Uygulama Kontrolleri - Türkiye İç Denetim Enstitüsü
Transkript
Uygulama Kontrolleri - Türkiye İç Denetim Enstitüsü
GTAG ® Global Teknoloji Denetim Rehberi UMUÇ – Uygulama Rehberi UYGULAMA KONTROLLERİNİN DENETİMİ IIA – Uluslararası İç Denetçiler Enstitüsü Global Teknoloji Denetim Rehberi 1 (GTAG) 8 Uygulama Kontrollerinin Denetimi Yazarlar Christine Bellino, Jefforson Wells Steve Hunt, Crowe Horwath LLP Orijinal Basım Tarihi: Temmuz 2007 Uluslararası Mesleki Uygulama Çerçevesi’ne (UMUÇ) uygunluk açısından revize edilmiştir, Ocak 2009 Telif Hakkı © 2007, Uluslararası İç Denetçiler Enstitüsü (IIA), 247 Maitland Ave., Altamonte Springs, FL 32701-4201 ABD’ye aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde basılmıştır. Yayımcının ön yazılı izni alınmadan, bu dokümanın hiçbir bölümü çoğaltılamaz, herhangi bir bilgi depolama ve erişim sisteminde saklanamaz ya da hiçbir formatta ve hiçbir kanal yoluyla – elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktarılamaz. IIA, bu dokümanı bilgi vermek ve eğitim amacıyla yayımlamaktadır. Bu doküman, bilgi sağlamayı amaçlamaktadır; ancak hukuk veya muhasebe konularında bir tavsiye yerine kullanılamaz. IIA böyle bir tavsiyede bulunmaz ve bu dokümanı yayımlamakla, muhasebeyle ilgili veya hukuki sonuçlara yönelik varılan sonuçların doğruluğu hakkında herhangi bir garanti vermez. Hukuk veya muhasebe konularında sorunlar ortaya çıktığı takdirde, profesyonel yardıma başvurulmalıdır. 2 İÇİNDEKİLER TABLOSU 1. Yönetici Özeti ………………………………………………………………………………………..4 2. Giriş…………………………………………………………………………………………………..6 Uygulama Kontrollerinin Tanımı………………………………………………………………6 Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri……………………………………….7 Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan BT Ortamları………………………...8 Uygulama Kontrollerine Güvenmenin Faydaları………………………………………………9 İç Denetçilerin Rolü…………………………………………………………………………...11 3. Risk Değerlendirmesi……………………………………………………………………………….14 Risk Değerlendirmesi………………………………………………………………………….14 Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı…………………………………………15 4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi……………………………………..17 İş Süreci Yöntemi……………………………………………………………………………..17 Tekli Uygulama Yöntemi……………………………………………………………………..17 Erişim Kontrolleri……………………………………………………………………………..18 5. Uygulama İnceleme Yaklaşımları ve Diğer Mülahazalar…………………………………………...19 Planlama……………………………………………………………………………………….19 Uzman Denetim Kaynaklarına Olan İhtiyaç…………………………………………………..20 İş Süreci Metodu………………………………………………………………………………20 Dokümantasyon Teknikleri……………………………………………………………………22 Test Etme……………………………………………………………………………………...24 Bilgisayar-Destekli Denetim Teknikleri………………………………………………………25 6. Ekler…………………………………………………………………………………………………31 Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler…………………………………….31 Ek-B: Örnek Denetim Programı………………………………………………………………39 7. Sözlük……………………………………………………………………………………………….40 8. Referanslar…………………………………………………………………………………………..41 9. Yazarlar Hakkında…………………………………………………………………………………..42 3 1. YÖNETİCİ ÖZETİ Son birkaç yıldır dünyanın dört bir tarafındaki kurumlar, 2000 Yılı Uyum Çalışması gibi taktiksel hedeflerden, piyasada bir şirketi diğerinden farklı kılmayı sağlayacak bir unsur olarak teknolojiyi kullanmak gibi stratejik hedeflere kadar çeşitli farklı nedenlerden dolayı yeni iş uygulamaları sistemleri kurmak veya bu sistemleri yükseltmek için milyarlarca dolar harcamışlardır. Uygulama veya uygulama sistemi, kullanıcıların doğrudan doğruya bir bilgisayarın yetenek ve kapasitesini kullanarak görevleri yapmasını sağlayan bir tür yazılımdır. Uluslararası İç Denetçiler Enstitüsü’nün (IIA) yayımladığı GTAG-4:BT Denetiminin Yönetimi dokümanına göre bu sistem türleri ya hareket uygulamaları ya da destek uygulamaları olarak sınıflandırılabilir. Hareket uygulamaları, kurum çapındaki verileri: Ticari işlemlerin değerini borç ya da alacak kalemi olarak kaydetmek; Finansal, operasyonel ve düzenleyici veriler için havuz işlevini görmek; Satış emirleri, müşteri faturaları, satıcı faturaları ve günlük defter girişlerinin işlenmesi de dâhil çeşitli farklı finansal ve idari raporlama formlarını sağlamak yoluyla işlemektedir. Hareketişleme sistemlerine örnek olarak, sıklıkla girişim kaynak planlama (ERP) sistemleri olarak anılan SAP R/3, PeopleSoft ve Oracle Financials’in yanı sıra ERP dışında da sayısız örnek verilebilir. Bu sistemler, hareketleri programlanmış mantığa dayanarak ve birçok durumda, özgün kurumsal iş ve işleme kurallarının saklandığı ayarlanabilir tablolara ek olarak işlemektedir. Diğer yandan destek uygulamaları, iş faaliyetlerini kolaylaştıran özel yazılım programlarıdır. Örnek olarak e-posta programları, faks yazılımı, doküman görüntüleme yazılımı ve tasarım yazılımı verilebilir. Ancak bu uygulamalar, genellikle hareketleri işlememektedir.1 İş süreçlerini desteklemek için kullanılan tüm teknolojilerde olduğu gibi, hareket ve destek uygulamaları da kurumu teknolojinin kendi doğasından kaynaklanan ve çalışanların sistemi nasıl ayarladığı, yönettiği ve kullandığına bağlı olarak görülen risklerle karşı karşıya bırakabilir.Hareket işleme sistemlerinde riskler uygun bir biçimde hafifletilmezlerse, bu risklerin finansal veya operasyonel verilerin bütünlüğü, tamlığı, zamanındalığı ve kullanılabilirliğine olumsuz etkileri olabilir. Ayrıca iş süreçlerini desteklemek için hangi uygulama kullanılırsa kullanılsın, bu süreçlerde de bir içsel risk unsuru bulunacaktır. Bu uygulama teknolojisi ve iş süreci risklerinden dolayı, birçok kurum hareket ve destek uygulamalarındaki söz konusu riskleri yönetmek için otomatik ve manuel kontrolleri birlikte kullanmaktadır. 1 GTAG 4: BT Denetiminin Yönetimi, s. 5. 4 Ancak, başarılı risk yönetiminin derecesi, doğrudan doğruya: Kurumun risk iştahı veya toleransı; Uygulamayla ilgili risk değerlendirmesinin tamlığı ve bütünlüğü; Etkilenen iş süreçleri; Genel bilgi teknoloji (BT) kontrollerinin etkinliği ve Kontrol faaliyetlerinintasarımı ve devamlı faaliyet etkinliğinin büyüklüğüne bağlıdır. Kurumların bu riskleri yönetmek için kullandıkları en uygun maliyetli ve etkin yaklaşımlardan biri, hareket ve destek uygulamalarının doğasında yer alan veya sonradan dâhil edilen kontrollerin (örneğin, ödenecek faturalarda üç-yönlü fatura eşleme) yanı sıra ayarlanabilir kontrolleri (örneğin, borçlu hesaplar fatura toleransları) kullanmaktır. Bu tip kontroller genellikle uygulama kontrolleri olarak anılmaktadır. Verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir.2 Ayrıca, iç denetim yöneticileri (İDY’ler) ve ekibinin uygulama kontrolleri ve genel BT kontrolleri (ITGC’ler) arasındaki farkı anlamaları önemlidir. ITGC’ler kurum çapındaki tüm unsurlar, süreçler ve verileri3 kapsarken, uygulama kontrolleri belirli bir iş sürecini destekleyen bir program veya sisteme özgüdür. Bu bölümün “Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri” kısmında bu kontroller hakkında daha detaylı bilgiler verilmektedir. Uygulama kontrollerinin risk yönetimi stratejileri konusundaki önemi nedeniyle,İDY’ler ve ekiplerinin, uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin çalışıp çalışmadığını tespit etmek için denetimler geliştirmesi ve bu uygulama kontrollerini periyodik olarak denetlemesi gerekmektedir. Dolayısıyla, bu GTAG’nin amacı İDY’lere: 1. 2. 3. 4. 5. Uygulama kontrollerinin ne olduğu ve faydaları; İç denetçilerin rolü; Bir risk değerlendirmesinin nasıl gerçekleştirileceği; Uygulama kontrolü incelemelerinin kapsamının belirlenmesi ve Uygulama inceleme yaklaşımları ve diğer mülahazalar konularında bilgiler sağlamaktır. İDY’lere ve bu rehberi kullanan diğer kişilere daha fazla yardımcı olmak için, yaygın uygulama kontrolleri ile bir örnek denetim planını da rehbere ekledik. 2 3 GTAG 1: Bilgi Teknolojisi Kontrolleri, s.3. GTAG 1: Bilgi Teknolojisi Kontrolleri s.3. 5 Giriş Uygulama Kontrollerinin Tanımı Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Dolayısıyla uygulama kontrollerinin amacı: Giriş verilerinin kesin, tam, yetkilendirilmiş ve doğru olduğu; Verilerin kabul edilebilir bir zaman içerisinde hedeflendiği şekilde işlendiği; Saklanan verilerin tam ve doğru olduğu; Çıktıların tam ve doğru olduğu ve Verilerin girildikten sonra bellekte saklanması ve son olarak da çıktısının alınması sürecini izlemek için kayıt tutulduğundan emin olmaktır.4 Birçok uygulama kontrolü türü mevcuttur. Bunlar arasında: Girdi Kontrolleri – Bu kontroller, esas olarak, bir iş uygulamasına girilen verilerin bütünlüğünü, bu verilerin doğrudan personel tarafından, uzaktan bir iş ortağı tarafından veya Web-destekli bir uygulama veya arayüz aracılığıyla girilip girilmediğini kontrol etmek amacıyla kullanılmaktadır. Veri girişi, belirtilen parametreler dâhilinde olup olmadığından emin olmak amacıyla kontrol edilmektedir. İşleme Kontrolleri – İşlemenin tam, doğru ve izin verilmiş olduğundan emin olmak amacıyla otomatik yollar sunmaktadır. Çıktı Kontrolleri – Bu kontroller verilerle neler yapıldığını ele almaktadır ve çıktıya kıyasla girdileri kontrol ederek çıktı sonuçlarını hedeflenen sonuçla karşılaştırmalıdır. Bütünlük Kontrolleri – Bu kontroller, tutarlılığını ve tamlığını koruduğundan emin olmak için işlenen ve bellekte bulunan verileri izlemektedir. Yönetim İzi – Sıklıkla denetim izi olarak anılan işleme tarihsel kontrolleri, yönetimin,kaynaktan sonuca kadar işlem ve hareketleri izleyerek ve sonundan başına doğru süreci tersine takip ederek kaydettiği hareket ve eylemleri tespit etmesine ve tanımlamasına olanak sağlamaktadır. Bu kontroller, ayrıca, diğer kontrollerin etkinliğini de izlemekte ve hataları mümkün olduğunca kaynaklarına kadar inerek tespit etmektedirler.5 Diğer uygulama kontrol unsurları arasında söz konusu iki kontrol tipinin önleyici mi, yoksa tespit edici mi olduğu bulunmaktadır. Her iki kontrol tipi de programlanmış veya ayarlanabilir sistem mantığına dayanan bir uygulama kapsamında çalışsa da, önleyici kontroller adından anlaşılacağı gibi gerçekleşmektedirler. Yani bir uygulama içerisinde ortaya çıkabilecek bir hatayı önlemektedirler. Önleyici kontrole, bir girdi veri doğrulama rutini örnek verilebilir. Rutin, girilen verilerin ilgili program mantığına uygun olduğundan emin olmak için kontroller 4,5 GTAG 1: Bilgi Teknolojisi Kontrolleri, s.8. 6 yapmakta ve yalnızca doğru verilerin kaydedilmesine izin vermektedir. Diğer taraftan yanlış veya geçersiz veriler veri girişi sırasında reddedilmektedir. Tespit edici kontroller de adından anlaşıldığı gibi gerçekleşmektedir. Yani, daha önceden tanımlanmış bir program mantığını esas alarak hataları tespit etmektedirler. Tespit edici kontrole örnek olarak, bir satıcı faturasında belirtilen fiyat ile sipariş fiyatı arasında lehte veya aleyhte bir farklılığın bulunması örnek verilebilir. Özellikle doğası gereği tespit edici olan uygulama kontrolleri, ortamda kullanılan manüel kontrolleri desteklemek amacıyla da kullanılmaktadır. En dikkat çekici olanı ise, bir tespit edici kontrolden elde edilen veri ve sonuçların bir izleme kontrolünü desteklemek amacıyla kullanılabilmesidir. Örneğin bir önceki paragrafta açıklanan tespit edici kontrol örneği, sipariş fiyatları arasındaki farkları bir raporda sıralamak amacıyla bir program kullanarak her türlü istisnayı kaydedebilir. Yönetimin bu istisnaları incelemesi daha sonra bir izleme kontrolü sayılabilir. Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri İDY’lerin ve onlara bağlı personelin uygulama kontrolleri ile Genel Bilgi Teknolojisi Kontrolleri (ITGC’ler) arasındaki ilişkiyi ve farkı anlamaları önem arz etmektedir. Aksi takdirde, bir uygulama kontrol incelemesinin kapsamı uygun bir biçimde belirlenemeyebilir; bu da denetimin kalitesini ve kapsamını etkileyebilir. ITGC’ler, bir kurumda veya sistem ortamında yer alan tüm sistemleri, unsurları, süreçleri ve verileri kapsamaktadır.6 Bu kontrollerin amacı, uygulamaların uygun bir şekilde geliştirilmesi ve yürütülmesinin yanı sıra program ve veri dosyaları ile bilgisayar işlemlerinin bütünlüğünü sağlamaktır.7 En yaygın ITGC’ler arasında: Altyapı, uygulamalar ve veriler üzerinde yapılan mantıksal erişim kontrolleri; Sistem geliştirme yaşam döngüsü kontrolleri; Program değişiklik yönetimi kontrolleri; Veri merkezinde yapılan fiziksel güvenlik kontrolleri; Sistem ve veri yedekleme ve kurtarma kontrolleri ve Bilgisayar işlemleri kontrolleri bulunmaktadır. Uygulama kontrolleri bilgisayar-tabanlı uygulama sistemiyle ilgili işlem ve verilerin tümüyle bağlantılı olduğu için, her bir münferit uygulamaya özgüdürler. Uygulama kontrollerinin amaçları, program işlemenin bir sonucu olarak kayıtların tamlığını ve doğruluğunu ve her kayda girilen girişlerin geçerliliğini temin etmektir.8 Diğer bir deyişle, uygulama kontrolleri 6 GTAG-1: Bilgi Teknolojisi Kontrolleri, s. 3. ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14, s.3. 7,8 7 belirli bir uygulamaya özgüyken, ITGC’ler değildir. Yaygın uygulama kontrol faaliyetleri arasında: Satış emirlerinin müşteri kredi limit parametreleri dâhilinde işlenip işlenmediğini tespit etmek; Mal ve hizmetlerin yalnızca onaylanmış bir siparişle tedarik edildiğinden emin olmak; Görevdağılımını tanımlanmış görev sorumluluklarını esas alarak izlemek; Satın alınan malların teslim alınması üzerine borcun kesinleştiğini belirlemek; Duran varlık amortismanının uygun mali dönemde ve doğru kaydedildiğini temin etmek ve Sipariş, alıcı ve satıcı faturası arasında bir üçlü fatura eşleme olup olmadığını tespit etmek yer almaktadır. Ek olarak, yönetimin risk yönetimi konusunda uygulama kontrollerine ne kadar güvenebileceğini İDY’lerin not etmesi önemlidir. Bu güven doğrudan ITGC’lerin tasarımına ve faaliyet etkinliğine bağlıdır. Başka bir deyişle bu kontroller etkin bir biçimde uygulanıp kullanılmadığı takdirde, kurum, riskleri yönetmek için uygulama kontrollerine güvenmeyebilmektedir. Örneğin program değişikliklerini takip eden ITGC’ler etkin değilse, bu durumda üretim ortamına yetkisiz, onaylanmamış ve test edilmemiş program değişiklikleri uygulanarak uygulama kontrollerinin genel bütünlüğünü riske atabilir. Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan Ortamlar Kurumun BT ortamının karmaşıklığı veya kompleks yapısının genel risk profiline ve ilgili mevcut yönetim stratejileri üzerinde doğrudan bir etkisi vardır. Karmaşık bir BT altyapısına sahip kurumlar şu özelliklere sahiptir: Mevcut uygulamalar, veritabanları ve sistemlerde değişiklikler yapılması; Firma-içi geliştirilmiş kritik yazılımlar için kaynak kodunun oluşturulması; Kurumun işleme gereksinimlerine göre hazır paket yazılımların uyarlanıp özelleştirilmesi; Hazır paket uygulamalar, değişiklikler ve kodun üretim ortamına aktarılması.9 Diğer yandan, daha az karmaşık bir BT ortamına sahip kurumlarda şu özellikler görülmektedir: Mevcut BT ortamında birkaç değişiklik yapılması; Cari yılda tamamlanan hazır bir paket finansal uygulamanın önemli modifikasyonlar (uyarlamalar) yapılmadan yürütülmesi; Uygulamanın fonksiyonlarını önemli düzeyde değiştirmeyen, kullanıcı tarafından ayarlanabilen seçeneklerin bulunması ve BT geliştirme projelerinin eksikliği.10 9 Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO) Mali Raporlamaya Yönelik İç Kontroller Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.61 10 COSO, Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.56 8 Bu farklardan da görüldüğü gibi, hareket ve destek uygulamalarının karmaşıklığı ile içsel ve ayarlanabilir uygulama kontrollerine ulaşabilme, kullanma ve bu kontrollere duyulan güven arasında doğrudan bir bağıntı bulunmaktadır. Diğer bir ifadeyle, daha az karmaşık bir BT altyapısı, risk yönetimi için pek fazla içsel veya ayarlanabilir uygulama kontrolleri sunmayabilir. Dolayısıyla, hareket ve destek uygulamasının karmaşıklık düzeyi, bir uygulama kontrol incelemesinin yürütülmesi için gereken kapsam belirleme, yürütme, çaba düzeyi ve bilgiyi, aynı zamanda iç denetçilerin danışman sıfatıyla yardım etme düzeyini etkileyecektir. Uygulama Kontrollerine Güvenmenin Faydaları Uygulama kontrollerine güvenip dayanmak pek çok fayda sağlayabilir. Aşağıda kilit faydalar açıklanmıştır. Güvenilirlik İnsan müdahalesinden kaynaklanan kontrol hatalarının ortaya çıkma ihtimalini değerlendirmek konusunda uygulama kontrolleri manuel kontrollerden daha güvenilirdir. Bir uygulama kontrolü yapılır yapılmaz ve bir uygulamada, veritabanında veya destekleyici teknolojide küçük bir değişiklik yapıldığı takdirde, yeni bir değişiklik ortaya çıkana kadar kurum uygulama kontrolüne güvenebilir. Ayrıca, sistematik doğasına doğrudan etki eden ITGC’ler etkin çalıştığı sürece uygulama kontrolü de etkin çalışmaya devam edecektir. Bu, özellikle BT yöneticileri için program değişiklikleri ve görev dağılımıyla ilgili kontrollerde geçerlidir. Sonuç olarak test dönemi süresince, denetçi, kontrolü birkaç değil tek seferde test edebilecektir. Kıyaslama ABD Halka Açık Şirketler Muhasebe Gözetim Üst Kurulu (PCAOB) Denetim Standardı No. 5’e ait Ek-B: Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim dokümanında uygulama kontrollerinin kıyaslanabileceği, çünkü bu uygulamalar genellikle insanların hatalarından kaynaklanan arızalara maruz kalmamaktadırlar. Program değişikliklerini ve programlara erişimi izlemek için kullanılan genel kontroller ile bilgisayar işlemleri etkili ve verimli olduğu ve düzenli olarak test edilmeye devam edildiği takdirde, iç denetçi bir önceki senenin kontrol testini tekrarlamak zorunda kalmadan uygulama kontrolünün etkin ve etkili olduğu sonucuna varabilecektir. Bu, özellikle, iç denetçi uygulama kontrolünün denetçi tarafından son test edildiğinden beri değişmediğini doğruladığı takdirde doğrudur.11 Ek olarak, kontrolün değişmediğini doğrulamak için iç denetçinin elde etmesi gereken bulguların doğası ve kapsamı, kurumun program değişiklik kontrollerinin sağlamlığı gibi durumlara bağlı olarak çeşitlilik gösterebilir.12 Dolayısıyla belirli bir kontrol için kıyaslama 11 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29 12 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29. 9 stratejisi kullanırken denetçinin ilgili dosyalar, tablolar, veriler ve parametrelerin uygulama kontrolünün fonksiyonelliği üzerindeki etkisini düşünmesi gerekmektedir. Örneğin faiz gelirini hesaplayan bir uygulama, otomatik hesaplamada kullanılan bir oran tablosunun sürekli bütünlüğüne bağlı olabilir.13 Denetçinin, uygulamanın ne sıklıkta değiştiğini dikkate alarak, bir otomatik kontrol kıyaslamasının uygun bir biçimde nasıl kullanıldığını değerlendirmesi gerekmektedir. Bu nedenle, kod değişikliği sıklığı arttıkça bir uygulama kontrolünün kıyaslama stratejisine güvenme olasılığı da azalmaktadır. Ek olarak, denetçinin sistemde yapılan değişikliklerle ilgili bilgilerin güvenilirliğini değerlendirmesi gerekmektedir. Bu nedenle; uygulamada, veritabanında veya destekleyici teknolojide yapılan değişikliklerle ilgili doğrulanabilir bilgi veya raporlar yok denecek kadar azsa, uygulamanın kıyaslamaya uygun olma ihtimali düşüktür. Ancak şirketler hiçbir kaynak kod geliştirmesine veya uyarlamasına izin vermeyen hazır paket yazılım kullandıklarında kıyaslama özellikle etkili olmaktadır. Bu gibi bir durumda kurumun kod değişikliğinden daha ötesini düşünmesi gerekmektedir. Karmaşık bir uygulama dâhilindeki SAP veya Oracle Financial gibi bir uygulama kontrolü, herhangi bir kod değişikliğine gerek kalmadan kolayca değiştirilebilir, etkisiz veya ya da etkin hale getirebilir. Son olarak, parametre ve konfigürasyon değişikliklerinin çoğunun uygulama kontrolü üzerinde anlamlı bir etkisi vardır. Örneğin, tolerans düzeyi kontrollerini etkisiz hale getirmek için tolerans düzeyleri kolayca manipüle edilebilir ve satınalma onay kontrolleri onay stratejileri değiştirilerek manipüle edilebilir. Bütün bunlar hiçbir kod değişikliğine gerek olmadan yapılabilir. Kurumların, kıyaslamanın ne kadar süre etkin olabileceğini tespit etmeleri için her bir uygulama kontrolünü değerlendirmeleri gerekmektedir. Kıyaslama artık etkisiz hale geldiğinde, uygulama kontrolünü yeniden test ederek taban çizgisini tekrar belirlemek önemlidir. Uygulama kontrolünün hâlâ başlangıçta yapılan kıyaslamadaki gibi ve etkin çalışıp çalışmadığını tespit ederken denetçiler şu soruları sormalıdır: İş süreci ve uygulama kontrolüyle ilgili risk düzeyi ile uygulama kontrolünün ilk kıyaslandığı zamandaki risk düzeyi arasında herhangi bir değişiklik oldu mu (yani, iş süreci finansal, operasyonel veya düzenleyici kurallara uyumu, uygulama kontrolünün ilk kıyaslandığı zamandan anlamlı düzeyde daha yüksek riskle mi karşı karşıya bırakmaktadır)? ITGC’ler; mantıksal erişim, değişiklik yönetimi, sistem geliştirme, satınalma ve bilgisayarlı operasyon kontrolleri de dâhil etkin çalışıyor mu? Denetçi, değişikliklerin (varsa)uygulama kontrolleri içeren uygulamalar, veritabanları veya destekleyici kontroller üzerindeki etkilerini tam olarak anlayabilmekte midir? İş sürecinde yapılan değişiklikler, kontrolün tasarımına veya etkinliğine etki edebilecek uygulama kontrolüne mi dayanmaktaydı? 13 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29 - 30 10 Zaman ve Maliyetten Tasarruf Uygulama kontrolleri genellikle manuel kontrollerden daha az zaman almaktadırlar. Bunun nedeni, manuel kontrollerinörneklem büyüklüğü kontrollerin yapılış sıklığıyla ilgiliyken (örneğin günlük, haftalık, aylık, üç aylık veya yıllık), uygulama kontrollerinin örneklem büyüklüğünün kontrollerin yapılış sıklığına genellikle bağlı olmamasıdır (yani uygulama kontrolleri ya etkin bir biçimde çalışmaktadır ya da çalışmamaktadır). Ayrıca, ITGC’ler etkin olduğu sürece uygulama kontrolleri genellikle bir kez test edilmektedirler. Dolayısıyla, tüm bu faktörler bir araya gelerek bir manuel kontrole kıyasla uygulama kontrolünü test etmek için gereken saat sayısında anlamlı tasarruflar elde edilmesine yardımcı olabilir. İç Denetçilerin Rolü Bilgi Günümüzde kurumlar; riski yönetmek için doğal ve verimli yapıları, maliyet etkinliği ve güvenilirlikleri nedeniyle uygulama kontrollerine daha fazla güvenmektedirler. Geleneksel olarak, teknolojiyle ilgili kontroller deneyimli bir BT denetçisi tarafından test edilirken, finansal, operasyonel veya düzenleyici kontroller BT-dışı bir denetçi tarafından test edilmekteydi. Son birkaç yıl içinde BT denetçilerine olan talebin anlamlı bir şekilde artması ve herhangi bir düşme belirtisi de göstermemesine rağmen, tüm denetçilerin baştan sona tüm iş süreci kontrollerini değerlendirebilmeleri gerekmektedir. Ek olarak, IIA’nın Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) – spesifik olarak Standart 1220 ve 1210.A3’e göre, iç denetçilerin makul surette sağduyulu ve yetkin bir denetçinin dikkat ve becerisiyle hareket etmeleri14, ayrıca tüm iç denetçilerin birincil sorumluluğu BT denetimi olan bir denetçinin uzmanlığına sahip olmaları beklenmese de kendilerine verilen görevi gerçekleştirmek için gereken kilit BT riskleri, kontroller ve denetim teknikleri hakkında bilgi sahibi olmaları gerekmektedir.15 Başka bir ifadeyle, her iç denetçinin finansal, operasyonel veya düzenleyici riskleri yönetmek için BT riskleri ve kontrollerinin farkında ve bilincinde olması ve yürütülen uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığı ve etkin çalışıp çalışmadığını tespit edecek düzeyde yetenek ve beceri sahibi olmaları gerekmektedir. Danışmanlık ve Güvence Geleneksel güvence hizmetlerinden başka iç denetim biriminin kuruma değer katmak amacıyla başvurabileceği en büyük fırsatlardan biri, birçok biçimde yapılabilecek ve iş biriminin tüm bölümlerini kapsayabilecek danışmanlık görevleridir. Danışmanlık görevlerine örnek olarak, hareket veya destek uygulamalarının yürütülmesi veya güncellenmesi sırasında kontrollerin tasarlanması konusunda kurum personeline yardım etmek verilebilir. Maalesef, denetçilerin çoğu, kurumda yeni bir hareket veya destek uygulaması yürütüldüğünde ya da geniş çaplı bir güncelleme yapıldığında karşı karşıya kalınacak risklerin nasıl değişeceğini anlamak konusunda yönetime yardımcı olmamaktadır. Neredeyse tüm 14 15 IIA Standardı 1220: Azami Mesleki Özen IIA Standardı 1210.A3 11 durumlarda, iç denetçilerin sürece katılmaması bunu istememelerinden veya yeterince odaklanmamalarından kaynaklanmaz, aksine sistem geliştirme faaliyetleri hakkında bilgi sahibi olmamalarından veya yönetimin iç denetçilerin sürece katılımını istememesinden kaynaklanmaktadır. Sebep ne olursa olsun, iç denetçilerin bu faaliyetlerden haberdar olmasını sağlamak ve risk yönetim hizmetlerini sağlamak üzere iç denetçilerin sahip oldukları değer, bilgi ve uzmanlıkları uygun bir biçimde konumlandırmak İDY’nin sorumluluğundadır. Ayrıca iç denetçilerin, uygulamadan doğan riskleri yönetmeye yardımcı olmak için bu tür sistem geliştirme faaliyetlerine katılmaları ve uygulama kullanılmaya başlanmadan önce içsel ve ayarlanabilir kontrollerin etkin bir şekilde çalıştığından emin olmaları gerekmektedir. Aksi takdirde, uygulama kullanılmaya başlandıktan sonra bir inceleme yapmak, zayıf yönleri bulmak ve kontrolleri iyileştirmek çok daha maliyetli olacaktır. Aşağıda, iç denetçilerin sistem geliştirme çabaları sırasında uygulama kontrollerinebir danışmalık perspektifinden nasıl değer katacaklarına ilişkin örnekler verilmektedir. Bağımsız Risk Yönetimi Yeni ve önemli güncellemeler yapılmış hareket veya destek uygulaması yürütüldüğü zamanlarda iki şey meydana gelebilir: Birincisi, daha önceki ortamda riski yönetmek için mevcut olan otomatik veya manuel kontrollerin çoğu yeni kontrollerle değiştirilecektir. İkincisi de, uygulamanın risk profili değişebilir. Diğer bir deyişle, yeni uygulama beraberinde yeni içsel riskler getirecektir (yani uygulamada ne tür ayarlamalar yapıldığına bağlı olarak) ve riskler uygulama içerisinde hafifletilemeyeceği için manuel kontroller gerektirecektir. Dolayısıyla iç denetçiler, yeni uygulamanın getirilmesiyle birlikte güncel risklerin nasıl değişeceği konusunda kurumun çabalarına öncülük etmeseler de en azından yardımcı olabilirler. Bu, iç denetçilerin söz konusu hizmet düzeyini sunmak konusunda beceri sahibi olmaları ve yönetimden bağımsızlıkları nedeniyle bunu yapabilecek eşsiz konuma sahip olmalarından kaynaklanmaktadır. İç denetçilerin ve aşağıda sayılan diğer kişilerin bu hizmeti sunabilmeleri için, geliştirme aşamasındaki uygulama hakkında yeterli bilgiye sahip olmaları gerekmektedir. Bu bilgiye sahip olması gereken denetçilerin sayısı ve türü, geliştirme aşamasındaki uygulamaya, etkilenen iş süreçleri bakımından yürütmenin kapsamına, kurumun büyüklüğüne ve uygulama kurumun tamamına dağıtıldığında denetlenebilir birim veya alanların sayısına bağlıdır. İDY’ler, yeterli bilgi edinildiğinden emin olmak için kitap kullanımı, çevrimiçi dersler, sınıfiçi eğitim ve kurum-dışı danışmanlar dâhil farklı yollara başvurabilirler. Kontrollerin Tasarımı Yeni bir sistemin yürütülmesi veya önemli bir güncellemenin yapılması sırasında iç denetçilerin verebileceği başka bir değerli hizmet de bağımsız risk değerlendirmesinin kapsamını genişletmektir. Daha spesifik olmak gerekirse, denetçiler, risk değerlendirmesi sırasında tespit edilen riskleri hafifletmek için yönetime risklerin tasarımı konusunda yardımcı olabilirler. Bu göreve tayin edilen iç denetçiler yardımcı olarak değil, yürütme ekibinin bir parçası olarak hareket etmelidirler. Bu nedenle, uygulama kontrollerinin tasarımı için gereken 12 görevler, zaman ve iç denetim kaynaklarının sayısının genel proje planına dâhil edilmesi gerekmektedir. İDY’lerin, uygun sayıda denetçinin yanı sıra görevi yapabilecek gerekli beceri ve deneyime sahip denetçileri tayin etmeleri önemlidir. Birçok durumda denetçilerin proje üzerinde tam zamanlı olarak çalışması gerekebilir. Böyle bir durumda, İDY’ler projede çalışmak üzere seçilen personelin mevcut görevlerini departmandaki diğer iç denetçilere devretmelidir, böylece projeye tayin edilen denetçiler görevlerine odaklanabilecektir. Ayrıca, proje üzerinde çalışan iç denetçiler, sistemin uygulama yaşam döngüsü boyunca proje yöneticisine raporlamalarda bulunmalıdırlar. Uygulama kontrollerinin tasarımında yönetime yardımcı olmak amacıyla denetçiler atandığı takdirde, İDY’lerin, güvence hizmetlerinin resmi bir danışmanlık görevinden bir yıl sonra sunulması durumunda bağımsızlık ve objektifliğe zarar gelebileceğini not etmeleri gerekmektedir. Ek olarak, zararın etkisini minimize etmek için atılması gereken adımlar; her bir hizmet için farklı bir denetçi tayin etmek, denetçilerin bağımsız yönetim ve gözetimini gerçekleştirmek, proje sonuçlarına yönelik ayrı hesap verebilirlikler tanımlamak ve denetçilerin karşılaşacakları varsayılan zararları açıklamaktır. Son olarak, yönetim, tavsiye ve önerileri kabul etmek ve uygulamakla yükümlü olmalıdır.16 Başka bir ifadeyle, iç denetçi hareket veya destek uygulamasıyla ilgili kontrollerin tasarımına katıldığı takdirde, görevin tamamlanmasından sonraki ilk 12 ay içerisinde kontrollerin faaliyet etkinliği değerlendirmesine dâhil olmamalıdır. Eğitim İç denetçilerin eğitimle ilgili olarak kuruma katabileceği değer yalnızca uygulama kontrolleriyle sınırlı değildir. İç denetçilerin kuruma değer katabileceği diğer bir kilit fırsat da kontroller eğitimidir. Bir uygulama kontrolü perspektifinden bakıldığında, iç denetçiler: Yeni uygulama çevrimiçi olarak sunulur sunulmaz risk profilinin nasıl değişeceği; Geliştirme aşamasındaki uygulamalarda mevcut bilinen içsel kontrol zayıflıkları; Tespit edilmiş zayıflıkları hafifletmeye yönelik ileriye dönük çözümler ve Sistem geliştirme çabalarının bir parçası olarak denetçilerin yönetime sunabileceği çeşitli farklı hizmetler konusunda yönetime eğitim verebilirler. Kontroller Testi Yürütme ekibi risk değerlendirmesine dayanan kontroller tasarlayıp yaydığı takdirde veya böyle bir uygulama olmasa bile,iç denetçiler uygulama kontrollerini bağımsız olarak test ederek sürece değer katabilirler. Test, kontrollerin layığıyla tasarlanıp tasarlanmadığını ve uygulama kuruma yayılır yayılmaz bu kontrollerin etkin bir şekilde çalışıp çalışmayacağını tespit etmelidir. Kontrollerden herhangi biri layığıyla tasarlanmadığı veya etkin çalışmadığı 16 IIA Standardı 1130.C1 13 takdirde, uygulama kurumun tamamına yayıldığı zaman yönetilmemiş risklerin bulunmasını önlemek için, denetçiler bu bilgiyle beraber her türlü tavsiye ve önerileri yönetime sunmalıdır. Uygulama İncelemeleri Hareket ve destek uygulamaları, genel kontrol ortamındaki önemlerine bağlı olarak zaman zaman kontrol incelemeleri gerektirebilirler. Bu incelemelerin sıklığı, kapsamı ve derinliği, uygulamanın türüne ve finansal raporlama, mevzuata uyum ya da operasyonel koşullara etkisine ve kurumun risk yönetimiyle ilgili amaçları konusunda uygulama kapsamındaki kontrollere olan güvenine göre çeşitlilik göstermelidir. 3. Risk Değerlendirmesi Risk Değerlendirme Denetçi, risk değerlendirme inceleme planı geliştirirken kurumun raporlama, operasyonel koşullar ile mevzuata uyum koşullarına ilişkin kritik zafiyetleri tespit etmek amacıyla risk değerlendirme tekniklerini kullanmalıdır. Bu teknikler arasında: İncelemenin doğası, zamanı ve kapsamı; Uygulama kontrollerinin desteklediği kritik iş fonksiyonları ve İnceleme için harcanacak zaman ve kaynakların büyüklüğü bulunmaktadır. Ek olarak, inceleme için uygun bir kapsam belirlerken denetçilerin sorması gereken dört kilit soru şunlardır: 1. Yönetimin görüşlerini dikkate alırken değerlendirilmesi ve yönetilmesi gereken kurum-çaplı en büyük riskler ve denetim komitesinin ana kaygı ve sorunları nelerdir? 2. Hangi iş süreçleri bu risklerden etkilenmektedir? 3. Bu süreçleri gerçekleştirmek için hangi sistemler kullanılmaktadır? 4. Süreçler nerelerde gerçekleştirilmektedir? Riskleri tespit ederken, denetçiler, kontrol incelemesine hangi uygulamaları dâhil edeceklerini ve hangi testlerin yapılacağını belirlemek için yukarıdan aşağı bir risk değerlendirmesi kullanmayı faydalı bulabilirler. Örneğin Şekil-1, finansal raporlama risklerini ve incelemenin kapsamını belirlemeye yönelik etkili bir metodolojiyi ana hatlarıyla göstermektedir. 14 Şekil-1: Mali tablo risk analiz yaklaşımı Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı Kurum-çaplı uygulama kontrolü risk değerlendirme faaliyetlerine değer katmak için iç denetçilerin aşağıda sayılanları yerine getirmesi gerekmektedir: Uygulama kontrollerini kullanan uygulamalar, veritabanları ve destekleyici teknolojilerin evrenini tanımlamanın yanı sıra risk değerlendirme süreci sırasında dokümante edilen risk ve kontrol matrislerini kullanan risk ve kontrolleri özetlemek. Her uygulama kontrolüyle ilişkili risk faktörlerini tanımlamak. Bu riskleri arasında: o Birincil (yani kilit nitelikteki) uygulama kontrolleri; o Uygulama kontrolleri tasarımının etkinliği; o Hazır paket veya geliştirilmiş uygulamalar veya veritabanları. Yapılandırılmamış hazır paket veya geliştirilmiş uygulamalara karşılık yüksek düzeyde yapılandırılmış firma-içi veya satın alınmış uygulamalar; o Uygulamanın birden fazla kritik iş sürecini destekleyip desteklemediği; o Uygulamanın işlediği verilerin sınıflandırılması (örneğin finansal, mahrem veya gizli) 15 o Uygulamalar veya veritabanlarındaki değişikliklerin sıklığı; o Değişikliklerin karmaşıklığı (örneğin, tablo değişikliklerine kıyasla kod değişiklikleri) o Uygulama kontrollerinin finansal etkisi; o ITGC’lerin uygulamadaki etkinliği (örneğin değişiklik yönetimi, mantıksal güvenlik ve operasyonel kontroller) ve o Kontrollerin denetim geçmişi. Hangi risklere diğerlerinden daha fazla ağırlık verileceğini belirlemek amacıyla tüm risk faktörlerini ölçüp tartmak; Aşağıda verilen nitel ve nicel ölçekleri dikkate alarak her bir uygulama kontrol riskini derecelendirmek için doğru ölçeği belirlemek: o Düşük, orta veya yüksek kontrol riski; o Nitel bilgileri esas alan sayısal ölçekler (örneğin 1=düşük-etkili risk, 5=yüksek-etkili risk, 1=güçlü kontrol ve 5=yetersiz kontrol); o Nicel bilgileri esas alan sayısal ölçekler (örneğin 1= <50.000 USD ve 5= > 1.000.000 USD); Risk değerlendirmesini yapmak ve tüm risk alanlarını derecelendirmek; Risk değerlendirme sonuçlarını değerlendirmek ve Risk değerlendirmesi ve derecelendirilen risk alanlarına dayanan bir risk inceleme planı oluşturmak. Şekil-2’de nitel derecelendirme ölçeği (1=düşük etki veya risk, 5=yüksek etki veya risk) kullanan bir uygulama kontrol risk değerlendirmesine bir örnek verilmiştir. Her uygulamanın toplam puanı, her bir risk faktörünün ve ağırlığının çarpılması ve toplamların birbirine eklenmesiyle hesaplanır. Örneğin, tablonun ilk satırındaki 375 toplam puanı, risk faktör oranının uygulamaya özgü oranla çarpılmasıyla [(20 x 5) + (10 x 1) + (10 x 5) + …] hesaplanmaktadır. Bu örnekte, denetçi, uygulama kontrol incelemesinin 200 veya daha yüksek puanlı tüm uygulamaları kapsayacağını tespit edebilir. Risk Faktörü Ağırlıklandırması 20 Uygulama Uygulama Birincil Kontrolleri İçerir. 10 Uygulama Kontrolleri Tasarımının Etkinliği 10 Hazır Paket veya Geliştirilmiş 10 Uygulama Birden Fazla Kritik İş Sürecini Destekler 10 10 Değişikliğin Sıklığı Değişikliğin Karmaşıklığı 15 Finansal Etki 15 ITGC’lerin Etkinliği Toplam Puan APPA 5 1 5 5 3 3 5 2 375 APPB 1 1 2 1 1 1 4 2 170 APPC 5 2 2 1 5 5 5 2 245 APPD 5 3 5 1 5 5 5 2 395 APPE 5 1 1 1 1 1 3 2 225 Şekil-2: Uygulama kontrol risk değerlendirmesine bir örnek. 16 4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi Aşağıda uygulama kontrollerinin inceleme kapsamını tespit etmeye yönelik iki yöntem verilmektedir. İç denetçiler, incelemenin kapsamı, derinliği, yaklaşımı ve sıklığının risk değerlendirme sonuçlarına ve iç denetim kaynaklarının ulaşılabilirliğine bağlı olduğunu unutmamalıdırlar. Kapsam belirleme için seçilen yöntem ne olursa olsun, incelemedeveri girdi kontrolleri, işleme kontrolleri ve çıktı kontrollerinin bir değerlendirmesi bulunmalıdır. İş Süreci Yöntemi İş süreci kapsam belirleme yöntemi, belirli bir iş sürecini destekleyen tüm sistemlerde mevcut uygulama kontrollerini değerlendirmek için kullanılan bir yukarıdan aşağı inceleme yaklaşımıdır. Son birkaç yıl içinde bu yöntem en yaygın ve en geniş çapta kabul edilen kapsam belirleme yöntemi olarak önem kazanmıştır. Bu durum, esas olarak ERP hareket uygulamasının kullanımındaki artış ve bağımsız, “türünün en iyisi” uygulamalarının azalmasından kaynaklanmaktadır. ERP-dışı dünyada iş süreci yöntemini kullanırken, iç denetçiler, inceleme kapsamına, genellikle bağımsız sistemler oldukları için inceleme konusu iş sürecine katılan ve şirket tarafından kullanılan tüm uygulamaları dâhil etmelidirler. Başka bir deyişle, iç denetçilerin, inceleme kapsamına iş süreci döngüsünün farklı bileşenlerini oluşturan ayrı uygulamaları dâhil etmeleri gerekmektedir. Ardından, iç denetçi, inceleme konusu uygulamadaki gelen ve giden arayüzleri tespit ederek kapsam belirleme faaliyetini tamamlayabilir. Uygulama kontrolleri incelemesinin kapsamını belirlemek için iş süreci yöntemini kullanmak, ERP sistemi gibi entegre uygulamalarda farklıdır, çünkü iş süreçleri çoklu modüllerin ötesine geçmektedir. Örneğin, tedarik işleminden ödemeye kadar olan iş sürecini düşününüz. Bir ERP ortamında bu süreç genellikle tedarik, stok yönetimi, büyük defter ve borçlu hesap modüllerini veya ERP sistemi içerisindeki alt-uygulamaları kapsamaktadır. Bu nedenle, iş sürecini ve verilerin nasıl yönetildiği ve bir modülden diğerine aktığını da içine alan modülleri tam olarak anlamak önemlidir. Tekli Uygulama Yöntemi Tekli uygulama kapsam belirleme yöntemi, denetçi bir iş süreci kapsam belirleme yaklaşımı benimsemek yerine uygulama kontrollerini bir tekli uygulama veya modül dâhilinde incelemek istediğinde kullanılmaktadır. Bir önceki bölümde de tartışıldığı gibi, ERP-dışı veya entegre olmayan bir ortamda en etkili kapsam belirleme yöntemi budur, çünkü denetçi uygulamanın etrafına kolaylıkla “bir kutu çizebilir” (yani uygulamayı kapsama dâhil edebilir). Başka bir ifadeyle, veriler ve ilgili işleme kuralları yalnızca bir uygulamaya dâhil edildiği ve bu uygulamada kullanıldığı için denetçi gelen veri girdileri ve çıktılarını belirleyebilir ve tanımlayabilir. Ancak bir ERP ortamı veya entegre ortamda bu yöntem istenmemektedir. Bir ERP veya entegre hareket sistem modülünün etrafına bir kutu çizmek oldukça kolay görünse de, gerçek şu ki bu faaliyet epey zor olabilir. Bunun nedeni, belirli bir modüle giren ve modülden çıkan birden fazla veri beslemesi bulunabilir ve bunları tespit etmeye çalışmak boşuna bir uğraş 17 olabilir. Dolayısıyla modül yaklaşımını kullanmanın yetersiz bir incelemeye yol açma olasılığı vardır ve ERP ortamında veya entegre ortamda iş süreci yöntemini kullanmak daha etkili bir kapsam belirleme yöntemidir. Erişim Kontrolleri Uygulama kontrolleri incelemesinin kapsamını belirlemek için seçilen yöntem ne olursa olsun, modülveya uygulamanın mantıksal erişim kontrolleri periyodik olarak gözden geçirilmelidir. Çoğu durumda, kullanıcı ve yöneticilerin erişim hakları (örneğin okumak, yazmak, silmek) uygulama içerisindeki dâhili güvenlik platformu ve araçları kullanılarak oluşturulur. Kullanıcılara hangi mantıksal hakların verileceğini belirlemek için başvurulan stratejiler, ‘bilinmesi gereken’ bir zeminden ‘muhafaza edilmesi gereken’ bir zemine kadar çeşitlilik göstermektedir. Bunlar dikkate alınmaksızın, erişim hakları kullanıcının görev ve sorumluluklarına göre verilmelidir. Mantıksal erişim haklarının nasıl oluşturulduğu paketten pakete farklılık göstermektedir. Bazı durumlarda mantıksal erişim hakları bir hareket koduna veya bir ekran adı ya da numarasına göre verilmekte, SAP R/3 gibi başka sistemler ise daha karmaşık, nesne-tabanlı güvenlik protokolleri kullanmaktadırlar. Bir uygulamanın mantıksal erişim kontrolleri incelendiği zaman, genel uygulama güvenlik kontrollerinin de incelendiğinden emin olmak önem taşımaktadır. Bu kontroller arasında: Kullanıcı adı veya kullanıcı kimliğinin uzunluğu; Parolanın uzunluğu; Paroladaki karakterlerin kombinasyonu; Parola yaşlanması (örneğin, kullanıcılar 90 günde bir parolalarını değiştirmek zorundadırlar); Parola döngüsü (örneğin, kullanıcılar, en son kullandıkları 5 parolayı kullanamazlar); Başarısız oturum açma girişimleri belirli bir sayıya ulaştıktan sonra kullanıcı hesabının kilitlenmesi ve Oturum zaman aşımı (örneğin, kullanıcı uygulamada 15 dakika içerisinde herhangi bir işlem yapmadığı takdirde uygulama kullanıcının oturumunu otomatik olarak kapatır) bulunmaktadır. En yeni nesil uygulamalar, yukarıda sayılanlar gibi yönetimin ayarlayabileceği parametrelerle oluşturulmaktadırlar. Ancak bazı durumlarda yönetim, parametre(ler)i etkinleştirmeyi unutabilirler veya her parametre için kullanılan ayarlar en iyi uygulama standartlarına uygun olmayabilirler. Örneğin parola yaşlanma parametresi her 90 günde bir parola değişimi gerektirecek şekilde ayarlanabilir. Ek olarak, denetçiler, geliştirme ve test ortamındaki yönetici erişim haklarını periyodik aralıklarla gözden geçirmelidirler. 18 5. Uygulama İnceleme Yaklaşımları ve Diğer Konular İnceleme için uygun bir kapsam belirlenir belirlenmez bir sonraki görev incelemenin nasıl yürütüleceğine karar vermektedir. Seçilen standart denetim metodolojisinin yanı sıra, aşağıda, kapsamı düzgünce belirlenmiş bir uygulama kontrol incelemesini yürütmek konusunda denetçilere yardımcı olabilecek öneriler yer almaktadır. Planlama Risk değerlendirmesini tamamladıktan ve incelemenin kapsamını belirledikten sonra, denetçilerin detaylı inceleme planının geliştirilmesi ve iletilmesine odaklanmaları gerekmektedir. Detaylı inceleme planı geliştirilirken atılacak ilk adım, aşağıda verilen uygulama kontrol inceleme bileşenlerini sıralayan bir planlama tutanağı oluşturmaktır: Yapılacak tüm inceleme prosedürleri; Kullanılan her türlü bilgisayar-destekli araçlar ve teknikler ve bunların nasıl kullanıldığı; Varsa örnek boyutları; Seçilecek inceleme öğeleri ve İncelemenin zamanı. Tutanak hazırlanırken gereken iç denetim kaynaklarının tümünün planlama ekibine dâhil edilmesi gerekmektedir. BT uzmanlarının belirlenip planlama sürecine dâhil edilmesi de bu sırada yapılmalıdır. Planlama tutanağını tamamladıktan sonra, denetçinin detaylı bir inceleme programı hazırlaması gerekmektedir (bir denetim programı örneği için bakınız Ek-B sayfa 21). İnceleme programı hazırlanırken yönetimle şu konuların tartışılacağı bir toplantı yapılmalıdır: Yönetimin risklerle ilgili kaygıları; Daha önceden rapor edilen sorunlar; İç denetim biriminin risk ve kontrol değerlendirmesi; İnceleme metodolojisinin bir özeti; İncelemenin kapsamı; Kaygıların nasıl iletileceği; İnceleme ekibinde hangi yöneticilerin çalışacağı; Gereken her türlü ön bilgiler (örneğin, raporlar) ve İncelemenin uzunluğu. Risk değerlendirme aşamasının bir özetini çıkarmanın yanı sıra, bu toplantının önemli bir parçası da yönetimin desteğini almaktır. Tartışmaların inceleme planlama aşamasının başında yapılması gerekirken, planlanan kapsamla ilgili yönetimin de mutabık olduğundan emin olmak için kilit iş süreçleri, riskler ve kontroller inceleme süreci boyunca tartışılmalıdır. Bilinen her türlü kaygılar, spesifik olarak risk değerlendirme veya planlama aşaması sırasında tespit edilen tüm sorunlar (bu sorunların doğruluğu ispatlanmamış olsa bile) yönetime bildirilmelidir. Tespit edilen riskler ve kontroller hakkında yönetimin de aynı fikirde 19 olduğundan emin olmak için tartışmalar yapılmalıdır. Böylelikle, ekip, derhal düzeltici eylemde bulunmak ve kurum çapında uygun, risk bilinçli davranışı teşvik etmek konusunda yönetim üzerinde etkili olabilir. Bunun için, denetçiler, yönetime incelemenin yapılacağını duyuran bir mektup yollayabilirler. Bu mektupta: İncelemenin beklenen başlangıç tarihi; İncelemenin zaman çerçevesi ve İnceleme konusu kilit iş alanları yer almalıdır. Uzman Denetim Kaynaklarına Olan İhtiyaç İç denetçi incelemenin kapsamını değerlendirmeli ve incelemenin bir kısmını yapması için bir BT denetçisine ihtiyaç olup olmayacağını tespit etmelidir. Bununla beraber, inceleme ekibine bir BT denetçisi dâhil etmek, denetçiyi BT kontrollerinin yeterliliğini değerlendirme yükümlülüğünden kurtarmamaktadır. BT denetçisi, sadece, verilerin bütünlüğü ve hareketlerin doğruluğu, tamlığı ve yetkisini belirlemek için kurumun BT’ye olan güven ve bağlılığını değerlendirecektir. BT denetçilerinin gözden geçirebileceği bir diğer faktör, uygulama tarafından işlenen hareketlerin sayısıdır. Uygulama kontrollerinin etkinliğini değerlendirmek ve raporlamak için özel araçlar gerekebilir. BT denetçileri tarafından toplanan bilgilerle birlikte iç denetçinin sahip olduğu bilgiler, uzman kaynakların gerekli olup olmadığının tespitine yardımcı olacaktır. Uzman kaynakların ne zaman gerekli olduğuna ilişkin verilen bir örnek, büyük bir imalat şirketi için Oracle eBusiness Suite uygulamasının kurulumu sırasında görev dağılımı incelemesini kapsamaktadır. Uygulama ve veritabanındaki rol ve görevlerin karmaşıklığından dolayı, Oracle uygulamasının yapılandırma kapasiteleri hakkında yeterli bilgiye sahip personelin kullanılması gerekmektedir. İncelemeyi kolaylaştırmak için Oracle uygulaması ve veritabanından veri madenciliği yapmasını bilen ek personele ihtiyaç duyulabilir. Ayrıca inceleme ekibi, veri özütleme ve analizini kolaylaştırmak üzere spesifik bir bilgisayar-destekli denetim aracına aşina olan bir uzmana gereksinim duyabilir. İş Süreci Yöntemi Bir önceki bölümde, iş süreci yönteminin uygulama kontrolü incelemesi kapsam belirlemesinde en yaygın kullanılan yöntem olduğu tespit edildi. Günümüz dünyasında birçok hareket uygulaması bir ERP sistemine entegre edilmektedir. Bu ERP sistemlerinden geçen ticari işlemler yaşam döngüleri boyunca pek çok modülle etkileşime girebileceğinden, incelemeyi gerçekleştirmenin en iyi yolu bir iş süreci veya döngü yaklaşımı kullanmaktır (yani, iş süreci dâhilindeki verileri oluşturan, değiştiren veya silen işlemleri tanımlamak ve en azından ilgili girdileri, işleme ve çıktı uygulama kontrollerinitest etmek). İncelemeye karşı sergilenecek en iyi yaklaşım, Şekil-3’te gösterilen dört aşamalı modeli kullanarak iş süreçlerini bölümlere ayırmaktır: Mega Süreç (Aşama 1): Satın al -öde süreci gibi tam,baştan-sona sürece atıf yapmaktadır. 20 Ana Süreç (Aşama 2): Baştan-sona sürecin tedarik, teslim alma ve teslim alınan mallara karşılık ödeme yapma gibi ana bileşenlerine atıf yapmaktadır. İkincil veya Alt Süreç (Aşama 3): Bu aşamada, ana süreçlerin satın alma talebi ve sipariş oluşturma gibi ikincil, alt süreçleri sayılmaktadır. Faaliyet (Aşama 4): Son aşamada, ikincil ya da alt süreç bileşenleri için verilerin oluşturulması, değiştirilmesi veya silinmesiyle sonuçlanan sistem hareketleri sayılmaktadır. Uygulama kontrollerine işletme-merkezli bir bakış açısıyla yaklaşmak, incelemenin yeterince kapsamlı ve kurum için anlamlı olduğundan emin olmak açısından elzemdir. Bu noktadan itibaren, inceleme, münferit bir görev veya entegre bir incelemenin parçası olarak yerine getirilebilir. Mega Süreç(Aşama1): Satın Al -Öde Ana Süreç (Level2) Alt Süreç (Level3) Faaliyet (Aşama4) Satın alma Talep işlemi Oluştur, değiştir ve sil Sipariş işlemi Oluştur, değiştir, sil onay ve serbest bırakma Mal alım işlemi Oluştur, değiştir ve sil Mal iade işlemi Oluştur, değiştir ve sil Borçlu Hesaplar Satıcı yönetimi Oluştur, değiştir ve sil Teslim Alma Fatura işlemi Oluştur, değiştir ve sil Alacak dekontu işlemi Ödeme işlemleri Oluştur, değiştir ve sil Geçersiz ödemeler Oluştur, değiştir ve sil Oluştur, değiştir ve sil Şekil-3: Bir iş sürecinin bölümlere ayrılması 21 Üçgenler süreçteki her bir kontrolü temsil etmektedir. Her kontrolün numarası, Risk ve Kontroller Matrisinde verilen faaliyetlerle bağlantılıdır. Şekil-4: Bir satın al -öde süreci akış şeması Dokümantasyon Teknikleri İç denetçilerin kullandığı dokümantasyon standartlarına ilaveten, her bir uygulama kontrolünü belgelemek için aşağıda verilen yaklaşımlar önerilmektedir. Akış Şemaları Hareket akışlarını resimleyerek gösterdikleri için akış şemaları, hareketlerin ve bir baştansona iş süreci içerisinde kullanılan ilgili uygulama ve manuel kontrollerin akışı hakkında bilgi edinmek amacıyla yararlanılan en etkili tekniklerden biridir. Şekil-4, satın al -öde sürecine ait bir akış şeması örneği göstermektedir. Kontrol tanımlarının kendisini akış şemasına yerleştirmek zor olduğu için, bunun yerine kontrolleri akış şemasında basitçe numaralamak ve bir risk ve kontroller matrisi (bakınız Şekil-6, sayda 14-17) gibi kontrol tanımlarını ve ilgili bilgileri içeren ayrı bir doküman hazırlamak daha mantıklıdır. Ancak akış şemaları her zaman pratik olmayabilir ve bir süreç açıklaması bazen daha uygun olabilir. Bu durum genellikle, denetçinin alanları ve BT ortamında yapılan işleri dokümante ederken ortaya çıkmaktadır. Pek çok durumda BT biriminin yaptığı iş ve ilgili uygulama kontrolleri, satın al -öde gibi iş süreçlerinde olduğu gibi doğrusal bir biçimde ilerlememektedir. Süreç Açıklamaları Süreç açıklamaları, Şekil-5’te gösterildiği gibi, iş süreci hareket akışlarını ilgili uygulamalarıyla birlikte belgelemek için kullanılan bir diğer tekniktir. Bu açıklamalar, en iyi şekilde, nispeten karmaşık olmayan iş süreçleri ve BT ortamları için bir dokümantasyon aracı olarak kullanılmaktadır. Çünkü iş süreci ne kadar karmaşık olursa, sürecin gerçek yapısını 22 yeterli ve doğru bir biçimde yansıtacak bir süreç açıklaması oluşturmak o denli zor olacaktır. Bu nedenle nispeten karmaşık iş süreçleri dokümante edildiğinde, denetçiler, akış şemasıyla birlikte bu akış şemasına denk düşen bir süreç açıklaması oluşturmalı ve bu süreç açıklamasında kontrolleri numaralandırmalıdır. Denetçiler, risk ve kontroller matrisi gibi ayrı bir doküman da oluşturmalıdırlar. Açıklama Satın Al – Öde Başlıca İrtibat(lar) Kilit Bileşenler C1,C2,C3,C4,C5,C6,C7,C8,C9,C10,C11, C12,C13 veC14. Şekil-5: Risk ve kontrol matrisi Aşağıda, satın al -öde sürecini kapsayan süreç açıklamasına bir örnek verilmektedir. 1) Satın alma a) Talep Etme: i) Çalışanların mal ve hizmet satın alması gerektiğinde, satınalma uygulamasında bir satınalma talebi oluşturacaklardır (C1 Kontrolü). Talep oluşturulur oluşturulmaz, alıcı satınalma talebinin uygunluğunu, tamlığını ve doğruluğunu değerlendirecektir. Gözden geçirilen satınalma talebi bileşenleri arasında satıcı, satın alınacak öğe, miktar ve hesap kodu bulunmaktadır, ancak bunlarla sınırlı değildir. İnceleme sonunda herhangi bir hata ortaya çıkmıyorsa alıcı satınalma talebini onaylayacaktır. Herhangi bir nedenle alıcı satınalma talebini reddederse, bu durum talep edene bildirilecektir. Son olarak, orijinal taleple ilgili sorunlar çözüldüğü takdirde alıcı talebi onaylayacaktır. ii) Tüm satınalma talepleri, her türlü yetkisiz talebin yanı sıra aşırı siparişmiktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C2 ve C3 Kontrolleri) b) Sipariş İşlemi: i) Satınalma talebi alıcı tarafından onaylanır onaylanmaz, tedarik uygulamasındaki talebe atıf yapan bir sipariş oluşturur (C4 Kontrolü). Alıcı daha sonra siparişin bir kopyasını tedarikçiye gönderecektir. ii) Tüm siparişler, her türlü yetkisiz siparişin yanı sıra aşırı sipariş miktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C5 ve C6 Kontrolleri) 2) Teslim Alma a) Tüm mallar sevkiyat ve teslim kapısında teslim alınır. Bir depo çalışanı sevk irsaliyesini gözden geçirerek sipariş numarasını not alır ve fiziksel olarak teslim alınan malları sayar. Ardından depo çalışanı, tedarik uygulamasına giriş yapar ve sipariş emri formunda uygun satır sayısının yanına teslim alınan malların sayısını girer. 23 b) Muhasebe departmanından uygun bir çalışan, satıcının teslim aldığı ancak faturalamadığı malları tespit etmek amacıyla envanter defteri hesaplarını her ay gözden geçirerek mutabakatını yapar (C7 Kontrolü). c) Satınalma departmanından uygun bir alıcı eşleşmeyen tüm sipariş raporlarını gözden geçirir (C8 Kontrolleri). 3) Borçlu Hesaplar a) Borçlu hesaplar departmanı, pek çok farklı tedarikçiden her gün faturalaralmaktadır. Bu faturalar sınıflandırılarak satıcının ismine göre her bir borçlu hesaplar sorumlusuna gönderilir. Her sorumlu, faturaların her birini borçlu hesaplar departmanının faturayı teslim aldığı tarihi de atarak mühürlemekle yükümlüdür. Her borçlu hesaplar sorumlusu, daha sonra, fatura miktarları ve tutarlarını sipariş ve teslim alanla eşleştirir ve faturayı borçlu hesaplar uygulamasına girer (C9 ve C14 Kontrolleri). b) Borçlu hesaplar uygulaması, satıcı ödeme koşullarına bağlı olarak otomatik ödeme istekleri oluşturur ve her Çarşamba günü bir borçlu hesaplar kontrol işlemi yapılır (C10, C12 ve C13 Kontrolleri). c) Ay sonunda borçlu hesaplar yöneticisi, borçlu hesaplar sisteminin yardımcı defter toplamı ile büyük defter kontrol toplamını karşılaştırır. Kaydedilen tüm farklar daha sonra düzeltilir (C11 Kontrolü). Risk ve kontrol matrisleri, belirli bir iş sürecine ilişkin ilgili tüm bilgileri barındırmalıdır. Ek olarak, kontrol faaliyetlerinin her biri numaralandırılmalı ve bu numara tekrar akış şemaları veya süreç açıklamalarına bağlanmalıdır. Matriste bulunması gereken kontrol faaliyetleriyle ilgili önemli bilgiler kapsamında: Tespit edilen riskler; Kontrol hedefleri; Kontrol faaliyetleri; Kontrol tipi (örneğin, otomatik veya manuel) ve sıklığı (örneğin günlük, haftalık, aylık, yıllık vs.) gibi kontrol nitelikleri Test bilgileri yer alır. Test Etme Denetçi, uygulama kontrollerinin çalışıp çalışmadığını ya da yaratıcı kullanıcılar veya yöneticinin engellemesi sonucu etkisiz hale getirilip getirilmediğini değerlendirmelidir. Kontrol ayarlarında bir inceleme yapmak yerine kontrollerin etkinliği konusunda bir maddi doğruluk testi gerekmektedir. Ayrıca denetçiler, ITGC’lerin etkinliğini belirlemeli ve uygulamayla oluşturulmuş değişiklik kontrol günlükleri, güvenlik günlükleri ve yönetim günlüklerinin denetim ekibi tarafından incelenmesinin gerekli olup olmadığını düşünmelidirler. 24 Denetçi, uygulama kontrollerini, uygulama kontrolünün tipini esas alan birçok yöntemi kullanarak test edebilir. Testin doğasına, zamanına ve büyüklüğüne bağlı olarak bir spesifik kontrol veya rapor: Sistem konfigürasyonlarının teftişi; Cari yılda yapılıyorsa kullanıcı kabul testinin teftişi; Destekleyici detaylarla birlikte mutabakatların teftişi veya yeniden yapılması; Sistem verilerini kullanarak kontrol faaliyetinin yeniden yürütülmesi; Kullanıcı erişim listelerinin teftişi; Bir test ortamında kontrol faaliyetinin (üretimle aynı programlı prosedürler kullanılarak) sağlam test senaryolarıyla yeniden yapılması yoluylagözden geçirilebilir. Sistem konfigürasyon testine, bir hareketin izlenerek test edilen sistemin üçlü fatura eşleme sistem parametrelerinin incelenmesi örnek verilebilir. Sistem konfigürasyonu incelemesinin bir başka örneği de uygulama raporu üretim sürecinin temel programlama kodunun uygun mantık açısından sorgulanmasıdır. Ek olarak, denetçi,bu raporu yönetimin ürettiği raporla karşılaştırmak amacıyla sorgunun yeniden çalışmasını gözlemlemelidir. Denetçi,alan değerleri üzerinde hareketleri katmanlaştırarak veya sınıflandırarak doğrulanabilecek kilit alanların düzenleme kontrollerini test edebilir. Ayrıca yazılım kullanarak sistem tarafından yapılan hesaplamaları yeniden hesaplamak ve doğrulamak kolay olabilir. Örneğin, sistem toplam maliyeti hesaplamak için tutar ve birim fiyat alanlarını kullandığı takdirde, denetçi aynı hesaplamayı gerçekleştirmek için denetim yazılımı kullanabilir ve hesapladığı değerlerin uygulamanın hesapladığı değerlerden farklı olduğu hareketleri tespit edebilir. Son olarak denetçiler, kilit alanlar için olası veri aralıklarını incelemek amacıyla uygunluk kontrolleri yapabilir. Örneğin, doğum tarihi alanına göre şimdiki yaşı hesaplayarak denetçiler, beklenen aralıkların dışında kalan negatif değerler ile 100’ün üzerindeki değerler dâhil tüm yaşları tespit edebilir. Bilgisayar-Destekli Denetim Teknikleri Bilgisayar-destekli denetim teknikleri (CAAT’ler), denetim prosesini otomatikleştirmek ve kolaylaştırmak için ACL, IDEA, VIRSA, SAS, SQL, Excel, Crystal Reports, Business Objects, Access ve Word gibi bilgisayar uygulamalarından faydalanmaktadırlar. CAAT’lerin kullanımı, bir test periyodu boyunca özellikle binlerce, belki de milyonlarca hareket meydana geldiğinde bir uygulama kontrolü için uygun kapsamın mevcut olduğunu temin etmeye yardımcı olmaktadır. Böyle durumlarda otomatik bir araç kullanılmadan incelenebilecek formatta yeterli bilgiler elde etmek imkansız olacaktır. CAAT’ler büyük hacimli verileri analiz etme imkanı sağladığı için, CAAT testiyle desteklenen iyi-tasarlanmış bir denetim tüm hareketlerin tam bir incelemesini yaparak anormallikleri (örneğin, mükerrer satıcılar veya hareketler) ya da daha önceden tespit edilmiş kontrol sorunları dizisini (örneğin görev dağılımı çatışmaları) tespit edebilir. 25 Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve Kontrol Hedefleri Riskler Kontrol Faaliyetleri Kontrol Özellikleri X X X X X X X Her Ay 26 Notlar X X X Test Operasy onel Test Sonuçlar ı Yayınlan Sınıflandır M D Kayıtlı X X X Zamanın Değerli A P Her Zaman X Kontrol Sınıflandırması Gerçek Sıklık Man / Pre / Det K (Y/N) M H Olabilecek tüm yetkisiz satınalma taleplerini tespit etmek amacıyla satınalma talepleri her ay gözden geçirilmektedir. I/C Uygun bir görev dağılımının olmamasından dolayı, tek bir kullanıcı, bir satınalma talebini oluşturabilir, onaylayabilir (yani serbest bırakabilir), gerekli görevlendirmeleri yapabilir ve gerekiyorsa dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına ya da stokların şişmesine sebep olabilir. CA Kontroller, satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. H Kontroller, erişimin yalnızca sipariş oluşturmaya ilişkin bir iş amacı olan kişilere verilecek şekilde yapılmaktadır. RA dağılımının olmamasından dolayı, tek bir kullanıcı, bir satınalma talebini oluşturabilir, onaylayabilir (yani serbest bırakabilir), gerekli görevlendirmeleri yapabilir ve gerekiyorsa dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına ya da stokların şişmesine sebep olabilir. CE C2 satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. Kontrol Faaliyet leri Etki / Olasılık Riskler Kontrol Hedefle ri Sayı Ana Süreç: Tedarik Alt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma Kontroller, Uygun bir görev C1 COSO Bileşenleri C1 Yetkisiz veya aşırı satınalma talep miktarları; uygun olmayan fiyatlara, aşırı stoklara ve gereksiz ürün iadelerine sebep olabilir. M Olabilecek tüm yetkisiz satınalma taleplerini tespit etmek amacıyla satınalma talepleri her ay gözden geçirilmektedir X A P X X X M D Her ay Yetkisiz veya aşırı satınalma talep miktarları; uygun olmayan fiyatlara, aşırı stoklara ve gereksiz ürün iadelerine sebep olabilir. M Kontroller, erişimin yalnızca satınalma talebi oluşturmaya ilişkin bir iş amacı olan kişilere verilecek şekilde yapılmaktadır. Her zaman C3 Kontroller, satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. Kontroller, satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. X X X X X X X X X Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: 1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme 3. CA: Kontrol Faaliyetleri 4. I/C: Bilgi ve İletişim 5. M: İzleme Şekil-6: Satın Al -Öde Süreci için Risk ve Kontrol Matrisi 27 Kontrol Nitelikleri 6. K: Kilit Kontrol 7. Man/Aut: Manuel veya Otomatik Kontrol 8. Pre/Det: Önle ya da Tespit Et Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve Kontrol Hedefleri Riskler Kontrol Faaliyetleri Kontrol Özellikleri X X H Olabilecek tüm yetkisiz siparişleri tespit etmek amacıyla siparişler her ay gözden geçirilmektedir. X X X X X X X X X X Her Ay Her ay M Kontroller, erişimin yalnızca satınalma talebi oluşturmaya ilişkin bir iş amacı olan kişilere verilecek şekilde yapılmaktadır. Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: 1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme 3. CA: Kontrol Faaliyetleri 4. I/C: Bilgi ve İletişim 5. M: İzleme Şekil-6: Devamı. 28 Kontrol Nitelikleri 6. K: Kilit Kontrol 7. Man/Aut: Manuel veya Otomatik Kontrol 8. Pre/Det: Önle ya da Tespit Et Notlar X X X Operasyon el Etkinlik Test Sonuçları Zamanınd M D Test Yayınlan mış Sınıflandır X X X Kayıtlı M D Değerli X X X Gerçek A P Kontrol Sınıflandırması Her Zaman X Sıklık Pre / Det M Man / Auto K (Y/N) I/C Kontroller, satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. CA C6 Kontroller, satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. H Kontroller, erişimin yalnızca sipariş oluşturmaya ilişkin bir iş amacı olan kişilere verilecek şekilde yapılmaktadır. RA C5 dağılımının olmamasından dolayı, tek bir kullanıcı, bir satınalma talebini oluşturabilir, onaylayabilir (yani serbest bırakabilir), gerekli görevlendirmeleri yapabilir ve gerekiyorsa dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına ya da stokların şişmesine sebep olabilir. Uygun bir görev dağılımının olmamasından dolayı, tek bir kullanıcı, bir satınalma talebini oluşturabilir, onaylayabilir (yani serbest bırakabilir), gerekli görevlendirmeleri yapabilir ve gerekiyorsa dönüştürebilir. Bu da tedarikçilere iş dağıtımının yanlış yapılmasına, fazla ödeme yapılmasına ya da stokların şişmesine sebep olabilir. Yetkisiz veya aşırı siparişmiktarları; uygun olmayan fiyatlara, aşırı stoklara ve gereksiz ürün iadelerine sebep olabilir. CE satınalma taleplerinin yetkili personel tarafından tam ve doğru yapıldığı konusunda makul güvence sağlar. Kontrol Faaliyetler i Etki / Olasılık Riskler Kontrol Hedefleri Sayı Ana Süreç: Tedarik Alt Süreç: Satın Alma Talep İşleme Faaliyet: Oluşturma Kontroller, Uygun bir görev C4 COSO Bileşenleri Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve Kontrol Hedefleri Riskler Kontrol Faaliyetleri Test X X X M D X A P X X M P Gerektikçe Kontroller, yardımcı dokümanlarla (fatura, kontrol talepleri veya gider ödemeleri) parasal eşik esas alınarak eşleştirilir. Her Ay Uygulama güvenliği, sipariş dışındaki fatura giriş işlemlerini mümkün olduğunca sınırlayacak şekilde sağlanmaktadır. X X X X X X X X X X X X X X X X X X Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: 1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme 3. CA: Kontrol Faaliyetleri 4. I/C: Bilgi ve İletişim 5. M: İzleme Şekil-6: Devamı. 29 Kontrol Nitelikleri 6. K: Kilit Kontrol 7. Man/Aut: Manuel veya Otomatik Kontrol 8. Pre/Det: Önle ya da Tespit Et Notlar Operasy onel Test Sonuçlar ı Yayınlan Sınıfland Kayıtlı Zamanın Değerli M D Her Ay H Gerçek X X X Her Ay M Kontrol Sınıflandırması Teslim alınan mallar/ faturalanmamış hesapların her ay mutabakatı yapılır. M eşleştirilerek ödenmesi gereken bir fatura, sipariş dikkate alınmadan ödenmektedir; bu da mal ve hizmetlerde kabul edilemez bir ödemeye (yani kabul edilemez ve uygun olmayan fiyat farklarına) yol açabilir. Yanlış fatura tutarları girilerek satıcılara yanlış ödeme yapılır. Sıklık Man / Pre / Det K (Y/N) M Kontroller, satıcı faturalarının yetkili personel tarafından tam ve doğru olarak oluşturulduğu konusunda makul güvence sağlar. I/C C10 Kontrol Özellikleri Eşleştirilmeyen sipariş raporları her ay gözden geçirilir. Ana Süreç: Borçlu Hesaplar Alt Süreç: Fatura İşleme Faaliyet: Oluşturma Kontroller, Bir siparişle C9 satıcı faturalarının yetkili personel tarafından tam ve doğru oluşturulduğu konusunda makul güvence sağlar. CA Kontroller, mal alımlarının yetkili personel tarafından tam ve doğru işlendiği konusunda makul güvence sağlar. H RA C8 tesellümünün yanlış sipariş emriyle veya yanlış hesaplaeşleştirilm esi; stokların ve teslim alınan mallar/ faturalanmamış hesapların yanlış ölçülmesine ve sonuç olarak, fatura ve ödeme işlemlerinde gecikmelere yol açabilir. Mal alımları uygun bir biçimde kaydedilmemekte dir. CE tesellümlerinin yetkili personel tarafından tam ve doğru işlendiği konusunda makul güvence sağlar. Kontrol Faaliyetl eri Etki / Olasılık Riskler Kontrol Hedefleri Sayı Ana Süreç: Teslim Alma Alt Süreç: Mal Tesellümü İşleme Faaliyet: Oluşturma Kontroller, mal Bir mal C7 COSO Bileşenleri Risk ve Kontrol Matrisi: Satın al – Öde İş Süreci ve Kontrol Hedefleri Riskler Kontrol Faaliyetleri X X X X X X X X X X X X X Şemada kullanılan kısaltmaların listesi: COSO Öğeleri: 1. CE: Kontrol Ortamı 2. RA: Risk Değerlendirme 3. CA: Kontrol Faaliyetleri 4. I/C: Bilgi ve İletişim 5. M: İzleme Şekil-6: Devamı. 30 Kontrol Nitelikleri 6. K: Kilit Kontrol 7. Man/Aut: Manuel veya Otomatik Kontrol 8. Pre/Det: Önle ya da Tespit Et Notlar X X X Operasy onel A P Test Sonuçlar ı Yayınlan X X Sınıfland M P Kayıtlı X X Zamanın Değerli A P Gerçek X Test Her zaman M D Kontrol Sınıflandırması Gerektikçe X X X Her Ay M Uygulama, Borçlu Hesaplar faturaları işlendiği zaman sipariş ilgili kalemi, alıcı ve fatura arasında bir üçlü fatura eşleme yapar. Her Ay Sanal harcamalar kaydedilir. Sıklık H Man / Yapılan harcamalar kaydedilmemekte dir. Pre / Det Kontroller, satıcıödemelerin in yetkili personel tarafından tam ve doğru oluşturulduğu konusunda makul güvence sağlar. Kontroller, satıcı ödemelerinin yetkili personel tarafından tam ve doğru oluşturulduğu konusunda makul güvence sağlar. L Borçlu Hesaplar uygulaması, satıcı ödeme ve sistem koşullarına göre onaylanmış fatura değerlerini esas alarak otomatik olarak çekler ya da elektronik ödemeler yazmaktadır. Erişim yalnızca çekleri oluşturacak yetkili personelle sınırlandırılmıştı r. Kontrol Özellikleri K (Y/N) C14 masraflar ödenen tutarlardan farklıdır. M C13 satıcı ödemelerinin yetkili personel tarafından tam ve doğru oluşturulduğu konusunda makul güvence sağlar. I/C Ana Süreç: Borçlu Hesaplar Alt Süreç: İşlem Ödemeleri Faaliyet: Oluşturma Kontroller, Kaydedilen C12 CA L Bir yaşlanma raporu yardımıyla ay sonunda AP yardımcı defter toplamı Büyük Defter bakiyesiyle karşılaştırılır. Kaydedilen farklar varsa düzeltilir. RA fatura yardımcı defter kayıtları, Büyük Deftere kaydedilmemekte dir. CE satıcı faturalarının yetkili personel tarafından tam ve doğru oluşturulduğu konusunda makul güvence sağlar. Kontrol Faaliyetl eri Etki / Olasılık Riskler Kontrol Hedefleri Sayı Ana Süreç: Borçlu Hesaplar Alt Süreç: Fatura İşleme Faaliyet: Oluşturma Kontroller, Borçlu Hesaplar, C11 COSO Bileşenleri Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler Aşağıda, yaygın uygulama kontrolleri ve her kontrol için önerilen testler hakkında ana hatlarıyla bilgiler yer almaktadır. Tablo, AXA Group tarafından sağlanmıştır.17 Girdi Kontrolleri Bu kontroller, bilgisayarda işlenmek üzere alınan veriler için gereken uygun izinlerin alındığı ve bu verilerin makineye duyarlı bir forma dönüştürüldükleri ve verilerin kaybolmadıkları, baskılanmadıklara, eklemeler yapılmadığı, çoğaltma yapılmadığı veya usulsüz değişikliklere tâbi tutulmadıkları konusunda makul güvence sağlayacak biçimde tasarlanmışlardır. Bilgisayarlı girdi kontrolleri arasında; denetim (sağlama) sayısı, kayıt sayımı, denetim (karma) toplamı ve toplu finansal toplamlar gibi veri kontrolleri ve doğrulama prosedürleri bulunur; veri hatalarını tespit edecek şekilde tasarlanmış bilgisayarlı düzenleme yordamları arasında ise, geçerli karakter testleri, eksik veri testleri, sıralama testleri ve limit veya makullük testleri sayılabilir. Girdi kontrolleri ve önerilen testler aşağıdaki tabloda açıklanmaktadır. Girdi ve Erişim Kontrolleri Bu kontroller, tüm girdi hareket verilerinin tam ve doğru olmalarını ve bunlara izin verilmiş olmasını sağlamaktadır. Alan Olası Testler Kontrol Veri kontrolleri ve doğrulama Mali değerler üzerinde uygunluk ve limit kontrolleri Format ve gerekli alan kontrolleri, standartlaştırılmış girdi ekranları. Dizilim kontrolleri (örneğin eksik öğeler), aralık kontrolleri ve kontrol haneleri Çapraz kontroller (örneğin, belirli politikalar yalnızca belirli prim tablo kodlarıyla kullanıldıklarında geçerlidir). Doğrulamalar (örneğin, saklanmış tablo ve aşağı açılan menü) Her senaryonun bir örnek testi yapılır. Yanlış verileri girmeye ilişkin girişimleri gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans düzeylerini kimlerin değiştirebileceği tespit edilir. Otomatik yetkilendirme, onaylama ve etkisizleştirme • Yetkilendirme ve onay hakları (örneğin, giderler veya hasar tazminatı ödemeleri ya da belirli bir eşiği aşan kredilerde), rollerine ve uygulamayı kullanma ihtiyaçlarına göre kullanıcılara verilmektedir. • Etkisizleştirme kabiliyeti (örneğin, aşırı büyük tazminat ödemelerinin onayı) yönetim tarafından kullanıcının rolüne ve uygulamayı kullanma ihtiyacına göre sınırlanmıştır. Onaylı satıcıları ayarlayan kişiler satınalma hareketleri başlatamamaktadırlar. Hasar tazminatı işlemlerine erişimi olan kişiler bir politika oluşturma veya değiştirme işlemlerini yapamamalıdır. Tamamen işlenmemiş yeni politika öğelerini kapsayan yaşlanma raporları, her hafta veya her ay gözetmenler tarafından gözden geçirilmektedir. Hareketleri işlemek için yeterli bilgilerin olmadığı durumlarda dosyalar askıda tutulur. Kullanıcı erişim haklarına bağlı olarak testler yapmak. Her bir hassas fonksiyon ya da harekete yönelik erişim ayrıcalıklarını test etmek Ayarlanabilir onay ve yetkilendirme limitlerini oluşturan ve değiştiren erişim haklarını incelemek. Otomatik görev dağılımı ve erişim hakları Bekletilen Öğeler 17 AXA Group’a ait Yaygın Uygulama Kontrolleri ve Önerilen Testler 31 Kullanıcı erişim haklarına bağlı olarak testler yapmak. Ayarlanabilir rolleri veya menü yapılarını değiştiren erişim haklarını incelemek Yaşlanma sonuçlarını ve gözetmenin inceleme prosedürlerine ilişkin bulguları gözden geçirmek. Yaşlanma raporu veya askıdaki dosyalar arasındaki bulunan bir öğeler örneğini incelemek Dosya ve Veri Aktarım Kontrolleri Bu kontroller, elektronik yollarla aktarılan iç ve dış dosyaların ve hareketlerin tanımlanmış bir kaynaktan alınmasını ve tam ve doğru olarak işlenmesini sağlamaktadır. Alan Kontrol Olası Testler Aktarım raporları ve hata raporlarını Dosya aktarım kontrolleri Tarih ve zaman, veri boyutu, kayıtların hacmi ve gözlemlemek. kaynakların doğruluğunun kanıtlanması da dâhil Geçerlilik ve tamlık parametreleri ve içeriğin tamlığı ve geçerliliğine ilişkin kontroller. ayarlarını gözlemlemek Veri aktarımlarındaki ayarlanabilir parametreleri düzenleme ve değiştirmeye erişimi gözden geçirmek. Veri aktarım kontrolleri Alınan verileri doğrulamak amacıyla seçilen girdi kontrollerinin uygulanması (örneğin kilit alanlar, uygunluk vs.) Her senaryoya ilişkin test örnekleri Yanlış verileri girmeye ilişkin girişimleri gözlemlemek. Kontrolleri kimlerin etkisizleştirebileceğini tespit etmek Tablo güdümlüyse, düzenlemeleri ve tolerans düzeylerini kimlerin değiştirebileceğini tespit ediniz. İşleme Kontrolleri Bu kontroller, veri işlemenin istendiği gibi herhangi bir atlama ya da çift-sayım olmadan yapıldığına yönelik makul güvence sağlamak üzere tasarlanmıştır. Birçok işleme kontrolü özellikle çevrimiçi ya da gerçek-zamanlı işleme sistemlerinde girdi kontrolleriyle aynıdırlar, ancak bunlar işleme aşamalarında kullanılmaktadırlar. Bu kontroller; iç ve dış etiketler, bilgisayar operasyonlarına ait sistem günlükleri ve limit veya uygunluk testleri gibi çalıştırmalar-arası toplamlar, kontrol-toplam raporları ve dosya ve işlemci kontrollerini kapsamaktadır. İşleme Kontrolleri Bu kontroller, geçerli girdi verilerinin tam ve doğru olarak işlendiğini temin etmektedir. Alan Otomatik dosya tanımlama ve doğrulama Otomatik fonksiyonlar ve hesaplamalar Denetim izleri ve etkisizleştirmeler Olası Testler Doğrulama ve test operasyonu için inceleme süreci İşlemede kullanılacak dosyalar mevcut ve tamdır. Kontrol Genel gözden geçirme ve yeniden-performans ile tüm Bir ya da daha fazla girdi üzerinde senaryoların girdi değerleri ve çıktı değerlerini yapılan spesifik hesaplamalar ve saklanan karşılaştırmak. veri öğeleri, daha fazla veri öğesi Tablo bakım kontrollerini gözden geçirmek ve düzenlemeler üretmektedir. ile tolerans düzeylerini kimlerin değiştirebileceğini tespit Mevcut veri tablolarının kullanımı etmek (örneğin ana dosyalar ya da oranlama tabloları gibi sabit veriler) Raporları ve incelemelere ilişkin bulguları incelemek Değişiklik ile spesifik bir kullanıcı Normal süreçleri etkisizleştirmeye yönelik erişimi arasında bağlantı kurarak verilerde incelemek. yapılan değişikliklerin otomatik takibi Normal süreçlerde yapılan etkisizleştirmelerin izlenmesi ve vurgulanması 32 Veri özütleme, filtreleme ve raporlama Hesap özeti yordam çıktılarının makul ve tam olup olmadığı değerlendirilir. Hareketlerin otomatik atamaları (örneğin, reasürans, ek aktüeryal süreçler ve fon tahsisi amaçlarıyla) Finansal raporlama amaçlarıyla yapılan tahminlerde kullanılan verilerin değerlendirilmesi. Hesap özeti yordamının tasarımını kullanılan veri dosyalarına kıyasla incelemek. Normal inceleme ve zorluklarla ilgili bulgular için hesap özeti yordamındaki çıktıların denetimsel değerlendirmesini incelemek. Atamaların bir örneğini inceleyerek uygun olup olmadıklarına karar vermek Özetlenen verilerin tam ve geçerli olup olmadıklarını değerlendirmek için süreci incelemek. Arayüz dengeleme Besleme sistemlerinden alınan verilerin (örneğin, bordro, tazminat ödemeleri verileri vs.) veri depolarına veya büyük deftere aktarımlarının otomatik kontrolü Her iki sistemin eşleşmesini dengeleyen otomatik kontrol. Dengelemediği takdirde bir istisna raporu hazırlanır ve kullanılır. Arayüz hata raporlarını denetlemek. Geçerlilik ve tamlık parametreleri ve ayarlarını denetlemek Arayüzlerde ayarlanabilir parametreler oluşturma ve değiştirmeye yönelik erişimi incelemek Eşleştirme raporları, kontroller ve hatalı dosya işlemeye ilişkin bulguları denetlemek. Otomatik fonksiyonlar Yaşlanan hareketler hakkında yönetime Yaşlanma işlemlerinin uygunluğunu doğrulamayla ilgili veri sunmak için borçlu listesinden alınan hareketlerin listelenmesine ilişkin test örneği. dosya çıktıları Çift hareketler veya dosyalarda ayarlanabilir parametreler Alanları eşleştirmek amacıyla münferit oluşturma ve değiştirmeye yönelik erişimi incelemek hareketlerin daha önceden kaydedilmiş Reddedilen dosyalar veya hareketleri ele almaya ilişkin hareketlerle karşılaştırılması. süreci incelemek. Münferit dosyaların beklenen tarihler, zamanlar, boyutlar vs. ile karşılaştırılması. Çift kontroller Çıktı Kontrolleri Bu kontroller, işleme sonuçlarının doğru olduğuna ve yalnızca yetkili personele dağıtıldığına yönelik makul güvence sağlamak üzere tasarlanmaktadır. İşleme sırasında çıktı olarak üretilen kontrol toplamları, işleme sırasında üretilen girdi ve çalıştırmalar-arası kontrol toplamlarıyla karşılaştırılmalı ve bunların mutabakatları yapılmalıdır. Ana dosyalar için bilgisayar-ürünü değişiklik raporları, bilgilerin doğru olduğunu temin etmek amacıyla orijinal kaynak dokümanlarıyla karşılaştırılmalıdır. Çıktı Kontrolleri Bu kontroller, çıktıların tam ve doğru olduğunu ve gereğine uygun bir biçimde dağıtıldığını göstermektedir. Alan Kontrol Olası Testler Büyük defter kayıtları Tüm münferit ve özetlenmiş hareketler büyük deftere kaydedilir. Girdi ve yardımcı defter özet hareketleri örnekleri, büyük deftere kadar izlenir. Yardımcı defter kayıtları Tüm başarılı işlemler yardımcı deftere kaydedilir. Girdi hareketleri yardımcı deftere kadar izlenir. Ana Dosyalar ve Sabit Veri Kontrolleri Bu kontroller, ana dosyalar ile sabit verilerin bütünlüğünü ve doğruluğunu temin etmektedir. Kontrol Olası Testler Rollerine ve uygulamayı kullanma ihtiyaçlarına göre kıdemli kullanıcılara tahsis edilen hakları güncellemeye erişim Ana dosyaları ve sabit verileri oluşturma ve değiştirmeye yönelik erişimi incelemek Alan Güncelleme yetkilendirme 33 Ek-B: Örnek Denetim Programı İç denetçiler; amaçlar, kapsam, kaynak mülahazaları da dâhil her bir denetim görevi ve denetim çalışması programı için bir plan geliştirmeli ve kaydetmelidirler. Amaçlar, uygulama kontrollerinin finansal, operasyonel veya mevzuata uyum risklerini yönetmek için uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin bir şekilde çalışıp çalışmadığını tespit etmesine olanak tanımaktadır. Uygulama kontrollerinin amaçları arasında, bu rehberin ikinci sayfasında da ana hatlarıyla belirtildiği gibi şunlar yer almaktadır. Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir; Veriler, hedeflendiği şekilde kabul edilebilir bir zaman periyodu dâhilinde işlenmektedir; Saklanan veriler tam ve doğrudur; Veri girdisi, saklama ve çıktısını işleyen bir kayıt muhafaza edilmektedir. Yukarıda belirtilen amaçlara ulaşmak için atılması gereken adımlar şunlardır: Adım-1: Bir risk değerlendirmesi yapınız (Bu rehberin 7. sayfasına bakınız). Adım-2: İncelemenin kapsamını belirleyiniz (Bu rehberin 9. sayfasına bakınız). Adım-3: Detaylı inceleme planı geliştiriniz ve iletiniz (Bu rehberin 10. sayfasına bakınız). Adım-4: Uzman kaynaklara gereksinim duyulup duyulmadığını belirleyiniz (Bu rehberin 10. sayfasına bakınız). Adım-5: Bilgisayar-destekli denetim tekniklerine ihtiyaç duyulup duyulmayacağını belirleyiniz (Bu rehberin 13. sayfasına bakınız). Adım-6: Denetimi gerçekleştiriniz (aşağıda verilen örnek denetim programına bakınız). Lütfen örnek programın kurumunuza uygulanabilecek tüm testleri kapsamayı hedeflemediğini not ediniz. 34 Örnek Denetim Programı Spesifik şirket verileri ve denetimin kapsamına ilişkin bir inceleme, aşağıdaki inceleme faaliyetleriyle ilgili ayrıntılı test adımlarını belirleyecektir. Kontrol Amacı Kontroller İnceleme Faaliyetleri Amaç-1:Girdi verileri tam, kesin, doğru ve yetkilendirilmiştir; Girdi verileri; veri girişinden önce tüm hareketlerin yetkilendirilmesini ve onaylanmasını sağlayacak şekilde tasarlanmakta ve etkin bir biçimde çalışmaktadır. Veri girdi prosedürleri elde etmek, yetkilendirme ve onay sürecini anlamak ve bir inceleme ve onay süreci olup olmadığını ve uygun onaylar almakla yükümlü kullanıcılara iletilip iletilmediğini tespit etmek. Uygulama sahibi veya süreç sahibinin girilmeden önce tüm verilerin yetkilendirilmiş olduğundan emin olduklarını doğrulamak. Bu, roller ve sorumlulukların görevlere bağlı olarak verilmesiyle gerçekleştirilebilir. Onay düzeylerinin bir kopyasını elde etmek ve uygun onayların tutarlı olarak verildiğini doğrulamak için sorumlu tayin edilip edilmediğini tespit etmek. 35 Örnek Denetim Programı Kontrol Amacı İnceleme Faaliyetleri Kontroller Girdi kontrolleri, girilen hareketlerin Veri girdi prosedürlerini elde etmek ve veri girişlerinden tam ve doğru işlenmesini temin sorumlu kişilerin girdilerin hazırlanması, girişi ve kontrolü edecek şekilde etkin tasarlanmakta ve hakkında eğitilmiş olduklarını doğrulamak. çalışmaktadır. Yanlış tarihler, yanlış karakterler, geçersiz alan uzunluğu, eksik veriler ve çift hareket girişleri/numaraları dâhil ancak bunlarla sınırla kalmayan belirli kriterlere uymayan girdi bilgilerini kontrol eden ve ardından reddeden uygulamalara düzenleme rutinleri yerleştirilip yerleştirilmediğini tespit etmek. Çift kayıtların girilmesini önlemek amacıyla manüel veri giriş kontrollerinin mevcut olduğunu ve çalıştığını doğrulamak. Manuel veri kontrolleri kapsamında kaynak dokümanların önceden numaralandırılması ve kayıtlar girildikten sonra “girdi” olarak işaretlenmesi yer almaktadır. Eklenen verilerin kabul edilebilir bir kaynaktan alındığını ve kaynağın faydalanıldığı ve bağımsız kaynak raporlarının kullanıldığı kontrol toplamları, kayıt sayımları ve başka tekniklere uygun hale getirildiğini doğrulamak. Kullanıcıların hareketlere girmesini ve izin vermesini önlemek için uygun görev dağılımının olup olmadığını belirlemek. Veri girişinden sorumlu personel ile çıktıların tam ve doğru olduğunu karşılaştırmak ve doğrulamakla yükümlü personel arasında uygun görev dağılımı olup olmadığını doğrulamak. Hesaplamalar ve tablolar gibi sistem programlarında yetkisiz değişiklikleri önlemek amacıyla kontrollerin mevcut olduğunu doğrulamak. Girdi kontrolleri, reddedilen tüm Reddedilen hareketleri ve ardından gelen hata düzeltme hareketlerin tam ve uygun işlemlerini ele almak için veri girdi prosedürleri elde etmek tanımlanmasını ve yeniden ve hataların düzeltilmesinden ve verilerin yeniden sorumlu personelin yeterince eğitilip işlenmesini sağlamak amacıyla etkin girişinden bir şekilde tasarlanmakta ve eğitilmediğini tespit etmek. çalışmaktadır. Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak. Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak. 36 Örnek Denetim Programı Kontrol Amacı İnceleme Faaliyetleri Kontroller Kontroller, başka bir sistemden otomatik olarak kaydedilen verilerin tam ve doğru işlenmesini sağlamak amacıyla etkin bir biçimde tasarlanmakta ve çalışmaktadır. Prosedürler elde etmek ve otomatik arayüzlerin nasıl yetkilendirildiği ve otomatik işleme olayını neyin harekete geçirdiğiyle ilgili detaylı bilgilerin dâhil edildiğini doğrulamak. İşleme programlarının dokümante edildiğini ve problemlerin zamanında tespit edildiğini ve düzeltildiğini doğrulamak. Sistemler-arası kayıt sayımlarının ve toplam parasal değerlerin otomatik arayüzler için sistematik olarak doğrulanıp doğrulanmadığını ve reddedilen öğelerin kaydedilmesinin önlenip önlenmediğini ve daha sonra takip edilmek ve yeniden işlenmek üzere bayrakla işaretlenip işaretlenmediğini tespit etmek. Başka uygulamalar tarafından kullanılmak üzere oluşturulan veya başka uygulamalara aktarılan dosya ve verilerin tüm aktarım süreci boyunca yetkisiz modifikasyonlardan korunduğunu doğrulamak. Kontroller, işleme sırasında doğru veri Test verileri ve programlarının üretimden ayrı tutulduğunu dosyalarının ve veritabanlarının doğrulamak ve onaylamak kullanılmasını sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar. Amaç -2:Veriler, hedeflendiği şekilde kabul edilebilir bir periyot içerisinde işlenmektedir. İşleme kontrolleri, tüm hareketlerin Çıktıları tamlık ve doğruluk bakımlarından kaynak kıyasla doğrulamak. Buna kontrol zamanında ve doğru hesap dönemi dokümanlara içerisinde işlenmesini sağlamak toplamlarının doğrulanması da dâhildir. amacıyla etkin bir şekilde Doğru girilen hareketlerin fiilen işlendiğimi ve hedeflendiği tasarlanmakta ve çalışmaktadırlar. şekilde doğru hesap döneminde kaydedildiğini temin eden rutinlerin uygulamaya dâhil edilip edilmediğini tespit etmek İşleme kontrolleri, reddedilen tüm hareketlerin zamanında tanımlanması ve yeniden işlenmesini sağlamak amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadırlar. Reddedilen hareketleri ve ardından gelen hata düzeltme işlemlerini ele almak için prosedürler elde etmek ve hataların düzeltilmesinden ve verilerin yeniden girişinden sorumlu personelin yeterince eğitilip eğitilmediğini tespit etmek. Hareketler reddedildiğinde ya da hatalar ortaya çıktığında süreç sahibini bilgilendirmek için bir mekanizmanın olduğunu doğrulamak. Reddedilen öğelerin uygun bir bicimde zamanında prosedürlere uygun olarak yeniden işlendiğini ve sisteme girilmeden önce hataların düzeltildiğini doğrulamak. 37 Örnek Denetim Programı Kontrol Amacı İnceleme Faaliyetleri Kontroller Amaç -3:Saklanan veriler tam ve doğrudur. Mantıksal erişim kontrolleri; yetkisiz erişimi, modifikasyonları veya sistem verilerinin ifşasını önlemek amacıyla etkin bir şekilde tasarlanmakta ve çalışmaktadır. Şifre konfigürasyonu elde etmek ve politikalar kullanmak ve güçlü şifreler, şifre sıfırlamaları, hesap kilitleme ve şifreyi yeniden kullanmaya ilişkin koşulların mevcut olup olmadığını tespit etmek. Yukarıdaki politikanın incelenen uygulandığını doğrulamak. Uzak erişim kontrollerinin etkin tasarlanıp çalıştığını doğrulamak. uygulama(lar)a bir şekilde Kullanıcıların erişimlerinin görev sorumluluklarına göre spesifik fonksiyonlarla sınırlandığını doğrulamak (rolesaslı erişim). Ayrıcalıklı kullanıcılar dâhil tüm kullanıcılara özgün kullanıcı adlarının tayin edildiğini ve kullanıcı ve yönetici hesaplarının paylaşılmadığını doğrulamak. Erişim izni verilmeden veya bu izinde herhangi bir değişiklik yapılmadan önce kullanıcı hesabının oluşturulmasına ve modifikasyonuna ilişkin onayların alındığını doğrulamak (kullanıcılar arasında ayrıcalıklı kullanıcılar, çalışanlar, yükleniciler, satıcılar ve geçici personel bulunmaktadır). Erişimin hesap iptalinden hemen sonra kaldırıldığını doğrulamak Kritik finansal veriler, uygulamalar ve işletim sistemlerine erişimin doğru ve güncel olduğunu temin etmek için uygulama sahibinin kullanıcı ve sistem hesaplarının her altı ayda bir incelemesinin yapıldığından emin olmakla sorumlu olduğunu doğrulamak. Kontroller, veri yedeklemelerinin tam ve doğru olduğundan ve zamanında yapıldığından emin olmak amacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır. Yedeklemelerin programlandığını ve bu yedeklemelerin politikaya göre tam, doğru ve zamanında yapıldığından emin olmak için günlüklerin izlendiğini doğrulamak. Yedeklerin uygun bir şekilde saklandığından ve etkin bir şekilde yeniden yüklenebileceğinden emin olmak amacıyla periyodik olarak testler yapıldığını doğrulamak. Yedeklemelere ilişkin işletme koşullarının düzenli olarak onaylandığını doğrulamak. Kontroller, verilerin güvenli, Verilerin kurum dışında, güvenli ve çevresel olarak kurum dışında, çevresel açıdan kontrollü bir lokasyonda saklanmasına ilişkin kontrollü bir lokasyonda fiziksel mekanizmaların mevcut olduğunu doğrulamak. olarak saklanmasını sağlamak amacıyla etkili bir şekilde tasarlanmakta ve çalışmaktadır. 38 Örnek Denetim Programı Kontrol Amacı İnceleme Faaliyetleri Kontroller Amaç - 4: Çıktılar tam ve doğrudur. Tüm hareket çıktılarının tam ve doğru olduğundan emin olmak için etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır. Veri çıktı prosedürleri elde etmek, inceleme sürecini anlamak ve veri girişinden sorumlu kişilerin veri çıktısı inceleme ve doğrulama konusunda eğitilmiş olduklarını doğrulamak. Çıktıların tam ve doğru olup olmadığını anlamak amacıyla gözden geçirilerek kaynak dokümanlarla karşılaştırıldığını doğrulamak. Ayrıca kontrol toplamları da doğrulanmalıdır. Tüm hareket çıktılarının uygun personele dağıtılmasını ve dağıtım sırasında hassas ve gizli bilgilerin korunmasını sağlamak amacıyla çıktı kontrolleri etkin bir şekilde tasarlanmakta ve çalışmaktadır. Mevcut veri çıktı prosedürlerini incelemek ve bu prosedürlerin veri çıktısını hangi personelin alacağını ve verilerin dağıtım sırasında nasıl korunacağını belgeleyip belgelemediğini tespit etmek. Belirlenen zamanda bir çıktı raporu oluşturulmasını ve bu raporun belirlenen dönemi kapsamasını sağlamak amacıyla etkin bir şekilde çıktı kontrolleri tasarlanmakta ve çalışmaktadır. Bir çıktı raporunun oluşturulduğunu doğrulamak ve raporda belirtilen tarih ve zamanın belirlenen zaman olduğunu tespit etmek Raporu söz konusu döneme ait kaynak dokümanlarla karşılaştırarak belirlenen dönemi kapsayıp kapsamadığını tanımlamak Amaç -5: Veri girişi, saklanması ve çıkışına ilişkin süreci izleyen bir kayıt tutulmaktadır. Tüm hareket verileri için bir denetim izi oluşturulduğundan ve sürdürüldüğünden emin olmak amacıyla kontroller etkili bir şekilde tasarlanmakta ve çalışmaktadır. 39 Tüm kayıtların işlendiğini ve hareketin girilmesinden saklanmasına ve çıkarılmasına kadar izlendiğini temin eden işleme denetim izleri ve günlüklerin mevcut olduğunu doğrulamak. Reddedilen hareketlerin tanımlanmasını ve yeniden işlenmesini izleyen denetim raporlarının mevcut olduğunu doğrulamak. Raporlar kapsamında, reddedilen hareketin açık bir tanımı ve belirlenen tarih ve zaman bulunmalıdır. 7. Sözlük Uygulama Kontrolleri: Uygulama kontrolleri, her bir uygulamaya özgü ve her bilgisayartabanlı uygulama sistemiyle ilgili verilerle ilgilidirler. Uygulama kontrollerinin amaçları, kayıtların tamlığını ve doğruluğunu ve programlanmış işleme faaliyetleri sonucunda yapılan girişlerin geçerliliğini güvence altına almaktır. Uygulama kontrollerine örnek olarak veri girdi doğrulaması, yığın toplamlarının mutabakatı ve aktarılan verilerin şifrelenmesi verilebilir. Veri Girdi Kontrolleri: Veri girdi kontrolleri, bir bilgisayara veya uygulamaya girildikten sonra dönüştürülmeleri boyunca verilerin doğruluğu, tamlığı ve zamanındalığını temin etmektedir. Veriler, bir bilgisayar uygulamasına, bir manuel çevrimiçi girdisi ya da otomatik seri işlemeyle girilebilir. Veri Çıktı Kontrolleri: Veri çıktı kontrolleri, çıktı bilgilerinin bütünlüğünün yanı sıra oluşturulan her türlü çıktının doğru ve zamanında dağıtılmasını sağlamak amacıyla kullanılmaktadırlar. Çıktılar, diğer sistemlere girdi olarak kullanılan dosyalar gibi yazılı kopya formunda olabilir ya da çevrimiçi görüntüleme amaçlı mevcut olabilir. Veri İşleme Kontrolleri: Veri işleme kontrolleri, bir uygulamanın yığın ya da gerçekzamanlı işlenmesi sırasındaki doğruluğu, tamlığı ve zamanındalığını temin etmek amacıyla kullanılmaktadır. Kurumsal Kaynak Planlama (ERP): ERP, bir işletmede kaynakların planlanması ve yönetiminin yanı sıra tüm iş süreçlerini yönetmek ve satınalma, stoklar, personel, müşteri hizmetleri faaliyetleri, sevkiyat, finans yönetimi ve işletmenin diğer yönlerini birleştirmek amacıyla bir yazılım sisteminin kullanılmasını ifade etmektedir. Bir ERP sistemi, tipik olarak bir ortak veritabanı, entegre iş süreci uygulama modülleri ve iş analiz araçlarına dayanmaktadır.18 BT Genel Kontrolleri (ITGC’ler): Bu kontroller; tüm sistem bileşenleri, süreçler ve verilerde belli bir kurum ya da BT ortamı için geçerlidir. ITGC’lerin amacı uygulamaların uygun bir biçimde geliştirilmesi ve yürütülmesi ve program, veri dosyaları ve bilgisayar operasyonlarının bütünlüğünün temin edilmesidir. Aşağıda en yaygın ITGC’ler verilmektedir: 18 Altyapı, uygulamalar ve veriler üzerinde mantıksal erişim kontrolleri; Sistem geliştirme yaşam döngüsü kontrolleri; Program değişiklik yönetimi kontrolleri; Veri merkezi fiziksel güvenlik kontrolleri; Sistem ve veri yedekleme ve kurtarma kontrolleri; Bilgisayar operasyon kontrolleri. ISACA’nın Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü’nden alıntılanmıştır. 40 Risk: Amaçların gerçekleştirilmesine etki edecek bir olayın ortaya çıkma ihtimali. Risk etki ve olasılık bakımlarından ölçülmektedir. 19 Görev Ayrılığı: Hareketleri başlatmak, hareketleri kaydetmek ve varlıkları denetlemek amacıyla farklı kişilere sorumluluklar tayin ederek hataları ve düzensizlikleri önleyen kontroller. Görev ayrılığı, çok sayıda çalışanı olan kurumlarda, tek bir kişinin fark edilmeden suiistimal eyleminde bulunacak bir konumda bulunmasını engellemek amacıyla uygulanmaktadır. 8. Referanslar: 19 GTAG 4: BT Denetiminin Yönetimi GTAG 1: Bilgi Teknolojisi Kontrolleri ISACA, IS Denetim Rehberi – Uygulama Sistemleri İncelemesi, Doküman G14 COSO Finansal Raporlamaya İlişkin İç Kontrol – Halka Açık Küçük Şirketler İçin Rehber. PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, B29 – 30 paragrafları IIA Standardı 1220: Azami Mesleki Özen IIA Standardı 1210.A3. IIA Standardı 1130.C1. AXA Group, Yaygın Uygulama Kontrolleri ve Önerilen Testler ISACA Sertifikalı Bilgi Sistemleri Denetçi Sözlüğü IIA Uluslararası Mesleki Uygulamaları Çerçevesi IIA Uluslararası Mesleki Uygulama Çerçevesi Sözlüğü’nden alıntılanmıştır. 41 Yazarlar Hakkında Christine Bellino, CPA, CITP Christine Bellino, Jefferson Wells’ Denver uygulamasında teknoloji riski yönetimi başkanı ve IIA’nın Gelişmiş Teknoloji Komitesi’nin bir üyesidir. Bellino, kurumun Risk Esas Alınarak BT Genel Kontrolleri Kapsamının Değerlendirilmesine İlişkin Rehber (GAIT) çekirdek ekibinin bir üyesidir. Şu anki sorumlulukları arasında küçük, orta ve büyük ölçekli kurumlar için çoklu iş süreçlerinin ve ITGC’lerin yönetimi bulunmaktadır. Bellino; finans, operasyonlar ve teknoloji risk yönetimi alanlarında 25 yılı aşkın tecrübeye sahiptir ve yakın zamanda yayımlanan Finansal Raporlamaya İlişkin İç Kontrol –Halka Açık Küçük Şirketler İçin Rehber’den sorumlu COSO İş Gücü’nün eş-başkanlığını yapmıştır. Steve Hunt, CIA, CISA, CBM Steve Hunt, Crowe Horwath LLP risk danışmanlık grubunda üst yönetici görevini yapmaktadır ve IIA Gelişmiş Teknoloji Komitesi, ISACA ve İş Yönetimi Uzmanları Derneği üyesidir. Hunt, farklı sektörlerde Fortune 1.000 orta ve küçük ölçekli şirketle çalışarak finansal, operasyonel görevler ile BT risk yönetimi görevlerinin dağıtılmasını yönetmektedir. Hunt; muhasebe, iç denetim ve yönetim danışmanlığı dâhil çeşitli farklı sektörlerde 20 yıldan fazla çalışma deneyimine sahiptir. Daha spesifik olmak gerekirse, Sarbanex-Oxley’e uyumla ilgili detaylı denetimler ve başka iç ve dış denetimler gerçekleştirmiş ve iş süreci yeniden yapılandırma projeleri ve iş geliştirme girişimlerine katılmıştır. SAP R/3 uygulamaları ve uygulama güvenlik ve iş süreci kontrollerini yapılandırmak konusunda yılların deneyimine sahiptir ve Amerika Birleşik Devletleri’nde çeşitli üniversitelere ve kurumlara özel konuşmacı olarak katılmıştır. Gözden Geçirenler IIA, değerli yorumlarıyla bu rehberin hazırlanmasına büyük katkılar sağlayan aşağıdaki kişi ve kurumlara teşekkürlerini sunar: 42 BT Denetim Uzmanlığı Grubu, IIA, İsveç IIA teknik komiteleri – BK ve İrlanda Helge Aam, Deloitte – Norveç Ken Askelson, JCPenney Co. Inc. ABD. Rune Berggren, IBM – Norveç. Shirley Bernal, AXA Equity Life Insurance Co., ABD Lily Bi, IIA Claude Cargou, AXA – Fransa Maria Castellanos, AXA Equity Life Insurance Co., ABD Nelson Gibbs, Deloitte & Touche, LLP. Steven Markus, AXA Equity Life Insurance Co., ABD Peter B. Millar, ACL Services Ltd. Kanada. Stig J. Sunde, OAG – Norveç. Jay R. Taylor, General Motors Corp. – ABD Karine Wegrzynowicz, Lafarge Kuzey Amerika Hajime Yoshitake, Nihon Unisys Ltd. – Japonya Jim Zemaites, AXA Equity Life Insurance Co., ABD Joe Zhou, GM Denetim Hizmetleri, Çin. 43 EEC’nin misyonu “diğerlerinin başarmasına yardımcı olmaktır” ve birçoğu Big 4 ve Tier 1 danışmanlık firmalarında çalışmış olan deneyimli uzmanlarımızla işletmenizde kontrol çözümlerini tam olarak uygulamak için gereken bilgi ve becerileri elimizde bulundurmaktayız. Müşterilerimiz, zamanında ve etkin çözümler sunarak işletmelerine ve operasyonel performanslarına pozitif etkide bulunma kabiliyetimiz takdir etmektedirler. ECC’nin Kurumsal Çözümler ekibi, kurumunuz çapında idareciler ile yöneticilere süreçleri değerlendirmek, güvence altına almak ve optimize etmek konusunda yardımcı olmaktadır. Çözümlerimiz, birincil hizmet hatlarımız olan iç denetim eş-kaynak kullanımı ve dış kaynak kullanımı, kurumsal risk yönetimi, teknoloji riski ve kurumsal yönetişim yoluyla sunulmaktadır. Planladığınız iş süreçleri ve kontrollerinizle birlikte risk-esaslı, katma değer bir yaklaşım tasarladık. Bunu da söz konusu kontrolleri süreçlerinize ve sistemlerinize yerleştirerek kurumsallaştırmak amacıyla kurumunuzla işbirliği yaparak başardık. Günümüzün rekabetçi danışmanlık ortamında, müşterilerimiz tarafından sürekli olarak “çalışanlarımız” ve ECC’nin kontrol danışmanlık uzmanlarından oluşan “mükemmel ekibi” sağlama kabiliyetimizle tanınmaktayız. Sizin ve kurumunuzun sahip olduğu tutku, heves ve istek ECC’yi sizin için en doğru seçim yapmaktadır. ECC’nin sizi başarıya ulaştırmasına izin verin. Enterprise Controls Consulting LP (“ECC”) genel merkezi Dallas/Fort Worth Texas’ta bulunan, sahibi kadın olan ulusal bir profesyonel hizmetler firmasıdır. ECC iş performansını geliştirmekte ve verimli sonuçlar üretmektedir. 44 Enterprise Controls Consulting LP 4545 Fuller Drive, Suite 404 Irving, Texas 75038 Tel: 214.614.2400 Faks: 214.614.2401 İşletmenizi Şansın Yönetmesine İzin Vermeyin Hepiniz şu eski “Şansa bak” deyişini duymuşsunuzdur. Hepimizin hayatında şansı birkaç kez yaver gitmiştir. Ancak olası riskleri görmezden gelip yalnızca şansa güvenmek işi çok fazla şansa bırakmak demektir. Yöneticiler geleceğe ilişkin vizyonlarının bir şemasını oluştururken pek çok sayısız engelle karşılaşmaktadırlar. Şirketinizin hedeflerini belirlemeye yönelik temel taşı, güçlü ve kuvvetli uygulamalarla desteklenen kanıtlanmış iş süreçleriyle desteklenmektedir. ECC, veri bütünlüğü sorunları, güvenlik tasarımındaki zayıf yönler, düzgün yapılandırılmamış işletme kuralları ve önemli işleme hataları gibi tehlikeler konusunda çok geç olmadan size yardımcı olabilir. ECC’nin kontrol uzmanları, sistem uygulamalarınızın içinde ve dışında iş risk yönetimi stratejilerini geliştirmek amacıyla iş ekiplerinizle çalışmaktadır. Bir yandan sistem uygulaması çevrenizdeki zafiyetleri ortaya çıkarmak, diğer yandan pratik çözümler sunmak amacıyla risk-tabanlı yaklaşımımızı kullanarak sizinle el ele çalışacağız. Birlikte, hiçbir şeyi şansa bırakmayarak, sistem uygulamalarınızın sizin aleyhinize değil lehinize güçlenmesini sağlayacağız. ECC… İş Performansını Sonuçlar Üretir. Enterprise Controls Consulting LP (ECC) 4545 Fuller Drive, Suite 404Irving, Texas 75038 Tel: 214.614.2400Faks: 214.614.2401. WWW. ECCLP.COM 45 Geliştirir. Verimli GTAG® GTAG 8: Uygulama Kontrollerinin Denetimi Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işleme toplamlarının dengelenmesi, hareketlerin günlüğe kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçler veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Etkili uygulama kontrolleri, verileriniz ve sistemlerinizin bütünlüğü, doğruluğu, gizliliği ve tamlığını temin etmek konusunda yardımcı olacaktır. Bu rehber, iç denetim yöneticilerine (İDY) uygulama kontrolüyle ilgili bilgiler, bunların genel kontrollerle ilişkisi, risk-tabanlı bir uygulama kontrolü incelemesinin kapsamı, bir uygulama kontrolü incelemesi yapılmasına ilişkin adımlar, kilit uygulama kontrollerinin bir listesi ve bir örnek denetim planı sunmaktadır. Bize geribildirimde bulununuz! Bu Uygulama Rehberine oy vermek ve yorumlarda bulunmak için lütfen www.theiia.org adresindeki GTAG 8 sayfasını ziyaret ediniz. GTAG Nedir? Uluslararası İç Denetçiler Enstitüsü tarafından hazırlanan Global Teknoloji Denetim Rehberi (GTAG), BT yönetimi, kontrolü ve güvenliği ile ilgili sorunları zamanında ele almak amacıyla açık ve basit bir mesleki dille yazılmaktadırlar. GTAG dizileri, hem teknolojiyle ilgili farklı riskler hem de tavsiye edilen uygulamalar konusunda iç denetim yöneticileri için hazır başvuru kaynağı görevini görmektedirler. GTAG 1: Bilgi Teknolojisi Kontrolleri GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı İçin Kritik Önemde GTAG 3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlendirmesine İlişkin Mülahazalar GTAG 4: BT Denetiminin Yönetimi GTAG 5: Mahremiyet Risklerinin Yönetimi ve Denetimi GTAG 6: BT Zafiyetlerinin Yönetimi ve Denetimi GTAG 7: Bilgi Teknolojisinin Dış Kaynaklardan Elde Edilmesi Teknolojiyle ilgili denetim rehberi hakkında daha fazla bilgi ve kaynağa ulaşmak için www.theiia.org/technology web adresini ziyaret ediniz. GTAG’ler Uluslararası Mesleki Uygulama Çerçevesi kapsamında düzenlenen Uygulama Rehberleridir. Sipariş Numarası: 1033 IIA Üyeleri için Ücretsiz Üye Olmayanlar için 25 USD IIA Etkinliği 22,50 USD IIA – Uluslararası İç Denetçiler Enstitüsü www.theiia.org 46