarmamaktadır. BT denetçisi, sadece, verilerin bütünlüğü ve

hareketlerin doğruluğu, tamlığı ve yetkisini belirlemek için kurumun BT’ye olan güven ve

bağlılığını değerlendirecektir. BT denetçilerinin gözden geçirebileceği bir diğer faktör,

uygulama tarafından işlenen hareketlerin sayısıdır. Uygulama kontrollerinin etkinliğini

değerlendirmek ve raporlamak için özel araçlar gerekebilir. BT denetçileri tarafından toplanan

bilgilerle birlikte iç denetçinin sahip olduğu bilgiler, uzman kaynakların gerekli olup

olmadığının tespitine yardımcı olacaktır.

Uzman kaynakların ne zaman gerekli olduğuna ilişkin verilen bir örnek, büyük bir imalat

şirketi için Oracle eBusiness Suite uygulamasının kurulumu sırasında görev dağılımı

incelemesini kapsamaktadır. Uygulama ve veritabanındaki rol ve görevlerin karmaşıklığından

dolayı, Oracle uygulamasının yapılandırma kapasiteleri hakkında yeterli bilgiye sahip

personelin kullanılması gerekmektedir. İncelemeyi kolaylaştırmak için Oracle uygulaması ve

veritabanından veri madenciliği yapmasını bilen ek personele ihtiyaç duyulabilir. Ayrıca

inceleme ekibi, veri özütleme ve analizini kolaylaştırmak üzere spesifik bir bilgisayar-destekli

denetim aracına aşina olan bir uzmana gereksinim duyabilir.

İş Süreci Yöntemi

Bir önceki bölümde, iş süreci yönteminin uygulama kontrolü incelemesi kapsam

belirlemesinde en yaygın kullanılan yöntem olduğu tespit edildi. Günümüz dünyasında birçok

hareket uygulaması bir ERP sistemine entegre edilmektedir. Bu ERP sistemlerinden geçen

ticari işlemler yaşam döngüleri boyunca pek çok modülle etkileşime girebileceğinden,

incelemeyi gerçekleştirmenin en iyi yolu bir iş süreci veya döngü yaklaşımı kullanmaktır

(yani, iş süreci dâhilindeki verileri oluşturan, değiştiren veya silen işlemleri tanımlamak ve en

azından ilgili girdileri, işleme ve çıktı uygulama kontrollerinitest etmek). İncelemeye karşı

sergilenecek en iyi yaklaşım, Şekil-3’te gösterilen dört aşamalı modeli kullanarak iş

süreçlerini bölümlere ayırmaktır:

Mega Süreç (Aşama 1): Satın al -öde süreci gibi tam,baştan-sona sürece atıf

yapmaktadır.

21

Ana Süreç (Aşama 2): Baştan-sona sürecin tedarik, teslim alma ve teslim alınan

mallara karşılık ödeme yapma gibi ana bileşenlerine atıf yapmaktadır.

İkincil veya Alt Süreç (Aşama 3): Bu aşamada, ana süreçlerin satın alma talebi ve

sipariş oluşturma gibi ikincil, alt süreçleri sayılmaktadır.

Faaliyet (Aşama 4): Son aşamada, ikincil ya da alt süreç bileşenleri için verilerin

oluşturulması, değiştirilmesi veya silinmesiyle sonuçlanan sistem hareketleri

sayılmaktadır.

Uygulama kontrollerine işletme-merkezli bir bakış açısıyla yaklaşmak, incelemenin yeterince

kapsamlı ve kurum için anlamlı olduğundan emin olmak açısından elzemdir. Bu noktadan

itibaren, inceleme, münferit bir görev veya entegre bir incelemenin parçası olarak yerine

getirilebilir.

Mega Süreç(Aşama1): Satın Al -Öde

Ana Süreç(Level2)

Alt Süreç(Level3)

Faaliyet (Aşama4)

Satın alma Talepişlemi

Oluştur, değiştir ve sil

Sipariş işlemi Oluştur, değiştir, sil onay ve serbestbırakma

Teslim Alma Mal alım işlemi


Mal iadeişlemi


Borçlu Hesaplar Satıcı yönetimi


Faturaişlemi


Alacakdekontuişlemi


Ödemeişlemleri


Geçersizödemeler


Şekil-3: Bir iş sürecinin bölümlere ayrılması

22

Üçgenler süreçteki her bir kontrolü temsil etmektedir. Her kontrolün numarası, Risk ve Kontroller

Matrisinde verilen faaliyetlerle bağlantılıdır.

Şekil-4: Bir satın al -öde süreci akış şeması

Dokümantasyon Teknikleri

İç denetçilerin kullandığı dokümantasyon standartlarına ilaveten, her bir uygulama kontrolünü

belgelemek için aşağıda verilen yaklaşımlar önerilmektedir.

Akış Şemaları

Hareket akışlarını resimleyerek gösterdikleri için akış şemaları, hareketlerin ve bir baştan-

sona iş süreci içerisinde kullanılan ilgili uygulama ve manuel kontrollerin akışı hakkında bilgi

edinmek amacıyla yararlanılan en etkili tekniklerden biridir. Şekil-4, satın al -öde sürecine ait

bir akış şeması örneği göstermektedir. Kontrol tanımlarının kendisini akış şemasına

yerleştirmek zor olduğu için, bunun yerine kontrolleri akış şemasında basitçe numaralamak ve

bir risk ve kontroller matrisi (bakınız Şekil-6, sayda 14-17) gibi kontrol tanımlarını ve ilgili

bilgileri içeren ayrı bir doküman hazırlamak daha mantıklıdır. Ancak akış şemaları her zaman

pratik olmayabilir ve bir süreç açıklaması bazen daha uygun olabilir. Bu durum genellikle,

denetçinin alanları ve BT ortamında yapılan işleri dokümante ederken ortaya çıkmaktadır. Pek

çok durumda BT biriminin yaptığı iş ve ilgili uygulama kontrolleri, satın al -öde gibi iş

süreçlerinde olduğu gibi doğrusal bir biçimde ilerlememektedir.

Süreç Açıklamaları

Süreç açıklamaları, Şekil-5’te gösterildiği gibi, iş süreci hareket akışlarını ilgili

uygulamalarıyla birlikte belgelemek için kullanılan bir diğer tekniktir. Bu açıklamalar, en iyi

şekilde, nispeten karmaşık olmayan iş süreçleri ve BT ortamları için bir dokümantasyon aracı

olarak kullanılmaktadır. Çünkü iş süreci ne kadar karmaşık olursa, sürecin gerçek yapısını

23

yeterli ve doğru bir biçimde yansıtacak bir süreç açıklaması oluşturmak o denli zor olacaktır.

Bu nedenle nispeten karmaşık iş süreçleri dokümante edildiğinde, denetçiler, akış şemasıyla

birlikte bu akış şemasına denk düşen bir süreç açıklaması oluşturmalı ve bu süreç

açıklamasında kontrolleri numaralandırmalıdır. Denetçiler, risk ve kontroller matrisi gibi ayrı

bir doküman da oluşturmalıdırlar.

Açıklama Satın Al – Öde

Başlıca İrtibat(lar)

Kilit Bileşenler C1,C2,C3,C4,C5,C6,C7,C8,C9,C10,C11,C12,C13 veC14.

Şekil-5: Risk ve kontrol matrisi

Aşağıda, satın al -öde sürecini kapsayan süreç açıklamasına bir örnek verilmektedir.

1) Satın alma

a) Talep Etme:

i) Çalışanların mal ve hizmet satın alması gerektiğinde, satınalma

uygulamasında bir satınalma talebi oluşturacaklardır (C1 Kontrolü). Talep

oluşturulur oluşturulmaz, alıcı satınalma talebinin uygunluğunu, tamlığını ve

doğruluğunu değerlendirecektir. Gözden geçirilen satınalma talebi bileşenleri

arasında satıcı, satın alınacak öğe, miktar ve hesap kodu bulunmaktadır, ancak

bunlarla sınırlı değildir. İnceleme sonunda herhangi bir hata ortaya çıkmıyorsa

alıcı satınalma talebini onaylayacaktır. Herhangi bir nedenle alıcı satınalma

talebini reddederse, bu durum talep edene bildirilecektir. Son olarak, orijinal

taleple ilgili sorunlar çözüldüğü takdirde alıcı talebi onaylayacaktır.

ii) Tüm satınalma talepleri, her türlü yetkisiz talebin yanı sıra aşırı

siparişmiktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C2 ve

C3 Kontrolleri)

b) Sipariş İşlemi:

i) Satınalma talebi alıcı tarafından onaylanır onaylanmaz, tedarik

uygulamasındaki talebe atıf yapan bir sipariş oluşturur (C4 Kontrolü). Alıcı

daha sonra siparişin bir kopyasını tedarikçiye gönderecektir.

ii) Tüm siparişler, her türlü yetkisiz siparişin yanı sıra aşırı sipariş miktarlarını

tespit etmek amacıyla her ay kontrol edilmektedir (C5 ve C6 Kontrolleri)

2) Teslim Alma

a) Tüm mallar sevkiyat ve teslim kapısında teslim alınır. Bir depo çalışanı sevk

irsaliyesini gözden geçirerek sipariş numarasını not alır ve fiziksel olarak teslim alınan

malları sayar. Ardından depo çalışanı, tedarik uygulamasına giriş yapar ve sipariş emri

formunda uygun satır sayısının yanına teslim alınan malların sayısını girer.

24

b) Muhasebe departmanından uygun bir çalışan, satıcının teslim aldığı ancak

faturalamadığı malları tespit etmek amacıyla envanter defteri hesaplarını her ay

gözden geçirerek mutabakatını yapar (C7 Kontrolü).

c) Satınalma departmanından uygun bir alıcı eşleşmeyen tüm sipariş raporlarını

gözden geçirir (C8 Kontrolleri).

3) Borçlu Hesaplar

a) Borçlu hesaplar departmanı, pek çok farklı tedarikçiden her gün faturalaralmaktadır.

Bu faturalar sınıflandırılarak satıcının ismine göre her bir borçlu hesaplar sorumlusuna

gönderilir. Her sorumlu, faturaların her birini borçlu hesaplar departmanının faturayı

teslim aldığı tarihi de atarak mühürlemekle yükümlüdür. Her borçlu hesaplar

sorumlusu, daha sonra, fatura miktarları ve tutarlarını sipariş ve teslim alanla eşleştirir

ve faturayı borçlu hesaplar uygulamasına girer (C9 ve C14 Kontrolleri).

b) Borçlu hesaplar uygulaması, satıcı ödeme koşullarına bağlı olarak otomatik ödeme

istekleri oluşturur ve her Çarşamba günü bir borçlu hesaplar kontrol işlemi yapılır

(C10, C12 ve C13 Kontrolleri).

c) Ay sonunda borçlu hesaplar yöneticisi, borçlu hesaplar sisteminin yardımcı defter

toplamı ile büyük defter kontrol toplamını karşılaştırır. Kaydedilen tüm farklar daha

sonra düzeltilir (C11 Kontrolü).

Risk ve kontrol matrisleri, belirli bir iş sürecine ilişkin ilgili tüm bilgileri barındırmalıdır. Ek

olarak, kontrol faaliyetlerinin her biri numaralandırılmalı ve bu numara tekrar akış şemaları

veya süreç açıklamalarına bağlanmalıdır. Matriste bulunması gereken kontrol faaliyetleriyle

ilgili önemli bilgiler kapsamında:

Tespit edilen riskler;

Kontrol hedefleri;

Kontrol faaliyetleri;

Kontrol tipi (örneğin, otomatik veya manuel) ve sıklığı (örneğin günlük, haftalık,

aylık, yıllık vs.) gibi kontrol nitelikleri

Test bilgileri yer alır.

Test Etme

Denetçi, uygulama kontrollerinin çalışıp çalışmadığını ya da yaratıcı kullanıcılar veya

yöneticinin engellemesi sonucu etkisiz hale getirilip getirilmediğini değerlendirmelidir.

Kontrol ayarlarında bir inceleme yapmak yerine kontrollerin etkinliği konusunda bir maddi

doğruluk testi gerekmektedir. Ayrıca denetçiler, ITGC’lerin etkinliğini belirlemeli ve

uygulamayla oluşturulmuş değişiklik kontrol günlükleri, güvenlik günlükleri ve yönetim

günlüklerinin denetim ekibi tarafından incelenmesinin gerekli olup olmadığını

düşünmelidirler.

25

Denetçi, uygulama kontrollerini, uygulama kontrolünün tipini esas alan birçok yöntemi

kullanarak test edebilir. Testin doğasına, zamanına ve büyüklüğüne bağlı olarak bir spesifik

kontrol veya rapor:

Sistem konfigürasyonlarının teftişi;

Cari yılda yapılıyorsa kullanıcı kabul testinin teftişi;

Destekleyici detaylarla birlikte mutabakatların teftişi veya yeniden yapılması;

Sistem verilerini kullanarak kontrol faaliyetinin yeniden yürütülmesi;

Kullanıcı erişim listelerinin teftişi;

Bir test ortamında kontrol faaliyetinin (üretimle aynı programlı prosedürler

kullanılarak) sağlam test senaryolarıyla yeniden yapılması

yoluylagözden geçirilebilir.

Sistem konfigürasyon testine, bir hareketin izlenerek test edilen sistemin üçlü fatura eşleme

sistem parametrelerinin incelenmesi örnek verilebilir. Sistem konfigürasyonu incelemesinin

bir başka örneği de uygulama raporu üretim sürecinin temel programlama kodunun uygun

mantık açısından sorgulanmasıdır. Ek olarak, denetçi,bu raporu yönetimin ürettiği raporla

karşılaştırmak amacıyla sorgunun yeniden çalışmasını gözlemlemelidir.

Denetçi,alan değerleri üzerinde hareketleri katmanlaştırarak veya sınıflandırarak

doğrulanabilecek kilit alanların düzenleme kontrollerini test edebilir. Ayrıca yazılım

kullanarak sistem tarafından yapılan hesaplamaları yeniden hesaplamak ve doğrulamak kolay

olabilir. Örneğin, sistem toplam maliyeti hesaplamak için tutar ve birim fiyat alanlarını

kullandığı takdirde, denetçi aynı hesaplamayı gerçekleştirmek için denetim yazılımı

kullanabilir ve hesapladığı değerlerin uygulamanın hesapladığı değerlerden farklı olduğu

hareketleri tespit edebilir.

Son olarak denetçiler, kilit alanlar için olası veri aralıklarını incelemek amacıyla uygunluk

kontrolleri yapabilir. Örneğin, doğum tarihi alanına göre şimdiki yaşı hesaplayarak denetçiler,

beklenen aralıkların dışında kalan negatif değerler ile 100’ün üzerindeki değerler dâhil tüm

yaşları tespit edebilir.

Bilgisayar-Destekli Denetim Teknikleri

Bilgisayar-destekli denetim teknikleri (CAAT’ler), denetim prosesini otomatikleştirmek ve

kolaylaştırmak için ACL, IDEA, VIRSA, SAS, SQL, Excel, Crystal Reports, Business

Objects, Access ve Word gibi bilgisayar uygulamalarından faydalanmaktadırlar. CAAT’lerin

kullanımı, bir test periyodu boyunca özellikle binlerce, belki de milyonlarca hareket meydana

geldiğinde bir uygulama kontrolü için uygun kapsamın mevcut olduğunu temin etmeye

yardımcı olmaktadır. Böyle durumlarda otomatik bir araç kullanılmadan incelenebilecek

formatta yeterli bilgiler elde etmek imkansız olacaktır. CAAT’ler büyük hacimli verileri

analiz etme imkanı sağladığı için, CAAT testiyle desteklenen iyi-tasarlanmış bir denetim tüm

hareketlerin tam bir incelemesini yaparak anormallikleri (örneğin, mükerrer satıcılar veya

hareketler) ya da daha önceden tespit edilmiş kontrol sorunları dizisini (örneğin görev

dağılımı çatışmaları) tespit edebilir.

26

Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci

ve KontrolHedefleri

Riskler KontrolFaaliyetleri

COSOBileşenleri

KontrolÖzellikleri

KontrolSınıflandırması

Test

Say

ı

Ko

ntro

lH

edefle

ri

Risk

ler

Etki

/O

lasılık

Ko

ntro

lF

aaliyet

leri

CE

RA

CA

I/C M

K(Y

/N)

Man

/

Pre

/D

et

Sıklık

Gerçek

Kay

ıtlı

Değ

erli

Zam

anın

Sın

ıflandır

Yay

ınlan

Test

So

nuçlar

ı

Op

erasyo

nel

No

tlar

Ana Süreç: TedarikAlt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma C1 Kontroller,

satınalma taleplerinin

yetkilipersonel

tarafından tam ve doğru

yapıldığı konusunda

makulgüvencesağlar.

Uygun bir görevdağılımının

olmamasından dolayı, tek bir kullanıcı, bir

satınalma talebini oluşturabilir, onaylayabilir(yani serbestbırakabilir),

gerekligörevlendirmeleri

yapabilir vegerekiyorsa

dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla

ödemeyapılmasına ya da

stokların şişmesine sebep

olabilir.

H

Kontroller,erişimin

yalnızca sipariş oluşturmaya ilişkin bir iş amacı olan

kişilere verilecekşekilde

yapılmaktadır.

X A P

Her

Zam

an

X X X X X

C2 Kontroller,satınalma

taleplerininyetkili

personeltarafından

tam ve doğru yapıldığı

konusundamakul

güvencesağlar.



satınalma talebini oluşturabilir, onaylayabilir(yani serbestbırakabilir),



dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla

ödemeyapılmasına ya da

stokların şişmesine sebep

olabilir.

H

Olabilecek tümyetkisiz

satınalma taleplerini tespitetmek amacıyla

satınalma talepleri her ay

gözdengeçirilmektedir.

X X X M D

Her

Ay

X X X X X

27


taleplerininyetkili

personeltarafından


konusundamakul

güvencesağlar.

Yetkisiz veya aşırı satınalma talep

miktarları; uygun olmayan fiyatlara,aşırı stoklara ve gereksiz ürün

iadelerine sebepolabilir.

M

Kontroller,erişimin yalnızca

satınalma talebi oluşturmaya ilişkin bir iş amacı olan

kişilere verilecekşekilde

yapılmaktadır.

X A P

Her

zaman

X X X X X


taleplerininyetkili

personeltarafından


konusundamakul

güvencesağlar.

Yetkisiz veya aşırı satınalma talep

miktarları; uygun olmayan fiyatlara,aşırı stoklara ve gereksiz ürün

iadelerine sebepolabilir.

M

Olabilecek tümyetkisiz satınalma taleplerini tespitetmek amacıyla

satınalma talepleri her ay gözden

geçirilmektedir X X X M D

Her

ay X X X X

Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: Kontrol Nitelikleri

1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme

3. CA: Kontrol Faaliyetleri4. I/C: Bilgi ve İletişim 5. M: İzleme

6. K: Kilit Kontrol7. Man/Aut: Manuel veya Otomatik Kontrol8. Pre/Det: Önle ya da Tespit Et

Şekil-6: Satın Al -Öde Süreci için Risk ve Kontrol Matrisi

28

Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve

KontrolHedefleri


COSOBileşenleri

KontrolÖzellikleri


Test

Sayı

Ko

ntrolH

edefleri

Riskler

Etk

i/

Olasılık

Ko

ntrolF

aaliyetleri

CE

RA

CA

I/C M

K(Y

/N)

Man

/A

uto

Pre

/D

et

Sıklık

Gerçek

Kay

ıtlı

Değerli

Zam

anın

d

Sınıflandır

Yayınlanm

ış

Test

Son

uçları

Op

erasyon

elE

tkinlik

Notlar

Ana Süreç: TedarikAlt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma C4 Kontroller,

satınalma taleplerinin

yetkili personeltarafından tam

ve doğru yapıldığı

konusundamakul güvence

sağlar.



satınalma talebini oluşturabilir,

onaylayabilir (yaniserbest bırakabilir),



dönüştürebilir. Bu da tedarikçilere iş

dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına

ya da stokların şişmesine sebep

olabilir.

H

Kontroller,erişimin yalnızca

sipariş oluşturmaya

ilişkin bir iş amacı olan kişilere

verilecek şekilde yapılmaktadır.

X A P

Her

Zam

an

X X X X X


taleplerininyetkili personeltarafından tam



sağlar.



satınalma talebini oluşturabilir,

onaylayabilir (yaniserbest bırakabilir),



dönüştürebilir. Bu da tedarikçilere iş

dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına

ya da stokların şişmesine sebep

olabilir.

H

Olabilecek tümyetkisiz siparişleri

tespit etmekamacıyla siparişler

her ay gözdengeçirilmektedir.

X X X M D

Her

Ay

X X X X X


taleplerininyetkili personeltarafından tam



sağlar.

Yetkisiz veya aşırı siparişmiktarları; uygun olmayanfiyatlara, aşırı

stoklara ve gereksizürün iadelerine sebep

olabilir.M

Kontroller,erişimin yalnızca satınalma talebi

oluşturmaya ilişkin bir iş amacı

olan kişilere verilecek şekilde yapılmaktadır.

X X X M D

Her

ay X X X X X





Şekil-6: Devamı.

29


KontrolHedefleri


COSOBileşenleri

KontrolÖzellikleri


Test

Say

ı

Ko

ntrolH

edefleri

Risk

ler

Etki

/O

lasılık

Ko

ntrolF

aaliyetleri

CE

RA

CA

I/C M

K(Y

/N)

Man

/

Pre

/D

et

Sıklık

Gerçek

Kay

ıtlı

Değ

erli

Zam

anın

Sınıfland

Yay

ınlan

Test

So

nuçlar

ı

Op

erasyo

nel

No

tlar

Ana Süreç: Teslim AlmaAlt Süreç: Mal Tesellümü İşleme Faaliyet: Oluşturma C7 Kontroller, mal

tesellümlerininyetkili personeltarafından tam

ve doğru işlendiği


sağlar.

Bir maltesellümününyanlış sipariş emriyle veya

yanlış hesaplaeşleştirilmesi; stokların ve

teslim alınan mallar/

faturalanmamış hesapların yanlış ölçülmesine vesonuç olarak,

fatura ve ödemeişlemlerinde

gecikmelere yolaçabilir.

H

Teslim alınan mallar/

faturalanmamış hesapların her ay mutabakatı

yapılır.

X X X M D Her

Ay

X X X X X

C8 Kontroller, malalımlarının


ve doğru işlendiği


sağlar.

Mal alımları uygun bir biçimdekaydedilmemekte

dir.

M

Eşleştirilmeyen sipariş raporları her ay gözden

geçirilir.

X X X M D

Her

Ay

X X X X

Ana Süreç: Borçlu HesaplarAlt Süreç: Fatura İşleme Faaliyet: Oluşturma C9 Kontroller,

satıcı faturalarının


ve doğru oluşturulduğu


sağlar.

Bir siparişle eşleştirilerek

ödenmesi gerekenbir fatura, sipariş

dikkate alınmadan ödenmektedir; bu

da mal vehizmetlerde kabul

edilemez birödemeye (yani

kabul edilemez veuygun olmayanfiyat farklarına)

yol açabilir.

M

Uygulamagüvenliği,

sipariş dışındaki fatura giriş işlemlerini mümkün

olduğunca sınırlayacak

şekilde sağlanmaktadır.

X A P

Her

Ay

X X X X X

C10 Kontroller,satıcı

faturalarının yetkili personeltarafından tam ve doğru olarak oluşturulduğu


sağlar.

Yanlış fatura tutarları girilerek satıcılara yanlış ödeme yapılır.

H

Kontroller,yardımcı

dokümanlarla(fatura, kontroltalepleri veya

gider ödemeleri)parasal eşik esas

alınarak eşleştirilir.

X X M P

Gerek

tikçe X X X X





Şekil-6: Devamı.

30


KontrolHedefleri


COSOBileşenleri

KontrolÖzellikleri


Test

Say

ı

Ko

ntrolH

edefleri

Risk

ler

Etki

/O

lasılık

Ko

ntrolF

aaliyetleri

CE

RA

CA

I/C M

K(Y

/N)

Man

/

Pre

/D

et

Sıklık

Gerçek

Kay

ıtlı

Değ

erli

Zam

anın

Sınıfland

Yay

ınlan

Test

So

nuçlar

ı

Op

erasyo

nel

No

tlar

Ana Süreç: Borçlu HesaplarAlt Süreç: Fatura İşleme Faaliyet: Oluşturma C11 Kontroller,

satıcı faturalarının




sağlar.

Borçlu Hesaplar,fatura yardımcı defter kayıtları, Büyük Deftere

kaydedilmemektedir.

L

Bir yaşlanma raporu

yardımıyla ay sonunda AP

yardımcı defter toplamı Büyük

Defterbakiyesiyle

karşılaştırılır. Kaydedilenfarklar varsa

düzeltilir.

X X X M D

Her

Ay X X X X

Ana Süreç: Borçlu HesaplarAlt Süreç: İşlem Ödemeleri Faaliyet: Oluşturma C12 Kontroller,

satıcı ödemelerinin




sağlar.

Kaydedilenmasraflar ödenen

tutarlardanfarklıdır.

L

Borçlu Hesaplaruygulaması,

satıcı ödeme ve sistem

koşullarına göre onaylanmış

faturadeğerlerini esas alarak otomatikolarak çekler ya

da elektroniködemeler

yazmaktadır.

X A P

Her

Ay X X X X X

C13 Kontroller,satıcıödemelerin

in yetkilipersonel

tarafından tam ve doğru

oluşturulduğu konusunda

makul güvencesağlar.

Yapılan harcamalar

kaydedilmemektedir.

H

Erişim yalnızca çekleri

oluşturacak yetkili

personellesınırlandırılmıştı

r. X X M P

Gerek

tikçe X X X X

C14 Kontroller,satıcı

ödemelerininyetkili personeltarafından tam



sağlar.

Sanal harcamalarkaydedilir.

M

Uygulama,Borçlu Hesaplar

faturaları işlendiği zaman

sipariş ilgili kalemi, alıcı ve fatura arasında bir üçlü faturaeşleme yapar.

X X A P

Her

zaman X X X





Şekil-6: Devamı.

31

Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler

Aşağıda, yaygın uygulama kontrolleri ve her kontrol için önerilen testler hakkında ana

hatlarıyla bilgiler yer almaktadır. Tablo, AXA Group tarafından sağlanmıştır.17

Girdi Kontrolleri

Bu kontroller, bilgisayarda işlenmek üzere alınan veriler için gereken uygun izinlerin alındığı

ve bu verilerin makineye duyarlı bir forma dönüştürüldükleri ve verilerin kaybolmadıkları,

baskılanmadıklara, eklemeler yapılmadığı, çoğaltma yapılmadığı veya usulsüz değişikliklere

tâbi tutulmadıkları konusunda makul güvence sağlayacak biçimde tasarlanmışlardır.

Bilgisayarlı girdi kontrolleri arasında; denetim (sağlama) sayısı, kayıt sayımı, denetim

(karma) toplamı ve toplu finansal toplamlar gibi veri kontrolleri ve doğrulama prosedürleri

bulunur; veri hatalarını tespit edecek şekilde tasarlanmış bilgisayarlı düzenleme yordamları

arasında ise, geçerli karakter testleri, eksik veri testleri, sıralama testleri ve limit veya

makullük testleri sayılabilir. Girdi kontrolleri ve önerilen testler aşağıdaki tabloda

açıklanmaktadır.

Girdi ve Erişim KontrolleriBu kontroller, tüm girdi hareket verilerinin tam ve doğru olmalarını ve bunlara izin verilmiş olmasını sağlamaktadır.

Alan Kontrol Olası Testler

Veri kontrollerive doğrulama

Mali değerler üzerinde uygunluk ve limit kontrolleri Format ve gerekli alan kontrolleri, standartlaştırılmış

girdi ekranları. Dizilim kontrolleri (örneğin eksik öğeler), aralık

kontrolleri ve kontrol haneleri Çapraz kontroller (örneğin, belirli politikalar yalnızca

belirli prim tablo kodlarıyla kullanıldıklarında geçerlidir).

Doğrulamalar (örneğin, saklanmış tablo ve aşağı açılan menü)

Her senaryonun bir örnek testi yapılır. Yanlış verileri girmeye ilişkin girişimleri

gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini

tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans

düzeylerini kimlerin değiştirebileceği tespit edilir.

Otomatik yetkilendirme,onaylama veetkisizleştirme

• Yetkilendirme ve onay hakları (örneğin, giderler veya hasar tazminatı ödemeleri ya da belirli bir eşiği aşan kredilerde), rollerine ve uygulamayı kullanma ihtiyaçlarına göre kullanıcılara verilmektedir.

• Etkisizleştirme kabiliyeti (örneğin, aşırı büyük tazminat ödemelerinin onayı) yönetim tarafından kullanıcının rolüne ve uygulamayı kullanma ihtiyacına göre sınırlanmıştır.

Kullanıcı erişim haklarına bağlı olarak testler yapmak.

Her bir hassas fonksiyon ya da hareketeyönelik erişim ayrıcalıklarını test etmek

Ayarlanabilir onay ve yetkilendirmelimitlerini oluşturan ve değiştiren erişim haklarını incelemek.

Otomatik görev dağılımı ve erişim hakları

Onaylı satıcıları ayarlayan kişiler satınalma hareketleri başlatamamaktadırlar.

Hasar tazminatı işlemlerine erişimi olan kişiler bir politika oluşturma veya değiştirme işlemlerini yapamamalıdır.

Kullanıcı erişim haklarına bağlı olarak testler yapmak.

Ayarlanabilir rolleri veya menü yapılarını değiştiren erişim haklarını incelemek

Bekletilen Öğeler Tamamen işlenmemiş yeni politika öğelerini kapsayan yaşlanma raporları, her hafta veya her ay gözetmenler tarafından gözden geçirilmektedir.

Hareketleri işlemek için yeterli bilgilerin olmadığı durumlarda dosyalar askıda tutulur.

Yaşlanma sonuçlarını ve gözetmenin inceleme prosedürlerine ilişkin bulguları gözden geçirmek.

Yaşlanma raporu veya askıdaki dosyalar arasındaki bulunan bir öğeler örneğini incelemek

17 AXA Group’a ait Yaygın Uygulama Kontrolleri ve Önerilen Testler

32

Dosya ve Veri Aktarım Kontrolleri Bu kontroller, elektronik yollarla aktarılan iç ve dış dosyaların ve hareketlerin tanımlanmış bir kaynaktan alınmasını ve tam ve doğru

olarak işlenmesini sağlamaktadır.Alan Kontrol Olası Testler

Dosya aktarım kontrolleri Tarih ve zaman, veri boyutu, kayıtların hacmi ve kaynakların doğruluğunun kanıtlanması da dâhil içeriğin tamlığı ve geçerliliğine ilişkin kontroller.

Aktarım raporları ve hata raporlarını gözlemlemek.

Geçerlilik ve tamlık parametreleri ve ayarlarını gözlemlemek

Veri aktarımlarındaki ayarlanabilir parametreleri düzenleme ve değiştirmeye erişimi gözden geçirmek.

Veri aktarım kontrolleri Alınan verileri doğrulamak amacıyla seçilen girdi kontrollerinin uygulanması (örneğin kilit alanlar, uygunluk vs.)

Her senaryoya ilişkin test örnekleri Yanlış verileri girmeye ilişkin girişimleri

gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini

tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans

düzeylerini kimlerin değiştirebileceğini tespit ediniz.

İşleme Kontrolleri

Bu kontroller, veri işlemenin istendiği gibi herhangi bir atlama ya da çift-sayım olmadan

yapıldığına yönelik makul güvence sağlamak üzere tasarlanmıştır. Birçok işleme kontrolü

özellikle çevrimiçi ya da gerçek-zamanlı işleme sistemlerinde girdi kontrolleriyle aynıdırlar,

ancak bunlar işleme aşamalarında kullanılmaktadırlar. Bu kontroller; iç ve dış etiketler,

bilgisayar operasyonlarına ait sistem günlükleri ve limit veya uygunluk testleri gibi

çalıştırmalar-arası toplamlar, kontrol-toplam raporları ve dosya ve işlemci kontrollerini

kapsamaktadır.

İşleme Kontrolleri Bu kontroller, geçerli girdi verilerinin tam ve doğru olarak işlendiğini temin etmektedir.


Otomatik dosyatanımlama ve doğrulama

İşlemede kullanılacak dosyalar mevcut vetamdır.

Doğrulama ve test operasyonu için inceleme süreci

Otomatik fonksiyonlarve hesaplamalar

Bir ya da daha fazla girdi üzerindeyapılan spesifik hesaplamalar ve saklanan veri öğeleri, daha fazla veri öğesi üretmektedir.

Mevcut veri tablolarının kullanımı (örneğin ana dosyalar ya da oranlama tabloları gibi sabit veriler)

Genel gözden geçirme ve yeniden-performans ile tümsenaryoların girdi değerleri ve çıktı değerlerini karşılaştırmak.

Tablo bakım kontrollerini gözden geçirmek ve düzenlemelerile tolerans düzeylerini kimlerin değiştirebileceğini tespit etmek

Denetim izleri veetkisizleştirmeler

Değişiklik ile spesifik bir kullanıcı arasında bağlantı kurarak verilerde yapılan değişikliklerin otomatik takibi

Normal süreçlerde yapılan etkisizleştirmelerin izlenmesi ve vurgulanması

Raporları ve incelemelere ilişkin bulguları incelemek Normal süreçleri etkisizleştirmeye yönelik erişimi

incelemek.

33

Veri özütleme, filtrelemeve raporlama

Hesap özeti yordam çıktılarının makul ve tam olup olmadığı değerlendirilir.

Hareketlerin otomatik atamaları (örneğin, reasürans, ek aktüeryal süreçler ve fontahsisi amaçlarıyla)

Finansal raporlama amaçlarıyla yapılan tahminlerde kullanılan verilerin değerlendirilmesi.

Hesap özeti yordamının tasarımını kullanılan veri dosyalarına kıyasla incelemek.

Normal inceleme ve zorluklarla ilgili bulgular için hesapözeti yordamındaki çıktıların denetimsel değerlendirmesini incelemek.

Atamaların bir örneğini inceleyerek uygun olup olmadıklarına karar vermek

Özetlenen verilerin tam ve geçerli olup olmadıklarını değerlendirmek için süreci incelemek.

Arayüz dengeleme Besleme sistemlerinden alınan verilerin (örneğin, bordro, tazminat ödemeleri verileri vs.) veri depolarına veya büyük deftere aktarımlarının otomatik kontrolü

Her iki sistemin eşleşmesini dengeleyen otomatik kontrol. Dengelemediği takdirde bir istisna raporu hazırlanır ve kullanılır.

Arayüz hata raporlarını denetlemek.

Geçerlilik ve tamlık parametreleri ve ayarlarını denetlemek

Arayüzlerde ayarlanabilir parametreler oluşturma ve değiştirmeye yönelik erişimi incelemek

Eşleştirme raporları, kontroller ve hatalı dosya işlemeye ilişkin bulguları denetlemek.

Otomatik fonksiyonlar Yaşlanan hareketler hakkında yönetime veri sunmak için borçlu listesinden alınan dosya çıktıları

Yaşlanma işlemlerinin uygunluğunu doğrulamayla ilgili hareketlerin listelenmesine ilişkin test örneği.

Çift kontroller Alanları eşleştirmek amacıyla münferit hareketlerin daha önceden kaydedilmiş hareketlerle karşılaştırılması.

Münferit dosyaların beklenen tarihler, zamanlar, boyutlar vs. ilekarşılaştırılması.

Çift hareketler veya dosyalarda ayarlanabilir parametreleroluşturma ve değiştirmeye yönelik erişimi incelemek

Reddedilen dosyalar veya hareketleri ele almaya ilişkin süreci incelemek.

Çıktı Kontrolleri

Bu kontroller, işleme sonuçlarının doğru olduğuna ve yalnızca yetkili personele dağıtıldığına

yönelik makul güvence sağlamak üzere tasarlanmaktadır. İşleme sırasında çıktı olarak üretilen

kontrol toplamları, işleme sırasında üretilen girdi ve çalıştırmalar-arası kontrol toplamlarıyla

karşılaştırılmalı ve bunların mutabakatları yapılmalıdır. Ana dosyalar için bilgisayar-ürünü

değişiklik raporları, bilgilerin doğru olduğunu temin etmek amacıyla orijinal kaynak

dokümanlarıyla karşılaştırılmalıdır.

Çıktı Kontrolleri

Bu kontroller, çıktıların tam ve doğru olduğunu ve gereğine uygun bir biçimde dağıtıldığını göstermektedir.


Büyük defter kayıtları Tüm münferit ve özetlenmiş hareketler büyük deftere kaydedilir.

Girdi ve yardımcı defter özet hareketleri örnekleri, büyük deftere kadar izlenir.

Yardımcı defter kayıtları Tüm başarılı işlemler yardımcı deftere kaydedilir.

Girdi hareketleri yardımcı deftere kadar izlenir.

Ana Dosyalar ve Sabit Veri Kontrolleri

Bu kontroller, ana dosyalar ile sabit verilerin bütünlüğünü ve doğruluğunu temin etmektedir.


Güncelleme yetkilendirme Rollerine ve uygulamayı kullanma ihtiyaçlarına göre kıdemli kullanıcılara tahsis edilen hakları güncellemeye erişim

Ana dosyaları ve sabit verileri oluşturma ve değiştirmeye yönelik erişimi incelemek

34

Ek-B: Örnek Denetim Programı

İç denetçiler; amaçlar, kapsam, kaynak mülahazaları da dâhil her bir denetim görevi ve

denetim çalışması programı için bir plan geliştirmeli ve kaydetmelidirler. Amaçlar, uygulama

kontrollerinin finansal, operasyonel veya mevzuata uyum risklerini yönetmek için uygun bir

biçimde tasarlanıp tasarlanmadığını ve etkin bir şekilde çalışıp çalışmadığını tespit etmesine

olanak tanımaktadır. Uygulama kontrollerinin amaçları arasında, bu rehberin ikinci sayfasında

da ana hatlarıyla belirtildiği gibi şunlar yer almaktadır.

Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;

Veriler, hedeflendiği şekilde kabul edilebilir bir zaman periyodu dâhilinde

işlenmektedir;

Saklanan veriler tam ve doğrudur;

Veri girdisi, saklama ve çıktısını işleyen bir kayıt muhafaza edilmektedir.

Yukarıda belirtilen amaçlara ulaşmak için atılması gereken adımlar şunlardır:

Adım-1: Bir risk değerlendirmesi yapınız (Bu rehberin 7. sayfasına bakınız).

Adım-2: İncelemenin kapsamını belirleyiniz (Bu rehberin 9. sayfasına bakınız).

Adım-3: Detaylı inceleme planı geliştiriniz ve iletiniz (Bu rehberin 10. sayfasına

bakınız).

Adım-4: Uzman kaynaklara gereksinim duyulup duyulmadığını belirleyiniz (Bu

rehberin 10. sayfasına bakınız).

Adım-5: Bilgisayar-destekli denetim tekniklerine ihtiyaç duyulup duyulmayacağını

belirleyiniz (Bu rehberin 13. sayfasına bakınız).

Adım-6: Denetimi gerçekleştiriniz (aşağıda verilen örnek denetim programına

bakınız). Lütfen örnek programın kurumunuza uygulanabilecek tüm testleri kapsamayı

hedeflemediğini not ediniz.

35

Örnek Denetim ProgramıSpesifik şirket verileri ve denetimin kapsamına ilişkin bir inceleme, aşağıdaki inceleme faaliyetleriyle ilgili ayrıntılı test adımlarını belirleyecektir.

Kontrol Amacı Kontroller İnceleme Faaliyetleri

Amaç-1:Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir;

Girdi verileri; veri girişinden önce tüm hareketlerin yetkilendirilmesinive onaylanmasını sağlayacak şekilde tasarlanmakta ve etkin bir biçimdeçalışmaktadır.

Veri girdi prosedürleri elde etmek, yetkilendirme ve onaysürecini anlamak ve bir inceleme ve onay süreci olupolmadığını ve uygun onaylar almakla yükümlü kullanıcılara iletilip iletilmediğini tespit etmek.

Uygulama sahibi veya süreç sahibinin girilmeden önce tümverilerin yetkilendirilmiş olduğundan emin olduklarını doğrulamak. Bu, roller ve sorumlulukların görevlere bağlı olarak verilmesiyle gerçekleştirilebilir.

Onay düzeylerinin bir kopyasını elde etmek ve uygun onayların tutarlı olarak verildiğini doğrulamak için sorumlu tayin edilip edilmediğini tespit etmek.

36

Örnek Denetim Programı


Girdi kontrolleri, girilen hareketlerintam ve doğru işlenmesini teminedecek şekilde etkin tasarlanmakta veçalışmaktadır.

Veri girdi prosedürlerini elde etmek ve veri girişlerinden sorumlu kişilerin girdilerin hazırlanması, girişi ve kontrolü hakkında eğitilmiş olduklarını doğrulamak.

Yanlış tarihler, yanlış karakterler, geçersiz alan uzunluğu, eksik veriler ve çift hareket girişleri/numaraları dâhil ancak bunlarla sınırla kalmayan belirli kriterlere uymayan girdi bilgilerini kontrol eden ve ardından reddeden uygulamalara düzenleme rutinleri yerleştirilip yerleştirilmediğini tespit etmek.

Çift kayıtların girilmesini önlemek amacıyla manüel verigiriş kontrollerinin mevcut olduğunu ve çalıştığını doğrulamak. Manuel veri kontrolleri kapsamında kaynak dokümanların önceden numaralandırılması ve kayıtlar girildikten sonra “girdi” olarak işaretlenmesi yer almaktadır.

Eklenen verilerin kabul edilebilir bir kaynaktan alındığını ve kaynağın faydalanıldığı ve bağımsız kaynak raporlarının kullanıldığı kontrol toplamları, kayıt sayımları ve başka tekniklere uygun hale getirildiğini doğrulamak.

Kullanıcıların hareketlere girmesini ve izin vermesini önlemek için uygun görev dağılımının olup olmadığını belirlemek.

Veri girişinden sorumlu personel ile çıktıların tam ve doğru olduğunu karşılaştırmak ve doğrulamakla yükümlü personel arasında uygun görev dağılımı olup olmadığını doğrulamak.

Hesaplamalar ve tablolar gibi sistem programlarında yetkisiz değişiklikleri önlemek amacıyla kontrollerin mevcut olduğunu doğrulamak.

Girdi kontrolleri, reddedilen tümhareketlerin tam ve uyguntanımlanmasını ve yeniden işlenmesini sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadır.

Reddedilen hareketleri ve ardından gelen hata düzeltme işlemlerini ele almak için veri girdi prosedürleri elde etmek ve hataların düzeltilmesinden ve verilerin yeniden girişinden sorumlu personelin yeterince eğitilip eğitilmediğini tespit etmek.

Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak.

Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak.

37



Kontroller, başka bir sistemden otomatik olarak kaydedilen verilerintam ve doğru işlenmesini sağlamakamacıyla etkin bir biçimde tasarlanmakta ve çalışmaktadır.

Prosedürler elde etmek ve otomatik arayüzlerin nasıl yetkilendirildiği ve otomatik işleme olayını neyin harekete geçirdiğiyle ilgili detaylı bilgilerin dâhil edildiğini doğrulamak.

İşleme programlarının dokümante edildiğini ve problemlerin zamanında tespit edildiğini ve düzeltildiğini doğrulamak.

Sistemler-arası kayıt sayımlarının ve toplam parasal değerlerin otomatik arayüzler için sistematik olarak doğrulanıp doğrulanmadığını ve reddedilen öğelerin kaydedilmesinin önlenip önlenmediğini ve daha sonra takip edilmek ve yeniden işlenmek üzere bayrakla işaretlenip işaretlenmediğini tespit etmek.

Başka uygulamalar tarafından kullanılmak üzere oluşturulan veya başka uygulamalara aktarılan dosya ve verilerin tüm aktarım süreci boyunca yetkisiz modifikasyonlardan korunduğunu doğrulamak.

Kontroller, işleme sırasında doğru veri dosyalarının ve veritabanlarının kullanılmasını sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.

Test verileri ve programlarının üretimden ayrı tutulduğunu doğrulamak ve onaylamak

Amaç -2:Veriler, hedeflendiği şekilde kabul edilebilir bir periyot içerisinde işlenmektedir.

İşleme kontrolleri, tüm hareketlerin zamanında ve doğru hesap dönemiiçerisinde işlenmesini sağlamakamacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.

Çıktıları tamlık ve doğruluk bakımlarından kaynak dokümanlara kıyasla doğrulamak. Buna kontrol toplamlarının doğrulanması da dâhildir.

Doğru girilen hareketlerin fiilen işlendiğimi ve hedeflendiği şekilde doğru hesap döneminde kaydedildiğini temin eden rutinlerin uygulamaya dâhil edilip edilmediğini tespit etmek

İşleme kontrolleri, reddedilen tüm hareketlerin zamanında tanımlanmasıve yeniden işlenmesini sağlamakamacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar.

Reddedilen hareketleri ve ardından gelen hata düzeltme işlemlerini ele almak için prosedürler elde etmek ve hataların düzeltilmesinden ve verilerin yeniden girişinden sorumlu personelin yeterince eğitilip eğitilmediğini tespit etmek.

Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak.

Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak.

38



Amaç -3:Saklanan veriler tam ve doğrudur.

Mantıksal erişim kontrolleri; yetkisiz erişimi, modifikasyonları veya sistem verilerinin ifşasını önlemek amacıyla etkin birşekilde tasarlanmakta ve çalışmaktadır.

Şifre konfigürasyonu elde etmek ve politikalar kullanmak ve güçlü şifreler, şifre sıfırlamaları, hesap kilitleme ve şifreyi yeniden kullanmaya ilişkin koşulların mevcut olup olmadığını tespit etmek.

Yukarıdaki politikanın incelenen uygulama(lar)auygulandığını doğrulamak.

Uzak erişim kontrollerinin etkin bir şekilde tasarlanıp çalıştığını doğrulamak.

Kullanıcıların erişimlerinin görev sorumluluklarına göre spesifik fonksiyonlarla sınırlandığını doğrulamak (rol-esaslı erişim).

Ayrıcalıklı kullanıcılar dâhil tüm kullanıcılara özgün kullanıcı adlarının tayin edildiğini ve kullanıcı ve yönetici hesaplarının paylaşılmadığını doğrulamak.

Erişim izni verilmeden veya bu izinde herhangi bir değişiklik yapılmadan önce kullanıcı hesabının oluşturulmasına ve modifikasyonuna ilişkin onayların alındığını doğrulamak (kullanıcılar arasında ayrıcalıklı kullanıcılar, çalışanlar, yükleniciler, satıcılar ve geçici personel bulunmaktadır).

Erişimin hesap iptalinden hemen sonra kaldırıldığını doğrulamak

Kritik finansal veriler, uygulamalar ve işletim sistemlerine erişimin doğru ve güncel olduğunu temin etmek için uygulama sahibinin kullanıcı ve sistem hesaplarının her altı ayda bir incelemesinin yapıldığından emin olmakla sorumlu olduğunu doğrulamak.

Kontroller, veri yedeklemelerinintam ve doğru olduğundan ve zamanında yapıldığından emin olmak amacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır.

Yedeklemelerin programlandığını ve bu yedeklemelerin politikaya göre tam, doğru ve zamanında yapıldığından emin olmak için günlüklerin izlendiğini doğrulamak.

Yedeklerin uygun bir şekilde saklandığından ve etkin bir şekilde yeniden yüklenebileceğinden emin olmak amacıyla periyodik olarak testler yapıldığını doğrulamak.

Yedeklemelere ilişkin işletme koşullarının düzenli olarak onaylandığını doğrulamak.

Kontroller, verilerin güvenli,kurum dışında, çevresel açıdan kontrollü bir lokasyonda fizikselolarak saklanmasını sağlamakamacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır.

Verilerin kurum dışında, güvenli ve çevresel olarak kontrollü bir lokasyonda saklanmasına ilişkin mekanizmaların mevcut olduğunu doğrulamak.

39



Amaç - 4: Çıktılar tam ve doğrudur.

Tüm hareket çıktılarının tam ve doğru olduğundan emin olmak için etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır.

Veri çıktı prosedürleri elde etmek, inceleme sürecini anlamak ve veri girişinden sorumlu kişilerin veri çıktısı inceleme ve doğrulama konusunda eğitilmiş olduklarını doğrulamak.

Çıktıların tam ve doğru olup olmadığını anlamak amacıyla gözden geçirilerek kaynak dokümanlarla karşılaştırıldığını doğrulamak. Ayrıca kontrol toplamları da doğrulanmalıdır.

Tüm hareket çıktılarının uygun personele dağıtılmasını ve dağıtım sırasında hassas ve gizli bilgilerin korunmasını sağlamak amacıyla çıktı kontrolleri etkin bir şekilde tasarlanmakta ve çalışmaktadır.

Mevcut veri çıktı prosedürlerini incelemek ve buprosedürlerin veri çıktısını hangi personelin alacağını ve verilerin dağıtım sırasında nasıl korunacağını belgeleyip belgelemediğini tespit etmek.

Belirlenen zamanda bir çıktı raporu oluşturulmasını ve bu raporunbelirlenen dönemi kapsamasını sağlamak amacıyla etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır.

Bir çıktı raporunun oluşturulduğunu doğrulamak ve raporda belirtilen tarih ve zamanın belirlenen zaman olduğunu tespit etmek

Raporu söz konusu döneme ait kaynak dokümanlarlakarşılaştırarak belirlenen dönemi kapsayıp kapsamadığını tanımlamak

Amaç -5: Veri girişi, saklanması ve çıkışına ilişkin süreci izleyen bir kayıt tutulmaktadır.

Tüm hareket verileri için bir denetimizi oluşturulduğundan vesürdürüldüğünden emin olmak amacıyla kontroller etkili bir şekilde tasarlanmakta ve çalışmaktadır.

Tüm kayıtların işlendiğini ve hareketin girilmesinden saklanmasına ve çıkarılmasına kadar izlendiğini temin eden işleme denetim izleri ve günlüklerin mevcut olduğunu doğrulamak.

Reddedilen hareketlerin tanımlanmasını ve yeniden işlenmesini izleyen denetim raporlarının mevcut olduğunu doğrulamak. Raporlar kapsamında, reddedilen hareketinaçık bir tanımı ve belirlenen tarih ve zaman bulunmalıdır.

40

7. Sözlük

Uygulama Kontrolleri: Uygulama kontrolleri, her bir uygulamaya özgü ve her bilgisayar-

tabanlı uygulama sistemiyle ilgili verilerle ilgilidirler. Uygulama kontrollerinin amaçları,

kayıtların tamlığını ve doğruluğunu ve programlanmış işleme faaliyetleri sonucunda yapılan

girişlerin geçerliliğini güvence altına almaktır. Uygulama kontrollerine örnek olarak veri girdi

doğrulaması, yığın toplamlarının mutabakatı ve aktarılan verilerin şifrelenmesi verilebilir.

Veri Girdi Kontrolleri: Veri girdi kontrolleri, bir bilgisayara veya uygulamaya girildikten

sonra dönüştürülmeleri boyunca verilerin doğruluğu, tamlığı ve zamanındalığını temin

etmektedir. Veriler, bir bilgisayar uygulamasına, bir manuel çevrimiçi girdisi ya da otomatik

seri işlemeyle girilebilir.

Veri Çıktı Kontrolleri: Veri çıktı kontrolleri, çıktı bilgilerinin bütünlüğünün yanı sıra

oluşturulan her türlü çıktının doğru ve zamanında dağıtılmasını sağlamak amacıyla

kullanılmaktadırlar. Çıktılar, diğer sistemlere girdi olarak kullanılan dosyalar gibi yazılı

kopya formunda olabilir ya da çevrimiçi görüntüleme amaçlı mevcut olabilir.

Veri İşleme Kontrolleri: Veri işleme kontrolleri, bir uygulamanın yığın ya da gerçek-

zamanlı işlenmesi sırasındaki doğruluğu, tamlığı ve zamanındalığını temin etmek amacıyla

kullanılmaktadır.

Kurumsal Kaynak Planlama (ERP): ERP, bir işletmede kaynakların planlanması ve

yönetiminin yanı sıra tüm iş süreçlerini yönetmek ve satınalma, stoklar, personel, müşteri

hizmetleri faaliyetleri, sevkiyat, finans yönetimi ve işletmenin diğer yönlerini birleştirmek

amacıyla bir yazılım sisteminin kullanılmasını ifade etmektedir. Bir ERP sistemi, tipik olarak

bir ortak veritabanı, entegre iş süreci uygulama modülleri ve iş analiz araçlarına

dayanmaktadır.18

BT Genel Kontrolleri (ITGC’ler): Bu kontroller; tüm sistem bileşenleri, süreçler ve

verilerde belli bir kurum ya da BT ortamı için geçerlidir. ITGC’lerin amacı uygulamaların

uygun bir biçimde geliştirilmesi ve yürütülmesi ve program, veri dosyaları ve bilgisayar

operasyonlarının bütünlüğünün temin edilmesidir.

Aşağıda en yaygın ITGC’ler verilmektedir:

Altyapı, uygulamalar ve veriler üzerinde mantıksal erişim kontrolleri;

Sistem geliştirme yaşam döngüsü kontrolleri;

Program değişiklik yönetimi kontrolleri;

Veri merkezi fiziksel güvenlik kontrolleri;

Sistem ve veri yedekleme ve kurtarma kontrolleri;

Bilgisayar operasyon kontrolleri.

18ISACA’nın Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü’nden alıntılanmıştır.

41

Risk: Amaçların gerçekleştirilmesine etki edecek bir olayın ortaya çıkma ihtimali. Risk etki

ve olasılık bakımlarından ölçülmektedir. 19

Görev Ayrılığı: Hareketleri başlatmak, hareketleri kaydetmek ve varlıkları denetlemek

amacıyla farklı kişilere sorumluluklar tayin ederek hataları ve düzensizlikleri önleyen

kontroller. Görev ayrılığı, çok sayıda çalışanı olan kurumlarda, tek bir kişinin fark edilmeden

suiistimal eyleminde bulunacak bir konumda bulunmasını engellemek amacıyla

uygulanmaktadır.

8. Referanslar:

GTAG 4: BT Denetiminin Yönetimi

GTAG 1: Bilgi Teknolojisi Kontrolleri

ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14

COSO Finansal Raporlamaya İlişkin İç Kontrol – Halka Açık Küçük Şirketler İçin

Rehber.

PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş,

Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, B29 – 30 paragrafları

IIA Standardı 1220: Azami Mesleki Özen

IIA Standardı 1210.A3.

IIA Standardı 1130.C1.

AXA Group, Yaygın Uygulama Kontrolleri ve Önerilen Testler

ISACA Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü

IIA Uluslararası Mesleki Uygulamaları Çerçevesi

19IIA Uluslararası Mesleki Uygulama Çerçevesi Sözlüğü’nden alıntılanmıştır.

42

Yazarlar Hakkında

Christine Bellino, CPA, CITP

Christine Bellino, Jefferson Wells’ Denver uygulamasında teknoloji riski yönetimi başkanı ve

IIA’nın Gelişmiş Teknoloji Komitesi’nin bir üyesidir. Bellino, kurumun Risk Esas Alınarak

BT Genel Kontrolleri Kapsamının Değerlendirilmesine İlişkin Rehber (GAIT) çekirdek

ekibinin bir üyesidir. Şu anki sorumlulukları arasında küçük, orta ve büyük ölçekli kurumlar

için çoklu iş süreçlerinin ve ITGC’lerin yönetimi bulunmaktadır.

Bellino; finans, operasyonlar ve teknoloji risk yönetimi alanlarında 25 yılı aşkın tecrübeye

sahiptir ve yakın zamanda yayımlanan Finansal Raporlamaya İlişkin İç Kontrol –Halka Açık

Küçük Şirketler İçin Rehber’den sorumlu COSO İş Gücü’nün eş-başkanlığını yapmıştır.

Steve Hunt, CIA, CISA, CBM

Steve Hunt, Crowe Horwath LLP risk danışmanlık grubunda üst yönetici görevini

yapmaktadır ve IIA Gelişmiş Teknoloji Komitesi, ISACA ve İş Yönetimi Uzmanları Derneği

üyesidir. Hunt, farklı sektörlerde Fortune 1.000 orta ve küçük ölçekli şirketle çalışarak

finansal, operasyonel görevler ile BT risk yönetimi görevlerinin dağıtılmasını yönetmektedir.

Hunt; muhasebe, iç denetim ve yönetim danışmanlığı dâhil çeşitli farklı sektörlerde 20 yıldan

fazla çalışma deneyimine sahiptir. Daha spesifik olmak gerekirse, Sarbanex-Oxley’e uyumla

ilgili detaylı denetimler ve başka iç ve dış denetimler gerçekleştirmiş ve iş süreci yeniden

yapılandırma projeleri ve iş geliştirme girişimlerine katılmıştır. SAP R/3 uygulamaları ve

uygulama güvenlik ve iş süreci kontrollerini yapılandırmak konusunda yılların deneyimine

sahiptir ve Amerika Birleşik Devletleri’nde çeşitli üniversitelere ve kurumlara özel konuşmacı

olarak katılmıştır.

Gözden Geçirenler

IIA, değerli yorumlarıyla bu rehberin hazırlanmasına büyük katkılar sağlayan aşağıdaki kişi

ve kurumlara teşekkürlerini sunar:

43

BT Denetim Uzmanlığı Grubu, IIA, İsveç

IIA teknik komiteleri – BK ve İrlanda

Helge Aam, Deloitte – Norveç

Ken Askelson, JCPenney Co. Inc. ABD.

Rune Berggren, IBM – Norveç.

Shirley Bernal, AXA Equity Life Insurance Co., ABD

Lily Bi, IIA

Claude Cargou, AXA – Fransa

Maria Castellanos, AXA Equity Life Insurance Co., ABD

Nelson Gibbs, Deloitte & Touche, LLP.

Steven Markus, AXA Equity Life Insurance Co., ABD

Peter B. Millar, ACL Services Ltd. Kanada.

Stig J. Sunde, OAG – Norveç.

Jay R. Taylor, General Motors Corp. – ABD

Karine Wegrzynowicz, Lafarge Kuzey Amerika

Hajime Yoshitake, Nihon Unisys Ltd. – Japonya

Jim Zemaites, AXA Equity Life Insurance Co., ABD

Joe Zhou, GM Denetim Hizmetleri, Çin.

44

EEC’nin misyonu “diğerlerinin başarmasına yardımcı olmaktır” ve birçoğu Big 4 ve Tier 1 danışmanlık firmalarında çalışmış olan deneyimli uzmanlarımızla işletmenizde kontrol çözümlerini tam olarak uygulamak içingereken bilgi ve becerileri elimizdebulundurmaktayız. Müşterilerimiz, zamanında ve etkin çözümler sunarak işletmelerine ve operasyonel performanslarına pozitif etkide bulunma kabiliyetimiz takdir etmektedirler.

ECC’nin Kurumsal Çözümler ekibi, kurumunuzçapında idareciler ile yöneticilere süreçleri değerlendirmek, güvence altına almak ve optimize etmek konusunda yardımcı olmaktadır. Çözümlerimiz, birincil hizmet hatlarımız olan iç denetim eş-kaynak kullanımı ve dış kaynak kullanımı, kurumsal risk yönetimi, teknoloji riski ve kurumsal yönetişim yoluyla sunulmaktadır. Planladığınız iş süreçleri ve kontrollerinizle birlikte risk-esaslı, katma değer bir yaklaşım tasarladık. Bunu da söz konusu kontrolleri süreçlerinize ve sistemlerinize yerleştirerek kurumsallaştırmak amacıyla kurumunuzla işbirliği yaparak başardık.

Günümüzün rekabetçi danışmanlık ortamında, müşterilerimiz tarafından sürekli olarak “çalışanlarımız” ve ECC’nin kontrol danışmanlık uzmanlarından oluşan “mükemmel ekibi” sağlama kabiliyetimizle tanınmaktayız. Sizin ve kurumunuzun sahip olduğu tutku, heves ve istek ECC’yi sizin için en doğru seçim yapmaktadır. ECC’nin sizi başarıya ulaştırmasına izin verin. Enterprise Controls Consulting LP (“ECC”)genel merkezi Dallas/Fort Worth Texas’tabulunan, sahibi kadın olan ulusal bir profesyonel hizmetler firmasıdır. ECC iş performansını geliştirmekte ve verimli sonuçlar üretmektedir.

Enterprise Controls Consulting LP

4545 Fuller Drive, Suite 404

Irving, Texas 75038

Tel: 214.614.2400

Faks: 214.614.2401

45

İşletmenizi Şansın

Yönetmesine İzin Vermeyin

Enterprise Controls Consulting LP (ECC)4545 Fuller Drive, Suite 404Irving, Texas 75038Tel: 214.614.2400Faks: 214.614.2401.WWW. ECCLP.COM

Hepiniz şu eski “Şansa bak” deyişini duymuşsunuzdur. Hepimizin hayatında şansı birkaç kez yaver gitmiştir. Ancak olası riskleri görmezden gelip yalnızca şansa güvenmek işi çok fazla şansa bırakmak demektir.

Yöneticiler geleceğe ilişkin vizyonlarının bir şemasını oluştururken pek çok sayısız engelle karşılaşmaktadırlar. Şirketinizin hedeflerini belirlemeye yönelik temel taşı, güçlü ve kuvvetli uygulamalarla desteklenen kanıtlanmış iş süreçleriyle desteklenmektedir. ECC, veribütünlüğü sorunları, güvenlik tasarımındaki zayıf yönler, düzgün yapılandırılmamış işletme kuralları ve önemli işleme hataları gibi tehlikeler konusunda çok geç olmadan size yardımcı olabilir.

ECC’nin kontrol uzmanları, sistem uygulamalarınızın içinde ve dışında iş risk yönetimi stratejilerini geliştirmek amacıyla iş ekiplerinizle çalışmaktadır. Bir yandan sistem uygulaması çevrenizdeki zafiyetleri ortaya çıkarmak, diğer yandan pratik çözümler sunmak amacıyla risk-tabanlı yaklaşımımızı kullanarak sizinle el ele çalışacağız. Birlikte, hiçbir şeyi şansa bırakmayarak, sistem uygulamalarınızın sizin aleyhinize değil lehinize güçlenmesini sağlayacağız.

ECC… İş Performansını Geliştirir. Verimli Sonuçlar Üretir.

46

GTAG®

GTAG 8: Uygulama Kontrollerinin Denetimi

Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işleme

toplamlarının dengelenmesi, hareketlerin günlüğe kaydedilmesi ve hataların raporlanmasını

içeren münferit iş süreçler veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Etkili

uygulama kontrolleri, verileriniz ve sistemlerinizin bütünlüğü, doğruluğu, gizliliği ve

tamlığını temin etmek konusunda yardımcı olacaktır. Bu rehber, iç denetim yöneticilerine

(İDY) uygulama kontrolüyle ilgili bilgiler, bunların genel kontrollerle ilişkisi, risk-tabanlı bir

uygulama kontrolü incelemesinin kapsamı, bir uygulama kontrolü incelemesi yapılmasına

ilişkin adımlar, kilit uygulama kontrollerinin bir listesi ve bir örnek denetim planı

sunmaktadır.

Bize geribildirimde bulununuz! Bu Uygulama Rehberine oy vermek ve yorumlarda bulunmak

için lütfen www.theiia.org adresindeki GTAG 8 sayfasını ziyaret ediniz.

GTAG Nedir?

Uluslararası İç Denetçiler Enstitüsü tarafından hazırlanan Global Teknoloji Denetim Rehberi

(GTAG), BT yönetimi, kontrolü ve güvenliği ile ilgili sorunları zamanında ele almak

amacıyla açık ve basit bir mesleki dille yazılmaktadırlar. GTAG dizileri, hem teknolojiyle

ilgili farklı riskler hem de tavsiye edilen uygulamalar konusunda iç denetim yöneticileri için

hazır başvuru kaynağı görevini görmektedirler.

GTAG 1: Bilgi Teknolojisi Kontrolleri

GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı İçin Kritik Önemde

GTAG 3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlendirmesine İlişkin Mülahazalar

GTAG 4: BT Denetiminin Yönetimi

GTAG 5: Mahremiyet Risklerinin Yönetimi ve Denetimi

GTAG 6: BT Zafiyetlerinin Yönetimi ve Denetimi

GTAG 7: Bilgi Teknolojisinin Dış Kaynaklardan Elde Edilmesi

Teknolojiyle ilgili denetim rehberi hakkında daha fazla bilgi ve kaynağa ulaşmak için

www.theiia.org/technology web adresini ziyaret ediniz.

GTAG’ler Uluslararası Mesleki Uygulama Çerçevesi kapsamında düzenlenen Uygulama

Rehberleridir.

IIA – Uluslararası İç Denetçiler Enstitüsü www.theiia.org

Sipariş Numarası: 1033 IIA Üyeleri için Ücretsiz

Üye Olmayanlar için 25 USDIIA Etkinliği 22,50 USD

gtag 8- uygulama kontrollerinin denetimi...2 (gtag) 8 uygulama kontrollerinin denetimi yazarlar...

Documents