GTAG. Global Teknoloji Denetim Rehberi UMUÇ Uygulama Rehberi UYGULAMA KONTROLLERİNİN DENETİMİ. IIA Uluslararası İç Denetçiler Enstitüsü

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "GTAG. Global Teknoloji Denetim Rehberi UMUÇ Uygulama Rehberi UYGULAMA KONTROLLERİNİN DENETİMİ. IIA Uluslararası İç Denetçiler Enstitüsü"

Transkript

1 GTAG Global Teknoloji Denetim Rehberi UMUÇ Uygulama Rehberi UYGULAMA KONTROLLERİNİN DENETİMİ IIA Uluslararası İç Denetçiler Enstitüsü Global Teknoloji Denetim Rehberi 1

2 (GTAG) 8 Uygulama Kontrollerinin Denetimi Yazarlar Christine Bellino, Jefforson Wells Steve Hunt, Crowe Horwath LLP Orijinal Basım Tarihi: Temmuz 2007 Uluslararası Mesleki Uygulama Çerçevesi ne (UMUÇ) uygunluk açısından revize edilmiştir, Ocak 2009 Telif Hakkı 2007, Uluslararası İç Denetçiler Enstitüsü (IIA), 247 Maitland Ave., Altamonte Springs, FL ABD ye aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri nde basılmıştır. Yayımcının ön yazılı izni alınmadan, bu dokümanın hiçbir bölümü çoğaltılamaz, herhangi bir bilgi depolama ve erişim sisteminde saklanamaz ya da hiçbir formatta ve hiçbir kanal yoluyla elektronik, mekanik, fotokopi, kayıt altına alma veya başka yollarla - başkasına aktarılamaz. IIA, bu dokümanı bilgi vermek ve eğitim amacıyla yayımlamaktadır. Bu doküman, bilgi sağlamayı amaçlamaktadır; ancak hukuk veya muhasebe konularında bir tavsiye yerine kullanılamaz. IIA böyle bir tavsiyede bulunmaz ve bu dokümanı yayımlamakla, muhasebeyle ilgili veya hukuki sonuçlara yönelik varılan sonuçların doğruluğu hakkında herhangi bir garanti vermez. Hukuk veya muhasebe konularında sorunlar ortaya çıktığı takdirde, profesyonel yardıma başvurulmalıdır. 2

3 İÇİNDEKİLER TABLOSU 1. Yönetici Özeti Giriş..6 Uygulama Kontrollerinin Tanımı 6 Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri.7 Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan BT Ortamları...8 Uygulama Kontrollerine Güvenmenin Faydaları 9 İç Denetçilerin Rolü Risk Değerlendirmesi.14 Risk Değerlendirmesi.14 Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi..17 İş Süreci Yöntemi..17 Tekli Uygulama Yöntemi..17 Erişim Kontrolleri Uygulama İnceleme Yaklaşımları ve Diğer Mülahazalar...19 Planlama.19 Uzman Denetim Kaynaklarına Olan İhtiyaç..20 İş Süreci Metodu 20 Dokümantasyon Teknikleri 22 Test Etme...24 Bilgisayar-Destekli Denetim Teknikleri Ekler 31 Ek-A: Yaygın Uygulama Kontrolleri ve Önerilen Testler.31 Ek-B: Örnek Denetim Programı Sözlük Referanslar Yazarlar Hakkında..42 3

4 1. YÖNETİCİ ÖZETİ Son birkaç yıldır dünyanın dört bir tarafındaki kurumlar, 2000 Yılı Uyum Çalışması gibi taktiksel hedeflerden, piyasada bir şirketi diğerinden farklı kılmayı sağlayacak bir unsur olarak teknolojiyi kullanmak gibi stratejik hedeflere kadar çeşitli farklı nedenlerden dolayı yeni iş uygulamaları sistemleri kurmak veya bu sistemleri yükseltmek için milyarlarca dolar harcamışlardır. Uygulama veya uygulama sistemi, kullanıcıların doğrudan doğruya bir bilgisayarın yetenek ve kapasitesini kullanarak görevleri yapmasını sağlayan bir tür yazılımdır. Uluslararası İç Denetçiler Enstitüsü nün (IIA) yayımladığı GTAG-4:BT Denetiminin Yönetimi dokümanına göre bu sistem türleri ya hareket uygulamaları ya da destek uygulamaları olarak sınıflandırılabilir. Hareket uygulamaları, kurum çapındaki verileri: Ticari işlemlerin değerini borç ya da alacak kalemi olarak kaydetmek; Finansal, operasyonel ve düzenleyici veriler için havuz işlevini görmek; Satış emirleri, müşteri faturaları, satıcı faturaları ve günlük defter girişlerinin işlenmesi de dâhil çeşitli farklı finansal ve idari raporlama formlarını sağlamak yoluyla işlemektedir. Hareketişleme sistemlerine örnek olarak, sıklıkla girişim kaynak planlama (ERP) sistemleri olarak anılan SAP R/3, PeopleSoft ve Oracle Financials in yanı sıra ERP dışında da sayısız örnek verilebilir. Bu sistemler, hareketleri programlanmış mantığa dayanarak ve birçok durumda, özgün kurumsal iş ve işleme kurallarının saklandığı ayarlanabilir tablolara ek olarak işlemektedir. Diğer yandan destek uygulamaları, iş faaliyetlerini kolaylaştıran özel yazılım programlarıdır. Örnek olarak e-posta programları, faks yazılımı, doküman görüntüleme yazılımı ve tasarım yazılımı verilebilir. Ancak bu uygulamalar, genellikle hareketleri işlememektedir. 1 İş süreçlerini desteklemek için kullanılan tüm teknolojilerde olduğu gibi, hareket ve destek uygulamaları da kurumu teknolojinin kendi doğasından kaynaklanan ve çalışanların sistemi nasıl ayarladığı, yönettiği ve kullandığına bağlı olarak görülen risklerle karşı karşıya bırakabilir.hareket işleme sistemlerinde riskler uygun bir biçimde hafifletilmezlerse, bu risklerin finansal veya operasyonel verilerin bütünlüğü, tamlığı, zamanındalığı ve kullanılabilirliğine olumsuz etkileri olabilir. Ayrıca iş süreçlerini desteklemek için hangi uygulama kullanılırsa kullanılsın, bu süreçlerde de bir içsel risk unsuru bulunacaktır. Bu uygulama teknolojisi ve iş süreci risklerinden dolayı, birçok kurum hareket ve destek uygulamalarındaki söz konusu riskleri yönetmek için otomatik ve manuel kontrolleri birlikte kullanmaktadır. 1 GTAG 4: BT Denetiminin Yönetimi, s. 5. 4

5 Ancak, başarılı risk yönetiminin derecesi, doğrudan doğruya: Kurumun risk iştahı veya toleransı; Uygulamayla ilgili risk değerlendirmesinin tamlığı ve bütünlüğü; Etkilenen iş süreçleri; Genel bilgi teknoloji (BT) kontrollerinin etkinliği ve Kontrol faaliyetlerinintasarımı ve devamlı faaliyet etkinliğinin büyüklüğüne bağlıdır. Kurumların bu riskleri yönetmek için kullandıkları en uygun maliyetli ve etkin yaklaşımlardan biri, hareket ve destek uygulamalarının doğasında yer alan veya sonradan dâhil edilen kontrollerin (örneğin, ödenecek faturalarda üç-yönlü fatura eşleme) yanı sıra ayarlanabilir kontrolleri (örneğin, borçlu hesaplar fatura toleransları) kullanmaktır. Bu tip kontroller genellikle uygulama kontrolleri olarak anılmaktadır. Verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. 2 Ayrıca, iç denetim yöneticileri (İDY ler) ve ekibinin uygulama kontrolleri ve genel BT kontrolleri (ITGC ler) arasındaki farkı anlamaları önemlidir. ITGC ler kurum çapındaki tüm unsurlar, süreçler ve verileri 3 kapsarken, uygulama kontrolleri belirli bir iş sürecini destekleyen bir program veya sisteme özgüdür. Bu bölümün Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri kısmında bu kontroller hakkında daha detaylı bilgiler verilmektedir. Uygulama kontrollerinin risk yönetimi stratejileri konusundaki önemi nedeniyle,idy ler ve ekiplerinin, uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığını ve etkin çalışıp çalışmadığını tespit etmek için denetimler geliştirmesi ve bu uygulama kontrollerini periyodik olarak denetlemesi gerekmektedir. Dolayısıyla, bu GTAG nin amacı İDY lere: 1. Uygulama kontrollerinin ne olduğu ve faydaları; 2. İç denetçilerin rolü; 3. Bir risk değerlendirmesinin nasıl gerçekleştirileceği; 4. Uygulama kontrolü incelemelerinin kapsamının belirlenmesi ve 5. Uygulama inceleme yaklaşımları ve diğer mülahazalar konularında bilgiler sağlamaktır. İDY lere ve bu rehberi kullanan diğer kişilere daha fazla yardımcı olmak için, yaygın uygulama kontrolleri ile bir örnek denetim planını da rehbere ekledik. 2 GTAG 1: Bilgi Teknolojisi Kontrolleri, s.3. 3 GTAG 1: Bilgi Teknolojisi Kontrolleri s.3. 5

6 Giriş Uygulama Kontrollerinin Tanımı Uygulama kontrolleri; verilerin düzenlenmesi, iş fonksiyonlarının ayrılması, işlem toplamlarının eşleştirilmesi ve dengelenmesi, hareketlerin günlük deftere kaydedilmesi ve hataların raporlanmasını içeren münferit iş süreçleri veya uygulama sistemlerinin kapsamına ilişkin kontrollerdir. Dolayısıyla uygulama kontrollerinin amacı: Giriş verilerinin kesin, tam, yetkilendirilmiş ve doğru olduğu; Verilerin kabul edilebilir bir zaman içerisinde hedeflendiği şekilde işlendiği; Saklanan verilerin tam ve doğru olduğu; Çıktıların tam ve doğru olduğu ve Verilerin girildikten sonra bellekte saklanması ve son olarak da çıktısının alınması sürecini izlemek için kayıt tutulduğundan emin olmaktır. 4 Birçok uygulama kontrolü türü mevcuttur. Bunlar arasında: Girdi Kontrolleri Bu kontroller, esas olarak, bir iş uygulamasına girilen verilerin bütünlüğünü, bu verilerin doğrudan personel tarafından, uzaktan bir iş ortağı tarafından veya Web-destekli bir uygulama veya arayüz aracılığıyla girilip girilmediğini kontrol etmek amacıyla kullanılmaktadır. Veri girişi, belirtilen parametreler dâhilinde olup olmadığından emin olmak amacıyla kontrol edilmektedir. İşleme Kontrolleri İşlemenin tam, doğru ve izin verilmiş olduğundan emin olmak amacıyla otomatik yollar sunmaktadır. Çıktı Kontrolleri Bu kontroller verilerle neler yapıldığını ele almaktadır ve çıktıya kıyasla girdileri kontrol ederek çıktı sonuçlarını hedeflenen sonuçla karşılaştırmalıdır. Bütünlük Kontrolleri Bu kontroller, tutarlılığını ve tamlığını koruduğundan emin olmak için işlenen ve bellekte bulunan verileri izlemektedir. Yönetim İzi Sıklıkla denetim izi olarak anılan işleme tarihsel kontrolleri, yönetimin,kaynaktan sonuca kadar işlem ve hareketleri izleyerek ve sonundan başına doğru süreci tersine takip ederek kaydettiği hareket ve eylemleri tespit etmesine ve tanımlamasına olanak sağlamaktadır. Bu kontroller, ayrıca, diğer kontrollerin etkinliğini de izlemekte ve hataları mümkün olduğunca kaynaklarına kadar inerek tespit etmektedirler. 5 Diğer uygulama kontrol unsurları arasında söz konusu iki kontrol tipinin önleyici mi, yoksa tespit edici mi olduğu bulunmaktadır. Her iki kontrol tipi de programlanmış veya ayarlanabilir sistem mantığına dayanan bir uygulama kapsamında çalışsa da, önleyici kontroller adından anlaşılacağı gibi gerçekleşmektedirler. Yani bir uygulama içerisinde ortaya çıkabilecek bir hatayı önlemektedirler. Önleyici kontrole, bir girdi veri doğrulama rutini örnek verilebilir. Rutin, girilen verilerin ilgili program mantığına uygun olduğundan emin olmak için kontroller 4,5 GTAG 1: Bilgi Teknolojisi Kontrolleri, s.8. 6

7 yapmakta ve yalnızca doğru verilerin kaydedilmesine izin vermektedir. Diğer taraftan yanlış veya geçersiz veriler veri girişi sırasında reddedilmektedir. Tespit edici kontroller de adından anlaşıldığı gibi gerçekleşmektedir. Yani, daha önceden tanımlanmış bir program mantığını esas alarak hataları tespit etmektedirler. Tespit edici kontrole örnek olarak, bir satıcı faturasında belirtilen fiyat ile sipariş fiyatı arasında lehte veya aleyhte bir farklılığın bulunması örnek verilebilir. Özellikle doğası gereği tespit edici olan uygulama kontrolleri, ortamda kullanılan manüel kontrolleri desteklemek amacıyla da kullanılmaktadır. En dikkat çekici olanı ise, bir tespit edici kontrolden elde edilen veri ve sonuçların bir izleme kontrolünü desteklemek amacıyla kullanılabilmesidir. Örneğin bir önceki paragrafta açıklanan tespit edici kontrol örneği, sipariş fiyatları arasındaki farkları bir raporda sıralamak amacıyla bir program kullanarak her türlü istisnayı kaydedebilir. Yönetimin bu istisnaları incelemesi daha sonra bir izleme kontrolü sayılabilir. Uygulama Kontrollerine Kıyasla Genel BT Kontrolleri İDY lerin ve onlara bağlı personelin uygulama kontrolleri ile Genel Bilgi Teknolojisi Kontrolleri (ITGC ler) arasındaki ilişkiyi ve farkı anlamaları önem arz etmektedir. Aksi takdirde, bir uygulama kontrol incelemesinin kapsamı uygun bir biçimde belirlenemeyebilir; bu da denetimin kalitesini ve kapsamını etkileyebilir. ITGC ler, bir kurumda veya sistem ortamında yer alan tüm sistemleri, unsurları, süreçleri ve verileri kapsamaktadır. 6 Bu kontrollerin amacı, uygulamaların uygun bir şekilde geliştirilmesi ve yürütülmesinin yanı sıra program ve veri dosyaları ile bilgisayar işlemlerinin bütünlüğünü sağlamaktır. 7 En yaygın ITGC ler arasında: Altyapı, uygulamalar ve veriler üzerinde yapılan mantıksal erişim kontrolleri; Sistem geliştirme yaşam döngüsü kontrolleri; Program değişiklik yönetimi kontrolleri; Veri merkezinde yapılan fiziksel güvenlik kontrolleri; Sistem ve veri yedekleme ve kurtarma kontrolleri ve Bilgisayar işlemleri kontrolleri bulunmaktadır. Uygulama kontrolleri bilgisayar-tabanlı uygulama sistemiyle ilgili işlem ve verilerin tümüyle bağlantılı olduğu için, her bir münferit uygulamaya özgüdürler. Uygulama kontrollerinin amaçları, program işlemenin bir sonucu olarak kayıtların tamlığını ve doğruluğunu ve her kayda girilen girişlerin geçerliliğini temin etmektir. 8 Diğer bir deyişle, uygulama kontrolleri 6 GTAG-1: Bilgi Teknolojisi Kontrolleri, s. 3. 7,8 ISACA, IS Denetim Rehberi Uygulama Sistemleri İncelemesi, Doküman G14, s.3. 7

8 belirli bir uygulamaya özgüyken, ITGC ler değildir. Yaygın uygulama kontrol faaliyetleri arasında: Satış emirlerinin müşteri kredi limit parametreleri dâhilinde işlenip işlenmediğini tespit etmek; Mal ve hizmetlerin yalnızca onaylanmış bir siparişle tedarik edildiğinden emin olmak; Görevdağılımını tanımlanmış görev sorumluluklarını esas alarak izlemek; Satın alınan malların teslim alınması üzerine borcun kesinleştiğini belirlemek; Duran varlık amortismanının uygun mali dönemde ve doğru kaydedildiğini temin etmek ve Sipariş, alıcı ve satıcı faturası arasında bir üçlü fatura eşleme olup olmadığını tespit etmek yer almaktadır. Ek olarak, yönetimin risk yönetimi konusunda uygulama kontrollerine ne kadar güvenebileceğini İDY lerin not etmesi önemlidir. Bu güven doğrudan ITGC lerin tasarımına ve faaliyet etkinliğine bağlıdır. Başka bir deyişle bu kontroller etkin bir biçimde uygulanıp kullanılmadığı takdirde, kurum, riskleri yönetmek için uygulama kontrollerine güvenmeyebilmektedir. Örneğin program değişikliklerini takip eden ITGC ler etkin değilse, bu durumda üretim ortamına yetkisiz, onaylanmamış ve test edilmemiş program değişiklikleri uygulanarak uygulama kontrollerinin genel bütünlüğünü riske atabilir. Karmaşık BT Ortamlarına Kıyasla Karmaşık Olmayan Ortamlar Kurumun BT ortamının karmaşıklığı veya kompleks yapısının genel risk profiline ve ilgili mevcut yönetim stratejileri üzerinde doğrudan bir etkisi vardır. Karmaşık bir BT altyapısına sahip kurumlar şu özelliklere sahiptir: Mevcut uygulamalar, veritabanları ve sistemlerde değişiklikler yapılması; Firma-içi geliştirilmiş kritik yazılımlar için kaynak kodunun oluşturulması; Kurumun işleme gereksinimlerine göre hazır paket yazılımların uyarlanıp özelleştirilmesi; Hazır paket uygulamalar, değişiklikler ve kodun üretim ortamına aktarılması. 9 Diğer yandan, daha az karmaşık bir BT ortamına sahip kurumlarda şu özellikler görülmektedir: Mevcut BT ortamında birkaç değişiklik yapılması; Cari yılda tamamlanan hazır bir paket finansal uygulamanın önemli modifikasyonlar (uyarlamalar) yapılmadan yürütülmesi; Uygulamanın fonksiyonlarını önemli düzeyde değiştirmeyen, kullanıcı tarafından ayarlanabilen seçeneklerin bulunması ve BT geliştirme projelerinin eksikliği Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO) Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s COSO, Mali Raporlamaya Yönelik İç Kontroller - Halka Açık Küçük Şirketler İçin Rehber, Cilt 3, s.56 8

9 Bu farklardan da görüldüğü gibi, hareket ve destek uygulamalarının karmaşıklığı ile içsel ve ayarlanabilir uygulama kontrollerine ulaşabilme, kullanma ve bu kontrollere duyulan güven arasında doğrudan bir bağıntı bulunmaktadır. Diğer bir ifadeyle, daha az karmaşık bir BT altyapısı, risk yönetimi için pek fazla içsel veya ayarlanabilir uygulama kontrolleri sunmayabilir. Dolayısıyla, hareket ve destek uygulamasının karmaşıklık düzeyi, bir uygulama kontrol incelemesinin yürütülmesi için gereken kapsam belirleme, yürütme, çaba düzeyi ve bilgiyi, aynı zamanda iç denetçilerin danışman sıfatıyla yardım etme düzeyini etkileyecektir. Uygulama Kontrollerine Güvenmenin Faydaları Uygulama kontrollerine güvenip dayanmak pek çok fayda sağlayabilir. Aşağıda kilit faydalar açıklanmıştır. Güvenilirlik İnsan müdahalesinden kaynaklanan kontrol hatalarının ortaya çıkma ihtimalini değerlendirmek konusunda uygulama kontrolleri manuel kontrollerden daha güvenilirdir. Bir uygulama kontrolü yapılır yapılmaz ve bir uygulamada, veritabanında veya destekleyici teknolojide küçük bir değişiklik yapıldığı takdirde, yeni bir değişiklik ortaya çıkana kadar kurum uygulama kontrolüne güvenebilir. Ayrıca, sistematik doğasına doğrudan etki eden ITGC ler etkin çalıştığı sürece uygulama kontrolü de etkin çalışmaya devam edecektir. Bu, özellikle BT yöneticileri için program değişiklikleri ve görev dağılımıyla ilgili kontrollerde geçerlidir. Sonuç olarak test dönemi süresince, denetçi, kontrolü birkaç değil tek seferde test edebilecektir. Kıyaslama ABD Halka Açık Şirketler Muhasebe Gözetim Üst Kurulu (PCAOB) Denetim Standardı No. 5 e ait Ek-B: Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim dokümanında uygulama kontrollerinin kıyaslanabileceği, çünkü bu uygulamalar genellikle insanların hatalarından kaynaklanan arızalara maruz kalmamaktadırlar. Program değişikliklerini ve programlara erişimi izlemek için kullanılan genel kontroller ile bilgisayar işlemleri etkili ve verimli olduğu ve düzenli olarak test edilmeye devam edildiği takdirde, iç denetçi bir önceki senenin kontrol testini tekrarlamak zorunda kalmadan uygulama kontrolünün etkin ve etkili olduğu sonucuna varabilecektir. Bu, özellikle, iç denetçi uygulama kontrolünün denetçi tarafından son test edildiğinden beri değişmediğini doğruladığı takdirde doğrudur. 11 Ek olarak, kontrolün değişmediğini doğrulamak için iç denetçinin elde etmesi gereken bulguların doğası ve kapsamı, kurumun program değişiklik kontrollerinin sağlamlığı gibi durumlara bağlı olarak çeşitlilik gösterebilir. 12 Dolayısıyla belirli bir kontrol için kıyaslama 11 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29 12 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B29. 9

10 stratejisi kullanırken denetçinin ilgili dosyalar, tablolar, veriler ve parametrelerin uygulama kontrolünün fonksiyonelliği üzerindeki etkisini düşünmesi gerekmektedir. Örneğin faiz gelirini hesaplayan bir uygulama, otomatik hesaplamada kullanılan bir oran tablosunun sürekli bütünlüğüne bağlı olabilir. 13 Denetçinin, uygulamanın ne sıklıkta değiştiğini dikkate alarak, bir otomatik kontrol kıyaslamasının uygun bir biçimde nasıl kullanıldığını değerlendirmesi gerekmektedir. Bu nedenle, kod değişikliği sıklığı arttıkça bir uygulama kontrolünün kıyaslama stratejisine güvenme olasılığı da azalmaktadır. Ek olarak, denetçinin sistemde yapılan değişikliklerle ilgili bilgilerin güvenilirliğini değerlendirmesi gerekmektedir. Bu nedenle; uygulamada, veritabanında veya destekleyici teknolojide yapılan değişikliklerle ilgili doğrulanabilir bilgi veya raporlar yok denecek kadar azsa, uygulamanın kıyaslamaya uygun olma ihtimali düşüktür. Ancak şirketler hiçbir kaynak kod geliştirmesine veya uyarlamasına izin vermeyen hazır paket yazılım kullandıklarında kıyaslama özellikle etkili olmaktadır. Bu gibi bir durumda kurumun kod değişikliğinden daha ötesini düşünmesi gerekmektedir. Karmaşık bir uygulama dâhilindeki SAP veya Oracle Financial gibi bir uygulama kontrolü, herhangi bir kod değişikliğine gerek kalmadan kolayca değiştirilebilir, etkisiz veya ya da etkin hale getirebilir. Son olarak, parametre ve konfigürasyon değişikliklerinin çoğunun uygulama kontrolü üzerinde anlamlı bir etkisi vardır. Örneğin, tolerans düzeyi kontrollerini etkisiz hale getirmek için tolerans düzeyleri kolayca manipüle edilebilir ve satınalma onay kontrolleri onay stratejileri değiştirilerek manipüle edilebilir. Bütün bunlar hiçbir kod değişikliğine gerek olmadan yapılabilir. Kurumların, kıyaslamanın ne kadar süre etkin olabileceğini tespit etmeleri için her bir uygulama kontrolünü değerlendirmeleri gerekmektedir. Kıyaslama artık etkisiz hale geldiğinde, uygulama kontrolünü yeniden test ederek taban çizgisini tekrar belirlemek önemlidir. Uygulama kontrolünün hâlâ başlangıçta yapılan kıyaslamadaki gibi ve etkin çalışıp çalışmadığını tespit ederken denetçiler şu soruları sormalıdır: İş süreci ve uygulama kontrolüyle ilgili risk düzeyi ile uygulama kontrolünün ilk kıyaslandığı zamandaki risk düzeyi arasında herhangi bir değişiklik oldu mu (yani, iş süreci finansal, operasyonel veya düzenleyici kurallara uyumu, uygulama kontrolünün ilk kıyaslandığı zamandan anlamlı düzeyde daha yüksek riskle mi karşı karşıya bırakmaktadır)? ITGC ler; mantıksal erişim, değişiklik yönetimi, sistem geliştirme, satınalma ve bilgisayarlı operasyon kontrolleri de dâhil etkin çalışıyor mu? Denetçi, değişikliklerin (varsa)uygulama kontrolleri içeren uygulamalar, veritabanları veya destekleyici kontroller üzerindeki etkilerini tam olarak anlayabilmekte midir? İş sürecinde yapılan değişiklikler, kontrolün tasarımına veya etkinliğine etki edebilecek uygulama kontrolüne mi dayanmaktaydı? 13 PCAOB, Denetim Standardı No. 5, Bir Mali Tablolar Denetimiyle Birleştirilmiş, Finansal Raporlama İç Kontrolüne Yönelik Bir Denetim, Paragraf B

11 Zaman ve Maliyetten Tasarruf Uygulama kontrolleri genellikle manuel kontrollerden daha az zaman almaktadırlar. Bunun nedeni, manuel kontrollerinörneklem büyüklüğü kontrollerin yapılış sıklığıyla ilgiliyken (örneğin günlük, haftalık, aylık, üç aylık veya yıllık), uygulama kontrollerinin örneklem büyüklüğünün kontrollerin yapılış sıklığına genellikle bağlı olmamasıdır (yani uygulama kontrolleri ya etkin bir biçimde çalışmaktadır ya da çalışmamaktadır). Ayrıca, ITGC ler etkin olduğu sürece uygulama kontrolleri genellikle bir kez test edilmektedirler. Dolayısıyla, tüm bu faktörler bir araya gelerek bir manuel kontrole kıyasla uygulama kontrolünü test etmek için gereken saat sayısında anlamlı tasarruflar elde edilmesine yardımcı olabilir. İç Denetçilerin Rolü Bilgi Günümüzde kurumlar; riski yönetmek için doğal ve verimli yapıları, maliyet etkinliği ve güvenilirlikleri nedeniyle uygulama kontrollerine daha fazla güvenmektedirler. Geleneksel olarak, teknolojiyle ilgili kontroller deneyimli bir BT denetçisi tarafından test edilirken, finansal, operasyonel veya düzenleyici kontroller BT-dışı bir denetçi tarafından test edilmekteydi. Son birkaç yıl içinde BT denetçilerine olan talebin anlamlı bir şekilde artması ve herhangi bir düşme belirtisi de göstermemesine rağmen, tüm denetçilerin baştan sona tüm iş süreci kontrollerini değerlendirebilmeleri gerekmektedir. Ek olarak, IIA nın Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) spesifik olarak Standart 1220 ve 1210.A3 e göre, iç denetçilerin makul surette sağduyulu ve yetkin bir denetçinin dikkat ve becerisiyle hareket etmeleri 14, ayrıca tüm iç denetçilerin birincil sorumluluğu BT denetimi olan bir denetçinin uzmanlığına sahip olmaları beklenmese de kendilerine verilen görevi gerçekleştirmek için gereken kilit BT riskleri, kontroller ve denetim teknikleri hakkında bilgi sahibi olmaları gerekmektedir. 15 Başka bir ifadeyle, her iç denetçinin finansal, operasyonel veya düzenleyici riskleri yönetmek için BT riskleri ve kontrollerinin farkında ve bilincinde olması ve yürütülen uygulama kontrollerinin uygun bir biçimde tasarlanıp tasarlanmadığı ve etkin çalışıp çalışmadığını tespit edecek düzeyde yetenek ve beceri sahibi olmaları gerekmektedir. Danışmanlık ve Güvence Geleneksel güvence hizmetlerinden başka iç denetim biriminin kuruma değer katmak amacıyla başvurabileceği en büyük fırsatlardan biri, birçok biçimde yapılabilecek ve iş biriminin tüm bölümlerini kapsayabilecek danışmanlık görevleridir. Danışmanlık görevlerine örnek olarak, hareket veya destek uygulamalarının yürütülmesi veya güncellenmesi sırasında kontrollerin tasarlanması konusunda kurum personeline yardım etmek verilebilir. Maalesef, denetçilerin çoğu, kurumda yeni bir hareket veya destek uygulaması yürütüldüğünde ya da geniş çaplı bir güncelleme yapıldığında karşı karşıya kalınacak risklerin nasıl değişeceğini anlamak konusunda yönetime yardımcı olmamaktadır. Neredeyse tüm 14 IIA Standardı 1220: Azami Mesleki Özen 15 IIA Standardı 1210.A3 11

12 durumlarda, iç denetçilerin sürece katılmaması bunu istememelerinden veya yeterince odaklanmamalarından kaynaklanmaz, aksine sistem geliştirme faaliyetleri hakkında bilgi sahibi olmamalarından veya yönetimin iç denetçilerin sürece katılımını istememesinden kaynaklanmaktadır. Sebep ne olursa olsun, iç denetçilerin bu faaliyetlerden haberdar olmasını sağlamak ve risk yönetim hizmetlerini sağlamak üzere iç denetçilerin sahip oldukları değer, bilgi ve uzmanlıkları uygun bir biçimde konumlandırmak İDY nin sorumluluğundadır. Ayrıca iç denetçilerin, uygulamadan doğan riskleri yönetmeye yardımcı olmak için bu tür sistem geliştirme faaliyetlerine katılmaları ve uygulama kullanılmaya başlanmadan önce içsel ve ayarlanabilir kontrollerin etkin bir şekilde çalıştığından emin olmaları gerekmektedir. Aksi takdirde, uygulama kullanılmaya başlandıktan sonra bir inceleme yapmak, zayıf yönleri bulmak ve kontrolleri iyileştirmek çok daha maliyetli olacaktır. Aşağıda, iç denetçilerin sistem geliştirme çabaları sırasında uygulama kontrollerinebir danışmalık perspektifinden nasıl değer katacaklarına ilişkin örnekler verilmektedir. Bağımsız Risk Yönetimi Yeni ve önemli güncellemeler yapılmış hareket veya destek uygulaması yürütüldüğü zamanlarda iki şey meydana gelebilir: Birincisi, daha önceki ortamda riski yönetmek için mevcut olan otomatik veya manuel kontrollerin çoğu yeni kontrollerle değiştirilecektir. İkincisi de, uygulamanın risk profili değişebilir. Diğer bir deyişle, yeni uygulama beraberinde yeni içsel riskler getirecektir (yani uygulamada ne tür ayarlamalar yapıldığına bağlı olarak) ve riskler uygulama içerisinde hafifletilemeyeceği için manuel kontroller gerektirecektir. Dolayısıyla iç denetçiler, yeni uygulamanın getirilmesiyle birlikte güncel risklerin nasıl değişeceği konusunda kurumun çabalarına öncülük etmeseler de en azından yardımcı olabilirler. Bu, iç denetçilerin söz konusu hizmet düzeyini sunmak konusunda beceri sahibi olmaları ve yönetimden bağımsızlıkları nedeniyle bunu yapabilecek eşsiz konuma sahip olmalarından kaynaklanmaktadır. İç denetçilerin ve aşağıda sayılan diğer kişilerin bu hizmeti sunabilmeleri için, geliştirme aşamasındaki uygulama hakkında yeterli bilgiye sahip olmaları gerekmektedir. Bu bilgiye sahip olması gereken denetçilerin sayısı ve türü, geliştirme aşamasındaki uygulamaya, etkilenen iş süreçleri bakımından yürütmenin kapsamına, kurumun büyüklüğüne ve uygulama kurumun tamamına dağıtıldığında denetlenebilir birim veya alanların sayısına bağlıdır. İDY ler, yeterli bilgi edinildiğinden emin olmak için kitap kullanımı, çevrimiçi dersler, sınıfiçi eğitim ve kurum-dışı danışmanlar dâhil farklı yollara başvurabilirler. Kontrollerin Tasarımı Yeni bir sistemin yürütülmesi veya önemli bir güncellemenin yapılması sırasında iç denetçilerin verebileceği başka bir değerli hizmet de bağımsız risk değerlendirmesinin kapsamını genişletmektir. Daha spesifik olmak gerekirse, denetçiler, risk değerlendirmesi sırasında tespit edilen riskleri hafifletmek için yönetime risklerin tasarımı konusunda yardımcı olabilirler. Bu göreve tayin edilen iç denetçiler yardımcı olarak değil, yürütme ekibinin bir parçası olarak hareket etmelidirler. Bu nedenle, uygulama kontrollerinin tasarımı için gereken 12

13 görevler, zaman ve iç denetim kaynaklarının sayısının genel proje planına dâhil edilmesi gerekmektedir. İDY lerin, uygun sayıda denetçinin yanı sıra görevi yapabilecek gerekli beceri ve deneyime sahip denetçileri tayin etmeleri önemlidir. Birçok durumda denetçilerin proje üzerinde tam zamanlı olarak çalışması gerekebilir. Böyle bir durumda, İDY ler projede çalışmak üzere seçilen personelin mevcut görevlerini departmandaki diğer iç denetçilere devretmelidir, böylece projeye tayin edilen denetçiler görevlerine odaklanabilecektir. Ayrıca, proje üzerinde çalışan iç denetçiler, sistemin uygulama yaşam döngüsü boyunca proje yöneticisine raporlamalarda bulunmalıdırlar. Uygulama kontrollerinin tasarımında yönetime yardımcı olmak amacıyla denetçiler atandığı takdirde, İDY lerin, güvence hizmetlerinin resmi bir danışmanlık görevinden bir yıl sonra sunulması durumunda bağımsızlık ve objektifliğe zarar gelebileceğini not etmeleri gerekmektedir. Ek olarak, zararın etkisini minimize etmek için atılması gereken adımlar; her bir hizmet için farklı bir denetçi tayin etmek, denetçilerin bağımsız yönetim ve gözetimini gerçekleştirmek, proje sonuçlarına yönelik ayrı hesap verebilirlikler tanımlamak ve denetçilerin karşılaşacakları varsayılan zararları açıklamaktır. Son olarak, yönetim, tavsiye ve önerileri kabul etmek ve uygulamakla yükümlü olmalıdır. 16 Başka bir ifadeyle, iç denetçi hareket veya destek uygulamasıyla ilgili kontrollerin tasarımına katıldığı takdirde, görevin tamamlanmasından sonraki ilk 12 ay içerisinde kontrollerin faaliyet etkinliği değerlendirmesine dâhil olmamalıdır. Eğitim İç denetçilerin eğitimle ilgili olarak kuruma katabileceği değer yalnızca uygulama kontrolleriyle sınırlı değildir. İç denetçilerin kuruma değer katabileceği diğer bir kilit fırsat da kontroller eğitimidir. Bir uygulama kontrolü perspektifinden bakıldığında, iç denetçiler: Yeni uygulama çevrimiçi olarak sunulur sunulmaz risk profilinin nasıl değişeceği; Geliştirme aşamasındaki uygulamalarda mevcut bilinen içsel kontrol zayıflıkları; Tespit edilmiş zayıflıkları hafifletmeye yönelik ileriye dönük çözümler ve Sistem geliştirme çabalarının bir parçası olarak denetçilerin yönetime sunabileceği çeşitli farklı hizmetler konusunda yönetime eğitim verebilirler. Kontroller Testi Yürütme ekibi risk değerlendirmesine dayanan kontroller tasarlayıp yaydığı takdirde veya böyle bir uygulama olmasa bile,iç denetçiler uygulama kontrollerini bağımsız olarak test ederek sürece değer katabilirler. Test, kontrollerin layığıyla tasarlanıp tasarlanmadığını ve uygulama kuruma yayılır yayılmaz bu kontrollerin etkin bir şekilde çalışıp çalışmayacağını tespit etmelidir. Kontrollerden herhangi biri layığıyla tasarlanmadığı veya etkin çalışmadığı 16 IIA Standardı 1130.C1 13

14 takdirde, uygulama kurumun tamamına yayıldığı zaman yönetilmemiş risklerin bulunmasını önlemek için, denetçiler bu bilgiyle beraber her türlü tavsiye ve önerileri yönetime sunmalıdır. Uygulama İncelemeleri Hareket ve destek uygulamaları, genel kontrol ortamındaki önemlerine bağlı olarak zaman zaman kontrol incelemeleri gerektirebilirler. Bu incelemelerin sıklığı, kapsamı ve derinliği, uygulamanın türüne ve finansal raporlama, mevzuata uyum ya da operasyonel koşullara etkisine ve kurumun risk yönetimiyle ilgili amaçları konusunda uygulama kapsamındaki kontrollere olan güvenine göre çeşitlilik göstermelidir. 3. Risk Değerlendirmesi Risk Değerlendirme Denetçi, risk değerlendirme inceleme planı geliştirirken kurumun raporlama, operasyonel koşullar ile mevzuata uyum koşullarına ilişkin kritik zafiyetleri tespit etmek amacıyla risk değerlendirme tekniklerini kullanmalıdır. Bu teknikler arasında: İncelemenin doğası, zamanı ve kapsamı; Uygulama kontrollerinin desteklediği kritik iş fonksiyonları ve İnceleme için harcanacak zaman ve kaynakların büyüklüğü bulunmaktadır. Ek olarak, inceleme için uygun bir kapsam belirlerken denetçilerin sorması gereken dört kilit soru şunlardır: 1. Yönetimin görüşlerini dikkate alırken değerlendirilmesi ve yönetilmesi gereken kurum-çaplı en büyük riskler ve denetim komitesinin ana kaygı ve sorunları nelerdir? 2. Hangi iş süreçleri bu risklerden etkilenmektedir? 3. Bu süreçleri gerçekleştirmek için hangi sistemler kullanılmaktadır? 4. Süreçler nerelerde gerçekleştirilmektedir? Riskleri tespit ederken, denetçiler, kontrol incelemesine hangi uygulamaları dâhil edeceklerini ve hangi testlerin yapılacağını belirlemek için yukarıdan aşağı bir risk değerlendirmesi kullanmayı faydalı bulabilirler. Örneğin Şekil-1, finansal raporlama risklerini ve incelemenin kapsamını belirlemeye yönelik etkili bir metodolojiyi ana hatlarıyla göstermektedir. 14

15 Şekil-1: Mali tablo risk analiz yaklaşımı Uygulama Kontrolü: Risk Değerlendirme Yaklaşımı Kurum-çaplı uygulama kontrolü risk değerlendirme faaliyetlerine değer katmak için iç denetçilerin aşağıda sayılanları yerine getirmesi gerekmektedir: Uygulama kontrollerini kullanan uygulamalar, veritabanları ve destekleyici teknolojilerin evrenini tanımlamanın yanı sıra risk değerlendirme süreci sırasında dokümante edilen risk ve kontrol matrislerini kullanan risk ve kontrolleri özetlemek. Her uygulama kontrolüyle ilişkili risk faktörlerini tanımlamak. Bu riskleri arasında: o Birincil (yani kilit nitelikteki) uygulama kontrolleri; o Uygulama kontrolleri tasarımının etkinliği; o Hazır paket veya geliştirilmiş uygulamalar veya veritabanları. Yapılandırılmamış hazır paket veya geliştirilmiş uygulamalara karşılık yüksek düzeyde yapılandırılmış firma-içi veya satın alınmış uygulamalar; o Uygulamanın birden fazla kritik iş sürecini destekleyip desteklemediği; o Uygulamanın işlediği verilerin sınıflandırılması (örneğin finansal, mahrem veya gizli) 15

16 o Uygulamalar veya veritabanlarındaki değişikliklerin sıklığı; o Değişikliklerin karmaşıklığı (örneğin, tablo değişikliklerine kıyasla kod değişiklikleri) o Uygulama kontrollerinin finansal etkisi; o ITGC lerin uygulamadaki etkinliği (örneğin değişiklik yönetimi, mantıksal güvenlik ve operasyonel kontroller) ve o Kontrollerin denetim geçmişi. Hangi risklere diğerlerinden daha fazla ağırlık verileceğini belirlemek amacıyla tüm risk faktörlerini ölçüp tartmak; Aşağıda verilen nitel ve nicel ölçekleri dikkate alarak her bir uygulama kontrol riskini derecelendirmek için doğru ölçeği belirlemek: o Düşük, orta veya yüksek kontrol riski; o Nitel bilgileri esas alan sayısal ölçekler (örneğin 1=düşük-etkili risk, 5=yüksek-etkili risk, 1=güçlü kontrol ve 5=yetersiz kontrol); o Nicel bilgileri esas alan sayısal ölçekler (örneğin 1= < USD ve 5= > USD); Risk değerlendirmesini yapmak ve tüm risk alanlarını derecelendirmek; Risk değerlendirme sonuçlarını değerlendirmek ve Risk değerlendirmesi ve derecelendirilen risk alanlarına dayanan bir risk inceleme planı oluşturmak. Şekil-2 de nitel derecelendirme ölçeği (1=düşük etki veya risk, 5=yüksek etki veya risk) kullanan bir uygulama kontrol risk değerlendirmesine bir örnek verilmiştir. Her uygulamanın toplam puanı, her bir risk faktörünün ve ağırlığının çarpılması ve toplamların birbirine eklenmesiyle hesaplanır. Örneğin, tablonun ilk satırındaki 375 toplam puanı, risk faktör oranının uygulamaya özgü oranla çarpılmasıyla [(20 x 5) + (10 x 1) + (10 x 5) + ] hesaplanmaktadır. Bu örnekte, denetçi, uygulama kontrol incelemesinin 200 veya daha yüksek puanlı tüm uygulamaları kapsayacağını tespit edebilir. Uygulama Risk Faktörü Ağırlıklandırması Uygulama Birincil Kontrolleri İçerir. Uygulama Kontrolleri Tasarımının Etkinliği Hazır Paket veya Geliştirilmiş Uygulama Birden Fazla Kritik İş Sürecini Destekler Değişikliğin Sıklığı Değişikliğin Karmaşıklığı Finansal Etki ITGC lerin Etkinliği Toplam Puan APPA APPB APPC APPD APPE Şekil-2: Uygulama kontrol risk değerlendirmesine bir örnek. 16

17 4. Uygulama Kontrol İncelemelerinin Kapsamının Belirlenmesi Aşağıda uygulama kontrollerinin inceleme kapsamını tespit etmeye yönelik iki yöntem verilmektedir. İç denetçiler, incelemenin kapsamı, derinliği, yaklaşımı ve sıklığının risk değerlendirme sonuçlarına ve iç denetim kaynaklarının ulaşılabilirliğine bağlı olduğunu unutmamalıdırlar. Kapsam belirleme için seçilen yöntem ne olursa olsun, incelemedeveri girdi kontrolleri, işleme kontrolleri ve çıktı kontrollerinin bir değerlendirmesi bulunmalıdır. İş Süreci Yöntemi İş süreci kapsam belirleme yöntemi, belirli bir iş sürecini destekleyen tüm sistemlerde mevcut uygulama kontrollerini değerlendirmek için kullanılan bir yukarıdan aşağı inceleme yaklaşımıdır. Son birkaç yıl içinde bu yöntem en yaygın ve en geniş çapta kabul edilen kapsam belirleme yöntemi olarak önem kazanmıştır. Bu durum, esas olarak ERP hareket uygulamasının kullanımındaki artış ve bağımsız, türünün en iyisi uygulamalarının azalmasından kaynaklanmaktadır. ERP-dışı dünyada iş süreci yöntemini kullanırken, iç denetçiler, inceleme kapsamına, genellikle bağımsız sistemler oldukları için inceleme konusu iş sürecine katılan ve şirket tarafından kullanılan tüm uygulamaları dâhil etmelidirler. Başka bir deyişle, iç denetçilerin, inceleme kapsamına iş süreci döngüsünün farklı bileşenlerini oluşturan ayrı uygulamaları dâhil etmeleri gerekmektedir. Ardından, iç denetçi, inceleme konusu uygulamadaki gelen ve giden arayüzleri tespit ederek kapsam belirleme faaliyetini tamamlayabilir. Uygulama kontrolleri incelemesinin kapsamını belirlemek için iş süreci yöntemini kullanmak, ERP sistemi gibi entegre uygulamalarda farklıdır, çünkü iş süreçleri çoklu modüllerin ötesine geçmektedir. Örneğin, tedarik işleminden ödemeye kadar olan iş sürecini düşününüz. Bir ERP ortamında bu süreç genellikle tedarik, stok yönetimi, büyük defter ve borçlu hesap modüllerini veya ERP sistemi içerisindeki alt-uygulamaları kapsamaktadır. Bu nedenle, iş sürecini ve verilerin nasıl yönetildiği ve bir modülden diğerine aktığını da içine alan modülleri tam olarak anlamak önemlidir. Tekli Uygulama Yöntemi Tekli uygulama kapsam belirleme yöntemi, denetçi bir iş süreci kapsam belirleme yaklaşımı benimsemek yerine uygulama kontrollerini bir tekli uygulama veya modül dâhilinde incelemek istediğinde kullanılmaktadır. Bir önceki bölümde de tartışıldığı gibi, ERP-dışı veya entegre olmayan bir ortamda en etkili kapsam belirleme yöntemi budur, çünkü denetçi uygulamanın etrafına kolaylıkla bir kutu çizebilir (yani uygulamayı kapsama dâhil edebilir). Başka bir ifadeyle, veriler ve ilgili işleme kuralları yalnızca bir uygulamaya dâhil edildiği ve bu uygulamada kullanıldığı için denetçi gelen veri girdileri ve çıktılarını belirleyebilir ve tanımlayabilir. Ancak bir ERP ortamı veya entegre ortamda bu yöntem istenmemektedir. Bir ERP veya entegre hareket sistem modülünün etrafına bir kutu çizmek oldukça kolay görünse de, gerçek şu ki bu faaliyet epey zor olabilir. Bunun nedeni, belirli bir modüle giren ve modülden çıkan birden fazla veri beslemesi bulunabilir ve bunları tespit etmeye çalışmak boşuna bir uğraş 17

18 olabilir. Dolayısıyla modül yaklaşımını kullanmanın yetersiz bir incelemeye yol açma olasılığı vardır ve ERP ortamında veya entegre ortamda iş süreci yöntemini kullanmak daha etkili bir kapsam belirleme yöntemidir. Erişim Kontrolleri Uygulama kontrolleri incelemesinin kapsamını belirlemek için seçilen yöntem ne olursa olsun, modülveya uygulamanın mantıksal erişim kontrolleri periyodik olarak gözden geçirilmelidir. Çoğu durumda, kullanıcı ve yöneticilerin erişim hakları (örneğin okumak, yazmak, silmek) uygulama içerisindeki dâhili güvenlik platformu ve araçları kullanılarak oluşturulur. Kullanıcılara hangi mantıksal hakların verileceğini belirlemek için başvurulan stratejiler, bilinmesi gereken bir zeminden muhafaza edilmesi gereken bir zemine kadar çeşitlilik göstermektedir. Bunlar dikkate alınmaksızın, erişim hakları kullanıcının görev ve sorumluluklarına göre verilmelidir. Mantıksal erişim haklarının nasıl oluşturulduğu paketten pakete farklılık göstermektedir. Bazı durumlarda mantıksal erişim hakları bir hareket koduna veya bir ekran adı ya da numarasına göre verilmekte, SAP R/3 gibi başka sistemler ise daha karmaşık, nesne-tabanlı güvenlik protokolleri kullanmaktadırlar. Bir uygulamanın mantıksal erişim kontrolleri incelendiği zaman, genel uygulama güvenlik kontrollerinin de incelendiğinden emin olmak önem taşımaktadır. Bu kontroller arasında: Kullanıcı adı veya kullanıcı kimliğinin uzunluğu; Parolanın uzunluğu; Paroladaki karakterlerin kombinasyonu; Parola yaşlanması (örneğin, kullanıcılar 90 günde bir parolalarını değiştirmek zorundadırlar); Parola döngüsü (örneğin, kullanıcılar, en son kullandıkları 5 parolayı kullanamazlar); Başarısız oturum açma girişimleri belirli bir sayıya ulaştıktan sonra kullanıcı hesabının kilitlenmesi ve Oturum zaman aşımı (örneğin, kullanıcı uygulamada 15 dakika içerisinde herhangi bir işlem yapmadığı takdirde uygulama kullanıcının oturumunu otomatik olarak kapatır) bulunmaktadır. En yeni nesil uygulamalar, yukarıda sayılanlar gibi yönetimin ayarlayabileceği parametrelerle oluşturulmaktadırlar. Ancak bazı durumlarda yönetim, parametre(ler)i etkinleştirmeyi unutabilirler veya her parametre için kullanılan ayarlar en iyi uygulama standartlarına uygun olmayabilirler. Örneğin parola yaşlanma parametresi her 90 günde bir parola değişimi gerektirecek şekilde ayarlanabilir. Ek olarak, denetçiler, geliştirme ve test ortamındaki yönetici erişim haklarını periyodik aralıklarla gözden geçirmelidirler. 18

19 5. Uygulama İnceleme Yaklaşımları ve Diğer Konular İnceleme için uygun bir kapsam belirlenir belirlenmez bir sonraki görev incelemenin nasıl yürütüleceğine karar vermektedir. Seçilen standart denetim metodolojisinin yanı sıra, aşağıda, kapsamı düzgünce belirlenmiş bir uygulama kontrol incelemesini yürütmek konusunda denetçilere yardımcı olabilecek öneriler yer almaktadır. Planlama Risk değerlendirmesini tamamladıktan ve incelemenin kapsamını belirledikten sonra, denetçilerin detaylı inceleme planının geliştirilmesi ve iletilmesine odaklanmaları gerekmektedir. Detaylı inceleme planı geliştirilirken atılacak ilk adım, aşağıda verilen uygulama kontrol inceleme bileşenlerini sıralayan bir planlama tutanağı oluşturmaktır: Yapılacak tüm inceleme prosedürleri; Kullanılan her türlü bilgisayar-destekli araçlar ve teknikler ve bunların nasıl kullanıldığı; Varsa örnek boyutları; Seçilecek inceleme öğeleri ve İncelemenin zamanı. Tutanak hazırlanırken gereken iç denetim kaynaklarının tümünün planlama ekibine dâhil edilmesi gerekmektedir. BT uzmanlarının belirlenip planlama sürecine dâhil edilmesi de bu sırada yapılmalıdır. Planlama tutanağını tamamladıktan sonra, denetçinin detaylı bir inceleme programı hazırlaması gerekmektedir (bir denetim programı örneği için bakınız Ek-B sayfa 21). İnceleme programı hazırlanırken yönetimle şu konuların tartışılacağı bir toplantı yapılmalıdır: Yönetimin risklerle ilgili kaygıları; Daha önceden rapor edilen sorunlar; İç denetim biriminin risk ve kontrol değerlendirmesi; İnceleme metodolojisinin bir özeti; İncelemenin kapsamı; Kaygıların nasıl iletileceği; İnceleme ekibinde hangi yöneticilerin çalışacağı; Gereken her türlü ön bilgiler (örneğin, raporlar) ve İncelemenin uzunluğu. Risk değerlendirme aşamasının bir özetini çıkarmanın yanı sıra, bu toplantının önemli bir parçası da yönetimin desteğini almaktır. Tartışmaların inceleme planlama aşamasının başında yapılması gerekirken, planlanan kapsamla ilgili yönetimin de mutabık olduğundan emin olmak için kilit iş süreçleri, riskler ve kontroller inceleme süreci boyunca tartışılmalıdır. Bilinen her türlü kaygılar, spesifik olarak risk değerlendirme veya planlama aşaması sırasında tespit edilen tüm sorunlar (bu sorunların doğruluğu ispatlanmamış olsa bile) yönetime bildirilmelidir. Tespit edilen riskler ve kontroller hakkında yönetimin de aynı fikirde 19

20 olduğundan emin olmak için tartışmalar yapılmalıdır. Böylelikle, ekip, derhal düzeltici eylemde bulunmak ve kurum çapında uygun, risk bilinçli davranışı teşvik etmek konusunda yönetim üzerinde etkili olabilir. Bunun için, denetçiler, yönetime incelemenin yapılacağını duyuran bir mektup yollayabilirler. Bu mektupta: İncelemenin beklenen başlangıç tarihi; İncelemenin zaman çerçevesi ve İnceleme konusu kilit iş alanları yer almalıdır. Uzman Denetim Kaynaklarına Olan İhtiyaç İç denetçi incelemenin kapsamını değerlendirmeli ve incelemenin bir kısmını yapması için bir BT denetçisine ihtiyaç olup olmayacağını tespit etmelidir. Bununla beraber, inceleme ekibine bir BT denetçisi dâhil etmek, denetçiyi BT kontrollerinin yeterliliğini değerlendirme yükümlülüğünden kurtarmamaktadır. BT denetçisi, sadece, verilerin bütünlüğü ve hareketlerin doğruluğu, tamlığı ve yetkisini belirlemek için kurumun BT ye olan güven ve bağlılığını değerlendirecektir. BT denetçilerinin gözden geçirebileceği bir diğer faktör, uygulama tarafından işlenen hareketlerin sayısıdır. Uygulama kontrollerinin etkinliğini değerlendirmek ve raporlamak için özel araçlar gerekebilir. BT denetçileri tarafından toplanan bilgilerle birlikte iç denetçinin sahip olduğu bilgiler, uzman kaynakların gerekli olup olmadığının tespitine yardımcı olacaktır. Uzman kaynakların ne zaman gerekli olduğuna ilişkin verilen bir örnek, büyük bir imalat şirketi için Oracle ebusiness Suite uygulamasının kurulumu sırasında görev dağılımı incelemesini kapsamaktadır. Uygulama ve veritabanındaki rol ve görevlerin karmaşıklığından dolayı, Oracle uygulamasının yapılandırma kapasiteleri hakkında yeterli bilgiye sahip personelin kullanılması gerekmektedir. İncelemeyi kolaylaştırmak için Oracle uygulaması ve veritabanından veri madenciliği yapmasını bilen ek personele ihtiyaç duyulabilir. Ayrıca inceleme ekibi, veri özütleme ve analizini kolaylaştırmak üzere spesifik bir bilgisayar-destekli denetim aracına aşina olan bir uzmana gereksinim duyabilir. İş Süreci Yöntemi Bir önceki bölümde, iş süreci yönteminin uygulama kontrolü incelemesi kapsam belirlemesinde en yaygın kullanılan yöntem olduğu tespit edildi. Günümüz dünyasında birçok hareket uygulaması bir ERP sistemine entegre edilmektedir. Bu ERP sistemlerinden geçen ticari işlemler yaşam döngüleri boyunca pek çok modülle etkileşime girebileceğinden, incelemeyi gerçekleştirmenin en iyi yolu bir iş süreci veya döngü yaklaşımı kullanmaktır (yani, iş süreci dâhilindeki verileri oluşturan, değiştiren veya silen işlemleri tanımlamak ve en azından ilgili girdileri, işleme ve çıktı uygulama kontrollerinitest etmek). İncelemeye karşı sergilenecek en iyi yaklaşım, Şekil-3 te gösterilen dört aşamalı modeli kullanarak iş süreçlerini bölümlere ayırmaktır: Mega Süreç (Aşama 1): Satın al -öde süreci gibi tam,baştan-sona sürece atıf yapmaktadır. 20

21 Ana Süreç (Aşama 2): Baştan-sona sürecin tedarik, teslim alma ve teslim alınan mallara karşılık ödeme yapma gibi ana bileşenlerine atıf yapmaktadır. İkincil veya Alt Süreç (Aşama 3): Bu aşamada, ana süreçlerin satın alma talebi ve sipariş oluşturma gibi ikincil, alt süreçleri sayılmaktadır. Faaliyet (Aşama 4): Son aşamada, ikincil ya da alt süreç bileşenleri için verilerin oluşturulması, değiştirilmesi veya silinmesiyle sonuçlanan sistem hareketleri sayılmaktadır. Uygulama kontrollerine işletme-merkezli bir bakış açısıyla yaklaşmak, incelemenin yeterince kapsamlı ve kurum için anlamlı olduğundan emin olmak açısından elzemdir. Bu noktadan itibaren, inceleme, münferit bir görev veya entegre bir incelemenin parçası olarak yerine getirilebilir. Mega Süreç(Aşama1): Satın Al -Öde Ana Süreç (Level2) Satın alma Teslim Alma Borçlu Hesaplar Alt Süreç (Level3) Talep işlemi Sipariş işlemi Mal alım işlemi Mal iade işlemi Satıcı yönetimi Fatura işlemi Alacak dekontu işlemi Ödeme işlemleri Geçersiz ödemeler Faaliyet (Aşama4) Oluştur, değiştir ve sil Oluştur, değiştir, sil onay ve serbest bırakma Oluştur, değiştir ve sil Oluştur, değiştir ve sil Oluştur, değiştir ve sil Oluştur, değiştir ve sil Oluştur, değiştir ve sil Oluştur, değiştir ve sil Oluştur, değiştir ve sil Şekil-3: Bir iş sürecinin bölümlere ayrılması 21

22 Üçgenler süreçteki her bir kontrolü temsil etmektedir. Her kontrolün numarası, Risk ve Kontroller Matrisinde verilen faaliyetlerle bağlantılıdır. Şekil-4: Bir satın al -öde süreci akış şeması Dokümantasyon Teknikleri İç denetçilerin kullandığı dokümantasyon standartlarına ilaveten, her bir uygulama kontrolünü belgelemek için aşağıda verilen yaklaşımlar önerilmektedir. Akış Şemaları Hareket akışlarını resimleyerek gösterdikleri için akış şemaları, hareketlerin ve bir baştansona iş süreci içerisinde kullanılan ilgili uygulama ve manuel kontrollerin akışı hakkında bilgi edinmek amacıyla yararlanılan en etkili tekniklerden biridir. Şekil-4, satın al -öde sürecine ait bir akış şeması örneği göstermektedir. Kontrol tanımlarının kendisini akış şemasına yerleştirmek zor olduğu için, bunun yerine kontrolleri akış şemasında basitçe numaralamak ve bir risk ve kontroller matrisi (bakınız Şekil-6, sayda 14-17) gibi kontrol tanımlarını ve ilgili bilgileri içeren ayrı bir doküman hazırlamak daha mantıklıdır. Ancak akış şemaları her zaman pratik olmayabilir ve bir süreç açıklaması bazen daha uygun olabilir. Bu durum genellikle, denetçinin alanları ve BT ortamında yapılan işleri dokümante ederken ortaya çıkmaktadır. Pek çok durumda BT biriminin yaptığı iş ve ilgili uygulama kontrolleri, satın al -öde gibi iş süreçlerinde olduğu gibi doğrusal bir biçimde ilerlememektedir. Süreç Açıklamaları Süreç açıklamaları, Şekil-5 te gösterildiği gibi, iş süreci hareket akışlarını ilgili uygulamalarıyla birlikte belgelemek için kullanılan bir diğer tekniktir. Bu açıklamalar, en iyi şekilde, nispeten karmaşık olmayan iş süreçleri ve BT ortamları için bir dokümantasyon aracı olarak kullanılmaktadır. Çünkü iş süreci ne kadar karmaşık olursa, sürecin gerçek yapısını 22

23 yeterli ve doğru bir biçimde yansıtacak bir süreç açıklaması oluşturmak o denli zor olacaktır. Bu nedenle nispeten karmaşık iş süreçleri dokümante edildiğinde, denetçiler, akış şemasıyla birlikte bu akış şemasına denk düşen bir süreç açıklaması oluşturmalı ve bu süreç açıklamasında kontrolleri numaralandırmalıdır. Denetçiler, risk ve kontroller matrisi gibi ayrı bir doküman da oluşturmalıdırlar. Açıklama Satın Al Öde Başlıca İrtibat(lar) Kilit Bileşenler C1,C2,C3,C4,C5,C6,C7,C8,C9,C10,C11, C12,C13 vec14. Şekil-5: Risk ve kontrol matrisi Aşağıda, satın al -öde sürecini kapsayan süreç açıklamasına bir örnek verilmektedir. 1) Satın alma a) Talep Etme: i) Çalışanların mal ve hizmet satın alması gerektiğinde, satınalma uygulamasında bir satınalma talebi oluşturacaklardır (C1 Kontrolü). Talep oluşturulur oluşturulmaz, alıcı satınalma talebinin uygunluğunu, tamlığını ve doğruluğunu değerlendirecektir. Gözden geçirilen satınalma talebi bileşenleri arasında satıcı, satın alınacak öğe, miktar ve hesap kodu bulunmaktadır, ancak bunlarla sınırlı değildir. İnceleme sonunda herhangi bir hata ortaya çıkmıyorsa alıcı satınalma talebini onaylayacaktır. Herhangi bir nedenle alıcı satınalma talebini reddederse, bu durum talep edene bildirilecektir. Son olarak, orijinal taleple ilgili sorunlar çözüldüğü takdirde alıcı talebi onaylayacaktır. ii) Tüm satınalma talepleri, her türlü yetkisiz talebin yanı sıra aşırı siparişmiktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C2 ve C3 Kontrolleri) b) Sipariş İşlemi: 2) Teslim Alma i) Satınalma talebi alıcı tarafından onaylanır onaylanmaz, tedarik uygulamasındaki talebe atıf yapan bir sipariş oluşturur (C4 Kontrolü). Alıcı daha sonra siparişin bir kopyasını tedarikçiye gönderecektir. ii) Tüm siparişler, her türlü yetkisiz siparişin yanı sıra aşırı sipariş miktarlarını tespit etmek amacıyla her ay kontrol edilmektedir (C5 ve C6 Kontrolleri) a) Tüm mallar sevkiyat ve teslim kapısında teslim alınır. Bir depo çalışanı sevk irsaliyesini gözden geçirerek sipariş numarasını not alır ve fiziksel olarak teslim alınan malları sayar. Ardından depo çalışanı, tedarik uygulamasına giriş yapar ve sipariş emri formunda uygun satır sayısının yanına teslim alınan malların sayısını girer. 23

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

İç Denetim, Risk ve Uyum Hizmetleri. Danışmanlığı

İç Denetim, Risk ve Uyum Hizmetleri. Danışmanlığı İç Denetim, Risk ve Uyum Hizmetleri Danışmanlığı bölümünde çalışan profesyonellerimiz, birçok yerel ve uluslararası şirkette, organizasyon çapında risk ve kurumsal yönetim konularında yardımcı olmak ve

Detaylı

Proje Çevresi ve Bileşenleri

Proje Çevresi ve Bileşenleri Proje Çevresi ve Bileşenleri 1.3. Proje Çevresi Proje çevresi, proje performans ve başarısını önemli ölçüde etkiler. Proje takımı; sosyoekonomik, coğrafı, siyasi, yasal, teknolojik ve ekolojik gibi kuruluş

Detaylı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı ISSAI UYGULAMA GİRİŞİMİ 3i Programı 3i Programme Taahhütname ARKA PLAN BİLGİSİ Temel denetim alanları olan mali denetim, uygunluk denetimi ve performans denetimini kapsayan kapsamlı bir standart seti (Uluslararası

Detaylı

BANKALARDA OPERASYONEL RİSK DENETİMİ

BANKALARDA OPERASYONEL RİSK DENETİMİ BANKALARDA OPERASYONEL RİSK DENETİMİ Dr. Korcan Demircioğlu T. Garanti Bankası A.Ş. Teftiş Kurulu Başkan Yardımcısı Operasyonel Risk Yönetiminin Önemi Amaçları ve Hedefleri Nelerdir? Hedefler Amaçlar Daha

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

İÇ DENETİM FAALİYETİ / BİRİMİ İÇİN GEREKEN KAYNAKLARIN TEMİNİNDE

İÇ DENETİM FAALİYETİ / BİRİMİ İÇİN GEREKEN KAYNAKLARIN TEMİNİNDE 1 IIA ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ IIA POZİSYON RAPORU: İÇ DENETİM FAALİYETİ / BİRİMİ İÇİN GEREKEN KAYNAKLARIN TEMİNİNDE İÇ DENETİMİN ROLÜ Düzenleme tarihi: Ocak 2009 Revizyon tarihi: Kaynak PP

Detaylı

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının

Detaylı

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004 III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* *connectedthinking PwC İçerik İç kontroller İç kontrol yapısının oluşturulmasında COSO nun yeri İç denetim İç denetimi

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC)

Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC) Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC) Sistem analistlerinin ve kullanıcı faaliyetlerinin spesifik döngüsünün kullanılmasıyla En iyi geliştirilmiş sistemin oluşmasını

Detaylı

Tedarik Zinciri Performans Ölçümü

Tedarik Zinciri Performans Ölçümü Tedarik Zinciri Performans Ölçümü Arş.Gör. Duran GÜLER Ege Üniversitesi Ziraat Fakültesi Tarım Ekonomisi Bölümü Tedarik Zinciri Yönetim Etkinliğinin Artırılmasında Kullanılan Performans Ölçüleri 1. Maliyet

Detaylı

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler ECA Bölge Perspektifi Marius Koen TÜRKİYE: Uygulama Destek Çalıştayı 6-10 Şubat 2012 Ankara, Türkiye 2 Kapsam ve Amaçlar

Detaylı

Kurumsal Kaynak Planlama Özdeğerlendirme Kılavuzu

Kurumsal Kaynak Planlama Özdeğerlendirme Kılavuzu Kurumsal Kaynak Planlama Özdeğerlendirme Kılavuzu Tanım : Kurumların kendi kaynaklarını kullanarak bilgi sistemlerinin yeterlilik düzeylerini sayısal olarak ölçebilecekleri bir özdeğerlendirme kılavuzu

Detaylı

KOCAELİ ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

KOCAELİ ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI KOCAELİ ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI Şubat 2014 I. GENEL HÜKÜMLER Bu Kalite Güvence ve Geliştirme Programı, Kocaeli Üniversitesi İç Denetim

Detaylı

Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri. 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi

Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri. 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi Place image here with reference to guidelines Serhat Akmeşe

Detaylı

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği Bu Yönetmelik, Yönetim Kurulu nun 25/04/2013 tarih ve 21 sayılı kararı ile kabul edilmiş olup 15.04.2014 tarih ve 2014/11

Detaylı

Bakım Yönetimi Logo Nisan 2016

Bakım Yönetimi Logo Nisan 2016 Bakım Yönetimi Logo Nisan 2016 İçindekiler Bakım Yönetimi... 4 Bakım Yönetimini Etkileyen Öndeğer ve Parametreler... 4 Tanımlar... 5 Bakım Parametreleri... 5 Parametre Bilgileri... 6 Arıza Kodları... 8

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

VERİ KAYNAKLARI. Bilgi sisteminin öğelerinden biride veri

VERİ KAYNAKLARI. Bilgi sisteminin öğelerinden biride veri VERİ KAYNAKLARI YÖNETİMİ İ İ 5. ÜNİTE GİRİŞ Bilgi sisteminin öğelerinden biride veri yönetimidir. Geleneksel yada çağdaş, birinci yada ikinci elden derlenen veriler amaca uygun veri formlarında tutulur.

Detaylı

Altyapımızı Yeni TTK ile uyumlu hale getirmek...

Altyapımızı Yeni TTK ile uyumlu hale getirmek... Altyapımızı Yeni TTK ile uyumlu hale getirmek... Yeni TTK ya uyum, mevzuatı kavrayarak tamamlayabileceğimiz bir sürecin ötesinde; önemli altyapısal değişiklikler getirecek bir dönüşümdür Dış Paydaşlar

Detaylı

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI NİSAN 2018 1 2 İÇİNDEKİLER 1. Neden İç Kontrol?...5 2. İç

Detaylı

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Kapsamlı bir yazılım seçim metodolojisi, kurumsal hedeflerin belirlenmesiyle başlayan çok yönlü bir değerlendirme sürecini kapsar. İş süreçlerine, ihtiyaçlarına

Detaylı

ESİS Projesi. Kaynaklar Bakanlığı

ESİS Projesi. Kaynaklar Bakanlığı ESİS Projesi Hem ulusal, hem de uluslararası platformda enerji, bir ülkenin politika üretmesi ve uygulaması gereken en önemli stratejik alanlardan birisidir. Ülkemiz de sahip olduğu kritik jeopolitik konumu

Detaylı

KURUMSAL YÖNETİM KOMİTESİ YÖNETMELİĞİ

KURUMSAL YÖNETİM KOMİTESİ YÖNETMELİĞİ KURUMSAL YÖNETİM KOMİTESİ YÖNETMELİĞİ 2014 zc KRM-Y-04/19.06.2014/Rev.00 Madde 1/Amaç ve Kapsam Kurumsal Yönetim Komitesi, Şirket te kurumsal yönetim ilkelerinin uygulanıp uygulanmadığını, uygulanmıyor

Detaylı

Ürün ve hizmet başvurularını işleme alma, ödeme ve işlemler gerçekleştirme, talimatları ya da talepleri tamamlama

Ürün ve hizmet başvurularını işleme alma, ödeme ve işlemler gerçekleştirme, talimatları ya da talepleri tamamlama Gizlilik Politikası Bu Gizlilik Politikası, Standard Chartered Grup un ( SCB, biz veya bizim ) herhangi bir üyesi tarafından Kişisel Verilerin toplanması, kullanılması ve ifşa edilmesi hakkındadır. Kişisel

Detaylı

RotamNet Ticari Programı Kısa Tanıtım Dökümanı

RotamNet Ticari Programı Kısa Tanıtım Dökümanı RotamNet Ticari Programı Kısa Tanıtım Dökümanı RotamNet ; Kolay kurulumu ve kullanımıyla ön plana çıkan, teknolojik alt yapısıyla işletmelere pratik çözümler sunan ve büyük avantajlar sağlayan tam bir

Detaylı

Hazırlayan: S. DOĞAN 03.03.2014. Onaylayan: C.PERGEL 03.03.2014

Hazırlayan: S. DOĞAN 03.03.2014. Onaylayan: C.PERGEL 03.03.2014 Sayfa: 1 / 6 Hazırlayan: S. DOĞAN 03.03.2014 Onaylayan: C.PERGEL 03.03.2014 Revizyon No: Revizyon Tarihi: Yapılan Değişiklik Değişikliği Yapan Kişi Sayfa: 2 / 6 1 AMAÇ Bu prosedürün amacı 3D INCERTA tarafından

Detaylı

1000.D1 - Danışmanlık hizmetlerinin niteliği, iç denetim yönergesinde belirtilmek zorundadır.

1000.D1 - Danışmanlık hizmetlerinin niteliği, iç denetim yönergesinde belirtilmek zorundadır. NİTELİK STANDARTLARI 1000- Amaç, Yetki ve Sorumluluklar İç denetim faaliyetinin amaç, yetki ve sorumlulukları, İç Denetimin Tanımına, Meslek Ahlak Kurallarına ve Kamu İç Denetim Standartlarına (Standartlar)

Detaylı

DENETİM KOÇLUĞU EĞİTİM SERİSİ

DENETİM KOÇLUĞU EĞİTİM SERİSİ DENETİM KOÇLUĞU EĞİTİM SERİSİ Sayın İlgili: İç denetim teknik bir uzmanlık alanı olmanın ötesinde çok temel bir yönetim aracıdır. Yönetim sürecinin temel bir unsuru olan kontrol ve izleme rolü iç denetim

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

Veritabanı Yönetimi Bilgisayarların. Keşfi Hedefler. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi

Veritabanı Yönetimi Bilgisayarların. Keşfi Hedefler. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi Hedefler Veritabanı Yönetimi Bilgisayarların Discovering Keşfi 2010 Computers 2010 Living in a Digital World Dijital Dünyada Yaşamak Veritabanı terimini tanımlamak ve bir veritabanının veri ve bilgi ile

Detaylı

ç Denetim Planlamas nda Risk Yönetim Süreçlerinin Kullan lmas

ç Denetim Planlamas nda Risk Yönetim Süreçlerinin Kullan lmas ç Denetim Planlamas nda Risk Yönetim Süreçlerinin Kullan lmas 1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin önemli bir parçasıdır. Birçok kurum, kurumun yönetimiyle tam

Detaylı

ARGUS Plus Version 1.0.1 ERP Sistemi

ARGUS Plus Version 1.0.1 ERP Sistemi ARGUS Plus Version 1.0.1 ERP Sistemi ERP'ye Bakış ve ARGUS Plus Zaman içinde firmalar geliştikçe, iş yapış şekilleri değişmekte ve ihtiyaçları artmaktadır. Bir çok gelişen firma, gerçekleştirdikleri operasyonel

Detaylı

TEMİZLEME PROSEDÜRLERİ VE ÇİZELGELERİ

TEMİZLEME PROSEDÜRLERİ VE ÇİZELGELERİ BRC Gıda standardında geçen gerekliliklerin bir kısmına yönelik olarak açıklayıcı klavuzlar BRC tarafından yayınlandı. Bu klavuzlardan biri olan bu dokümanın Türkçe çevirisi sayın ECE BAĞUÇ tarafından

Detaylı

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL KASIM 2013 İÇİNDEKİLER 1. Neden İç Kontrol? 2. İç Kontrol Nedir? 3. İç Kontrolün Amacı Nedir? 4.

Detaylı

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları: GİRİŞ 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu da mali yönetim ve kontrol sisteminin bütünüyle değiştirilerek, uluslararası standartlara ve Avrupa Birliği Normlarına uygun hale getirilmesi

Detaylı

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul 1 Gündem Bir Bakışta Yeni Türk Ticaret Kanunu Kurumsal

Detaylı

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar STRATEJİ GELİŞTİRME BAŞKANLIĞI 2 Nedir Risk Yönetimi Nedir

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden

Detaylı

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyaca kabul görmüş medikal cihazlar endüstrisi kalite yönetim sistemi standardı olan ISO 13485'in final versiyonu Şubat 2016 da yayınlandı.

Detaylı

BİT PROJELERİNDE KARŞILAŞILABİLEN OLASI RİSKLER

BİT PROJELERİNDE KARŞILAŞILABİLEN OLASI RİSKLER BİT PROJELERİNDE KARŞILAŞILABİLEN OLASI RİSKLER Temmuz 2017 1 GİRİŞ 1.1 REHBERİN AMACI ve KAPSAMI Kamu BİT Projeleri Rehberi nin eki olarak hazırlanan bu alt rehber, BİT yatırım projesi teklifi yapan kamu

Detaylı

YENİLİKLER VE TEKNOLOJİK GELİŞMELER IŞIĞINDA BAĞIMSIZ DENETİMİ YENİDEN DÜŞÜNMEK. Hasan GÜL Denetim Standartları Dairesi Başkanı

YENİLİKLER VE TEKNOLOJİK GELİŞMELER IŞIĞINDA BAĞIMSIZ DENETİMİ YENİDEN DÜŞÜNMEK. Hasan GÜL Denetim Standartları Dairesi Başkanı YENİLİKLER VE TEKNOLOJİK GELİŞMELER IŞIĞINDA BAĞIMSIZ DENETİMİ YENİDEN DÜŞÜNMEK Hasan GÜL Denetim Standartları Dairesi Başkanı 1 Sunum Planı YENİLİKLER Denetimin Kalitesinin Artırılması Kök Neden Analizi

Detaylı

İç Kontrol ve Risk Yönetimi Sisteminiz Stratejik Yönetim ve Planlama Sürecinize Katkı Sağlayabilir

İç Kontrol ve Risk Yönetimi Sisteminiz Stratejik Yönetim ve Planlama Sürecinize Katkı Sağlayabilir İç Kontrol ve Risk Yönetimi Sisteminiz Stratejik Yönetim ve Planlama Sürecinize Katkı Sağlayabilir Kurumlarımızda kullanılmakta olan önemli yönetim araçlarımız bulunmakta; İç Kontrol, Risk Yönetimi, Stratejik

Detaylı

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ (Doküman No: BEYAS-DK-02) Ankara Üniversitesi için aşağıda verilen temel bir Belge Yönetimi ve Arşiv Sistemi Stratejisi metni hazırlanmıştır.

Detaylı

T.C. UŞAK ÜNİVERSİTESİ REKTÖRLÜĞÜ İç Denetim Birimi STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞINA

T.C. UŞAK ÜNİVERSİTESİ REKTÖRLÜĞÜ İç Denetim Birimi STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞINA T.C. UŞAK ÜNİVERSİTESİ REKTÖRLÜĞÜ İç Denetim Birimi *BEKV3C6F3* Sayı : 88820408-612.01.01- Konu : İç Kontrol Eylem Planı Öngörülen Eylemler STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞINA İlgi : 20/12/2017 tarihli,

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

Tetkik Gün Sayısı Tespiti www.sisbel.biz

Tetkik Gün Sayısı Tespiti www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Tetkik Gün Sayısı Tespiti 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte,

Detaylı

Yazılım Mühendisliği 1

Yazılım Mühendisliği 1 Yazılım Mühendisliği 1 HEDEFLER Yazılım, program ve algoritma kavramları anlar. Yazılım ve donanım maliyetlerinin zamansal değişimlerini ve nedenleri hakkında yorum yapar. Yazılım mühendisliği ile Bilgisayar

Detaylı

Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Yönetim Sistemi Bursa Teknik Üniversitesi Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Alt Politikaları KURUMA ÖZEL BGYS-PL-02 0 / - 1 / 4 İÇİNDEKİLER 1. Amaç...2 2. Kapsam...2 3. Kayıtları...2 4. Tanımlamalar ve Kısaltmalar...2

Detaylı

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ Sayfa No : 1/7 1.AMAÇ İstanbul Üniversitesinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve

Detaylı

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ 1. GİRİŞ Bu kılavuz, destekleyicinin merkezinde veya destekleyicinin araştırmayla

Detaylı

Ek Rehber: İÇ DENETİMİN KATMA DEĞERİ VE İÇ DENETİM KAPASİTE MODELİ Yayın Tarihi: Mart 2012

Ek Rehber: İÇ DENETİMİN KATMA DEĞERİ VE İÇ DENETİM KAPASİTE MODELİ Yayın Tarihi: Mart 2012 Ek Rehber: İÇ DENETİMİN KATMA DEĞERİ VE İÇ DENETİM KAPASİTE MODELİ Yayın Tarihi: Mart 2012 ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global Ek Rehber: İç Denetimin Katma Değeri ve İç Denetim Kapasite Modeli

Detaylı

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2010 2011) (KONTROL FAALİYETLERİ) Sorumlu KFS 7 Kontrol stratejileri ve yöntemleri: İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya

Detaylı

İÜ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ

İÜ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ Sayfa No : 1/5 1.AMAÇ İstanbul Üniversitesinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve

Detaylı

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ 1.Giriş Ramazan ŞENER Mali Hizmetler Uzmanı Kamu idarelerinin mali yönetimini düzenleyen 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu 10.12.2003

Detaylı

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ HAZIRLAYAN : ŞERİF OLGUN ÖZEN, CGAP KİDDER EĞİTİM KOMİTESİ BAŞKANI ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İÇ DENETİM BİRİMİ BAŞKANI sozen@csgb.gov.tr EĞİTİMİN

Detaylı

BÖLÜM 4 İÇ KONTROL SİSTEMİ

BÖLÜM 4 İÇ KONTROL SİSTEMİ BÖLÜM 4 İÇ KONTROL SİSTEMİ Öğr. Gör. Mehmet KÖRPİ KONTROL KAVRAMI İşletmenin belirlenen amaçlarına ulaşması için, işletme yöneticilerinin almış olduğu önlemlere, uyguladığı yöntemlere kontrol usul ve yöntemleri

Detaylı

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası Sayfa 1/6 1. Amaç / Genel Bu doküman, Kuruluştaki ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kapsamındaki tüm bilgi varlıklarının güvenliğinin sağlanması, BGYS nin kurulması, işletilmesi, sürdürülmesi

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar.

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar. SAĞLIK ARAŞTIRMALARI GENEL MÜDÜRLÜĞÜ DAİRE BAŞKANLIKLARI YÖNERGESİ Amaç MADDE 1- (1) Bu yönerge, Sağlık Bakanlığı Sağlık Araştırmaları Genel Müdürlüğünün teşkilat yapısını, görevlerini, yetkilerini ve

Detaylı

3- KONTROL FAALİYETLERİ

3- KONTROL FAALİYETLERİ 3- KONTROL FAALİYETLERİ Standart Kod No Kamu İç Kontrol Standardı ve Genel Şartı Mevcut Durum Eylem Kod No Öngörülen Eylem veya Eylemler Sorumlu Birim veya Çalışma grubu üyeleri İşbirliği Yapılacak Birim

Detaylı

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür. Nagios Enterprises, kurumsal ölçekte, BT altyapı gözetiminde endüstri standardı olan Nagios için resmi ürünler, hizmetler ve çözümler sunuyor. Dünya çapında yüz binlerce kullanıcıyla Nagios bilgi teknolojileri

Detaylı

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği Bu Yönetmelik, Yönetim Kurulu nun 25/04/2013 gün ve tarihli toplantısında 21 No.lu kararı ile kabul edilmiştir. BİRİNCİ

Detaylı

TÜRK TELEKOMÜNİKASYON A.Ş. DENETİM KOMİTESİ ÇALIŞMA ESASLARI

TÜRK TELEKOMÜNİKASYON A.Ş. DENETİM KOMİTESİ ÇALIŞMA ESASLARI TÜRK TELEKOMÜNİKASYON A.Ş. DENETİM KOMİTESİ ÇALIŞMA ESASLARI TÜRK TELEKOMÜNİKASYON A.Ş. İÇİNDEKİLER: BİRİNCİ BÖLÜM... 2 Kapsam ve Tanımlar... 2 Madde 1 - Kapsam... 2 Madde 2 - Tanımlar... 2 İKİNCİ BÖLÜM...

Detaylı

KAMU İÇ KONTROL STANDARTLARI

KAMU İÇ KONTROL STANDARTLARI KAMU İÇ KONTROL KONTROL ORTAMI İç kontrolün temel unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici

Detaylı

çeşitli tüm aşamalarda tam izlenebilirlik

çeşitli tüm aşamalarda tam izlenebilirlik SÜREÇ SIX bilişim çözümü, ameliyathanelerde kullanılan örtülerin ve aynı zamanda kurşunlu cerrah önlüklerin teknik kumaşlarına bağlı sterilizasyon süreçlerindeki izlenebilirlik yönetiminin eksiksiz bir

Detaylı

SAP Lumira Cloud Enterprise Edition İlave Koşullar ve Şartlar

SAP Lumira Cloud Enterprise Edition İlave Koşullar ve Şartlar SAP Lumira Cloud Enterprise Edition İlave Koşullar ve Şartlar SAP ve Müşteri, belirli SAP ürün ve hizmetlerinin satın alınması için bir anlaşma gerçekleştirmiştir ( Anlaşma ) ve Müşteri bu anlaşma uyarınca

Detaylı

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir. 1.AMAÇ ve KAPSAM Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir. BGYS kapsam dokümanındaki tüm personeli, varlıkları ve ilişki

Detaylı

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz? Türkiye nin en popüler iş arama ve işe alma platformları olan yenibiriş.com da 1500, kariyer.net te ise 2000 e yakın İç Kontrol başlıklı ilan bulunmaktadır. İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere

Detaylı

İç Kontrol Nedir? İç kontrol tanımında önemli olan bazı unsurlar şunlardır:

İç Kontrol Nedir? İç kontrol tanımında önemli olan bazı unsurlar şunlardır: İç Kontrol Nedir? İç kontrol kurumların hedeflerine ulaşması ve misyonlarını gerçekleştirmesi; bu yolda ilerlerken önlerine çıkabilecek belirsizliklerin en aza indirilmesi amacıyla uygulanan süreçtir.

Detaylı

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS

Detaylı

CICS / CICP Sertifika Programları. Eğitim Kataloğu. Hazırlayan: İç Kontrol Enstitüsü

CICS / CICP Sertifika Programları. Eğitim Kataloğu. Hazırlayan: İç Kontrol Enstitüsü CICS / CICP Sertifika Programları Eğitim Kataloğu Hazırlayan: İç Kontrol Enstitüsü İÇİNDEKİLER İÇİNDEKİLER... 1 İÇ KONTROL ENSTİTÜSÜ NÜN CICS / CICP SERTİFİKA PROGRAMLARI EĞİTİMİ İÇERİĞİ... 3 BÖLÜM 1:

Detaylı

BÖLÜM 5 DENETİM KANITLARI, DENETİM PROSEDÜRLERİ VE ÇALIŞMA KAĞITLARI Öğr. Gör. Mehmet KÖRPİ

BÖLÜM 5 DENETİM KANITLARI, DENETİM PROSEDÜRLERİ VE ÇALIŞMA KAĞITLARI Öğr. Gör. Mehmet KÖRPİ BÖLÜM 5 DENETİM KANITLARI, DENETİM PROSEDÜRLERİ VE ÇALIŞMA KAĞITLARI Öğr. Gör. Mehmet KÖRPİ KANIT KAVRAMI Denetçinin görüşüne etki edebilecek, denetçi tarafından toplanan bilgi ve veri denetim kanıtı olarak

Detaylı

İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır.

İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır. ÇALIŞMA STANDARTLARI 2000 - İç Denetim Faaliyetinin Yönetimi İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek 2010 - Planlama İç denetim

Detaylı

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI Ocak 2013 BİRİNCİ BÖLÜM Genel Hükümler Amaç ve kapsam Madde 1 (1) Bu Programın amacı, Bakanlığımızda

Detaylı

NESNEYE YÖNELİK ÇÖZÜMLEME SÜRECİ

NESNEYE YÖNELİK ÇÖZÜMLEME SÜRECİ NESNEYE YÖNELİK ÇÖZÜMLEMENİN TEMELLERİ Çözümleme: Bir şeyi anlayabilmek için parçalarına ayırmak. Sistemi anlamaya yönelik çalışmalardan ve üst düzey planlama eylemlerinden oluşur. Uygulama/problem alanının

Detaylı

CICS / CICP Sertifika Programları İçin. Kurs Kataloğu

CICS / CICP Sertifika Programları İçin. Kurs Kataloğu CICS / CICP Sertifika Programları İçin Kurs Kataloğu Hazırlayan: İç Kontrol Enstitüsü İÇİNDEKİLER İÇ KONTROL ENSTİTÜSÜ NÜN CICS / CICP SERTİFİKA PROGRAMLARI BECERİ ALANLARI VE MESLEKİ İÇ KONTROL KURSLARI

Detaylı

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI 13.07.2018 ISO 9001:2015 İÇ TETKİKÇİ DEĞERLENDİRME SINAVI Soru Sayısı: 33 Süre: 40 Dakika Ad SOYAD: Bölüm: ADL Danışmanlık ve Eğitim Hizmetleri OĞUZ ÖZTÜRK Soru-1) Aşağıdakilerden hangisi ISO 9001:2015

Detaylı

Logo Tiger Satın Alma. Pdf Dökümanına Bakmak İçin Tıklayınız.

Logo Tiger Satın Alma. Pdf Dökümanına Bakmak İçin Tıklayınız. Logo Tiger Satın Alma Pdf Dökümanına Bakmak İçin Tıklayınız. Satınalma Bölümünde Alınan sipariş kartları, Ürün alımlarında uygulanacak indirim,harcama ve promosyonları Ürünü satış fiyatları, Alış koşulları

Detaylı

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ 16.4.27 1 / 6 REVİZYON BİLGİSİ REVİZYON NO AÇIKLAMA Rev. İlk yayın BU DOKÜMAN SİSTEM DENETİM BELGELENDİRME NİN ÖZEL DOKÜMANIDIR. İZİNSİZ KOPYALANAMAZ 1. AMAÇ ve KAPSAM: 16.4.27 2 / 6 Bu prosedür, 2 aşamalı

Detaylı

Logo Tiger Satış Ve Dağıtım. Pdf Dökümanına Bakmak İçin Tıklayınız.

Logo Tiger Satış Ve Dağıtım. Pdf Dökümanına Bakmak İçin Tıklayınız. Logo Tiger Satış Ve Dağıtım Pdf Dökümanına Bakmak İçin Tıklayınız. Ürün İçeriği Satış ve Dağıtım Satış ve Dağıtım Parametreleri Verilen Hizmet Kartları Verilen Hizmet Bilgileri Verilen Hizmet Muhasebe

Detaylı

aselsan Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi İç Denetçi

aselsan Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi İç Denetçi Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi aselsan ASELSAN'ın İç Denetim Bölümü'nde görevlendirilmek üzere aşağıdaki niteliklere sahip adaylara ihtiyaç bulunmaktadır. Üniversitelerin Bilgisayar

Detaylı

EDM SAP Business One

EDM SAP Business One EDM SAP Business One SAP Business One Kobileri Dünya Standartlarına taşıyoruz.. SAP Business One Tek sistemle daha verimli ve etkin yönetim SAP Business One tüm KOBİ lerin taleplerini karşılamak üzere

Detaylı

Amaç. Octopus Program, InoTec Akademi uzmanlarının on yılı aşan tecrübesi ile hazırladığı, bir uzmanlık seviyesi belirleme ve geliştirme programıdır.

Amaç. Octopus Program, InoTec Akademi uzmanlarının on yılı aşan tecrübesi ile hazırladığı, bir uzmanlık seviyesi belirleme ve geliştirme programıdır. Tanıtım Sunumu 1 Amaç Octopus Program, InoTec Akademi uzmanlarının on yılı aşan tecrübesi ile hazırladığı, bir uzmanlık seviyesi belirleme ve geliştirme programıdır. 1 Amaç Kendine güveniyor musun? Uzmanlık

Detaylı

İÇ KONTROL ve İÇ DENETİM

İÇ KONTROL ve İÇ DENETİM M. Vefa TOROSLU Serbest Muhasebeci Mali Müşavir Bağımsız Denetçi 6102 sayılı Türk Ticaret Kanunu Kapsamında İÇ KONTROL ve İÇ DENETİM İÇİNDEKİLER ÖNSÖZ... V KISALTMALAR...XXI Birinci Bölüm DENETİM İLE İLGİLİ

Detaylı

İyi oluşturulmuş bir bağımsız denetim yaklaşımı bir şirketin hedeflerine ulaşmasına destek olur ve sürpriz sonuçları önler.

İyi oluşturulmuş bir bağımsız denetim yaklaşımı bir şirketin hedeflerine ulaşmasına destek olur ve sürpriz sonuçları önler. BAĞIMSIZ DENETİM Bağımsız Denetim işletme içi ve işletme dışı bilgi kullanıcılarının güvenilir bilgi ihtiyacını karşılar. Finansal tabloların güvenilirlik derecesini artırır. Bağımsız denetim, aşağıdaki

Detaylı

Yapı ve Kredi Bankası A.Ş. Ücretlendirme Politikası

Yapı ve Kredi Bankası A.Ş. Ücretlendirme Politikası Yapı ve Kredi Bankası A.Ş. Ücretlendirme Politikası Bu politika, Yapı ve Kredi Bankası A.Ş. nin (Banka) faaliyetlerinin kapsamı ve yapısı ile stratejileri, uzun vadeli hedefleri ve risk yönetim yapısına

Detaylı

İÜ İç Denetim Birim Başkanlığı İÇ DENETİM PROSEDÜRÜ

İÜ İç Denetim Birim Başkanlığı İÇ DENETİM PROSEDÜRÜ Sayfa No : 1/6 1.AMAÇ İstanbul Üniversitesinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve

Detaylı

Hazırlayan: S. DOĞAN Onaylayan: C.PERGEL

Hazırlayan: S. DOĞAN Onaylayan: C.PERGEL Hazırlayan: S. DOĞAN 03.03.2014 Onaylayan: C.PERGEL 03.03.2014 Revizyon Revizyon No: Tarihi: Yapılan Değişiklik Değişikliği Yapan Kişi 01 05.01.2016 Alt bilgi kısmındaki adres bilgileri güncellendi. S.DOĞAN

Detaylı

Proje DöngD. Deniz Gümüşel REC Türkiye. 2007,Ankara

Proje DöngD. Deniz Gümüşel REC Türkiye. 2007,Ankara Proje Yönetiminde Y Temel Kavramlar Proje DöngD ngüsü Yönetimi ve Mantıksal Çerçeve eve Yaklaşı şımı Deniz Gümüşel REC Türkiye 2007,Ankara TEMEL KAVRAMLAR Proje nedir? Proje Yönetimi nedir???? Proje Döngüsü

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI

KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI Mustafa DİLEK +90 532 263 4849 mdilekm@hotmail.com Kalite Yönetim Sistemi Kalite yönetim sistemi uygulamak kuruluşa aşağıdaki potansiyel faydaları

Detaylı

ÜNİTE 7 İŞLEM DÖNÜLERİ VE DENETİMİ

ÜNİTE 7 İŞLEM DÖNÜLERİ VE DENETİMİ ÜNİTE 7 İŞLEM DÖNÜLERİ VE DENETİMİ Döngü Yaklaşımı Nedir? İşlem döngüsü yaklaşımı, denetçinin yapacağı denetim çalışmasında denetime konu finansal tabloları; işlemler, hesap kalemleri veya grupları itibarıyla

Detaylı

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI Performans programları, idare bütçelerinin stratejik planlarda belirlenmiş amaç ve hedefler doğrultusunda hazırlanmasına yardımcı olmak üzere hazırlanan temel

Detaylı

X. Çözüm Ortaklığı Platformu

X. Çözüm Ortaklığı Platformu www.pwc.com/tr Türkiye Muhasebe Standartları na Geçiş İçerik 1. Yeni Türk Ticaret Kanunu na Genel Bakış 2. Türkiye Muhasebe Standartları na Geçiş Yol Haritası 3. Finansal Raporlama Süreci ve Teknik Altyapı

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

ERP Uygulama Öncesi Değerlendirme

ERP Uygulama Öncesi Değerlendirme ERP Uygulama Öncesi Değerlendirme ERP standartlarını uygulama baskısı, verimli, pratik, güvenli ve uygulanabilir süreçlerin tasarımına engel olabilir. Birçok uygulama projesinde, iş süreçlerindeki verimlilik,

Detaylı

VERGİ DENETİM KURULU RİSK ANALİZ MODELİ. Mehmet Akif GÜLDALI Vergi Müfettişi-VDK Risk Analiz Koordinatörü akif.guldali@vdk.gov.tr

VERGİ DENETİM KURULU RİSK ANALİZ MODELİ. Mehmet Akif GÜLDALI Vergi Müfettişi-VDK Risk Analiz Koordinatörü akif.guldali@vdk.gov.tr VERGİ DENETİM KURULU RİSK ANALİZ MODELİ Mehmet Akif GÜLDALI Vergi Müfettişi-VDK Risk Analiz Koordinatörü akif.guldali@vdk.gov.tr RİSK NEDİR? Zarara uğrama tehlikesi (Tdk) Olumsuz bir şeyin olma olasılığı

Detaylı