DENETİM - Ünite 3: Denetim Süreci ve İç Kontrol Özeti :
PAYLAŞ:Ünite 3: Denetim Süreci ve İç Kontrol
Finansal Tabloların Denetim Sürecine Genel Bakış
Finansal tabloların denetçi tarafından denetlenmesinde temel amaç; finansal tabloların faaliyet sonuçlarını genel kabul görmüş muhasebe ilkelerine uygun şekilde, tüm önemli yönleriyle, gerçeğe uygun olarak gösterdiği konusunda bir görüş belirtmektir.
Finansal tabloların denetimi yaklaşımında, işletme yöneticilerinin sorumluluğu; işletmenin tüm finansal işlemlerinin, muhasebe ilke ve standartları ile yasal gereklere ve düzenlemelere uygun olarak kaydedilmesini, sınıflandırılmasını ve finansal tablolarda sunulmasını sağlamaktır. Denetçinin sorumluluğu ise yönetim tarafından hazırlanan finansal tablolardaki bilgilerin hata ve hileden kaynaklanan önemli yanlışlıklar içermediği konusunda güvence sağlayacak şekilde denetimi planlamak ve denetim görevini yerine getirerek görüşünü içeren raporunu pay ve çıkar sahiplerine sunmaktır.
Denetçi; denetlenen işletmenin faaliyet özelliklerini, işletmeyi çevreleyen ekonomik, politik ve teknolojik koşulları, zamanı ve fayda maliyeti göz önünde bulundurarak en uygun denetim metodolojisini seçer ve uygular. Denetim sürecinde en sık kullanılan denetim yaklaşımları şunlardır:
- Önemlilik Yaklaşımı
- Sistem Temelli Yaklaşımı
- İşlem Döngüsü Yaklaşımı
- Doğrudan İnceleme Yaklaşımı
- Risk Temelli Yaklaşım
Bu denetim yaklaşımlarından “işlem döngüsü yaklaşımı”, finansal tabloda sunulan bir hesap kaleminin bu hesap bakiyesinin kaynağını oluşturan işlemlerin ilgili olduğu diğer hesaplarla bağlantılı şekilde denetlenmesidir.
Denetimin planlı bir şekilde yürütülmesinin üç temel nedenleri aşağıdaki biçimde sıralanabilir:
- Koşullara uygun yeterli kanıt elde etmek
- Denetim maliyetlerini makul bir seviyede tutabilmek
- Müşteriyle sorun yaratacak yanlış anlaşılmaları önlemek
Denetim sürecinin aşamaları genel olarak 4 ana evreden oluşmaktadır.
- Ön araştırma ve müşterinin kabulü, genel denetim stratejisinin ve planının oluşturulması,
- Kontrol testleri ve tözel testlerin uygulanması,
- Analitik inceleme yöntemlerinin uygulanması ve bakiyelerin detaylı test edilmesi,
- Denetim çalışmalarının tamamlanması ve denetim raporunun hazırlanmasıdır.
Denetim Sürecinin İşleyişi ve İç Kontrol
Ülkemizde denetim çalışması, müşterinin denetim şirketinden denetim teklif talebinde bulunmasıyla başlar. Sermaye Piyasası Mevzuatı kapsamında bağımsız denetim hizmeti almak isteyen işletmeler, SPK’dan denetim yapma onayı almış ve SPK’nın tebliğlerle ilan ettiği listede adı geçen denetim şirketlerine başvurur. Denetim şirketi öncelikle müşteri hakkında ön araştırma yapar. Uluslararası denetim standartlarına göre işin kabulünden önce ön araştırma yapılması zorunludur. Denetim şirketinin müşteriyi uygun görerek teklif vermesi ve müşterinin de verilen teklifi kabul etmesini takiben standartlara uygun bir yazılı sözleşme imzalanarak denetim çalışması başlar.
Denetim şirketleri, müşterinin denetim teklifini yanıtlamadan önce müşteri hakkında ön araştırmalar yaparak müşteri ile ilgili aşağıdaki verileri elde eder:
- Firmanın finansal durumu, başarısı,
- Piyasadaki itibarı, sektördeki konumu,
- Firmanın etik kodları, uygulamaları, müşteri ve satıcılarıyla ilişkileri,
- Önceki denetim firması ile ilişkileri,
- İşletmenin örgütsel yapısı, faaliyet birimleri, üstlenilecek denetim görevinin kapsamı, getireceği iş yükü ve denetim şirketinin kendi kapasitesi ile olası iş yükünün tutarlılığı.
Uluslararası denetim standartlarına göre, denetçinin bağımsız denetim çalışmasının başlangıcında yapması gerekenler aşağıdaki gibi sıralanabilir:
- Müşteriyle olan ilişkinin ve bağımsız denetim çalışmasının devamına ilişkin işlemlerin gerçekleştirilmesi,
- Bağımsızlığı da içeren etik gerekliliklere uyumun ölçülüp değerlendirilmesi,
- Denetim çalışmasının koşullarında müşteriyle mutabakata varılması.
ISA 200’e göre sorumlu ortak baş denetçi; aşağıda belirtilen hususları dikkate alarak müşterinin kabulü, müşteriyle olan ilişkinin devamı ve bağımsız denetimlerle ilgili gerekli esasların izlendiğinden emin olmak ve sonuçları yazılı hâle getirmek zorundadır:
- İşletme yönetiminde etkili olanlar ve yönetimden sorumlu kişiler ile ana ortakların dürüstlüğü,
- Denetim ekibinin işlerin yapılması bakımından yeterliliği, gerekli zaman ve kaynağa sahip olup olmadığı,
- Denetim kuruluşu ve ekibin etik ilkelere uyup uymadığı.
Standartlara uygun bir denetim sözleşmesi; denetim şirketinin denetim görevini üstlenmeyi kabul ettiğini, denetimin amacını ve kapsamını, tarafların karşılıklı sorumluluklarını ve denetim sonunda müşteriye verilecek olan denetim raporu türlerine ilişkin hükümleri kapsar.
Denetim sözleşmesinin kapsamında asgari olarak yer alması gereken maddeler aşağıdaki gibi özetlenmiştir:
- Finansal tabloların denetiminin amacı ve denetim dönemi,
- İşletme yönetiminin finansal tablolara ilişkin sorumluluğu,
- Finansal tablolar düzenlenirken esas alınan finansal raporlama standartları,
- Denetçinin uymakla yükümlü olduğu denetim standartlarına atıflar da dahil olmak üzere denetimin kapsamı,
- Denetim çalışması sonucunda sözleşme gereğince düzenlenecek diğer rapor türleri,
- Denetimin örnekleme yöntemiyle yapılan testlere dayanması,
- Denetimle ilgili olarak istenen her türlü kayıt, doküman ve diğer bilgilere sınırsız bir şekilde erişimin gerekliliği,
- Denetimden sorumlu ekibin unvanları, öngörülen çalışma süreleri ve her biri için uygun görülen ücret tutarının ayrıntılı dökümü ile toplam bağımsız denetim ücreti.
Denetim sözleşmesi örneğinin müşteri ve denetim şirketi tarafından SPK’ye gönderilmesi gerekmektedir. SPK düzenlemelerinde denetçi rotasyonu öngörülmüş olup bir denetim şirketinin aynı denetim ekibiyle bir müşteriye 7 yıldan fazla üst üste denetim hizmeti vermesi mümkün değildir. Bunun için 2 yıl geçmesi gerekir.
SPK denetim standartları, bir denetim ekibinin üç asil, üç yedek şeklinde en az altı kişiden oluşmasını öngörmüştür.
Uluslararası denetim standartlarına göre denetim işinde görevlendirilecek denetim ekibinden beklenen yetenek ve yeterlilikler şunlardır:
- Uygun eğitim almak,
- Uluslararası denetim standartları ile hukuki ve yasal düzenlemeler konusunda yeterli bilgiye sahip olmak,
- İlgili bilgi teknolojileri dahil uygun düzeyde teknik bilgi sahibi olmak,
- Müşterinin faaliyette bulunduğu sektör hakkında yeterli bilgi sahibi olmak,
- Mesleki karar verme yeteneğine sahip olmak,
- Denetim kuruluşunun kalite kontrol politika ve yöntemlerini kavrama yeteneğine sahip olmak.
Uluslararası denetim standartlarına göre denetçinin işletmeyi ve faaliyet ortamını değerlendirmesinde yapması gerekenler aşağıdaki gibi özetlenebilir:
- İşletme ve faaliyet ortamı hakkındaki bilgilerin kaynaklarını belirlemek,
- İşletmenin risk yönetimi, iç kontrolleri ve faaliyet ortamını değerlendirmek,
- İşletme riskinin boyutu, kaynakları ve gerçekleşme olasılıklarını dikkate almak,
- Değerlendirme sonuçlarını işletme yönetimi ve yönetişimden sorumlu kişilerle görüşmek,
- Tüm aşamaları belgelendirerek çalışma kâğıtlarıyla ilişkilendirmek.
Denetçinin işletmeyi ve işletmenin faaliyet gösterdiği iş kolunu anlayabilmesinde yardımcı olacak genel stratejik yaklaşımı aşağıdaki gibi olmalıdır:
- Denetçinin işletmenin faaliyet gösterdiği sektör, yasal düzenlemeler ve diğer dış faktörler ile finansal raporlama esaslarını anlaması,
- İşletmenin yapısını ve faaliyet süreçlerini anlaması,
- İşletmenin amaç ve stratejileri ile bunlara ilişkin faaliyet risklerini anlaması,
- İşletmenin finansal performansının ölçülmesi ve gözden geçirilmesi.
İşletme riski, işletmenin faaliyet amaçlarını başaramama tehlikesidir ve işletmeyi ve ortamını etkileyen unsurlardan kaynaklanır. İşletme risklerinin tanımlanmasında birincil kaynak yönetimdir.
Analitik inceleme teknikleri; denetçiye işletmeyle ilgili farkında olmadığı hususları ortaya çıkarması ve diğer denetim tekniklerinin yapısını, zamanlamasını ve kapsamını belirlemesinde yardımcı olur.
Denetçi; denetimin başında hem finansal tabloların geneli açısından hem de her bir hesap kalanı, işlem türü ve dip notlarda yapılan açıklamalar bakımından önemlilik düzeyi belirler. Önemlilik düzeyi ile kabul edilebilir denetim riski arasında ters bir ilişki vardır. Kabul edilebilir denetim riskinin planlanması, denetçinin ne kadar kanıt toplaması gerektiği kararında yardımcı olur. Fakat asıl karar, “bulma” riskine göre verilir.
Maliye Bakanlığı tarafından yapılan iç kontrol tanımı: “İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, mali bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem, süreç ile iç denetimi kapsayan mali ve diğer kontroller bütünüdür.”
İç kontrol amaçları;
- Faaliyetlerin etkililiği ve verimliliği,
- Finansal raporlamanın güvenilirliği ve
- İlgili yasalara ve düzenlemelere uygunluk.
Her türdeki işletme örgütünün üç temel amacı vardır;
- O örgütün faaliyetlerinin etkin ve verimli (başarılı) olması,
- O örgütün pay ve çıkar sahiplerine güvenilir finansal bilgiler sunması,
- Tüm bu faaliyetleri yasalara ve düzenlemelere uygun şekilde gerçekleştirmesidir.
İşletme yönetiminin temel görevi, her örgüt tipi için geçerli olan ve üç temel amacın başarılmasını sağlayacak politikalar ve yordamlar oluşturmak ve etkili bir şekilde uygulanmasını sağlamaktır. İşletmede etkili iç kontrollerin oluşturulması ve işletmesinin temel sorumluluğu, işletmenin en tepedeki yönetimine aittir.
Denetçi, işletmenin tüm kontrollerinin etkililiğini değerlendirerek kontrollerin etkisizliği ya da eksikliğinden kaynaklanabilecek önemli yanlışlık riskini tespit etmeye çalışır.
COSO iç kontrol modeli, işletmenin iç kontrollerinin anlaşılması ve değerlendirilmesinde denetçiye rehberlik eden bir modeldir. Denetçi, işletmenin iç kontrollerini bu modelin beş temel bileşeni çerçevesinde değerlendirerek kontrol riskini belirlemeye çalışır. COSO kontrol modelinin beş temel bileşeni bulunur.
- Kontrol Ortamı
- Risk Değerlendirme
- Kontrol Eylemleri
- Bilgi ve İletişim
- İzleme (Gözleme)
İşletmenin başarmak istediği üç temel amaç ile bu beş bileşen arasında doğrudan bir ilişki vardır. Bu ilişki COSO Kontrol Küpü olarak adlandırılan üç boyutlu bir matris ile gösterilebilir. Bu matriste kontrolün beş bileşeni satırlarda, örgütün amaçları ise sütunlarda yer almaktadır. İç kontrolün ilgili olduğu işletme birimleri ve faaliyetler ise matrisin üçüncü boyutunda gösterilir.
Kontrol Ortamı: Kontroller, işletmenin içinde bulunduğu ortamdan/çevreden etkilenir. İç kontrol ortamı, çalışanların faaliyetlerini ve sorumluluklarını yerine getirebilecekleri ortamdır. Bu bileşen önemli unsurları sayesinde modelin diğer bileşenleri için temel oluşturur.
Risk Değerlendirme: Amaçların belirlenmesi, bu amaçların başarılmasının önünde ne gibi tehlikelerin olduğu, bu tehlikelerin tanımlanması ve tanısı konulan tehlikelerin (risklerin) çözümlenerek etkisinin olabilecek en düşük seviyeye indirilmesini sağlayacak kontrollerin belirlenmesinden oluşan üç aşamalı bir süreçtir.
- Aşama: Amaç Belirleme
- Aşama: Risk Tanıma
- Aşama: Çözümleme
Güvenilir finansal tablo, genel kabul görmüş muhasebe ilke ve kurallarına, düzenlemelere uygun düzenlenmiş ve sunulmuş finansal rapor raporlama anlamına gelir. Finansal raporlamada uygun sunum şu şekilde tanımlanır:
- Seçilen ve uygulanan muhasebe ilkeleri genel kabul görmüş olmalıdır.
- Koşullara uygun muhasebe ilkeleri olmalıdır.
- Finansal tablolar; bunların kullanılmasını, anlaşılmasını ve yorumlanmasını etkileyebilecek konular hakkında bilgilendirici olmalıdır.
- Sunulan bilgiler mantıklı biçimde sınıflandırılmalı ve özetlenmelidir.
- Ayrıntılı ve karmaşık olmamalıdır.
- Finansal tablolar; ilgili işlem ve olayları, finansal durumu, faaliyet sonuçlarını nakit akımlarını yansıtmalıdır.
Kontrol Eylemleri: Alınan riskleri tanımlayan, yönetim kararlarının uygulandığı garanti eden politikalar ve bu politikaları uygulayanlar tarafından geliştirilen yordamlardan oluşur. COSO yaklaşımı, işletmenin kontrol eylemlerini işletmenin üç temel amacına göre sınıflandırır: Faaliyetlerle ilgili kontroller, finansal raporlamayla ilgili kontroller ve uygunlukla ilgili kontroller. Belli başlı kontrol eylemlerini görevlerin uygun şekilde ayrımlanması, faaliyetler ve işlemlerle ilgili uygun yetkilendirmeler, yeterli biçimde belgelendirme ve kaydetme, varlıkların ve kayıtların fiziki kontrolleri, yapılan işlerin bağımsız kişiler tarafından kontrol edilmesidir.
Bilgi ve İletişim: Kontroller ne kadar iyi tasarlanırsa tasarlansın bilgi akışının sağlandığı sağlam bir bilgi ve iletişim sistemi yok ise işletmede iç kontrollerin etkili olması beklenemez. Her işletme, finansal olan veya olmayan işletme içi ve dışı olay ve eylemleri ilgilendiren geçerli bilgiyi elde edecek sistemler kurmalı ve işletmelidir.
İzleme (Gözleme): Gözleme olarak da ifade edeceğimiz bu sürekli izleme işlevi, iç kontrollerin sürekli bir şekilde iyileştirilmesini sağlar.
Denetçinin finansal tablolarda hata ve hilelerden kaynaklanan önemli yanlışlık riskini değerlendirebilmesi ve bu çerçevede yeterli ek denetim tekniklerini tasarlayarak uygulayabilmesi için iç kontrol sistemi de dahil olmak üzere işletmeyi, faaliyet koşullarını ve çevresiyle olan ilişkilerini kavraması gereklidir.
İşlem sınıflarındaki kontrollerin eksikliği ya da etkisizliği birden fazla hesapta hata ya da hileye işaret edeceğinden, denetçinin hesap kalanlarından çok işlem sınıfları üzerindeki kontrollerle ilgilenmesi gereklidir.
Denetçinin işletmenin iç kontrollerini anlaması ve kontrol riskini değerlendirmesi dört aşamalı bir süreçtir.
-
İç kontrollerin yapısı ve işleyişi ile ilgili bilgi toplama ve belgelendirme:
Denetçi, kontrollerin tasarımı ve işleyişi ile bilgi toplarken aşağıdaki teknikleri kullanır:
- Kontrol belgelerinin tespiti
- Kurum çalışanlarıyla görüşme
- Kontrol süreçlerini yürütenlerin gözlemlenmesi,
- Başından sonuna kadar bir ya da birkaç işlemi izleyerek işi yeniden yapma
- Kontrol risklerinin değerlendirilmesi: Denetçi, topladığı bilgilerin ışığında başlangıç kontrol riskini değerlendirir.
- Kontrollerin test edilmesi: Denetçi kontrolleri uygulayan personelle görüşmeler yaparak, kontrol belgelerini, kayıtlarını ve raporları inceleyerek, süreci başından sonuna kadar ele alıp yeniden yaparak ya da yapılışı birebir inceleyerek mevcut kontrollerin uygulanmasını test eder.
- Planlanmış ortaya çıkarma riski ve ek denetim tekniklerine karar verme
Finansal tablolardaki yanlışlıklar, ya hatalardan ya da hileden kaynaklanmaktadır. Hata ve hile arasındaki temel fark, kasıt unsurunun varlığıdır. İşletmenin etkili bir iç kontrol sistemi var ise hata hemen ortaya çıkarılabilir. Ama hilede işletmenin güçlü iç kontrolleri olsa bile bunları ortaya çıkarmak güçtür.
Finansal Tabloların Denetimi Açısından Hile: Finansal tabloların kasıtlı bir şekilde yanlış bilgi içermesi olarak ifade edilmektedir. Amerikan yetki belgeli hile inceleme uzmanları örgütü olan ACFE mesleki hile ve suiistimalleri aşağıdaki üç gruba ayırmaktadır:
- Yolsuzluk: Çıkar sağlama, rüşvet ve yasa dışı hediye ya da bahşiş gibi suçları içerir.
- İşletme varlıklarını zimmete geçirme: Parasal olmayan ve parasal işletme varlıklarının çalınması, kopyalanması, suiistimal edilmesi ve hileli harcama yapılması gibi suçları içerir.
- Hileli finansman raporlama: İşletmenin varlıklarının ve gelirlerinin olduğundan fazla ya da eksik gösterilmesi, belge ve kayıtların tahrif edilmesi, finansal bilgilerin eksik ya da yetersiz açıklanması da bu grupta yer alan suçlardandır.
Finansal tabloların denetimi açısından hile genel olarak iki gruba ayrılmaktadır.
- Varlıkların kötüye kullanılması: Varlıkların çalınması ya da amaç dışı kullanılması şeklinde gerçekleşir.
- Hileli finansal raporlama: Daha çok işletmenin muhasebe politikalarına yön ve karar veren, bunları uygulayan yöneticiler tarafından finansal alanda gerçekleştirilen hile eylemleridir.
Denetçilerin dikkat etmesi gereken hileli finansal raporlama eylemlerinin bazıları aşağıda belirtilmiştir:
- Finansal tablolarda sunulması gereken bilgilerin kasıtlı olarak atlanması veya yanlış yansıtılması,
- Finansal işlemlerde muhasebe ilkelerinin kasıtlı bir şekilde yanlış uygulanması,
- Faaliyet sonuçlarının değiştirilmesi ya da başka amaçlara ulaşmak için özellikle hesap dönemi sonuna yakın bir tarihte fiktif yevmiye kayıtları yapılması,
- Hesap bakiyelerini tahmin etmede kullanılan varsayımların uygun olmayan biçimde oluşturulması ve kanaatlerin değiştirilmesi,
- Raporlama döneminde meydana gelen işlem ve olayların finansal tablolara yansıtılmaması, zamanından önce yansıtılması veya ertelenmesi,
- Finansal tablolarla ilgili bilgilerin gizlenmesi veya açıklanmaması,
- İşletmenin finansal durumunu veya finansal performansını yanlış sunmak amacıyla karmaşık işlemlere girişilmesi,
- Önemli ve olağandışı işlemlere ilişkin kayıtların ve koşulların değiştirilmesi.
Baskı, Fırsat, ve Bahane, hileli finansal raporlamayı teşvik eden risk unsurlarıdır. Hile ile ilgili risk etkenleri ise şu şekilde sıralanmıştır:
- İşletmeye ilave öz sermaye sağlayacak olan üçüncü şahısların beklentilerini karşılama ihtiyacının doğuracağı baskılar,
- Performansa bağlı prim ödemesi yapılan işletmelerde gerçekçi olmayan hedeflerin sebep olabileceği baskılar,
- İç kontrollerin eksikliği veya etkisizliği
Genel Denetim Planı ve Denetim Programı
Genel denetim planının oluşturulması evrelerinde denetçiler, finansal tabloların gerçeğe uygun şekilde hazırlanıp hazırlanmadığını belirlemek için aşağıda belirtilen beş tür denetim testi kullanırlar.
- Risk değerlendirme: Finansal tablolarındaki önemli yanlışlık riskini değerlendirme amacıyla uygulanır.
- Kontrol testleri (Uygunluk Testleri): Denetçi her bir işlem sınıfını denetim amacıyla bağlantılı olarak kontrolleri test ederek kontrol riskini değerlendirir.
- İşlemlere ilişkin tözel testler: İşlemlerin gerçekleşmesi, tam olması, doğru olması, cari döneme ilişkin olması ve uygun şekilde hesaplara aktarılarak sınıflandırılmış olması amaçlarına yönelik testlerdir.
- Analitik yöntemler: Kaydedilmiş tutarların beklentilerle karşılaştırılmasını kapsar
- Hesap kalanlarının detaylı incelenmesi: Bilanço ve gelir tablosunda fiziksel incelemeler, doğrulamalar ve tutarların yeniden incelenmesi gibi kanıt toplamaya yöneliktir.
Denetim Programının Hazırlanması: Denetim standartlarına göre yazılı bir denetim programının hazırlanması gereklidir. Denetim programı, birçok işletmede en geniş veri tabanı oluşturacak şekilde bilgisayarda hazırlanır. Böyle programlar denetçiye planlama aşamasında hangi yordamları uygulayacağı konusunda da rehberlik eder.