BANKACILIK SEKTÖRÜNDE BİLGİSAYAR DESTEKLİ DENETİM

Transkript

1 BANKACILIK SEKTÖRÜNDE BİLGİSAYAR DESTEKLİ DENETİM Yrd. Doç. Dr. Özgür ÇATIKKAŞ 1 Gürdoğan YURTSEVER 2 Özet Son yıllarda giderek artan rekabet ortamı ve teknolojideki büyük atılımlar bankacılık sektöründeki iģ riskini daha da arttırmıģtır. Sektörün düzenlenmesine yönelik artan yasal ve kurumsal düzenlemeler nedeniyle uluslararası yöntem ve metodolojileri kullanma zorunluluğunun ortaya çıktığı görülmektedir. Banka bünyesinde gerçekleģtirilen bütün faaliyetlerin etkin ve efektif bir Ģekilde denetim ve gözetimi için Bilgisayar Destekli Denetim Teknikleri (Computer Assisted Audit Techniques CAATs) bu bakımdan önemli bir yöntem ve metod olarak karģımıza çıkmaktadır. Bilgisayar Destekli Denetim yöntemi ile denetçiler veri yığınlarıyla uğraģmaktan kurtulmakta aksine özümsenmiģ, süzülerek ve belli kontrollerden geçirilerek elde edilen sonuçlar üzerinden denetimlerini tamamlama imkanı bulmaktadırlar. Bilgisayar Destekli Denetim Tekniklerinin Türk Bankacılık sistemi içerisinde yeri, önemi ve geliģim noktalarını belirlemek çalıģmanın amacını oluģturmaktadır. Anahtar Kelimeler: Bilgisayar Destekli Denetim, Sürekli Denetim, Denetim Teknikleri, Bankacılık Abstract(Computer Assisted Audit Techniques in Banking Sector) Increasing competition environment and big strides in technology in recent years increased business risk further in banking sector. It is observed that using inrternational methods and methodologies are required due to increasing legal and corporate arrangements in regulation of the sector. Therefore computer assisted audit techniques appear as an important method for effective and efficient auditing and supervising of all activities carried out within the bank. With computer assisted audit methods, auditors, avoid working with data clusters, contrarily they have possibility of completing their audits based on the results that are absorbed filtrated an undergone certain controls. The aim of this study is to determine the place, importance and development points of computer assisted audit techniques in Turkish Banking System. Key Words:Computer Assisted Audit, Continious Audit, Audit Techniques, Banking 1 Marmara Üniversitesi Bankacılık ve Sigortacılık Yüksekokulu 2 Tekstil Bankası A.ġ. Ġç Kontrol Merkezi ve Uyum BaĢkanı 1

2 Giriş Günümüzün giderek değiģen iģ dünyası gerek bankalar gerekse bankaların denetim birimleri açısından önemli geliģmeler göstermektedir. Rekabet ortamının artması, katı mali ve yasal düzenlemeler, ticari faaliyetler ve teknolojideki büyük atılımlar iģ riskini artırmakta ve yanlıģ mali analizlere neden olabilmektedir. Günümüzde bankacılık sisteminin mali ve operasyonel yapısının güçlendirilmesine yönelik uygulamalar ile birlikte bankacılık sektöründe gözetim ve denetimin etkinliğini artıracak, sektörü daha etkin ve rekabetçi bir yapıya kavuģturacak yasal ve kurumsal düzenlemelerin arttığını görmekteyiz. Uluslararası Muhasebe Standartları, Uluslararası Denetim Enstitüsü (IIA) standartları, Bankacılık alanında Basle Komitesinin Accord'ları ve bu normlar esas alınarak hazırlanan Bankacılık Kanunu ve BDDK Yönetmelikleri de bu geliģmeye iģaret etmektedir. Bu çerçevede Bankaların ve özel finans kuruluģlarının piyasa disiplini içerisinde, sağlıklı etkin ve dünya ölçeğinde rekabet edebilir yapıda iģleyiģi için uluslararası yöntem ve metodolojileri kullanma zorunluluğu doğmuģtur. Banka bünyesinde gerçekleģtirilen bütün faaliyetlerinin etkin ve efektif bir Ģekilde denetim ve gözetimi için Bilgisayar Destekli Denetim Teknikleri (Computer Assisted Audit Techniques CAATs ) önemli bir yöntem ve metod olarak karģımıza çıkmaktadır. Bilgisayar Destekli Denetim yöntemi ile denetçiler veri yığınlarıyla uğraģmaktan kurtulmakta aksine özümsenmiģ, süzülerek ve belli kontrollerden geçirilerek elde edilen sonuçlar üzerinden denetimlerini tamamlama imkanı bulmaktadırlar. ÇalıĢmamızın amacı Bilgisayar Destekli Denetim Tekniklerinin Türk Bankacılık sistemi içerisinde yeri, önemi ve geliģim noktalarını belirlemektir. 2

3 1. Bilgisayar Destekli Denetimin Tanımı Bilgisayar destekli denetim teknikleri; denetimi yapılan iģletmenin muhasebe sistemini, bilgisayar imkânlarını kullanarak denetleme sürecidir. Diğer bir ifadeyle, denetçilerin Ģahsi üretkenliklerinin denetim fonksiyonlarıyla birlikte artmasını sağlayan bilgisayar tekniklerine bilgisayar destekli denetim teknikleri denilmektedir (Pamukçu, 2004; 75). Bilgisayar Destekli Denetim, denetimi yapılan organizasyonun ve dolayısıyla bilgisayarlı muhasebe sisteminin güvenilirliğinin, bilgisayar imkânları kullanılarak denetlenmesi süreci olarak tanımlanabilir (Aksoy,2002; 796). Denetimi yapan denetçi açısından ele alındığında ise bilgisayar destekli denetim, denetlemede verimliliği artıran araç ve teknikler olmanın yanı sıra denetçilerin kiģisel verimliliğini artıran teknikler olarak da tanımlanmaktadır. Bilgisayar destekli denetimler uygulamada, çok çeģitli bilgisayar programları ile gerçekleģtirilmektedir. Bilgisayar Destekli Denetim Teknikleri, denetçilerin sistemsel bilgilere bilgisayar yardımı ile ulaģarak, denetim kanıtları ve destekleyici bilgileri temin ettikleri bir yoldur. (Vasarhelyi, Alles ve Kogan, 2004; 84) BaĢka bir ifade ile Bilgisayar Destekli Denetim Teknikleri, denetçilerin denetimler sırasında kullandığı önemli araçlardır. BDDT ler; genelleģtirilmiģ denetim yazılımı, yardımcı program, test verileri, uygulama yazılımı izleme(tracing) ve eģleme (mapping) ve denetim uzmanı sistemleri gibi pek çok tipte araç ve teknikleri içerir (TĠDE,2008; 127). 2. Bilgisayar Destekli Denetimin Tarihçesi 1960 larda ilk ana bilgisayarların ortaya çıkmasıyla çok sayıda bilginin elektronik olarak saklaması mümkün hale geldi. Veri giriģine/elde edilmesine iliģkin metodlar oluģturuldu. Ayrıca büyük dosyaların hızla incelenmesi de olanaklı hale geldi. Denetim raporlarından, bir dosyanın güvenilirliğinin kanıtlanmasında yararlanılmaya baģlandı. Ayrıca endeksleme, toplam alma ve istisnaî raporlama gibi verilerin basit Ģekilde incelenmesi/belli amaçlar için kullanılması da olanaklı hale geldi. Veri transferinin geliģmesiyle bu uygulamalar daha fazla yaygınlaģtı. Denetlenen kuruluģun verilerini uzaktan inceleme olanağı doğdu. Veri saklama (manyetik teypler, 3

4 disketler (floppy), bir modem bağlantısı yoluyla ana bilgisayarda incelenmesi gereken Bilgisayar Destekli Denetim Teknikleri farklı dosyalar oluģturulmasını sağladı lerde, masa baģı kiģisel bilgisayarların ortaya çıkması, muhasebe amaçlı yazılımların geliģmesini sağladı. Muhasebe ile ilgili bütün defterler elektronik olarak tutulabildi ve endeksleme, toplam alma, istisnaî raporlama gibi karmaģık uygulamalar daha kolaylıkla yürütülebildi. MS-DOS gibi iģletim sistemlerinden yararlanan kiģisel bilgisayarların uyumluluğu, dosyanın daha kolay transfer edilebilirliğini sağladı ve denetçiler denetim dosyalarına daha kolay eriģebildi. KiĢisel bilgisayarların hızı ve kapasitesi daha fazla arttığından çok daha fazla sayıda dosya iģlenebiliyordu. Dosyaların sistemden sisteme ve bilgisayardan bilgisayara aktarılabilesi amacıyla yazılım ve donanım geliģtirildi. Muhasebe yazılımına paralel olarak dosya inceleme yazılımı geliģtirildi lerin sonunda IDEA ve ACL gibi araçlar kiģisel bilgisayardaki dosyaların incelenmesi için geliģtirildi. ġirketler de bilgisayar programlama dillerinden yararlanarak daha önceki ana bilgisayar incelemelerine benzeyen inceleme yolları yazmaya baģlamıģlardı. Bu eğilim, kiģisel bilgisayarların muhasebe ve dosya incelemesine yönelik baģlıca araç haline geldiği 1990 lara dek sürdü. Dosya uyumluluğu, çoğu dosya formatına ulaģabilen Windows ve Win95 programlarının geliģmesiyle birçok paketi standart hale getirmeyi sürdürdü (Yarar, 2000; 28) li yıllarda sistem üzerinden spesifik denetim yapılmasına imkan veren özel denetim yazılımları ve paketleri geliģtirildi. Bugün dünya bankacılık sisteminde bilgisayar destekli denetim yazılımlarının kullanımı hızla artmaktadır. Hızlı etkin ve verimli bir denetim gerçekleģtirilmesinde Bilgisayar Destekli Denetim teknikleri çok büyük katkılar sağlamaktadır. 3. Muhasebe Denetiminde Kullanılabilecek BDTT Türleri 3.1.Ticari Yazılımlar Microsoft Excel,Word gibi ticari yazılımlar müģteri veritabanı bilgilerinin aktarılarak analiz edilmesi için kullanılmaktadır Sistem Gömülü Denetim Yazılımları Bu yazılımlar kullanıcı programlarına eklenen ve iģleyiģi kontrol eden sonuçları denetçilere aktaran devamlı denetim ve gözetim iģlevi yürüten yazılımlardır. 4

5 3.3.Bütünleşik Test Yazılımları MüĢteri programlarına eklenen ve gerçek datanın denetçiler tarafından test edilebilmesine imkan veren yazılımlardır. BütünleĢik test tekniği (Integrated Test Facility) ile denetçi, iģletme uygulama programlarının mantığını ve kontrollerini tüm muhasebe bilgi sistemini içerecek biçimde test edebilir. Veri testinin bir türü olan bu teknikte denetçi hayali kayıtlar oluģturup bu kayıtları süreğen bir temelde kukla (dummy) verilerle çalıģtırabilir ve testin etkinliği önemli ölçüde artırılmıģ olur. Örneğin hayali bölüm, satıcı, müģteri, iģçi gibi muhasebe verisinin birikebileceği bir temelde verinin iģlenebileceği bir yığın yaratılabilir. Bu yığın oluģturulduktan sonra denetçi verileri iģletmenin bilgisayar sisteminde iģleyerek sonuçlarını alır. Önceden belirlenmiģ iģlem sonuçları, bütünleģik test tekniği verileri ile elde edilen sonuçlarla karģılaģtırır (Erdoğan, 1999; 4). 3.4.Simülasyon MüĢteri verileri üzerinde denetçiler tarafından karģılaģtırmalı analizler ve geleceğe yönelik tahminler yapılabilmesine imkan veren yazılımlardır. BaĢka bir ifade ile simülasyon, gerçek bir sistemin modelini tasarlama süreci ve sistemin iģlemesi için sistemin davranıģlarını anlamak veya değiģik stratejileri değerlemek amacıyla bu model üzerinde denemeler yapmaktır Ģeklinde tanımlayabiliriz (Helms, Mancino, 1998;52). 3.5.Program Kodlarının Analizi MüĢteri yazılım kodlarının yönetmeliklere ve kurallara uygun Ģekilde gerçekleģtirildiğinin denetçiler tarafından sistem dökümanları kullanılarak tanımlanmasıdır. 3.6.Veri Analizi Denetçiler tarafından hazırlanan verilerin bilgisayarlı analizi bir bilgisayar destekli denetim tekniğidir. ĠĢlemler üzerinde inceleme yapılarak beklenen Ģekilde proses edilip edilmediklerine iliģkin kanıtlar toplanır. 3.7.Özel Denetim Yazılımları Spesifik görevler ve amaçlar için hazırlanmıģ ve sistemde dataları iģleyen ve inceleyen sonuçları değerlendirilmek üzere denetçilere sunan yazılımlardır. 5

6 Bu programlar, birikmiģ verilerden denetim için önemli verilerin bilinçli veya tesadüfî seçiminde, hesaplama sonuçları ve verilerin karģılaģtırılması v.b. tekdüze ve Ģekli denetim iģlemlerinin yapılmasında kullanılırlar. Özel denetim programları, denetçinin kendisince yazılabileceği gibi, müģteri veya denetçinin sipariģi üzerine bilgi iģlem danıģmanlık firmaları tarafından da hazırlanabilir. Ayrıca bunlar, belirli bir denetim iģi için hazırlanmalarına rağmen, esnek bir yapıda programlandığında diğer müģteriler için de kullanılabilirler (Yılmaz, 2007; 82). 3.8.Genel Amaçlı Denetim Yazılımları Ġlk olarak Amerikan denetim firmalarınca geliģtirilen ve uygulanan standart programlardır. Bunlar, denetçi tarafından istenen denetim iģlemlerinin alt programlar Ģeklinde bir araya getirilmesinden oluģurlar. Standart denetim programları olarak tasarlandıklarından her kullanım için denetimin özel Ģartlarına uyarlanabilirler. Ancak burada, farklı bilgi iģlem sistemlerinin özellikleri ve müģterinin muhasebe organizasyonu dikkate alınmalıdır. Genel denetim programları yardımıyla denetim verileri bilinçli ya da tesadüfî olarak seçilebilirler ve ihtiyaca göre yeniden düzenlenebilirler (Porter, Burton, 1971; 253). 4. Bilgisayar Destekli Denetimin Uygulama Aşamaları 4.1.Planlama Bir BDDT yi oluģturmaya baģlamadan önce, o tekniğin gerektirdiği Ģekilde planlanması gerekir. BDDT nin hedefi denetçinin bir hesabı doğrulamada gerek duyduğu güvenceyi elde etmesinde denetçiye yardımcı olmaktır (Yılmaz, 2007; 94). BDDT incelemeleri için en uygun dosya/dosyaların seçilmesi denetçi için çok önemlidir ve mevcut veri dosyaları incelenirken özen gösterilmelidir. Denetçi, hangi dosyaların kullanıldığını tetkik etmek üzere denetlenen kuruluģun sistemindeki akıģ Ģemalarından yararlanmalıdır. Orijinal veri giriģ sürecinden en az farklı olan verilerin seçilmesi gerekir (TĠDE, 2008; 94) BDDT lerinin Kullanımı İçin Karar Faktörleri Denetim planlanırken, manuel tekniklerin ve BDDT lerin uygun bir kombinasyonu kullanılmalıdır. BDDT ler kullanılırken Ģu faktörler dikkate alınır: (TĠDE, 2008; 128) -Denetçinin bilgisayar bilgisi, uzmanlığı ve tecrübesi -Manuel tekniklere kıyasla BDDT leri kullanmanın etkinliği ve verimliliği 6

7 -Zaman kısıtı -BiliĢim sistemi ve bilgi teknolojisi ortamının bütünlüğü -Denetim risklerinin düzeyi BDDT Planlama Adımları BDDT lerin uygulanması hazırlanırken yapılması gereken temel noktalar Ģunlardır: -BDDT lerin denetim hedeflerini belirlemek -Uygulanacak prosedürleri(istatiksel örneklem, yeniden hesaplama, teyit/doğrulama, vb) tanımlamak. -Çıktı ihtiyaçlarını tanımlamak -Personel, BDDT ler ve iģleme ortamı gibi kaynak ihtiyaçlarını saptamak -Kullanılacak BDDT ler ile ilgili hedefler, üst düzey akıģ Ģemaları ve iģletim talimatları da dahil dökümanların hazırlanması Denetlenen İle Yapılacak Düzenlemeler: BDDT incelemeleri için gerekli bilgiler belirlendikten sonra, veri formatı ve bu verileri saklama yöntemi konusunda anlaģma sağlanması gereklidir (Janruca, 1987; 89). Ayrıntılı iģlem dosyaları gibi veri dosyaları, genellikle, sadece kısa bir süre saklanmaktadır; bundan dolayı, denetçi, ilgili verilerin denetim için gerekli olan süre boyunca saklanması için gerekli düzenlemeleri yapmalıdır. Denetimin, kurumun üretim ortamı üzerindeki etkilerini asgari düzeye indirmek için BS olanakları, programları ve verilerine eriģimle ilgili düzenlemeler, eriģime ihtiyaç duyulan zamandan çok önce yapılmalıdır. Denetçi, üretim programlarında oluģan değiģikliklerin BDDT lerin kullanımı üzerinde yapabileceği etkiyi değerlendirmelidir. Bunu yaparken, denetçi, bu değiģikliklerin hem BDDT lerin bütünlüğü ve faydası üzerindeki hem de denetçinin kullandığı programlar/sistem ve verilerin bütünlüğü üzerindeki etkisini dikkate almalı ve değerlendirmelidir BDDT lerin Test Edilmesi Denetçi; uygun planlama, tasarım, test etme, iģleme ve belge incelemesi yoluyla, BDDT lerin bütünlüğü, güvenilirliliği, faydalılığı ve güvenliği hakkında makul seviyede bir güvence sağlamalıdır. BDDT lere güvenmeden ve onları dayanak olarak kabul etmeden önce 7

8 bu güvencenin elde edilmesi gerekir. Bu testin niteliği, zamanlaması ve kapsamı, BDDT lerin ticari piyasada mevcudiyetine ve istikrarına bağlıdır BDDT ler ve Verilerin Güvenliği Denetçi ve BDDT uzmanı veri tamlığının ve dosya güvenilirliğinin sağlanmasında rol oynar. Genellikle BDDT uzmanının görevi verileri denetçilerin bilgisayarlarına yüklemektir. BDDT uzmanı Ģunları yapmalıdır: - Veriler, floppy diskten aktarıldıysa, verilerde virüs kontrolü yapmak. Veriler floppy diskte bulunuyorsa, tüm verilerin virüs kontrolüne alınması uygun olur. - Veriler, bir manyetik teypte bulunuyorsa kayıt sayıları hesaplanmalıdır. Bundan genellikle, BDDT uzmanı sorumludur. Bu hesaplama, dosyadaki tüm kayıtların dönüģtürüldüğünü/yüklendiğini göstermek bakımından her zaman yapılmalıdır. Denetçi eksiksiz bir dosyayı incelemelidir.(taylor, Glezen, 1994; 495) -BDDT lerin veri analizinde kullanılmak üzere bilgi elde etmek için kullanıldığı durumlarda denetçi, verilerin elde edildiği biliģim teknolojileri ortamının ve biliģim sisteminin bütünlüğünü teyit etmelidir. - Denetçi, üretim verilerini ve program/sistsem bilgilerini uygun bir gizlilik ve güvenlik düzeyinde tutmalı ve korumalıdır. -Denetçi, BDDT lerin bütünlüğü, güvenilirliği, faydalılığı ve güvenliğinden sürekli emin olmak için uygun prosedürler uygulamalı ve prosedürlerin sonuçlarını kaydetmelidir. -BDDT ler denetçinin kontrolü altında olmayan bir ortamda bulunuyorsa, BDDT lerdeki değiģiklikleri tespit etmek amacıyla uygun kontroller yapmalıdır. BDDT lerde bir değiģiklik yapıldığında denetçi, bu BDDT leri dayanak almadan önce uygun planlama, tasarım, test etme, iģleme ve belge incelemesi yoluyla, BDDT lerin bütünlüğü, güvenilirliği, faydalılığı ve güvenliği hakkında güvence sağlamalıdır. 4.2.DENETİM ÇALIŞMASININ YAPILMASI BDDT lerin ayrıntılı tanımlamalar ve denetim hedeflerini karģıladığı hususunda makul güvence elde edilmesi için, BDDT lerin kullanımı denetçi tarafından kontrol edilmelidir. Denetçi: -Uygunsa, kontrol toplamları arasında bir mutabakat çalıģması yapmalıdır. -Çktıların makul olup olmadığını incelemelidir. 8

9 -BDDT lerin mantığını, parametrelerini veya ilgili diğer özelliklerini incelemelidir. -Ġlgili kurumunu, BDDT lerin bütünlüğüne katkıda bulunabilecek genel BS kontrollerini (örneğin, program değiģiklik kontrolleri ve sisteme, programa veya veri dosyalarına eriģim) incelenmelidir. 4.3.BDDT LERİN YÜRÜTÜLMESİ VE DÖKÜMANTASYONU BDDT nin kavramlaģtırıldığı aģamadan uygulanmasına kadar geçen tüm aģamaların belgelenmesi önemlidir. AĢağıdaki ayrıntıların belgelenmesi gereklidir. Denetimin hedefi nedir? Bu bilgi denetimin ihtiyaçlarını ve denetlenen kurumun hesaplarından çıkarılabilecek güvenceleri gösteren denetim planında yer alır. Bir BDDT bu hedefi gerçekleģtirebilir mi? Denetim ekibi, incelemenin büyüklüğü ve karmaģıklığının BDDT den yararlanılmasına uygun olup olmadığına karar verecektir. Örneğin küçük bir kuruluģun bir yılda bir kaç bin iģlemi olabilir, bu yüzden bir BDDT maliyeti etkin olmayacaktır (Yılmaz, 2007; 107). Yeterli denetim bulgusu ve delili sağlamak için, BDDT süreci adım adım ve yeterince kaydedilmelidir. Özellikle, BDDT uygulamasını tanımlamak için denetim çalıģma kağıtları planlama, uygulama, denetim bulguları ve delilleri baģlıkları altında aģağıda belirtilen unsurları içermelidir. Planlama -BDDT lerin hedefleri -Kullanılacak BDDT ler -Uygulanacak kontroller -Personel ve zamanlama Uygulama -BDDT hazırlama ve test prosedürleri ve kontrolleri -BDDT ler tarafından yapılan testlerin ayrıntıları -Girdiler(örneğin, kullanılan veriler, dosya düzenleri), iģlemler(örneğin, BDDT lerle ilgili üst düzey akıģ Ģemaları, mantık) ve çıktılar(örneğin, günlük dosyaları, raporlar) hakkında ayrıntılar -Ġlgili parametreler veya kaynak kodu listesi 9

10 Denetim Bulgu ve Delilleri -Üretilen çıktılar -Çıktı üzerinde yapılan denetim analiz çalıģmalarının tanımı -Denetim bulguları -Denetim sonuçları -Denetim tavsiyeleri 4.4.RAPORLAMA Raporun hedefler, kapsam ve metodoloji bölümü, kullanılan BDDT lerin açık bir tanımını içermelidir. Bu tanım aģırı ayrıntılı olmamalı, fakat okuyucu için yeterli bir genel bilgi vermelidir. Kullanılan BDDT lerin tanımı raporun, BDDT lerin kullanımıyla ilgili somut bulguların tartıģıldığı bölümüne de konulmalıdır. Kullanılan BDDT lerin tanımı birden fazla bulgu için geçerli ise ya da aģırı ayrıntılı ise, bu tanım, raporun hedefler, kapsam ve metodoloji bölümünde kısaca açıklanmalı ve okuyucu daha ayrıntılı bir tanım içeren bir ekle yönlendirilmelidir. 4.5 BDDT İLE İLGİLİ ULUSLARARASI DÜZENLEMELER Uluslararası düzeyde, elektronik bilgi ortamında denetim ile ilgili dört ulusal kuruluģun çalıģmaları mevcuttur (Özbilgin, 2003; 17). -IFAC Uluslar arası Muhasebeciler Federasyonu(International Federation of Accounts) -AICPA Amerikan Sertifikalı Muhasebeciler Enstitüsü (American Institute of Certified Public Accountant -ISACA Bilgi Sistemleri Denetimi ve Kontrolü Derneği (Information System Auditing Control Association) -IIA Amerikan Ġç Denetçiler Enstitüsü (Institute of Internal Auditors) dır. Uluslararası Muhasebeciler Federasyonu (IFAC), dünyada uluslararası muhasebe uygulamalarına yön veren en önemli muhasebecilik meslek örgütü olup 118 ülkeden 159 kurumsal üyesi ile yaklaģık 2.5 milyon kamu ve özel sektör çalıģan ve akademisyenden oluģan muhasebeciyi kapsamına almaktadır de kurulan bu örgüt muhasebeciler için meslek yasası (ethic code), Uluslararası Denetim Standartları, Uluslararası Eğitim 10

11 Standartları, Uluslararası Kamu Sektörü Muhasebe standartları geliģtirmekte ve yayınlamaktadır. IFAC tarafından elektronik bilgi ortamlarında denetim ile ilgili 401 no lu Bilgi ĠĢlem Sistemleri Ortamında Denetim (Auditing in a Computer Information System Environment) denetim standardı yayımlanmıģtır. Bu standart Aralık 2004 de yerini 315 no lu ĠĢletmeyi ve çevresini tanıyarak maddi hata risklerinin değerlenmesi (Understanding the entity and its environment and assesing the risks of material misstatements), 330 no lu Değerlenen riskler karģısında denetçinin uygulayacağı prosedürler (The auditors procedures in response to assessed risks) ve 500 no lu Denetim kanıtları standardı gelmiģtir (Özbilgin, 2003; 18). Bu kurumlardan AICPA 1887 de kurulmuģ olup bugün ABD nin muhasebe alanında faaliyet gösteren en büyük meslek örgütüdür. Esas amacı meslek mensuplarının haklarını korumak, yetki belgesi vermek mesleğe giriģ ve eğitimle ilgili esasları düzenlemek olan AICPA nın en önemli görevlerinden bir tanesi de ülke çapında muhasebe uygulamalarına yön veren genel kabul görmüģ muhasebe standartları ile bağımsız denetime iliģkin denetim ilke ve standartlarını düzenlemektir (AICPA, ). AICPA SAS 80 no lu standardı yayınlamıģtır. Bu standart elektronik bir formatta denetim iģlemlerini gerçekleģtirebilmelerinde önemli bir konu olan delile dayanma konusunda bir kavram geliģtirilmesini sağlamıģtır. 94 no lu standart, denetçilerin bilgi teknolojilerini ve tüm iç kontrol sistemini anlaması gerektiğini ifade etmektedir. Denetçilerin, finansal bilginin doğruluğunun belirlenmesi ve risk tespiti gibi konularla ilgili olarak veri iģleme sürecini iyi analiz etmeleri gerekmektedir. Amerikan Ġç Denetçiler Enstitüsü iç denetim mesleğinin geliģmesi, iç denetçilerin eğitimi mesleki geliģimlerinin sağlanması, iç denetimle ilgili dünya çapında kabul gören standartların oluģturulmasını sağlamak amacıyla ABD de 1941 yılında kurulmuģ olup bugün 100 ülkeden üyesi bulunan uluslararası bir örgüt haline gelmiģtir. Amerikan iç denetçiler enstitüsüne göre bütün iç denetçilerin, asıl sorumluluğu bilgi teknolojileri denetimi olan denetçiler kadar uzmanlığa sahip olması beklenmediği belirtilmektedir. 4.6.TÜRKİYE DE BDDT İLE İLGİLİ DÜZENLEMELER 213 sayılı VUK da BDDT ile ilgili düzenlemeler bulunmaktadır tarihinde, 3239 sayılı kanunla, özel izin alma zorunluluğu kaldırılarak, tutulması zorunlu olan defterlerin ayrık yapraklı olarak tutulabilmesi mükelleflerin isteğine bırakılmıģtır. Buna göre, ayrık yapraklı defter tutulduğunda, açılıģ ve kapanıģ tasdiklerinin yapılması ve kapanıģ 11

12 tasdikinden sonra, kullanılmayan sayfalarla birlikte ciltlenmesi gerekmektedir. (Kutlan, 1995;20). Ayrıca 4108 Sayılı kanunla Maliye Bakanlığı, muhasebe kayıtlarını bilgisayar programları aracılığıyla izleyen mükellefler ile bu bilgisayar programlarını üreten gerçek ve tüzel kiģilerce uyulması gereken kuralları ve bilgisayar programlarının içermesi gereken asgari hususlar ile standartları ve uygulamaya iliģkin usul ve esasları belirlemeye yetkilidir Ģeklinde bir fıkra eklenmiģtir (Vural, 1993; 27). Ayrıca 1995 yılında kurulan Türkiye Ġç Denetim Enstitüsü ülkemizde iç denetimin bir meslek disiplini haline gelmesinde önemli bir rol üstlenmiģtir. Enstitü nün çeģitli sektörlerden ülkenin belli baģlı kuruluģlarında görev yapan 700 civarında üyesi bulunmaktadır. Düzenlediği mesleki toplantılar, kongreler, seminerler, sempozyumlar, eğitimler ve uluslararası meslek standartlarının dilimize çevrilmesi gibi etkinlikleri ile Enstitü meslek bilinci etiğinin oluģturulmasında önemli katkılar sağlamaktadır. 5.TÜRK BANKACILIK SEKTÖRÜNDE BİLGİSAYAR DESTEKLİ DENETİM UYGULAMASI Bilgisayar destekli denetim uygulamalarının ortaya çıkardığı sonuçları görebilmek amacıyla özel denetim yazılımları kullanan 4 banka örneği incelenmiģtir. Ġncelenen bankalardan A ve C Bankası yabancı, B ve D Bankası ise özel sermayeli bankalardır. Bu bankalardan bilgisayar destekli denetim uygulamalarına iliģkin alınan cevaplar aģağıdaki tabloda özetlenmiģtir. Kullanılan program Kullanılmaya başlama yılı Kullanım Amacı A Bankası B Bankası C Bankası D Bankası Webfocus Denetim ve analiz ACL (Audit Analytics Siron AML çalıģmaları için and Continous ağırlıklı olarak Monitoring Software). ACL, ayrıca Ayrıca Operasyonel Microstrategy ve Risk Yönetimi, Toad Denetim ve ERM Risk Yönetimi, Uyumluluk konularında Paisley programının da yakın zamanda kullanılması planlanmaktadır ACL Suistimal tespiti Scope belirlenmesi Aykırı/hatalı Microstrategy 2008 Suistimal tespiti Karapara tespiti ġube teftiģi Suiistimal tespiti Hesapların mutabakatının Karapara tespiti 12

13 iģlemlerin yakalanması Analiz esnasında kullanılan raporlama ve analiz taplolarının oluģturulması ve örneklem seçimi Hesap Hareket incelemeleri ĠĢlem kontrollerinin otomatize edilmesi sağlanması, ġube denetim ekiplerine gerekli bilgi/belge talebinin karģılanması, Mali kontrol Bölümü raporlamaları Program ile denetlenen kütlenin tüm kütleye oranı Programı kullanan Birimler Programı kullanan personel sayısı Kullanım kolaylığı Kullanılan senaryo adedi Yeni senaryo entegrasyonu yapılabilmesi Raporlama sıklığı Programın test edilmesi ve test sıklığı Proses edilen günlük tüm iģlemler denetlenmektedir. Risk odaklı çalıģılmakta olup, denetlenen kütle ile tüm kütle arasındaki oran konuya göre değiģmektedir. Banka bünyesinde üretilen tüm bilgiler denetlenebilmektedir. TeftiĢ / Ġç Kontrol TeftiĢ / Ġç Kontrol TeftiĢ/ Ġç Kontrol/ Mali Kontrol Manager olarak 6 user olarak 60 Kolay anlaģılabilir ve kullanılabilir 5 YaklaĢık 20 kiģi 2 Kolay anlaģılabilir ve kullanılabilir olmakla birlikte daha komplike (döngüler ve ileri seviyede değiģkenler kullanılarak yapılan) sorgular da bulanmaktadır. Script yazımı ve programın etkin kullanımı konularında belli bir birikim ve tecrübe gerektirmektedir Yeni senaryolar ilave edilebilmektedir. Bilgi iģlem desteği ile yapılabilmektedir. Yeni senaryolar, yazılan script ler vasıtasıyla kolaylıkla programa ilave edilebilmekte ve kullanılmaktadır. Günlük tüm iģlemler Ġç Kontrol Kolay anlaģılabilir ve kullanılabilir Günlük/Haftalık/Aylık Günlük, dönemsel Günlük, dönemsel Günlük Günlük incelemeler esnasında kontrol edilmekte, altı ayda bir defa da genel değerlendirme yapılmaktadır. Yazılım sonrasında bir süre kontrol edildikten sonra çıkan sonuçların doğruluğu ya da doğruya yakınlığı kabul edilirse, yazılımda veya data da değiģiklik olana kadar test yapılmamaktadır. Program tarafından üretilen bilgiler, beklenmedik bir sonuç ile karģılaģıldığı veya bilginin tutarlılığı konusunda tereddüt yaģanılan durumlarda test edilmektedir. Yeni senaryolar ilave edilebilmektedir. Bilgilerin tutarlılığı konusunda tereddüt yaģanan durumlarda test edilmektedir. 13

14 Teknik destek yeterliliği Elde edilen sonuçlar Yeterli Yeterli Yeterli Yeterli ġube ve birimlerin günlük olarak takip edildiklerini bilmeleri denetim etkinliğini arttırmıģtır. Daha az zamanda daha fazla kontrol ile denetim etkinliği artmıģtır. Örneklem seçimi ile teftiģ/iç kontrol çalıģmaları kolaylaģmıģ ve doğru kütle seçimi ile etkinlik artmıģtır. Çok büyük boyutta dataların iģlenip raporlanabilmesi Suistimal tespiti, Denetimin etkinliğinin artıģı, Hataların/kuraldıĢı uygulamaların tespitleri Kontrol ve denetim çalıģmalarının etkinliğinin artıģı Bu tablonun değerlendirilmesi sonucunda; Dört bankanın ikisinde aynı, diğerlerinde farklı bilgisayar destekli denetim programlarının kullanıldığı, B Bankası nda birden fazla program kullanıldığı, C Bankasında ikinci programın kullanımının planlandığı, Bilgisayar destekli denetim programlarının kullanımına A bankasında 2004, B ve C Bankası nda 2005, D Bankası nda 2007 yılında baģlandığı, Üç bankada suiistimalleri tespit edebilmek amacının bu programların kullanılmasında ortak amaç olduğu, bunun dıģında aykırı hatalı iģlemlerin yakalanması, mutabakat, karapara uygulamaları ve analiz amaçlarının da söz konusu olduğu, D Bankası nda ise yalnızca karapara tespiti amacının söz konusu olduğu, Üç bankada tüm faaliyetlerin denetim alanına alınabildiği, B Bankası nda ise risk odaklı çalıģıldığı, denetlenen kütle ile tüm kütle arasındaki oranın kontrol konusuna göre değiģtiği, Bilgisayar destekli denetim yazılımlarının dört bankanın tamamında Ġç Kontrol Birimleri tarafından kullanılırken, aynı zamanda üç bankada TeftiĢ Kurulu, bir bankada da Mali Kontrol Birimi tarafından kullanıldığı, 14

15 Programları yönetici ve kullanıcı olarak A Bankası nda yaklaģık 66 kiģi kullanırken, bu sayının B Bankası nda 5, C Bankası nda 20, D Bankası nda da 2 kiģi olduğu, programların kullanıcı sayılarının her bankada farklı olduğu, A ve D Bankalarınca, programların kullanım kolaylığına sahip olduğunu ifade ederken, B ve C Bankalarınca kullanım için belirli bir birikim ve tecrübe gerektirdiğinin ifade edildiği, Aynı programı kullanan B ve C Bankası nda 40 senaryo kullanılırken, A Bankası nda 1200 senaryo, D Bankası nda ise 25 senaryo kullanıldığı, Üç banka, yeni senaryoların kolaylıkla programa dahil edilebildiğini ifade ederken, B Bankası nda bunun bilgi iģlem desteği ile yapılabildiği, Raporlamaların genellikle günlük ve dönemsel nitelikte üretildiği, A Bankasında programın düzenli aralıklarla test edilmesine rağmen, diğer bankalarda gerek görüldüğünde test yapıldığı, Her dört bankanın da programlar ile ilgili yeterli teknik destek alabildiği, Bilgisayar destekli denetim programlarının kullanılmasıyla, kontrol ve denetim çalıģmalarının etkinliğinin arttığı görülmektedir. Bilgisayar Destekli Denetim Programları kullanan dört banka ile ilgili yapılan çalıģmalarda elde edilen sonuçlar genel olarak değerlendirildiğinde; Bu programlar genel olarak 3-4 yıl gibi yakın dönemde kullanılmaya baģlanmıģ, Bankanın tüm iģlemlerinin denetlenebilmesi mümkün olmuģ, Denetim etkinliği büyük oranda artmıģtır. 15

16 SONUÇ Türk Bankacılık sektörüne baktığımızda Bilgisayar Destekli Denetim faaliyetlerinin temel olarak Bilgi Sistemleri tarafından sağlanan raporların kontrolü çerçevesinde gerçekleģtirildiği görülmektedir. Banka denetim birimleri sistemsel veriler kullanarak analizler yapmakla birlikte, denetim birimleri tarafından tasarlanan bu sorguların yazımı genellikle Bilgi Sistemleri (IT) personeli tarafından gerçekleģtirilmektedir. Bununla birlikte son yıllarda özel denetim yazılımlarının kullanımının arttığı görülmektedir. Bankalarda Bilgisayar Destekli Denetim faaliyetleri genel olarak TeftiĢ Kurulu ve Ġç Kontrol Merkezleri bünyesinde yürütülen faaliyetlerdir. Bu faaliyetler Merkezi Denetim / Uzaktan Gözetim vb. adlandırılan denetim ekipleri tarafından gerçekleģtirilmektedir. Bu ekiplerde görev yapan personelin formasyonları incelendiğinde, bilgisayar yazılımları konusunda uzman olmadığı, daha çok mevcut personelin bu konuda hizmet içi yetiģtirilerek bilgisayar destekli denetim uygulamalarının yürütülmesinde kullanıldığı görülmektedir. Dolayısıyla denetim formasyonu yeterli ancak teknik formasyonu zayıf personel ile bu faaliyet yürütülmektedir. Bu konudaki en büyük eksikliklerden biri bilgisayar ve denetim alanında ortak formasyona ve teknik bilgi birikimine sahip personel eksikliğidir. Ayrıca özellikle TeftiĢ Kurullarında görevli denetim personelinin belirli dönem sonunda baģka birimlerde görevlendiriliyor olması bilgi, tecrübenin kaybolmasına ve faaliyetlerin etkin Ģekilde devam etmemesine yol açmaktadır. Bu nedenle mevcut yazılımların etkin ve verimli Ģekilde kullanılabildiğini söylemek de mümkün değildir. Bilgisayar Destekli Denetim çalıģmalarında elde edilen tecrübeler ve yaklaģımların diğer birimlere özellikle izleme ve kontrol birimlerine aktarılması önem arz etmektedir. Denetim birimlerinin kapalı organizasyonu nedeni ile raporlama ve veriye ulaģma konusunda edinilen önemli bilgilerin organizasyonun diğer birimleri ile paylaģılmasında eksiklikler mevcuttur. Diğer bir eksiklik bilgisayar destekli banka denetimi konusunda bankaları yönlendirici ve eğitici literatür ve bilgi birikimi eksikliğidir. Bilgisayar Destekli Denetim faaliyetlerinin geliģtirilmesi için her banka farklı bir yazılım ve yöntem arayıģı içindedir. Fayda maliyet analizlerinin iyi yapılamaması nedeniyle, bu durum sektörde yüksek maliyetler ile kalitesiz/etkin olmayan yazılımlar alınmasına yol açabilmektedir. 16

17 Bilgisayar Destekli Denetim çalıģmalarında özellikle bilgi güvenliği açısından Bilgi Teknolojileri Bölümlerinin sistem verileri ve spesifik yazılımların bünyesinde kalması ve geliģtirilmesi yönünde direnci olmaktadır. Dolayısıyla Bilgi Teknolojileri Bölümleri genellikle Bilgisayar Destekli Denetimin ayrılmaz bir bacağı konumuna gelmektedir. Sonuç olarak etkin ve efektif bir denetim faaliyeti için bilgisayar destekli denetim teknikleri ve yaklaģımlarının vazgeçilmez bir öneme sahip olduğu açıktır. Uygun formasyona sahip personel, fayda/maliyet oranı makul bir denetim yazılımı, devamlılığı olan etkin bir denetim organizasyonu bu faaliyetin beklenen yararları sağlayacak Ģekilde gerçekleģtirilmesi için önem taģımaktadır. Yürütülmesi planlanan Bilgisayar Destekli Denetim faaliyetleri bu noktalar göz önüne alınarak tasarlanmalıdır. Ekonomimizin lokomotifi konumunda bulunan bankacılık sektöründe faaliyet gösteren ve büyük ölçekli ifade edebilecek bankaların dahi özel denetim yazılımları kullanımına 3-4 yıl gibi yakın sayılabilecek dönemlerde baģlamaları dikkate alındığında, bu uygulamalarının bankacılığımızda yaygınlaģmaya baģladığını ifade etmek mümkün görünmektedir. Bu uygulamaların bankalarımız baģta olmak üzere özellikle finans sektöründe yaygınlaģması önemli katma değer ve kazanımlara imkan sağlayacaktır. Makale Vergi Sorunları Dergisinin 251. sayısında yayınlanmıştır. ( ) KAYNAKÇA AKSOY, Tamer. Tüm Yönleriyle Denetim, AB ile Uyum Sürecinde Denetimde Yeni BirParadigma, Yetkin Basımevi, Ankara 2002 The American Institute of Certified Public Accountants, Consideration of the Internal Control Structure in a Financial Audit, SAS No.55, April G.Eise, Janruca. Elektronik Bilgi ĠĢlem ve Resmi Denetleme T.C. Sayıştay Yayınları, Yayın No:25/7, Ankara 1987 Helms, G.L, Mancino, J., The Electronic Auditor, Journal of Accountancy, April 1998 ERDOĞAN, Melih. Bilgisayar Ortamında Muhasebe Denetimindeki GeliĢmeler, 4. Muhasebe Denetimi Sempozyumu, Ġstanbul,

18 KUTLAN, Serhat. Bilgisayar Ortamında Muhasebe Denetimi Esasları, Vergi Dünyası Dergisi, Sayı:155, Temmuz 1995 ÖZBĠLGĠN, Ġzzet Gökhan. Bilgi Teknolojileri Denetimi ve Uluslararası Standartları Sermaye Piyasası Kurulu Meslek Personeli Derneği Dergisi, Kasım-Aralık 2003 PAMUKÇU, AyĢe. Muhasebede Bilgisayar Destekli Denetim Düzeni, Yayınlanmamış Doktora Tezi, Ġstanbul, 2004 PORTER, Thomas ve BURTON, John. Auditing: A Conceptual Aproach, Wadworth Publishing, Belmont, 1971 TAYLOR, H. Donald, GLEZEN, G. William; Auditing: IntegratedConcepts and Procedure, 6.Edition, John Wiley & Sons Inc, New York, 1994 Türkiye Ġç Denetm Enstitüsü, Uluslararası Ġç Denetim Standartları, Mesleki Uygulama Çerçevesi(2007 deki DeğiĢikliklerle),2008 VASARHELYĠ. M.A., M.G. Alles, and A. Kogan [2004], Principles of Analytic Monitoring for Continuous Assurance, Journal of Emerging Technologies in Accounting, Vol. 1. VURAL, Mehmet. Vergi Hukukumuzda Bilgisayar Ortamında Muhasebe, Vergi Dünyası Dergisi, Sayı 144, ğustos 1993 YARAR, Emine. Instosai Elektronik Bilgi ĠĢlem Komitesi BiliĢim Teknolojisi Denetim Eğitimi, Bilgisayar Destekli Denetim Teknikleri, Kurs Notları, Nisan 2000, Ankara YILMAZ, Gökhan. Muhasebe Denetiminde Bilgisayar Destekli Denetim Tekniklerinin İncelenmesi ve Bir Uygulama,(Basılmamış Yüksek Lisans Tezi) M.Ü. Sosyal Bilimler Enstitüsü, ĠĢletme Anabilim Dalı, Muhasebe Denetimi Bilim Dalı, Ġstanbul 2007 The American Institute of Certified Public Accountants,