ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr. Melih Erdoğan Anadolu Üniversitesi
ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ I. Bilgi Teknolojileri Sistemlerinde Denetim ve İç kontrol Bilgi Teknolojisi (BT) Nedir? BT Sistemlerinde Denetimin Gerekliliği BT’nin İç Kontrol Üzerine Etkisi II. BT Ortamında Denetim Yaklaşımları III. BT Ortamında Denetimin Temel Süreci SONUÇ
Bilgiyi yaratmaya, değiştirmeye, saklamaya, kullanmaya, çoğaltmaya, paylaştırmaya, geliştirmeye, bütünleşik ve etkileşimli hale getirmeye yönelik karmaşık yapının tümü, bilgisayar temelinde işlev gören Bilgi Teknolojilerini oluşturmaktadır.
BT Sistemlerinde Denetimin Gerekliliği BT sistemleri; Muhasebe Bilgi Sistemini neredeyse tamamen otomatize hale getirmiştir. Elektronik veri değişimi ve Elektronik Fon Transfer sistemleriyle, elektronik olarak, bilgisayarlar kendi aralarında işlem yapmaktadırlar. Sistemler, müşterilere çok çeşitli elektronik hizmetler sunmaktadır. Karmaşık yazılımlar kullanan otomatikleştirilmiş uslamlama sistemleri karar almakta ve karar desteği sağlamaktadırlar. Gelişmiş uygulama yazılımlarıyla otomatik olarak, birçok işlem ve çeşitli karmaşık hesaplamalar gerçekleştirilmektedir.
Finansal tablo denetimini; BT’nin finansal tablo üretimini gerçekleştirmek için gereksindiği ve kullandığı, yönetim bilgi sisteminin bütünleşik yapısında çok farklı ve çeşitli noktalarda yer alan, finansal ve işletimsel (operasyonel) işletme süreçlerinin tümünü içeren bilgiişleme uygulamalarının denetlenmesi olarak algılamak gerekir.
BT - İç Kontrol İlişkisi BİLGİ TEKNOLOJİSİ KONTROL ÇEVRESİ Örgütsel Yapı - Kontrol Bilinci – Kalite yönetimi – Yönetim felsefesi Risklerin belirlenmesi RİSK BELİRLEMESİ Sistem Güvenliği - Yazılım Düzeyinde Yapılandırma -Analizler –Veri yönetimi KONTROL EYLEMLERİ -İletişim Teknolojileri - Bilgi Üretimi ve yönetimi – Örgütlenme BİLGİ VE İLETİŞİM İZLEME İç Kontrol Kalitesinin İzlenmesi ve yönetimi
BT’nin iç kontrol açısından sağladığı yararlar aşağıdaki gibi sıralanabilir; İç kontrolün önceden tanımlanmış işletme kurallarının sürekli olarak uygulanmasını ve yürütülmekte olan geniş hacimdeki işlemlerin ve verilerin karmaşık hesaplamalarını yerine getirir. Bilginin zamanlılığını, elde edilebilirliğini ve doğruluğunu artırır. Bilginin ek analizlerini kolaylaştırır. Varlık hareketlerini ve bunlara ilişkin politikaların ve yordamların izlenme yeteneğini artırır. Kontrolların, hataları ve hileleri atlama ve kaçırma riskini azaltır. Uygulamalardaki, veri tabanındaki ve işletim sistemindeki güvenlik kontrolları uygulamasıyla görev ayrımlarının etkinliğinin başarısını artırır.
BT Ortamında Denetim Yaklaşımları BİLGİSAYARLA DENETİM BİLGİSAYARIN İÇİNDEN DENETİM BİLGİSAYARIN ÇEVRESİNDEN DENETİM
Denetçinin, BT - İç kontrol ilişkisini çok iyi kavrayan bir anlayışla iç kontrolün yapısını, bilgisayardaki kontrol noktalarının varlığı ve güvenilirliği açısından incelemesi ve değerlendirmesi gerekmektedir. Çünkü iç kontrol, artık bilgisayarda yazılım düzeyinde yapılandırılmış durumdadır. Bu durumda denetçinin BT ortamındaki yöntembilimsel yaklaşımı, izlenecek denetim amaçlarındaki adımlar ve yöntemler olarak, iç kontrolü değerlemeyi temel alan bir yaklaşım olmalıdır.
BT Ortamında Denetimin Temel Süreci BT ortamına özgü denetim amacının belirlenmesi ve denetim planının yapılması BT temelli iç kontrolün değerlemesi ve risklerin belirlenmesi BT ortamı kontrol testlerinin yapılması (BDDT kullanımı) Maddilik testlerinin yapılması ve değerlemesi (BDDT kullanımı) Denetimin tamamlanması ve denetim raporunun hazırlanması
İŞLETME SÜREÇLERİ Finans Üretim Lojistik Diğer BT HİZMETLERİ İşletim Sistemi / Ağ Yönetimi / Veri Tabanı Yönetimi/ Güvenlik Yönetimi/ İletişim ÜST YÖNETİM İşletme Düzeyi Kontrollar Ÿ Stratejiler ve planlar Politikalar ve yordamlar Risk değerlemesi eylemleri Eğitim-öğretim Kalite güvencesi İç denetim BT / Genel Kontrollar Uygulama Kontrolları Program geliştirme Program değişiklikleri Veri ve programlara erişim Bilgisayar operasyonları Kontrol amaçları / savlar: Tamlık Doğruluk Geçerlilik Bütünlük
Genel Kontrol Alanları İşletmenin güvenlik programlarının planlanması ve yönetimi üzerindeki kontrollar Bilgisayar kaynaklarına yetkisiz erişimleri, değiştirmeleri, kayıpları önleyen ve açığa çıkaran Erişim kontrolları Uygulama yazılımlarının kullanılması, geliştirilmesi ve değişiklikleri üzerindeki kontrollar Sistem yazılımı üzerindeki kontrollar Örgütsel kontrollar BT ile ilgili hizmetlerin sürekliliğini sağlayıcı kontrollar.
Uygulama Kontrolları; Girdi, Bilgiişleme, Çıktı alanlarında yer alan kontrollardan oluşur.
SONUÇ Denetçi, öncelikle finansal raporlama amaçlarını etkileyen BT kontrollerini tanımlamalı ve aşağıdaki amaçları gerçekleştirecek biçimde sisteme yerleştirilmiş olduğunu belirlemeye çalışmalıdır: Bütünlük: İşletmenin beklentilerine ve değerlerine yönelik olarak bilginin geçerliliği, doğruluğu ve tamlığına ilişkin bütünlüğü sağlamak, Geçerlilik: Bilginin gerçekten oluşan bir olaya ilişkin olmasını sağlamak, Doğruluk: Bilginin gerçekleşen olayı doğru olarak sunmasını sağlamak, Tamlık: Bilginin ilişkili tüm işlemleri göstermesini sağlamak.
Denetim, kontrol ve bu kapsamdaki güvenlik sorunlarına yeterli önemin verilerek önlemlerin alınması kaçınılmazdır. Bu bakımdan öncelikle uluslararası nitelikte ve genel kabul görmüş standartlara uygun, BT ortamında denetim yaklaşımının ülkemizde de benimsenmesi gerekmektedir. İç denetim fonksiyonu, iç kontrol etkinliğini artırmada bu yaklaşıma uygun davranmalı, BDDT’leri, yaklaşımın gerektirdiği anlayış içinde kullanmalıdır. Nitekim dış denetçilerin de BT ortamına göre denetimlerini planlamaları ve BDDT’yi bu anlayış içinde kullanmaları gerekir.