DENETİM - Ünite 5: Bilgi Teknolojileri Ortamında Denetim Özeti :
PAYLAŞ:Ünite 5: Bilgi Teknolojileri Ortamında Denetim
Bilgi Teknolojisi Nedir?
Verinin işlenerek kullanılabilir, anlamlı ve yararlı bir biçime dönüştürülmesiyle bilgi elde edilir. Bilgiyi yaratmaya, değiştirmeye, saklamaya, kullanmaya, çoğaltmaya, paylaştırmaya, geliştirmeye, bütünleşik ve etkileşimli hâle getirmeye yönelik karmaşık yapının tümü; bilgisayar temelinde işlev gören bilgi teknolojilerini (BT) oluşturmaktadır. Bilgi teknolojileri ortamında gerçekleştirilecek bir dış ya da iç denetim, öncelikle bilgi teknolojilerini anlamakla başlamalıdır. Çünkü işletme uygulamalarının birçoğu bilgi teknolojileri üzerinden yürütülmektedir. Bilgi teknolojilerine geçmeyen veya yapısı gereği bilgi teknolojileri dışında kalan faaliyetler ise bir şekilde bilgi teknolojilerini dikkate alarak veya ilişkilenerek yürütülmek durumundadır. Bilgi teknolojileri kontrollerinin işletmede inşa edilmesi, yürütülmesi ve değerlemesi; ancak bilgi teknolojilerinin anlaşılmasıyla olanaklıdır. Bilgi teknolojileri kontrollerinin iki önemli ögesi, işletme kontrollerinin bilgi teknolojileri ortamında yapılandırılması ve bilgi teknolojilerinin kontrolüdür.
İşletmelerde Bilgi Teknolojileri Ortamı
İşletmeler, farklı düzeylerde ve farklı gereksinimlerine uygun olarak bilgi teknolojilerini işletmede yapılandırır ve geliştirirler.
Yazılımların ihtiyaç duyduğu fiziksel ögeler olan bilgisayar donanımları ve donanımların işlev ve anlam kazanmasını sağlayan bilgisayar yazılımları bir bütün olarak bilgiyi işleme amacındadır.
Bilgi İşleme Sistemleri
Elektronik bilgi işleme veya bilgisayarla bilgi işleme sistemleri; yığın işlem sistemleri ve çevrim içi sistemler olarak önce iki ana başlıkta ele alınırlar. Ek olarak veri tabanı sistemleri de denetimde kullanılmaktadır.
- Yığın işlem sistemleri; benzer işlemlerin bir araya getirilmesi, gruplanması ve işlenmesidir. Yığın işlem yaklaşımı, iş ve belge düzeni açısından önem taşıdığı gibi kontrol etkinliğini de artırıcı bir önem taşır. İşletmelerin çoğunun merkezden uzak noktalarda satış noktaları veya şubeleri vardır. Bu birimler ve merkez arasında iletişim hattı bulunmadığı durumlarda şube, işlemlerini merkezdeki bilgi işlem sisteminden bağımsız olarak yürütür. Belirli süre boyunca kaydettiği işlemlerini ana işlem birimine ulaşmasını sağlar.
- Çevrim içi sistemler; yığın işlem sisteminin tersine beklemeksizin ve veri biriktirmeksizin işlem yapılmasını öngörür. Bu yaklaşım, işlemlerin bir çevrim içi terminalden doğrudan ana işlem birimine girilmesine dayanır. Çevrim içi donanım birimleri, doğrudan ana işlem biriminin denetimi altında işlev görür. Çevrim içi sistemler de çevrim içi yığın işlemler ve çevrim içi gerçek zamanlı işler olarak ikiye ayrılır. Çevrim içi yığın işlemde veri, bilgisayara doğrudan verilir ve daha sonra, yani farklı bir zamanda, işlenmek üzere elektronik olarak saklanır. Çevrim içi gerçek zamanlı işlem ise verinin anında; yani zaman farkı gözetmeksizin işlenmesi demektir.
- Veri tabanı sistemi; birbiriyle ilişkili kütüklerin birleştirilerek birbirinden bağımsız alanlarda ortaklaşa kullanımına olanak veren bir yapılanmadır. Veri tabanı uygulamasıyla bir işletmeye ilişkin tüm bilgiler, ortak kullanıma açık hâle gelir.
BT Ortamında Denetim
İşletme; BT ortamında doğru ve güvenilir finansal tabloları zamanında elde etmek, tüm işletme süreçlerinin etkin ve verimli bir yapıda çalışmasını sağlamak ve işletme politika ve yordamlarına uygun bir faaliyet yürütebilmek için sistemini kontrollerle metodolojik olarak örmeli ve sistematik biçimde işletmelidir. İşletmelerde kullanılan BT sistemlerinin yerine getirdiği görevler şu şekilde sıralanabilir:
- BT sistemleri, işletmenin bilgi işleme süreçleri kapsamındaki yönetim bilgi sistemi ve muhasebe bilgi sistemi uygulamalarının tamamını birleştiren kaynak planlama sistemleriyle bütünleştirilmiştir; böylelikle başlama, kayıt, işleme, finansal bilgilerin raporlanması işlemleri de çok büyük ölçüde otomatik olarak gerçekleştirilmektedir.
- Elektronik veri değişimi ve elektronik fon transfer sistemleri, elektronik olarak siparişleri ve ödemeleri bir bilgisayardan diğerine geçmektedir.
- Sistemler, müşterilere çok çeşitli elektronik hizmetler sunmaktadır. Temel bir hizmet olan faturalama, otomatik olarak başlatılmaktadır.
- Karmaşık, sezgisel yazılımlar kullanan otomatikleştirilmiş uslamlama sistemleri eğer/o zaman kuralına göre karar almakta ve karar desteği sağlamaktadır.
- Algoritmaları ve formülleri içeren gelişmiş uygulama yazılımlarıyla otomatik olarak komisyonlar›, şüpheli alacak hesaplarını, yeniden siparişleri, borç rezervlerini, kredileri, emeklilik fonlarını ve bunun gibi daha birçok işlemlerle çeşitli karmaşık hesaplamaları gerçekleştirmektedir.
BT’nin İç Kontrole Etkisi
İç kontrol, kontrol ortamı, risk belirlemesi, kontrol eylemleri, bilgi ve iletişim, izleme şeklinde sıralanan ve birbiriyle ilişkili beş bileşenden oluşmaktadır. Bir işletmenin kullandığı BT, iç kontrolün bu beş bileşenini; işletmenin finansal raporlama, işlemler veya amaçların uygunluğu ve işletme fonksiyonunun veya işlem birimlerinin başarısıyla ilgili olarak etkilemektedir.
BT Sistemi birçok noktadan teknolojik bir ağ olarak sarmakta ve sistemin hem içsel hem de çevresel oluşumunun tümünde teknolojik yapının öngörülmesini zorunlu kılmaktadır (S:12 Şekil 5.5). BT’nin iç kontrolün verimli ve etkin çalışması için sağladığı yararları aşağıdaki gibi sıralanır.
- BT, potansiyel olarak iç kontrolün önceden tanımlanmış işletme kurallarının sürekli olarak uygulanmasını ve yürütülmekte olan geniş hacimdeki işlemlerin ve verilerin karmaşık hesaplamalarını yerine getirir.
- Bilginin zamanlılığını, elde edilebilirliğini ve doğruluğunu artırır.
- Bilginin ek analizlerini kolaylaştırır.
- Varlık hareketlerini ve bunlara ilişkin politikaların ve yordamların izlenme yeteneğini artırır.
- Kontrollerin, hataları ve hileleri atlama ve kaçırma riskini azaltır.
- Uygulamalardaki, veri tabanındaki ve işletim sistemindeki güvenlik kontrolleri uygulamasıyla görev ayrımlarının etkinliğinin başarısını artırır.
BT kullanımı, iç kontrol üzerinde kimi özgül riskleri de beraberinde getirmektedir. Bu riskler aşağıdaki gibi sıralanır.
- Verinin doğru olmayan biçimde işlenmesini ve/veya yanlış veri işlenmesini yaratabilecek sistemlere veya programlara güven duymak,
- Verinin yıkımına yol açacak yetkisiz erişim veya verinin uygunsuz biçimde değiştirilmesi veya işlemlerin hatalı kaydı,
- Ana kütüklerdeki verinin yetkisiz değiştirilmesi,
- Sistemlerin ve programların yetkisiz değiştirilmesi,
- Sistemlerin veya programların gerekli değişiminde başarısızlık,
- Uygun olmayan ele dayalı müdahaleler,
- Olası veri kayıpları.
BT Ortamında Denetim Yaklaşımları
Bilgisayarın Çevresinden Denetim: Denetçi; bilgisayar ortamında yer alan girdi, işlem, çıktı sürecinin ögelerine doğrudan ulaşabilir durumda değildir ve bu, denetçinin denetim izlerini görememesine yol açacaktır. Bu durumda denetçi, bilgisayarın çevresinden denetim yapmak zorunda kalacaktır.
Bilgisayarın içinden Denetim: Denetçi, bilgisayar kullanılan muhasebe sistemleriyle ilgili olarak bilgisayar olgusunu dışlamayan, yani bilgisayarı bir kara kutu olarak görmeyen, bir yaklaşımı benimsemek durumundadır. Bu ise denetçinin bilgisayarın içinden denetim ve bilgisayarla denetim yaklaşımlarını içeren bir çalışmayı denetimde devreye sokması anlamına gelmektedir.
Bilgisayarla Denetim: Bu yaklaşım, BDDT’nin bir türü olarak anılan ve veri analizleri yaparak denetçinin denetim etkinliğini çok önemli ölçüde artıran yazılımların kullanılmasını içermektedir. Bu tekniklerin başında gelen; hatta bu tekniklerin birçoğunu içine alarak oluşturulmuş olan ve denetçinin tözel testleri de kullanacağı en önemli teknik, genelleştirilmiş denetim yazılımıdır.
BT Ortamında Denetimin Temel Süreci
BT ortamında denetimin temel süreci, denetçinin BT ortamına uygun bir denetim planını yapmasıyla başlayacaktır. Denetçi; planını, finansal raporlamayı gerçekleştiren BT sisteminin ve BT kontrollerinin güvenilirliğinin ve etkinliğinin anlaşılması amacına uygun olarak belirleyecektir. Burada ilk adım, BT kontrol çevresinin anlaşılmasıdır. BT kontrol çevresi, iç kontrolün bileşenlerinden biri olan kontrol çevresi bileşeni ile önemli ölçüde örtüşmektedir. Bu adıma bağlı olarak denetçi, işletmede kullanılan BT sistemlerinin denetim görevinden çekilmeyi gerektirecek ölçüde karmaşık olup olmadığına ya da gerekirse BT denetim uzmanı desteği ile denetime devam edebileceğine karar verecektir.
Doğal risk; iç kontrollerden bağımsız olarak hesap kalanlarında veya belirli işlem gruplarında hatalar ve hileler bulunması olasılığıdır ve yönetim karakteristikleri ve kontrol çevresi etkisi, endüstriyel karakteristikler, işlemsel karakteristikler ve finansal yapı; doğal riski oluşturan faktörlerdir. Denetçi, bu aşamada bu riskleri ne ölçüde kabul edebileceğine ilişkin bir ön belirleme yapmaya çalışmaktadır.
Genel kontroller ve uygulama kontrolleri, işletme yönetimi tarafından iç kontrol etkinliğini sağlamak için tasarlanmış ve yerleştirilmiş kontrollerdir. Tözel testlerin gerçekleştirilmesi için geleneksel denetim teknikleri, fiziksel gözlemler, soruşturmalar, yeniden hesaplamalar, destekleyici kayıtların ve belgelerin incelenmesiyle yönetimle görüşülmesi gibi teknikler kullanılır.
Verinin güvence altına alınması, uygulama programlarının korunması, beklenmeyen kesintilere karşı bilgisayar operasyonlarının sürekliliğinin güvence altına alınması; genel kontrollerin varlığına bağlıdır. Genel kontroller, öncelikli olarak ve uygulama kontrollerinden ayrı olarak değerlemeye alınır. Denetçinin bu kontrollerle ilgili olarak göz önünde tutması gerekenler; örgütsel kontroller, işletmenin güvenlik programlarının planlanması ve yönetimi üzerindeki kontroller, bilgisayar kaynaklarına yetkisiz erişimleri, değiştirmeleri, kayıpları önleyen ve açığa çıkaran erişim kontrolleri, uygulama yazılımlarının kullanılması, geliştirilmesi ve değişiklikleri üzerindeki kontroller, sistem yazılımı üzerindeki kontroller, BT ile ilgili hizmetlerin sürekliliğini sağlayıcı kontrollerdir. Örgütsel kontrolde, öncelikle bilgi işlem bölümünün işletmedeki yeri ve diğer bölümlerle ilişkisi belirlenmelidir.
İşletim sistemi, ana işlem birimindeki işlemleri denetleyen programların bütünüdür ve giriş-çıkış ve bellek işlevlerini kontrol ederek birden fazla kullanıcının bilgisayar uygulamalarına, ortak bilgisayar kaynaklarına erişimine olanak verir.
Veri kaynağı kontrolleri, geleneksel yedekleme kontrollerini ve veri tabanı yönetim sistemi kontrollerini içerir.
Sistemin geliştirilmesi, kullanılmakta olan bilgisayar sisteminin donanım ve yazılım olarak bir dizi işletme gereksinmesine artık yetmemesinden ya da ileride yetmeyeceği düşüncesinden kaynaklanmaktadır.
Sistem bakımında, programların işletim sürelerinin artırılması ve makinelerin denetimi ile ilgili çalışmalar, donanım bakımını; programların güncellenmesi, belgeleme ve programların geliştirilmesi çalışmaları ise yazılım bakımını oluşturur.
İşletmenin tüm verilerinin işlendiği, saklandığı, iletildiği bilgi işlem merkezinin (BİM) ve bilgisayar sisteminin çok iyi korunması gerekir.
Veri iletişimi, verinin bir merkezden alıcı bir diğer noktaya iletilmesidir. Veri iletişim sistemleri, veriyi iletişim hatları üzerinden veya uydular aracılığıyla ileten sistemlerdir.
Elektronik Veri Değişimi, bilgisayarda işlenebilir duruma getirilmiş standart formattaki işletme bilgilerinin işletmeler arasındaki değişimidir.
Uygulama kontrolleri; ücretler, satışlar, satın almalar, ödemeler, tahsilatlar, stoklar gibi işletmenin bilgisayarda yürütülen işlem döngülerine ilişkin uygulama yazılımlarına yerleştirilen kontrollerdir.
BT Ortamında Kontrol Testleri
Etkin, çağdaş ve bilgisayarı kullanan denetim yaklaşımına yönelim olmuştur. Bu yönelişin sonucunda bilgisayar destekli denetim teknikleri kavramı ortaya çıkmıştır. Denetçinin kullanabileceği denetim tekniklerinden bazıları; Veri Testi Tekniği, Bütünleşik Test Tekniği ve Paralel Benzetimdir.
- Veri Testi Tekniği: Denetçinin elinde, tipik bir işletmede karşılaşılan bütün durumları yansıtıcı nitelikte muhasebe işlemlerini içeren bir veri testi paketi vardır. Bu veriler, duruma göre değişebilecek şekilde, ama her durumda bilgisayarın okuyabileceği girdiler olarak ve denetçinin gözetiminde denetlenen işletmenin sistemine girilir. Burada temel amaç, sistemdeki programlanmış kontrollerin işlev görüp görmediğinin denetçi tarafından test edilmesidir.
- Bütünleşik Test Tekniği (BTT): Denetçi, işletme uygulama programlarının mantığını ve kontrollerini tüm muhasebe bilgi sistemini içerecek biçimde test edebilir. Hayalî kayıtlar oluşturup bu kayıtları süreğen bir temelde kukla verilerle çalıştırabilir ve testin etkinliği önemli ölçüde artırılmış olur. Önceden belirlenmiş işlem sonuçları, BTT verileri ile elde edilen sonuçlarla karşılaştırılır.
- Paralel Benzetim: bir muhasebe uygulamasında verinin, işletmenin ve denetçinin programlarında paralel olarak işlenmesi sürecidir. Paralel sonuçlar, elle veya bilgisayarla karşılaştırılır. Bu teknikle birbirinden bağımsız iki programın girdi, bilgi işleme ve çıktı kontrollerini test etmesi amaçlanmaktadır. Denetçi, kendi programının işletmenin programı ile aynı sonuçları vermesini bekler.
BT Ortamında Tözel Testler
Tözel denetim testleri, finansal tablolarda yer alan parasal hataları ve yanıltmaları ortaya çıkarmak için yapılan testlerdir. İşletme faaliyetlerine dayalı olarak yapılan işlemler sırasında yapılan hatalar ve hileler de sonuçta finansal tablolara yansıyacaktır. Kontrol yordamlarının önlemler olarak iç kontrolün içinde yer almalarına karşın bu kontrolleri aşan hata ve hileleri bulup ortaya çıkarmak ve finansal tablolarda yer alan bilgilerin yanlışlıklarını belirlemek, tözel testlerin yapılmasıyla olanaklıdır. Denetçinin tözel testlerinde kullanacağı en önemli teknik, genelleştirilmiş denetim yazılımıdır (GDY). GDY, denetçilerin gereksindiği belirli bilgi işleme işlevlerini yerine getirmek için düzenlenmiş bilgisayar programı veya programlar dizisidir. İşlevler; kayıtların nitelik, tamlık, tutarlılık ve doğruluklarının incelenmesi, hesapların test edilmesi, kütüklerin veya seçilen veri kalemlerinin okunması, kütüklerde yer alan ve gereksinilen verilerin seçilmesi, ayrıntılı raporların alınması, veri kütüklerinden istatistiki örneklem birimleri seçerek örneklem oluşturulması, raporlardaki test sonuçlarının formatlanması, kütükler arasında karşılaştırmalar yapmak ve farkları belirlemek, veri alanlarını yeniden hesaplamaktır.
BT Ortamında Denetimdeki Gelişmeler
Denetçinin bilgilenmek ve anlamak zorunda olduğu işletme yapılanması, karar alma mekanizmaları ve işletme süreçlerini etkileyen BT gelişmeleri; denetçinin denetim planlamasını ve uygulamalarını büyük ölçüde etkilemektedir. Karar destek sistemlerinin yönetime ve iç kontrol sürecine sağladığı olanaklar, denetimde de önemli dönüşümler sağlamaktadır.
Karar Destek Sistemleri (KDS): Karar alma sürecinde bilgisayar donanımı ve yazılımı desteğiyle karar alıcının gereksindiği bilgiyi üreterek sunan ve bu şekilde yönetime karar desteği sağlayan etkileşimli sistemlerdir. Birçok olayda karar alıcılar, yalnızca bilgi birikimlerine ve deneyimlerine güvenerek karar alırlar. Ancak bu tutum, YBS ile bütünleşen KDS ile değişime uğramaktadır.
Uzman sistem, bellek biriminde sakladığı bilgileri işleyerek uzmanlık gerektiren sorunlara çözüm önerileri üretebilen bir bilgisayar yazılımıdır ve KDS’in bir parçasıdır. Uzman sistem, istendiğinde gerçekleştirdiği işler ve vardığı sonuçlar hakkında açıklamalar yapabilen ve gerekçelerini de verebilen bir sistemdir. Çok sayıda değişken ve karmaşık ilişkilerle ilgilenen, belirsizlik ve kararsızlık koşullarında başarılıdır. Günümüzde uzman sistem; işletmelerin mevcut iç kontrol sistemlerini değerlendirmek ve yeni iç kontrol uygulamalarının tasarlanması, kredi kartı uygulamalarında kredi kayıplarının ve sahteciliklerin minimize edilmesi, denetçilere ve vergi uzmanlarına vergi planlaması ve uygunluk denetiminde yardımcı olmak, tahminlerle güncel sonuçlarının sürekli olarak karşılaştırılması ve finansal planlama tahminlerinin düzeltilmesi gibi birçok alanda kullanılmaktadır.
Yapay sinir ağları, biyolojik zekânın benzetimi kavramını temel almaktadır. Düğümlerden ve bu düğümler arasındaki bağlantılardan oluşmaktadır. Bu yapı, insan beynindeki nöronlar ve sinapslar arasındaki ilişkiye benzemektedir. Bu sistemler, belirli bir sürecin girdiler ve çıktılar arasındaki fonksiyonel ilişkilerini öğrenebilme ve daha sonra açıklayabilme yeteneğine sahiptir. Yapay sinir ağları kredi kartı hilelerinin belirlenmesinde kullanılmakta ve uzman sistemden daha iyi sonuç vermektedir. Yapay sinir ağları müşteri işletmenin kazançlarını öngörmede de kullanılmaktadır. Denetçi, bu öngörüleri gerçek sonuçlarla karşılaştırarak sonuçların uygunluğu için yargıya varabilir. Öngörülmüş kazançlar, denetçiye müşteri işletmenin başarısının devam edip etmeyeceğini gösterir. İç kontrolün zayıf noktalarını araştırmada, denetim kanıtlarını yorumlamada, iflas öngörülerinde bulunmada, ürün maliyetlerini tahmin etmede, satış tahminleri yapmada, kredi riskini tahmin etmede ve birçok muhasebe uygulamasında da başarıyla kullanılmaktadır.
Yapay zekâ; bilgisayar biliminin insana özgü olan dili kullanabilme, öğrenme, akıl yürütme, problem çözme gibi karakteristiklerini bir araya getirerek insan davranışlarını taklit eden, bilgisayar donanım ve yazılım uygulamalarını tasarımlayan dalıdır. Yapay zekâ araştırmaları; uzman sistemler ve yapay sinir ağlarının yanı sıra bilgisayarlarla doğal dillerle iletişim, insanın duyumsal yeteneklerine benzetim ve robotik alanlarındaki çalışmaları içermektedir. Yapay zekânın yalnızca bir programlama ya da mühendislik projesi olarak görülmesi durumunda, uygulamalı ticari kullanım alanlarında yani muhasebe ve denetim alanı, yapay zekâ uygulamaları için çok uygun bir alanı oluşturmaktadır.
Bilgi teknolojilerine dayanan ve muhasebe bilgi sistemi tarafından elektronik ortamda hızla üretilen finansal nitelikteki bilgilerin güvenilirliğinin aynı hızla doğrulanarak onaylanabilmesini sağlamaya yönelik olarak sürekli denetim kavramı ortaya çıkmıştır. Sürekli denetim, ancak tam otomasyona geçmiş ve denetime konu olaylar ile bunların çıktılarına anında ulaşmaya olanak tanıyan bir süreç temelinde uygulanabilirdir. İşletmelerin ticari işlemlerinin elektronik ortamda yürütülmesi, söz konusu işlemlere ait finansal bilgilerin çevrim içi olarak anında veya işlemin gerçekleşmesinden kısa bir süre sonra üretilebilmesine olanak tanımıştır. Bu durum, söz konusu bilgilerin ilgililere zamanında, güvenilir ve tam bir biçimde ulaştırılması sorununu gündeme getirmiştir. Bu sorunun çözümüne yönelik olarak çeşitli bilgisayar yazılımları ve bu yazılımlara işlerlik kazandıracak XML ve XBRL gibi raporlama dilleri geliştirilmiştir.