Uluslararası Akademik Forum 2018: Gerçek Zamanlı Güvence Modeli Olarak Sürekli Denetim ve Sürekli İzleme SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARI Hazırlayan Dr. Öğr. Üyesi Osman Nuri ŞAHİN Prof. Dr. Süleyman UYAR
ÇALIŞMANIN İÇERİĞİ /KONUSU Giriş Sürekli Denetim Sürekli Denetim ile Geleneksel Denetimin Karşılaştırılması Sürekli Denetim Modelleri ve Yaklaşımları Rezaee vd. Modeli Onions Modeli Woodroof ve Searcry Modeli Sonuç ve Değerlendirme
GİRİŞ Finansal raporlamanın amacı, işletmenin faaliyetleri ve bu faaliyetlerin sonuçları hakkında ilgili taraflara gerçeğe uygun, ihtiyaca uygun ve karşılaştırılabilir bilgi sağlamaktır. Bilgi teknolojilerindeki gelişmeler ile birlikte işletmelerin muhasebe sistemleri bilgisayar ve internet destekli ortamlara taşınmıştır. Günümüzde bilgi ve iletişim teknolojileri sayesinde eşanlı bilgi üretimi ve anlık bilgi aktarımı sağlanmaktadır. Bu durum denetimde de yeni sistemlere yönelik çalışmaları zorunlu hale getirmiştir. Bu sistemlerden birisi sürekli denetimdir.
SÜREKLİ DENETİM Günümüzde kâğıt temelli, hazırlanması aylar süren finansal bilgi ve raporların yerini bilgi teknolojileri temelli anlık hazırlanabilen finansal bilgi ve raporlar almıştır. İletişim teknolojilerindeki gelişmeler sonrası muhasebe uygulamalarında bulut sistemler gibi elektronik ortamda kaydedilen, web tabanlı uygulamalar kullanılmaya başlamıştır. Artık muhasebe defterleri, fişler, belgeler, raporlar vb. tüm bilgiler elektronik olarak işlem görmekte ve üretilmektedir. Yapılan çalışmalarda denetimin odak noktasının manuel tespitten teknoloji bazlı önlemeye geçtiği vurgulanmaktadır. Bu gelişmelerin sonucu olarak muhasebe mesleği ve finansal raporlama süreci sürekli raporlama ve sürekli denetim gibi yeni kavramlarla tanışmıştır.
Sürekli Denetimin Ortaya Çıkmasına Neden Olan Etmenler: Dışsal Nedenler: Ticaretin Elektronikleşmesi, Daha Sık Sunum İhtiyacı, Anormalliklerin Daha Güncel Olarak Tespit Edilmesi, Finansal Krizler Teknolojik Gelişmeler: Bulut Sistemler, Depolama, Elektronik İşlemler, ERP Çevresi İç Kontrole Odaklanma Kanunlar ve Düzenlemeler: SOX, Elliott Report, AICPA Redbook, IIA GTAG No.3, ISACA IT Audit and Assurance guidelines No.42
Sürekli Denetim Sürecinde Kullanılan Teknolojik Sistemler: Bilgisayar Destekli Denetim Teknikleri: Genelleştirilmiş Denetim Yazılımları, Paralel Simülasyonlar, Uzman Sistemler, Elektronik Çalışma Kağıtları, Benchmarking, Uygulama Yazılımı İzleme, Süreç Modelleme, Akış Şeması, vb. Yazılımlar: IDEA (CaseWare Monitor), ACL, SAP, Oracle, SAS, Smart, AS 400, Excel, Access, vb. XBRL
SÜREKLİ DENETİMİN UNSURLARI Sürekli denetim; denetime konu olan işlem ve olayların gerçekleştiği anda izlenebilmesine olanak sağlayan donanım ve yazılımlar ile denetçinin denetim konusu üzerine yazılı bir güvence vermesine imkan tanıyan metodolojidir. Sürekli Veri Denetimi /Güvencesi (CDA) Sürekli Risk İzleme ve Değerlendirme (CRMA) Sürekli Kontrol İzleme (CCM)
SÜREKLİ DENETİM SÜRECİ Denetimin planlanması, İç kontrol yapısının incelenmesi, İşlemlere aralıklı ve sürekli testlerin uygulanması, Yıl sonunda devam eden hesaplara ve toplam sonuçlara ilişkin testlerin uygulanması, Denetimin tamamlanması ve denetim raporunun yayınlanması (Gönen ve Rasgen, 2015)
GELENEKSEL VE SÜREKLİ DENETİMİN KARŞILAŞTIRILMASI Benzerlikler Farklılıklar Sınırlamalar Avantajlar Geleneksel Denetim Bağımsız Mesleki Tasdik Hizmetleri GKGMİ kriter olarak kullanılır Kağıt bazlı muhasebe bilgi sistemlerinde kullanılır Yılda bir raporlama Teknolojik uyum eksikliği Sadece periyodik denetim raporları Kullanılan teknik ve standartların geçmişi Sürekli Denetim Bağımsız Mesleki Tasdik Hizmetleri GKGMİ kriter olarak kullanılır Sanal/Dijital bazlı muhasebe sistemlerinde kullanılır Sürekli ya da talebe göre raporlama Önemli teknolojik engeller Standartlar ve rehber eksikliği Gerçek zamanlı finansal bilginin değerinde artış Zamanında denetim raporu
UNSURLARI AÇISINDAN GELENEKSEL VE SÜREKLİ DENETİMİN KARŞILAŞTIRILMASI GELENEKSEL DENETİM SÜREKLİ DENETİM SIKLIK Periyodik Sürekli ya da çok sık YAKLAŞIM Reaktif Proaktif PROSEDÜRLER Manuel Otomatik İşin büyük kısmı işgücü ile halledilir ve İşin büyük kısmı özel durumlara ayrılır ve çok zaman alan denetim prosedürleri birey yargısı içeren denetim prosedürleri DENETÇİ ROLÜ VE İŞİ uygulanır. vardır. DOĞA, ZAMANLAMA VE KAPSAM TESTLER İç ve dış denetçilerin bağımsız rolleri vardır. Testler analitik gözden geçirme prosedürleri ve asli detaylı testlerden oluşur. Kontrol testleri ve detaylı test bağımsız bir şekilde meydana gelir. Testlerde örnekleme Dış denetçi rolü sürekli denetim sisteminin belgelendiricisi haline gelir. Testler sürekli kontrol gözlemleme ve sürekli veri güvencelerinden oluşur. Kontrol gözlemi ve detaylı testler anlık olarak meydana gelir. Testler tüm ana kütleyi kapsar Testler gerçek kişilerce gerçekleştirilir. Veri modelleme ve veri analitikleri gözlem ve testlerde kullanılır. RAPORLAMA Periyodik Sürekli ya da çok sık
SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARI
REZAEE VD. MODELİ (Rezaee vd. 2001) 1) İşlemlerin ve diğer ekonomik olayların tanımlanması: İşletme faaliyetleri kapsamında gerçekleştirilen işlemler ve diğer mali olaylar tanımlanarak sisteme hazır hale getirilmektedir. 2) Eş zamanlı muhasebe bilgi sisteminde gerçekleştirilen işlemlerin ölçülmesi, tanımlanması ve raporlanması. 3) İşletme bünyesinde yeterli ve etkin bir iç kontrol sisteminin varlığı. 4) Gerçekleştirilen işlemlerin elektronik olarak işlenmesi: Modele göre işlemler bilgisayar ve web sistemleri aracılığıyla elektronik olarak işlenmelidir. 5) Eş zamanlı bir sistem için çevrimiçi defterlerin varlığı. 6) Mali işlemlerin eş zamanlı muhasebe sistemi içerisinde gerekli kayıt ve işlemleri yapıldıktan sonra eşzamanlı finansal tabloların ve raporların hazırlanması.
REZAEE VD. MODELİ Bu modele göre sürekli denetim süreci beş aşamadan oluşmaktadır: 1) Bir denetim sözleşmesinin oluşturulması, 2) Kontrolleri, kontrol riski değerlendirmelerini ve performans testlerini içeren iç kontrol yapısının eş zamanlı değerlendirilmesi, 3) İşlem detaylarının geçici ve sürekli maddi doğruluk testlerinin uygulanması, 4) Dönem sonu maddi doğruluk testlerinin gerçekleştirilmesi ve analitik prosedürleri de içeren genel sonuçlar, 5) Denetimin tamamlanması ve denetim raporunun yayınlanması.
ONIONS MODELİ (Onions, 2003) Bu model dört aşamadan oluşmaktadır: 1) Veriler ve işlemler farklı kaynaklardan ve veri giriş noktalarından girilmektedir. 2) Tüm işlemler ve girişler eş zamanlı olarak ilgili oldukları kısımlara yönlendirilmekte ve günlük olarak veri toplanmaktadır. 3) Bir önceki aşamadan gelen işlemler ve girişler eş zamanlı bilgisayar destekli denetim araçları ve teknikleri ile toplanmaktadır. Bu aşamada uyarı sistemleri ile uyarılar eş zamanlı denetim sistemi merkezine iletilmektedir. Söz konusu uyarılar güvenli VPN (güvenli sanal ağ) ile önem derecesine göre üç farklı derecede işaretlenmiş olarak iletilmektedir. 4) Uzman sistemler depolanan işlemlerden önceden saptanmış ölçütler çerçevesinde kanıt toplamakta ve toplanan kanıtları değerlendirmektedir.
WOODROOF VE SEARCRY MODELİ (Woodroof ve Searcry, 2001) Bu model altı bileşenden oluşmaktadır: 1) Müşteri, denetçi, üçüncü taraflar ve değerlendirme siteleri şeklinde birbirine bağlı web sunucuları: Bu sayede sürekli denetimin en temel gerekliliklerinden biri olan iletişim sağlanabilecektir. Bu web sunucuları kullanıcılarına göre kısıtlamalara sahip çalışma istasyonları olmalıdır. 2) Sürekli denetim ortamı: Bu ortamda müşteri işletmenin sisteminde akmakta olan veriler sürekli olarak izlenmekte ve analiz edilmektedir. Herhangi bir anormallikte uyarı sistemleri ile ilgililer bilgilendirilmekte ve müdahaleye imkân tanınmaktadır. Böylece sürekli güvence sağlanabilmektedir. 3) Sisteme dâhil olan taraflar arasında sürekli denetim sözleşmesi: Bu taraflardan müşteri ve denetçi birincil taraf olarak nitelendirilirken, denetim sırasında ihtiyaç duyulabilecek bilginin elde edilebileceği tedarikçiler, müşteriler vb. üçüncül taraf olarak adlandırılmaktadır. Sözleşme içerisinde geleneksel denetim sözleşmelerindeki gerekliliklerin yanı sıra teknik konuları da içermelidir.
WOODROOF VE SEARCRY MODELİ 4) Güvenilir bir sistemin karakteristikleri: Birbirine bağlı sistemlerin güvenilirliği sürekli denetimin olmazsa olmazlarındandır. AICPA ya göre güvenilirlik, dört ilkeyi kapsamaktadır. Bunlar bütünlük, güvenlik, ulaşılabilirlik ve süreklilik olarak belirlenmiştir. 5) Güvenli bir sistem karakteristikleri: Taraflar arası bilgi transferi yetkilendirilmiş olmalıdır ve gizlilik, bütünlük ve kimlik doğrulamayı içermelidir. 6) Sürekli geçerli raporlar: Bu raporlar denetimden geçmiş ve kullanıcılar tarafından sürekli denetim ortamı çerçevesinde web üzerinden her istenildiğinde ulaşılabilen finansal tablolar ve raporlardır.
SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARININ KARŞILAŞTIRILMASI
SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARININ KARŞILAŞTIRILMASI
SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARININ KARŞILAŞTIRILMASI
SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARININ KARŞILAŞTIRILMASI
SONUÇ ve ÖNERİLER Sürekli finansal raporlamanın bir gereği olarak ortaya çıkan sürekli denetim, ancak teknolojik bir sistem kullanılarak gerçekleştirilebilir. Söz konusu teknolojik sisteme yönelik olarak sürekli denetim modellerine ve yaklaşımlarına ihtiyaç duyulmuştur. Literatürde en çok bilinen ve özellikleri ile öne çıkan üç temel model; Rezaee vd. Modeli, Onions Modeli ve Woodroof ve Searcry Modelidir. Çalışma kapsamında bu modeller incelenmiş ve karşılaştırmalı olarak analiz edilmiştir. Bu kapsamda genel olarak her model diğerinden farklılaşırken bazı alanlarda birbirlerine benzer yönlerinin olduğu gözlemlenmiştir.
SONUÇ ve ÖNERİLER Özellikle eş zamanlılık açısından modellerin birbirine benzer içeriklere sahip olduğu görülmüştür. Raporlama yöntemi açısından Onions ve Woodroof ve Searcry Modellerinin benzer bir şekilde üç aşamalı bir sistem kullandığı görülürken Rezaee vd. Modelinde böyle bir durum söz konusu değildir. Önerilen veri formu açısından ise Rezaee vd. Modeli ile Onions Modelinde benzer şekilde veri marketi uygulaması yer alırken Woodroof ve Searcry Modelinde bu şekilde bir uygulamanın olmadığı görülmüştür.
SONUÇ ve ÖNERİLER Bu çalışmanın kısıtı sürekli denetim modelleri ve yaklaşımlarının tamamının incelenmemiş olmasıdır. Bundan sonra yapılacak çalışmalarda diğer sürekli denetim modelleri ve yaklaşımları çalışma kapsamına alınabilir. Yine bu çalışmada sürekli denetim modelleri ve yaklaşımları çok kısa ve öz olarak incelenmiştir. Başka çalışmalarda her bir sürekli denetim modeli ve yaklaşımı detaylı bir şekilde incelenebilir. Ayrıca hangi sürekli denetim modeli ve yaklaşımının diğer modeller ve yaklaşımlardan daha ütün olduğu veya sektörel bazda sürekli denetim modelleri ve yaklaşımlarının üstünlüklerinin olup olmadığı gibi konularda yapılacak çalışmaların literatüre katkı yapacağı ve okuyucuya fayda sağlayacağı düşünülmektedir.
Hazırlayan Dr. Öğr. Üyesi Osman Nuri ŞAHİN Prof. Dr. Süleyman UYAR