BİLGİSAYAR DESTEKLİ DENETİM TEKNİKLERİ

Transkript

1 Hizmet İçi Eğitim Yayınları INTOSAI Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi BİLGİSAYAR DESTEKLİ DENETİM TEKNİKLERİ Kurs Notları Çeviri Emine Yarar Araştırma Görevlisi NİSAN 2000 ANKARA

2 INTOSAI Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi BİLGİSAYAR DESTEKLİ DENETİM TEKNİKLERİ Kurs Notları Çeviri Emine Yarar Araştırma Görevlisi NİSAN2000 ANKARA

3 Hizmet İçi Eğitim Yayınları: 9 Özgün Adı: CAATs (Computer Assisted Audit Techniques) Student Notes Çeviren : Araştırma Görevlisi Emine Yarar HÜ Edebiyat Fakültesi İngiliz Dilbilimi Bölümü Uluslararası Yüksek Denetim Kurumları Organizasyonu (INTOSAI) tarafından yayımlanan (1996) kitapçıktan dilimize aktarılmıştır. Sayıştay mensuplarının kullanımı için bastırılmıştır. Hizmet İçi Eğitim Yayınları ndan Çıkan Kitaplar Tek Düzen Muhasebe Sistemi ve Dönem Sonu Muhasebe Uygulamaları Prof.Dr. Remzi Örten Performans Denetimi - Temel Kavramlar, Yöntemler, Teknikler ve Yaklaşımlar Uzman Denetçi Fikret Gülen Yatırım Harcamaları Denetimi/Hizmet İçi Eğitim Notları (17-27 Nisan 1999) Risk Denetimi - Temel Kavramlar ve Yaklaşımlar Uzman Denetçi Levent Karabeyli Temel Bilgisayar Denetimi İçin Ön Bilgi/ Çeviri/Bilgisayar Mühendisi Gökhan Yazıcı Bilgisayar Kurs Notları/ Bilgisayar Destekli Denetim Grubu Genel Olarak Kurslar ve Organizasyonu/ Çeviri/Bilgisayar Mühendisi Gökhan Yazıcı Bilişim Teknolojisine Yönelik Performans Denetimi/Çeviri/Araştırma Görevlisi Firdevs Karahan Redaksiyon : Baran Özeren Dizgi ve Mizanpaj : Gürkan Alpsoy Baskı ve Cilt : Yayın İşleri Müdürlüğü Birinci Basım : Nisan 2000 T.C. SAYIŞTAY BAŞKANLIĞI Ulus/ANKARA Tlf : Fx :

4 İçindekiler 1. Giriş Amaçlar ve hedefler Bilişim teknolojisi performans denetim konuları 1 2. BDDT leri rolü Giriş BDDT lerinin tarihçesi BDDT leri uzmanları 3 Sayfa 3 BDDT türleri Program ve dosyaların incelenmesi Veri akışının incelenmesi Verilerin doğrulanması ve dosya güvenilirliği Sistemden yararlanmanın ve sistemin hatalı kullanımının analiz edilmesi Verilerin elde edilmesi Sistem aktarımı Program uygulamasının izinin sürülmesi Sisteme yerleştirilen denetim modülleri Veri dosyalarının analiz edilmesi İstisnaî rapor İnceleme araçları Sistemlerin denetimi İşlemlerin analiz edilmesi 14 4 Verilerin tanımlanması ve elde edilmesi Bir BDDT nin planlanması Hedefler ve güvence sağlama Hangi veriler gereklidir? Bir sistemdeki veri akışı İncelenecek dosyanın tanımlanması BDDT nin gerektirdiği bilgilerin belirlenmesi Veri dosyası formatının belirlenmesi Dosya yükleme ve dönüştürümü Verilerin standart koşulları Veri saklama/transferi yöntemleri Verilerin toplanmasında kim yardımcı olabilir? 22 i

5 5. Verilerin toplanması Veri güvenilirliğinin sağlanması Bir BDDT nin planlama aşamaları BDDT leri yazılımı ve denetim araçları Dosya yükleme araçları Veri dosyasının FDUMP si ASCII ve EBCDIC verilerinin dökümü (HexDump) Dosya dönüştürme ve veri yükleme araçları Rapor dosyalarının belli amaçlar için kullanılması SQL Sistemli Sorgu Dili ( Sequel ) ACCESS veri tabanında SQL Verilerin incelenmesi Idea Windows için Idea ACL Applaud Prospector Sage Sterling CA Panaudit Plus BDDT lerinin yürütülmesi ve dokümantasyonu Denetim ihtiyaçlarının dokümantasyonu BDDT leri uzmanının gereksinimleri Bir BDDT nin tasarlanması Veri yükleme sürecinin test edilmesi Geliştirilen BDDT nin test edilmesi BDDT leri geliştirme dosyası BDDT lerinin yönetimi BDDT leri çalışma dosyası (BDDT leri uzmanı) BDDT leri çalışma dosyası (İnceleme ekibi) 44 ii

6 1. Giriş 1.1 Amaçlar ve hedefler Bu kurs, Bilgisayar Destekli Denetim Tekniklerini (BDDT) ve dosya yüklemeyi tanıtmayı hedeflemektedir. Kursun amacı denetçilere mevcut araçlar hakkında ve bunlardan ne zaman ve nerede yararlanabileceği konusunda bilgi vermektir. Kursiyerler, BDDT nin gelişimi ve dokümantasyonu konularında da bilgilendirilecektir. Bu kurs ayrıca, dosya formatları, veri çeşitleri ve veri transferi türleri konusunda kursiyerlere ayrıntılı bilgi vermeyi hedeflemektedir. Kurs sonunda eğitime katılanlar aşağıda belirtilen konularda bilgi sahibi olacaklardır: BDDT lerin rolü: BDDT nin denetim sürecine katkıda bulunma biçimleri ve teknik uzmanın BDDT prosedürlerinin sunumundaki ve uygulanmasındaki rolü. BDDT leri türleri: Denetçinin inceleme yapabilmesine yönelik BDDT lerin türleri. Başlıca analitik teknikler arasında örnekleme ve veri eşleştirme yer alır. Sisteme Yerleştirilen Denetim Modüllerinin işlevleri açıklanacaktır. Verilerin ortaya çıkarılması: Denetlenen kuruluştan uygun formatta veriler elde edilmesinde yararlanılan muhtemel denetim dosyalarının ve metotlarının belirlenmesi. Verilerin geçerliğini güvenilirliğini sağlamada yararlanılan testler ele alınacaktır. Verilerin türleri ve veri yükleme: Mevcut veri çeşitlerinin ve bunların denetçinin bilgisayarına transfer edilmesinde yararlanılacak metodolojinin bilinmesi. Denetleme araçları: Halihazırda yararlanılan denetim araçları. SQL, ACCESS, Microsoft Query ve Idea5 programlarına özel önem verilecektir. İnceleme örnekleri, önemli denetim dosyalarından gösterilecektir; ve BDDT leri geliştirme: BDDT leri planlaması ve BDDT taleplerinin dokümantasyonu. İlgili dokümantasyon örnekleri ve BDDT nin geliştirilmesi ve değerlendirilmesi açıklanacaktır. 1

7 2. BDDT leri rolü 2.1 Giriş Bilgisayarların ortaya çıkışından önce, tüm denetim çalışmaları elle yapılıyordu. Denetlenen bir hesabın eksiksiz olduğunun belirlenmesi, elle kağıt üzerinde yapılmış pek çok işlemin bir araya getirilmesini gerektiriyordu. Bir hesap içindeki problemlerin tespiti, denetçilerin çok fazla zamanını alıyordu. Bilgisayarlar, kuruluşların verilerinin elektronik formatta saklanması imkânını sağladı. Programlar, hesabın içinde yer alan verilerin daha fazla kontrol edilmesinedoğrulanmasına olanak verdi. Veri girişi ve saklanması daha kolay ve daha maliyet etkin bir hale geldi. Denetçiler için de buna benzer kolaylıklar oluştu. Sonuçta, kolayca transfer edilebilecek bir formatta, denetlenen kuruluşun muhasebe defterlerine ilişkin bir örnek çıkarmak mümkün hale geldi. Bilgisayar destekli denetim teknikleri denetçinin önceden yaptığı yorucu çalışmaların çoğunu hızlı ve etkili bir şekilde yapmasına olanak vererek denetime ayrılan zaman ve paradan tasarruf edilmesini sağladı. Denetim dosyasının doğruluğunu kanıtlamada gerekli test sayısı azaldı (dosyaların hızlı bir biçimde toplamı alınabiliyordu). Ayrıca daha önce oldukça karışık incelemelerin yapılması mümkün hale geldi. BDDT lerinin, denetim dosyalarının ve bunların oluşturulmasında yararlanılan sistemlerin doğruluğunu kanıtlamada yararlı olduğu görüldü. 2.1 BDDT lerinin tarihçesi BDDT nin 1960 lardan beri sürekli gelişmektedir: 1960 larda ICL1900 gibi ana bilgisayarların ortaya çıkmasıyla çok sayıda bilginin elektronik olarak saklaması mümkün hale geldi. Veri girişine/elde edilmesine ilişkin metotlar oluşturuldu. Ayrıca büyük dosyaların hızla incelenmesi de olanaklı hale geldi. Denetim raporlarından, bir dosyanın güvenilirliğinin kanıtlanmasında yararlanılmaya başlandı. Ayrıca endeksleme, toplam alma ve istisnaî raporlama gibi verilerin basit şekilde incelenmesi/belli amaçlar için kullanılması da olanaklı hale geldi. Veri transferinin gelişmesiyle bu uygulamalar daha fazla yaygınlaştı. Denetlenen kuruluşun verilerini uzaktan inceleme olanağı doğdu. Veri saklama (manyetik teypler, disketler (floppy), bir modem bağlantısı yoluyla ana bilgisayarda incelenmesi gereken 2

8 farklı dosyalar oluşturulmasını sağladı. George ve VME gibi işletim sistemlerinden yararlanılarak derlenen inceleme/örnekleme uygulamalarını sürdürülebildi lerde, masa başı kişisel bilgisayarların ortaya çıkması, muhasebe amaçlı yazılımların gelişmesini sağladı. Muhasebe ile ilgili bütün defterler elektronik olarak tutulabildi ve endeksleme, toplam alma, istisnaî raporlama gibi karmaşık uygulamalar daha kolaylıkla yürütülebildi. MS-DOS gibi işletim sistemlerinden yararlanan kişisel bilgisayarların uyumluluğu, dosyanın daha kolay transfer edilebilirliğini sağladı ve denetçiler denetim dosyalarına daha kolay erişebildi. Kişisel bilgisayarların hızı ve kapasitesi daha fazla arttığından çok daha fazla sayıda dosya işlenebiliyordu. Dosyaların sistemden sisteme ve bilgisayardan bilgisayara aktarılabilesi amacıyla yazılım ve donanım geliştirildi. Muhasebe yazılımına paralel olarak dosya inceleme yazılımı geliştirildi lerin sonunda IDEA ve ACL gibi araçlar kişisel bilgisayardaki dosyaların incelenmesi için geliştirildi. Şirketler de bilgisayar programlama dillerinden yararlanarak daha önceki ana bilgisayar incelemelerine benzeyen inceleme yolları yazmaya başlamışlardı. Bu eğilim, kişisel bilgisayarların muhasebe ve dosya incelemesine yönelik başlıca araç haline geldiği 1990 lara dek sürdü. Dosya uyumluluğu, çoğu dosya formatına ulaşabilen Windows ve Win95 programlarının gelişmesiyle bir çok paketi standart hale getirmeyi sürdürdü. 2.3 BDDT leri uzmanları BDDT uzmanı hem denetlenen kurum ile denetim ekibi arasında bir bağlantı noktası olarak, hem de BDDT gelişiminde çok yönlü ve önemli bir role sahiptir. Denetlenen kurum ve kuruluşlarla ilişki Bu ilişki BDDT'in geliştirilmesinin oldukça önemli bir parçasıdır. Zaman ve emek tasarrufu sağladığından, doğru dosyanın belirlenmesinde hayati bir rol oynar. BDDT uzmanı, denetlenecek hesabı en iyi temsil eden dosyayı belirlemek üzere denetlenen kuruluşla bağlantı kurabilir. Dosyaların çoğunda, denetim sırasında ele alınması gerekmeyen bilgiler bulunacaktır. BDDT uzmanının rolü, gerekli alanları belirlemek amacıyla denetçi ve denetlenen kuruluşlarla bağlantı kurmaktır. Bu bağlantı, verilerin elde edileceği ortamlar aracılığıyla kurulmalıdır. Çalışmayı denetlemek amacıyla doğru dosya ve ortamın oluşturulmasında BDDT uzmanı, denetim kuruluşunun inceleme yazılımı ile uyumlu bir dosya yaratılmasını hedeflemelidir. Örneğin iyi planlanmış bir BDDT nin geliştirilmesi, denetçinin kişisel bilgisayarına hemen yüklenebilecek ve inceleme yazılımıyla ilişkilendirilebilecek bir dizi veri ortaya çıkarmalıdır. 3

9 Denetçilerle ilişki. BDDT uzmanı, BDDT den tam olarak ne istendiğini belirlemek için denetçiyle yakın ilişki içinde olmalıdır. Uzman, incelemelerde yararlanılabilecek en iyi yaklaşım konusunda tavsiyede bulunabilir ve BDDT için anlamlı bir tanımlama oluşturabilir. BDDT uzmanı, BDDT'ni geliştirip test edecektir. Uzman, denetçi adına incelemeleri yürütebilir ya da BDDT ni uygulayan denetçiye yakından destek verebilir. BDDT uzmanının rolü, inceleme yazılımı ya da dosya işleme ilkeleri konusunda eğitim vermeyi içerecek şekilde genişletilebilir. BDDT yönetimi. BDDT uzmanı, BDDT'in planlanmasından ve denetlenen kuruluştan bilgilerin alındığı ortamların yönetiminden/veya bunlardan yararlanılmasından sorumlu olacaktır. Pek çok durumda, BDDT uzmanı, dosya yükleme işlemlerinde ve dosyaların belli amaçlara göre kullanımına ilişkin yazılımda beceri sahibi olacaktır. BDDT uzmanının, denetçi adına, dosya düzeninde ya da BDDT tanımlamasında meydana gelecek değişiklikleri yönetmesi önemlidir. 4

10 3. BDDT türleri 3.1 Program ve dosyaların incelenmesi BDDT leri farklı iki uygulama alanında ele alınabilir. BDDT lerinden, programlardaki süreçlerin doğruluğunun saptanmasında ya da veri dosyalarının incelenmesinde yararlanılabilir: Programlar Dosyalar Veriler doğru şekilde işleniyor mu? Sistemdeki veri dosyaları, programlarca doğru bir şekilde kullanılıyor mu? Örneğin, ücret bordro kayıtları, genel giderlere ekleniyor mu? Kayıtlar doğru şekilde işleniyor mu? Tüm kayıtlar, doğru hesap alanlarına yerleştiriliyor mu? Bir dosya, işleme sırasında değiştiriliyor mu? Dosya işleme sırasında hesaplara kaydedilen ilk bilgilerin bir bölümü bir şekilde değiştiriliyor mu? Uygulama süresi ve kaynak programlar aynı mı? Doğru program türü kullanılıyor mu? Örneğin, bir program güncelleştirilmiş olabilir, ancak bilgisayar diline çevrilmesine ilişkin yeni program versiyonu bilgisayara yüklenmemiştir. Program/sistem yanlış kullanılıyor mu? Personel diğer kişilerin giriş şifrelerini kullanıyor mu ya da yetkili olmayan personel sisteme girebiliyor mu? Program değiştirildi mi? Yetkisiz kullanıma karşı bazı kodlar eklendi mi ya da sistemin, yetki alınmadan güncelleştirilmesi/değiştirilmesi söz konusu oldu mu? Veri girişi uygun şekilde gerçekleştirildi mi? Geçersiz hesap kodları gibi doğru olmayan bilgilerin sisteme girişine engel olmak üzere kontroller yapıldı mı? Sisteme Yerleştirilen Denetim Modülü. Denetçi tanımlamasını seçmek ya da sistemi incelemek amacıyla sistem içine dahil edilen bir kod bölümüdür. Dosya eksiksiz mi? Seçilen bir döneme ilişkin tüm kayıtlar incelenmek üzere dosyaya aktarıldı mı? Örnekleme- Denetim kontrolları için dosyadan temsilî kayıtların seçilmesi, 5

11 Analizler- bütün kuruluşları Dosyadaki kayıtların düzene sokulması, verilerin toplanması, veri dizisi içindeki boşlukların araştırılması ya da mükerrer ödemelerin aranması, İstisnaî raporlar- Daha ileri düzeyde inceleme yapılması için verilerin bir diğer dosyada toplanması, Dizi kontrolü- Dizi içindeki boşlukların araştırılması. Örneğin eksik çek numaraları. Kayıt mükerrerliği- Yüksek ödemelerin araştırılması. Dosya karşılaştırması- Farklılıkları bulmak amacıyla iki benzer dosyanın karşılaştırılması. Örneğin mükerrer ödemeleri bulmak için işe yeni başlayanlar ile işten ayrılanların ödemelerine ilişkin iki ücret bordrosu dosyasının karşılaştırılması. BDDT leri için incelemelerin/kontrollerin yapılması amacıyla belli bir amaca yönelik yazılım satın alınabilir ya da kurum içinde programlar yazılabilir. Genellikle, program sistem analizine yönelik BDDT leri kurumca yazılır, dosya incelemesine yönelik BDDT leri ise hazır olarak satın alınır. 3.2 Veri akışının incelenmesi Bir sistemde verilerin (işlemlerin) hareketini incelemenin en yaygın yöntemleri Snapshot (anlık görüntü alma) ve Tracing (iz sürme) yöntemleridir. Snapshot- Denetçinin belirli bir noktada programı dondurmasına imkân veren bir araçtır. Bu şekilde bir program çalışırken yapılan işlemlerin ve sürecin değerini kontrol etmek mümkündür. Anlık görüntü almanın işlevi kısıtlı ve duruma özgü olmasına rağmen kullanımı kolay ve hızlıdır. Bunun iyi bir örneği, belli bir değişkenin çıktı değerini veren ve onu durduran programdaki komuttur. Devam etmek üzere basılan önemli bir tuşun gerekli olduğu programdaki "MESAJ" hattı Snapshot örneği olarak gösterilebilir. Tracing- Denetçinin bir programın her aşamasını incelemesini sağlar. İz sürme sayesinde her komutun işlenen verilerde ya da programın kendisinde nasıl etki yarattığını görmek mümkün olabilir. Program işlemleri doğru şekilde toplamıyorsa iz sürme, hatanın nerede meydana geldiğini ortaya çıkarabilir. Bu yöntemin başlıca avantajı, denetçinin oldukça hızlı meydana gelen program aşamalarını görebilmesini sağlamasıdır. İz sürmenin dezavantajı ise denetçinin programlama bilgisine sahip olmasını gerektirmesi ve iz sürme işlevlerinin bir paketten diğerine farklılık göstermesidir. 6

12 3.3 Verilerin doğrulanması ve dosya güvenilirliği Paralel Simülasyon- Denetçinin test edilen uygulamanın tümünü ya da bir bölümünü yeniden uygulamasını sağlayan yararlı bir araçtır. Genellikle bu, denetimin ilgilendiği uygulama alanında gerçekleştirilir. Paralel simülasyon, test edilen faaliyetin işlevine benzeyen bağımsız bir komut dizisinin yaratılmasını içerir. Elde edilen sonuçlar, asıl uygulamada oluşan sonuçlarla karşılaştırılabilir. Yapılan hesapların ve sistemin kendisini etkilemeden sistem içerisindeki uygulama prosedürlerinin yeterliliğini kanıtlamada iyi bir yoldur. Denetçinin sistemi oldukça iyi bilmesi ve programlama deneyimi olması gereklidir. Test Üreteçleri ve Entegre Test Araçları- Bunlar, denetçilerin tanımlamalarına uygun model verilerin üretilmesini sağlar. Test edilen uygulamanın, verileri doğru biçimde işlediğini kanıtlamada oldukça iyi bir yoldur. Denetçi, uygulamayı iyi bilmeli ve üretilen verilerin sistemdeki gerçek verileri etkilemeyeceğinden emin olmalıdır. Entegre test araçları, uygulamanın kendisinden üretilir. Test üreteçleri, yazılım dışındaki kayıtları üretir. Bu tür testlere ilişkin sonuçlar toplamları etkileyebileceğinden, bunların nihaî raporlardan çıkarılması gerekir. Veri dosyalarında görülen fazladan kayda ilişkin en iyi örnek ters giriştir. Ters giriş, dosyadaki diğer kayıtların tümünün toplam miktarına eşit olan miktardaki bir alanının kaydıdır. Denetçi dosyayı incelemeden önce bu tür bilgileri temizlemezse, herhangi bir toplam uygulamasının sonuçları yanlış olacaktır. 3.4 Sistemden yararlanmanın ve sistemin hatalı kullanımının analiz edilmesi Harita Çıkarma- Harita çıkarma sayesinde denetçi uygulamaya konulmuş ancak kullanılmayan komutu belirleyebilir. Bu, sahteciliğe karşı korunma amacıyla kullanılan kodu ya da ihtiyaç fazlası kodu ortaya çıkarır. Program Kütüphanesi Analizi- Bu analiz, sistem yazılımında yapılan değişikliklerin kayıtlarını verir, bu sayede denetçinin beklenen çıktı değişirse ortaya çıkacak potansiyel sorunları belirlemesini sağlar. Kaynak/Amaç Karşılaştırması- Denetçinin kaynağı ya da uygulamanın amaç kodunu uygulamanın güvenilebilir asıl kopyası ile karşılaştırmasını sağlar. Bu şekilde sahteciliğe karşı korunma amaçlı değişiklikler ya da hatalar bulunur ve ayrıca mevcut yazılım versiyonunun kullanıldığından emin olunur. Bellek Görüntü Karşılaştırması- Yukarıda anlatılan yönteme benzemektedir. 7

13 Kullanıcı Kütük Analiz Yazılımı- Yetkisi olmayan kişilerin sisteme girme çabalarını ve şifre ihlallerini belirlemeyi sağlar. Çoğu sistemde kullanıcı girişlerinin bir kütüğü ve denenmiş kütük açılışları bulunmaktadır. Bu dosya, dosya inceleme programına kolaylıkla bağlanabilen ya da kurum içindeki programlardan yararlanılarak incelenebilen basit bir metin dosyasıdır. Yukarıda belirtilenlerin tümü uygulamanın/sistemin ayrıntılı şekilde bilinmesini gerektirir. 3.5 Verilerin elde edilmesi Sisteme Yerleştirilen Denetim Modülü Denetçinin, denetlenen kuruluş uygulamasıyla üretilmiş verilerin tümüne ihtiyacının olmadığı durumlarda yararlıdır. Sisteme yerleştirilen denetim modülü, denetçinin ihtiyaçlarına uygun bilgilerin ortaya çıkarılması için kullanılır. Sisteme yerleştirilen denetim modüllerinden, bir uygulamanın yürütülmesi sırasında faaliyetlerin yerine getirilmesinde yararlanılabilir, örneğin, sistem geçerliliğini kanıtlamak üzere denetçi tarafından oluşturulan test bilgilerinin iptal edilmesi gibi. Sisteme Yerleştirilen Denetim Modüllerinin avantajları üç grupta toplanabilir: Denetçi, sadece denetimin gerektirdiği bilgileri kapsayan inceleme için bir dosya alabilir; Hesaplamalardan çıkarılan sonuçlarını/toplamlarını etkilememesi için test kayıtlarını uygulamadan silebilir; Değişken veriler (Program ilerledikçe değişen ya da programın ileri aşamalarında etkilenen/değişen veriler) denetçi tarafından gerekli görülen bir format halinde önceden belirlenen bir noktada elde edilebilir. Bu modüllerin olumsuzlukları ise üç alanda görülür: Denetçi sistemi ayrıntılı olarak bilmelidir ve bir modül yazılması gerekiyorsa denetçinin programlama becerisi olmalıdır. Modül, denetçi adına denetlenen kurum tarafından yazılacaksa, özelliklerin doğru ve kolay izlenebilir olması gerekir; çünkü bu durum çoğunlukla denetlenen kuruluşun program değişikliklerini planlamasını gerektiren bir durumdur; sonuç olarak denetim bilgilerinin edinilmesinde gecikmelere neden olmaktadır. Denetçi, denetim verilerinin ya da örnekleme bilgilerinin alınacağı dosyanın eksiksiz bir dosya olduğu konusunda belirli güvencelere ihtiyaç duyacaktır. Denetçinin isteğine göre Sisteme Yerleştirilen Denetim Modülü genellikle, 8

14 3.6 Sistem aktarımı denetçinin sorumluluğunda olan incelemelerin denetlenen kuruluş tarafından yapılmasına imkân veren bir yoldur. Snapshot- Anlık görüntü alma, denetçiye bir program veya sistem içindeki belirli bir konudaki veriler hakkında fikir vermek üzere kullanılan bir BDDT aracıdır. Bu araç, uygulanmakta olan bir işleme ilişkin matematiksel hesaplamalardaki muhtemel hataların belirlenmesinde yararlıdır. Slaytta gösterilen örnekte (anlık görüntü alma örneği) hatalı bir KDV hesaplaması vardır. Denetçi, bu aşamada programı durdurarak ve kullanılan değişkenlerin değerlerini araştırabilir. Sunulan çıktı, KDV'nin 1.75 yerine 1.7 olarak okunduğunu ortaya çıkarmaktadır (Katma Değer Vergisi=% 17.5). Bağlantılı programın izinin sürülmesi, KDV hesaplamasındaki hataya işaret edecektir. Bu durumda denetçi ya da BDDT leri uzmanı, sistemin yazılmasında yararlanılan bilgisayar programlama diline aşina olmalıdır. 3.7 Program uygulamasının izinin sürülmesi İz sürme- İz sürme, en iyi şekilde anlık görüntü almayla bağlantılı olduğunda işler. Örneğin Snapshot programın içinde uygulanmakta olan bazı matematiksel işlemlerle özel bir problem ortaya çıkarabilir. İz sürme ise, bilişim teknolojisi alanında çalışan denetçinin problem anlaşılıncaya kadar adım adım program aracılığıyla işlemi izlemesine imkân sağlar. Slaytta gösterilen örnekte (iz sürme örneği) yararlanılan özel yazılım dilindeki iz sürme, tek adımlı bir işlevdir. Kullanıcı, o satırda uygulama yapıp yapmamayı seçmek için programın her satırında yönlendirilir; Bu şekilde, kullanıcı satırın işlevini ve satırda yer alan verilerin etkisini görebilir. Bir mesaj satırı, denetçinin mesajın evresinde belli bir değişkenin değerini görmesi amacıyla programa eklenebilir. İz sürme ve Snapshot benzer biçimde çalışır. Denetçi, yararlanılan yazılımın uygulama bilgisine ihtiyaç duyacaktır. 9

15 3.8 Sisteme yerleştirilen denetim modülleri Genel olarak, Sisteme Yerleştirilen Denetim Modülleri, rutin ay sonu işlemleri türünden bilgisayar ana belleğine kaydedilen işlemlerin birleştirilmesi gibi normal uygulama çalışması sırasında inceleme yapılması ya da verilerin çıkarılması amacıyla sisteme kodlanmış alt programlardır. Alt programlar genellikle, denetçilerce belirlenir ve denetçi tarafından incelenmek üzere işlemlerin/alanların ayrı bir dosyaya alınmasını kapsar. Denetçiler için uygulama dosyası üretmek üzere oluşturulan bir Sisteme Yerleştirilen Denetim Modülü, denetlenebilir işlemler elde etmenin çok yaygın kullanılan bir yoludur. Sisteme Yerleştirilen Denetim Modülleri denetçinin kendisi ya da denetlenen kuruluşun sisteminden sorumlu programcılar tarafından yazılabilir. Modülden denetçi sorumlu ise, sistem ve kullanılan programlama dili konusunda ayrıntılı bilgi sahibi olmalıdır. Modülün üretiminden denetlenen kuruluşun birimi sorumluysa, denetçinin, denetlenen kuruluşa sunduğu tanımlamaların doğru ve izlenmesi kolay olmasını sağlaması gereklidir. Büyük kuruluşlar yıl boyunca program değişikliklerini planlamak ya da her yıl sınırlı sayıda program değişikliğine izin vermek durumundadır. Denetçinin sunduğu tanımlamalar yanlış olursa ya da yanlış anlaşılırsa, modülün yeniden yazılması önemli ölçüde gecikmelere sebep olabilir. Sisteme Yerleştirilen Denetim Modüllerine İlişkin Örnekler: İngiltere Sayıştayı tarafından belirlenen formatta işlemlerin sunulduğu İngiltere Yurtiçi Gelir Vergisi Dairesi tarafından kullanılan modül. Sosyal Güvenlik Dairesi'nın değişken verileri bulunmaktadır (işleme sırasında değişikliğe uğrayan veriler); bu nedenle örneklemenin günlük faaliyetler sırasında yapılması gerekmektedir. Sosyal Güvenlik Bakanlığı her operasyonel çalışmada rasgele bir örnek kümesi sunmaktadır. Denetlenen kuruluş denetçiler adına örnek kümesi çıkardığında sunulan verilerin gerçekten temsil edici olmasını sağlamak bakımından sistemin ve yazılan modülün çok iyi bilinmesi gerekir. 10

16 3.9 Veri dosyalarının analiz edilmesi En yaygın biçimde kullanılan BDDT metodu, denetlenen kuruluşça sunulan bir işlemler dosyası üzerinde çalışılmasıdır: Toplam alma- verilen hesabın eksiksiz ve denk olduğunun kanıtlanmasında yararlanılır. Katmanlara ayırma- denetçiye dosya içerisindeki değerler dizisine ilişkin daha kesin bir fikir verir, incelemelere daha profesyonelce yaklaşılmasını sağlar ve dosyadaki muhtemel problemleri daha hızlı biçimde tespit eder. Örnekleme- denetçinin denetim testi için dosyadan temsilî işlemleri seçmesini sağlar. Halihazırda iyi bilinen dosya inceleme paketlerinde bulunan örnekleme türlerinden bazıları şunlardır: Para Birimine Dayalı Örnekleme Aracı (Cell MUS) Katman örneklemesi Tesadüfî örnekleme Sistematik örnekleme Nitelik (Attribute) Farklı denetim türleri için farklı örnekleme yöntemlerine başvurulur. Mükerrer ödeme kontrolları, Ödemelerdeki hataların ya da muhtemel sahtecilik faaliyetinin belirlenmesine olanak verir; Dönemlere ayırma (Ageing), bir dönem boyunca yapılan ödemelerin yapısını gösterir. İşin teslimi ile ödemesi arasındaki periyot gözlenebilir. Performans denetimi için yararlı bir araçtır. Ödeme sistemi tam olarak etkin bir biçimde işliyor mu? Boşluk belirleme, seri içindeki hatalı rakamları ortaya çıkarır. Hatalı işlemlerin ya da sahteciliğe ilişkin faaliyetinin belirlenmesinde yararlı bir araçtır. Veriler hazırlanırken yararlanılan formüllerin doğruluğunu kanıtlamak üzere yeniden hesaplama yapılabilir. 11

17 3.10 İstisnaî rapor İstisnaî raporlama yaygın olarak kullanılan bir BDDT aracıdır. Bu araç denetçinin belirlediği kriterlerden yararlanılarak bir denetim dosyasından diğer bir dosya için veri çıkarılmasıyla ilgilidir. Mali denetimde denetçinin, örnekleme ile toplam alma için birbirinden ayrı olması gereken kategoriler içindeki kayıtları belirlemesi gerekir. Örneğin büyük bir hesap, çeşitli ekipler tarafından denetlenebilir, denetim dosyasının daha küçük hesaplara ayrılması gerekebilir. Bir denetim dosyasında birden fazla kayıt türü bulunabilir ya da dosya bütünüyle incelenemeyecek kadar büyük olabilir. İstisnaî raporlamadan dosyanın yönetilebilir ya da anlamlı bölümlere ayrılmasında yararlanılabilir; Örnekleme yapmadan önce, denetim dosyasından yüksek değerli ya da önemli kalemlerin kaldırılması gerekir. Çünkü Para Birimine Dayalı Örnekleme Aracı gibi bazı örnekleme türleri, yüksek değerlere karşı duyarlıdır. Geride kalan yüksek değerli kalemlerin yer aldığı dosyadan çıkarılan bir örnek kümesi, muhtemelen sözü edilen kayıtlarla çok daha isabetli sonuç verecek ve bu yüksek değerli kalemler kaydedilen daha küçük değerli kayıtların çoğunluğuna göre çok az olacaktır. Dosyada mutabakatın sağlanamadığı durumlarda, gereksiz ya da hataya yol açan kalemlerin kaldırılması gerekebilir. Test verileri denetim dosyasındaysa, istisnaî rapor, bunun kaldırılmasında kullanılabilir; İnceleme dosyasında bozukluklar ya da hatalı veriler bulunuyorsa, istisnaî rapor, denetlenen kuruluşun görüşü alınmak üzere bir rapor hazırlanmasında kullanılabilir İnceleme araçları BDDT araçlarının çoğu pek çok denetim türüne uygun olsa da, belli denetim türleri için daha uygun olan özel araçlar bulunmaktadır. Veri üretilmesi, karşılaştırmalara ve eğilimlere ilişkin veriler üretmede oldukça geniş veri tabanlarında yararlanılan bir araçtır. Bu araç genellikle, söz konusu veri dosyalarının büyüklüğü ve aracı uygulamada gerekli işleme gücünün fazlalığı nedeniyle ana bilgisayarlarda kullanılır. Denetim Komisyonunca konut yardımları yolsuzluğu hakkında yürütülen çalışma veri üretme konusunda bir uygulama örneği olarak gösterilebilir. Bir adresin birden fazla kullanıldığını belirlemede yapılan yardım uygulamalarıyla konut adresleri karşılaştırılmıştır. Dosya katmanlandırması, belirlenen değer gruplarında yer alan işlemlerin oranı ile ilgili net bir görüntü sağlar. Denetçiye daha yoğun test yapmasını gerektiren en yüksek riskli alanlarla ilgili fikir verir. 12

18 Mükerrer ödemeler ve boşluk belirleme, hataları ve sahteciliğe ilişkin faaliyetleri ortaya çıkarır. Belirsiz eşleştirme, benzer görünen bilgilerin kontrollerinin yapılmasını sağlar, sahteciliğe ilişkin iddialar/ödemeler gibi girişimleri ortaya çıkarır. Örneğin bir kişi öğrenci kredisinden yararlanmak için birkaç başvuruda bulunabilir. Her başvuruda birey ufak değişiklerle isim verebilir. Bu yöntem, inceleyenin birbirine benzer isimlerin yer aldığı tüm başvuruların ortaya çıkarmasını sağlar Sistemlerin denetimi BDDT uygulamalarından hem programlarda hem de sistemlerde yararlanılabilir. Uygulamaların pek çoğu her BDDT türü için aynı derecede geçerlidir: Sisteme Yerleştirilen Denetim Modülleri incelemelerin yürütülmesinde ve denetim için veri çıkarılmasında kullanılabilir. Program içerisindeki hesaplamaların yeterliliğini ve verilerin güvenilirliğini kanıtlamak üzere metodolojilerden yararlanılabilir. Suç Teşkil Eden Fiillere Yönelik Denetim, aktif ancak kullanılmayan kodu kontrol etmek için harita çıkarma eşliğinde nesnenin ve kaynak kodunun karşılaştırılmasını daha fazla gerektirmektedir. Sahtecilik faaliyetinden kuşkulanılıyorsa, denetçinin sahtecilik kodunu ayırmak ve test etmek için Snapshot, İz Sürme ya da Paralel Simülasyondan yararlanması gerekebilir. Risk denetimi mevcut prosesin geçerliliğini kontrol etmek için sistem boyunca işlemlerin izinin sürülmesini gerektirebilir. Çoklu işlem düzeylerinin bulunduğu sistem bölümleri Paralel Simülasyon kullanılarak yeniden oluşturulabilir. Sistem denetiminin her türü için yukarıda adı geçen araçların tümünden yararlanılması mümkündür. Yararlanılacak araç, inceleme hedeflerine en yakın olana bağlıdır. Dosyaların ya da sistemlerin incelenmesine geçilmeden önce denetim uygun bir şekilde planlanması, yapılması gereken testlerin neler olduğunu belirleyecektir. Program sürecinin ve sistemin operasyonel süreçlerinin geçerliliğinin kontrolünde yararlanılan BDDT araçları, denetçinin sistemi ayrıntılı olarak bilmesini ve programlama deneyimine sahip olmasını gerektirir. 13

19 3.13 İşlemlerin analiz edilmesi Yaygın olarak kullanılan BDDT lerinin pek çok özelliği denetçinin ihtiyaç duyduğu incelemelere bağlı olarak çakışabilir: Mali Denetim ve Performans Denetimi, dosya incelemesinin farklı türlerine önem verir. Öte yandan Mali Denetim ve Risk Denetimi, incelenmekte olan hesapların denetlenen kuruluşun mali durumuna uygun olduğunu güvence altına almak üzere bir dosyanın eksiksiz olduğunu ve yeterliliğini kanıtlamayı; Performans Denetimi ise mali uygulamalardaki iyileşmeleri ortaya çıkarmayı amaçlar. Yürütülen denetim, performans incelemesi ise toplam alma ve örnekleme yerine dönemlere ayırmaya, boşluk belirlemeye ve istatistiki analize daha fazla ağırlık verilebilir. Suç Teşkil Eden Fiillere Yönelik Denetim, bir sistemden sahtecilik amaçlı yararlanılmasını ya da bir sistemi kötüye kullanma olasılığını ortaya çıkarmayı amaçlar. Bu durumda tüm BDDT lerinden yararlanılarak daha çok dosya analizi yapılacaktır. Belirsiz eşleştirme ve veri üretme araçlarına daha fazla vurgu yapılır. 14

20 4. Verilerin tanımlanması ve elde edilmesi 4.1 Bir BDDT nin planlaması Bir BDDT ni oluşturmaya başlamadan önce, o tekniğin gerektiği biçimde planlanması gerekir. BDDT, denetimin bir parçası olarak görülmelidir; BDDT nin hedefi denetçinin bir hesabı doğrulamada gerek duyduğu güvenceyi elde etmesinde denetçiye yardımcı olmaktır. BDDT incelemeleri için en uygun dosya/dosyaların seçilmesi denetçi için çok önemlidir ve mevcut veri dosyaları incelenirken özen gösterilmelidir. Denetçi, hangi dosyaların kullanıldığını tetkik etmek üzere denetlenen kuruluşun sistemindeki akış şemalarından yararlanmalıdır. Orijinal veri giriş sürecinden en az farklı olan verilerin seçilmesi gerekir. Gerekli veriler tanımlandıktan sonra veriler için uygun formatın oluşturulması amacıyla denetlenen kurumla bağlantı kurulmalıdır. Veriler denetim kurumunun kullanmakta olduğu inceleme yazılımıyla uyumlu ya da BDDT leri uzmanınca kolayca dönüştürülebilecek bir formatta olmalıdır. Veriler denetim kurumunca kullanılan donanımla uyumlu manyetik bir ortamda da sunulmalıdır. Verilerin ağ sistemi ya da bir modem aracılığıyla gönderilmesine karar verilirse denetlenen kuruluşun ve denetim kurumunun bilişim sisteminin güvenlik yetkilileriyle virüs ya da güvenlikle ilgili konuların görüşülmesi tavsiye edilir. Ayrıca, denetçinin kendi kuruluşundaki BDDT uzmanlarıyla ve denetlenen kuruluştaki bilişim teknolojisi uzmanlarıyla ilişkiye geçmesi de önemlidir. Bu bilgiler gelecekte yapılacak geliştirme çalışmaları ve BDDT leri yönetimi için yararlı olacaktır. BDDT planlamasına zaman ayrılması, inceleme sırasında daha fazla zaman tasarrufu sağlayacaktır. 15