Federal Hükümette ç Kontrol Standartları

Aratırma/nceleme/Çeviri Dizisi Federal Hükümette ç Kontrol Standartları Çeviri Baran Özeren Uzman Denetçi Aratırma ve Tasnif Grubu Ekim 2002

Federal Hükümette ç Kontrol Standartları Çeviri Baran Özeren Uzman Denetçi Aratırma ve Tasnif Grubu Ekim 2002

Aratırma/nceleme/Çeviri Dizisi: 22 Federal Hükümette ç Kontrol Standartları Çeviri Baran Özeren Eserin Özgün Adı Standarts for Internal Control in the Federal Government Eserin Basım Yeri ve Yılı Washington DC, Kasım 1999 ABD Sayıtayı (GAO) tarafından yayımlanan kitapçıktan dilimize aktarılmıtır. Sayıtay mensupları için bastırılmıtır. Son Okuma Seyhan Sever Dizgi ve Mizanpaj Gürkan Alpsoy Baskı ve Cilt Sayıtay Yayın leri Müdürlüü Birinci Basım Ekim 2002 TC SAYITAY BAKANLII BALGAT / ANKARA Tlf:295 30 00 Fx: 295 40 94 www.sayistay.gov.tr e-mail:sayistay @ sayistay.gov.tr

SUNU INTOSAI tarafından yayımlanan ç Kontrol Standartlarından sonra ABD Sayıtayınca hazırlanan Federal Hükümette ç Kontrol Standartları balıklı önemli bir dokümanı da bu kitapçık ile dilimize kazandırmı ve meslektalarımızın ifadesine sunmu bulunuyoruz. Kitapçıın yayımlanmasının Kamu Mali Yönetimi ve Mali Kontrol Kanunu Tasarısının tartııldıı günlere rastlaması güzel bir tesadüf olmutur. Elbette Federal Hükümette ç Kontrol Standartları da ufkumuzu zenginletirmede ve yasal plandaki ilkelerimizi ekillendirmede yaamsal bir ilev üstlenecektir. Kitapçık, kukusuz, denetimi modernletirme çalımalarımıza da ayrı bir ivme kazandıracaktır. Bu vesileyle, çeviriyi gerçekletiren Uzman Denetçi Baran Özeren e; kitabın dizgi, baskı, cilt ve daıtım ilerinde emei geçen mensuplarımıza teekkür ediyorum. Mehmet Damar Bakan

Önsöz Federal politikaları oluturanlar ve program yöneticileri kurumların misyonlarını daha etkin biçimde yerine getirmeleri ve daha baarılı program sonuçları elde etmeleri için sürekli olarak yöntemler ararlar; baka bir deyile hesapverme sorumluluunu gelitirecek metotlar bulmaya çalıırlar. Baarılı sonuçlar alınmasına ve faaliyetlere ilikin problemlerin azaltılmasına katkıda bulunan en önemli faktör iç kontrolun uygun biçimde yapılmasıdır. Etkin iç kontrol deien çevre koullarının, çeitlenen taleplerin ve önceliklerin üstesinden gelmek üzere deiimin yönetilmesine de yardımcı olur. Kurumların operasyonel süreçlerini gelitirmek ve yeni teknolojik gelimeleri uygulamaya koymak üzere çaba sarf etmelerinden ve programların deimesinden dolayı, yönetimlerin, kontrol faaliyetlerinin etkinliinden ve gerekiyorsa güncelliinden emin olmak için iç kontrollarının niteliini ve deerini süreklilik temelinde saptayıp deerlendirmeleri gerekir. 1982 tarihli Federal Yöneticilerin Malî Güvenilirlii Yasası (The Federal Manager s Financial Integrity Act) kamuda iç kontrol standartları yayımlama görevini ABD Sayıtayına vermektedir. Bu standartlar iç kontrolun oluturulup sürdürülmesine ve yolsuzluk, israf, suiistimal ve kötü yönetim riskinin en yüksek olduu önemli performans ve I

yönetim sorunlarını ve alanlarını belirleyip bunlara dikkat çekilmesine dönük genel bir çerçeve sunar. Yönetim ve Bütçe Ofisinin 21 Haziran 1995 tarihinde gözden geçirip deitirdii Yönetimin Hesapverme Sorumluluu ve Kontrol hakkındaki A-123 no lu Genelgesi kontrollarla ilgili olarak deerlendirme yapmaya ve rapor hazırlamaya yönelik özel hükümler getirmektedir. Bu dokümandaki iç kontrol terimi yönetim kontrolu terimiyle eanlamlı kullanılmakta olup bir kurumun faaliyetlerinin bütün boyutlarını (program amaçlı, finansal ve uygunluk) içermektedir. Son yıllarda, baka yasalar da iç kontrola yeniden odaklanmayı tevik etmektedir. 1993 tarihli Kamusal Performans ve Sonuçlar Yasası (Government Performance and Results Act) kurumların misyonlarını belirgin hale getirmelerini, stratejik ve yıllık performans hedeflerini oluturmalarını ve bu hedefler dorultusunda performanslarını ölçüp raporlamalarını hükme balamaktadır. ç kontrol yöneticilerin hedeflerine ulamalarında önemli bir rol oynar. Keza, 1990 tarihli Malî lerden Sorumlu Üst Düzey Yöneticiler Yasası (Chief Financial Officers Act) malî yönetim sistemlerinin iç kontrol standartlarıyla uyumlu olmasını gerektirmekte; 1996 tarihli Malî Yönetimi Gelitirme Yasası da iç kontrolu malî yönetim sistemlerinin gelitirilmesinin ayrılmaz bir parçası olarak tanımlamaktadır. Biliim teknolojisindeki süratli gelimeler modern bilgisayar sistemleriyle ilgili iç kontrol rehberinin güncellenme ihtiyacına dikkat II

çekmektedir. Beerî sermayenin yönetimi iç kontrolun önemli bir parçası olarak kabul edilmektedir. Ayrıca, Treadway Komisyonunu Destekleyen Kurulular Komitesi (Committee of Sponsoring Organizations of the Treadway Commission- COSO) tarafından yayımlanan ç Kontrol-Bütünleik Sistemi dokümanı aracılııyla özel sektör iç kontrol rehberini güncelletirmi bulunmaktadır. Sonuç olarak, hazırladıımız bu güncel standartlar daha önce yayımladıımız Federal Devlette ç Kontrol Standartları nın yerine geçmektedir. Bu güncelletirme önemli kamusal ilemlerinin yürütülmesi için biliim teknolojisinden giderek artan biçimde yararlanılmasına daha güçlü katkı salamakta, beerî sermayenin deerini öne çıkarmakta ve yeri geldiinde, özel sektör için hazırlanmı pratik bir modern iç kontrol rehberini kapsamaktadır. Bu standartlar 2000 malî yılının balangıcından itibaren yürürlüe konulacak ve Federal Yöneticilerin Malî Güvenilirlii Yasası bu yılı kapsayan bilgileri sunacaktır. Bu standartların gelitirilmesinde deerli katkılarını esirgemeyen kamu görevlilerinin devlet muhasebe uzmanlarının, malî sektör mensuplarının ve akademisyenlerin çabalarını takdirle karılıyoruz. David M. Walker ABD Sayıtay Bakanı III

çindekiler Sayfa Giri... 1 Tanım ve Hedefler... 1 Temel Kavramlar... 2 ç Kontrol Standartları... 5 Standartların Sunumu... 5 Kontrol Ortamı... 6 Risk Deerlendirmesi... 9 Kontrol Faaliyetleri... 10 Kontrol Faaliyetlerinden Örnekler... 12 Biliim Sistemlerine Yönelik Spesifik Kontrol Faaliyetleri... 18 Bilgi ve letiim... 21 zleme... 23

Giri Aaıdaki tanım, hedefler ve temel kavramlar iç kontrol standartlarının esasını tekil eder. Tanım ve Hedefler ç Kontrol Bir örgüt yönetiminin ayrılmaz öesi olup; faaliyetlerde etkinlik ve verimlilik, finansal raporlamada güvenilirlik, yürürlükteki yasalara ve düzenlemelere uygunluk amaçlarının gerçeklemesi konusunda makul güvence salar. ç kontrol bir örgütü yönetmenin önemli bir parçasıdır. ç kontrol görevleri, amaçları ve hedefleri gerçekletirmede yararlanılan planları, metotları ve prosedürleri kapsar ve bu suretle, performansa dayalı yönetime katkıda bulunur. ç kontrol, ayrıca, varlıkları korumada ve hataları ve yolsuzlukları önlemede ve ortaya çıkarmada ilk savunma hattı olarak ilev görür. Kısacası, yönetim kontrolunun e anlamlı terimi olan iç kontrol, kamu kaynaklarının etkin idaresi aracılııyla kamu program yöneticilerinin arzulanan sonuçları elde etmesine yardımcı olur. 1

ç kontrol, kurulu hedeflerinin baarılabilmesi için u hususlarda güvence salar: Kurum kaynaklarının kullanımı dahil olmak üzere faaliyetlerin etkinlii ve verimlilii, Bütçenin uygulanması, finansal tablolar ile ilgili raporlar dahil olmak üzere finansal raporlama ve iç ve dı kullanıma ilikin dier raporların güvenilirlii, Yürürlükteki yasalara ve düzenlemelere uygunluk. Bu hedeflerin alt kümesini varlıkların korunması oluturur. ç kontrol, bir kuruluun varlıklarının yetkisiz biçimde elde edilmesini, kullanılmasını veya elden çıkarılmasını önlemek ya da bu tür durumları zamanında tespit etmek amacıyla makul güvence salamak için tasarlanmalıdır. Temel Kavramlar ç Kontrol faaliyetlerin sürekli biçimde ayrılmaz bir öesini oluturur. kiiler tarafından hayata geçirilir. mutlak güvence deil, makul güvence salar. Temel kavramlar standartların tasarlanmasına ve yaama geçirilmesine yarayan bir çerçeve salar. 2

ç kontrol faaliyetlerin sürekli biçimde ayrılmaz bir öesini oluturur ç kontrol tekil bir fonksiyon olmayıp, bir örgütün bütün faaliyetlerinde ve devamlılık esasında oluan bir dizi eylem ve aktivitedir. ç kontrol kurulu içinde ayrı bir sistem olmaktan çok yönetimin faaliyetlerini düzenlemede ve yönlendirmede yararlandıı her bir sistemin ayrılmaz bir parçası olarak kabul edilmelidir. Bu bakımdan iç kontrol, yöneticilerin kurumu çalıtırmalarına ve amaçlarını süreklilik temelinde gerçekletirmelerine yardımcı olmak üzere alt yapının bir parçası olarak ina edilen bir yönetim kontroludur. ç kontrol kiiler tarafından hayata geçirilir ç kontrolu çalıtıranlar kiilerdir. Baarılı bir iç kontrolun sorumluluu bütün yöneticilere dümektedir. Yönetim amaçları belirler, kontrol mekanizmalarını oluturur ve faaliyetleri uygulamaya koyar, izler ve kontrolu deerlendirir. Ancak örgüt içindeki bütün personel bunun gerçeklemesinde önemli rol oynar. 3

ç kontrol mutlak güvence deil, makul güvence salar Yönetim iç kontrolu maliyet ve faydaları ile balantılı olarak tasarlamalı ve uygulamalıdır. ç kontrol ne kadar güzel tasarlanıp uygulanırsa uygulansın, kurulu amaçlarının tümünün gerçeklemesi konusunda mutlak güvence salayamaz. Kurumun bütün hedeflerini gerçekletirebilmesini kontrol dıındaki faktörler veya yönetimin iradesi etkileyebilir. Örnein; insan hataları, yanlı kararlar ya da yorumlar ve kontroldan kaçınmak üzere yapılan gizli anlamalar kurulu amaçlarının gerçeklemesi üzerinde etki yaratabilir. Bu nedenle, iç kontrollar konulduu her yerde kurulu amaçlarını gerçekletirmenin mutlak deil, makul güvencesini salar. 4

ç Kontrol Standartları Standartların Sunumu ç Kontrolun Be Standardı Kontrol Ortamı Risk Deerlendirmesi Kontrol Faaliyetleri Bilgi ve letiimler zleme Bu standartlar iç kontrolun kamuda kabul edilebilir asgari kalite düzeyini belirler ve iç kontrolun deerlendirilebilecei bir temel oluturur. Bu standartlar bir kuruluun faaliyetlerinin bütün cephelerine uygulanabilir: program, finansal ve uygunluk amaçlı. Bununla birlikte, standartların yasa hazırlama, kural koyma ya da dier takdirî politika üretme ile ilgili olarak bir kurulu içinde usulüne uygun biçimde devredilmi yetkiye sınırlama getirmeleri ya da bu yetkiyle çalımaları istenmez. Bu standartlar genel bir çerçeve salar. Yönetim, bu standartların uygulanması açısından, kurum faaliyetlerine uygun ve faaliyetlerin ayrılmaz bir parçası olarak tesis edilecek ayrıntılı politikalar, prosedürler ve pratikler gelitirmekten sorumludur. 5

Bu standartların her biri aaıda kısa ve özlü bir ifadeyle sunulmutur. Yöneticilerin bu standartları kendi günlük faaliyetleriyle bütünletirmelerine yardımcı olmak üzere ek bilgi salanacaktır. Kontrol Ortamı Yönetim ve çalıanlar, bütün bir örgüt içinde, iç kontrola ve dikkatli bir yönetime yönelik olarak pozitif ve destekleyici bir tavrı gelitiren ortamı oluturmalı ve sürdürmelidirler. Pozitif bir kontrol ortamı dier bütün standartlar için temel oluturur. Disiplin salar, yapılanma getirir ve iç kontrol kalitesini etkileyen iklimi yaratır. Kontrol ortamını etkileyen pek çok faktör bulunmaktadır. Faktörlerden biri, yönetim ve çalıanlar tarafından dürüstlüün ve etik deerlerin korunması ve sergilenmesidir. Kurulu yönetimi bu alanda önderlik ederek özellikle, örgütün etik üslubunun oluturulmasında ve sürdürülmesinde, uygun davranıa yönelinmesinde, etik olmayan davranılara karı konulmasında ve gerektiinde, disiplin salanmasında önemli rol oynar. 6

Bir dier faktör, yönetimin uzmanlıa duyduu güvendir. Bütün personelin kendilerine verilen görevi baarması kadar etkin bir iç kontrolun gelitirilmesine ve iletilmesine verilen önemi kavramasına olanak salayan bir uzmanlık seviyesine sahip olması ve bunu sürdürmesi gerekir. Yönetim farklı görevler için gereksinim duyduu uygun bilgi ve becerileri tespit etmeli ve eitim salamanın yanı sıra dürüst ve yapıcı tavsiyelerde bulunup personelin performansını deerlendirmelidir. Yönetimin felsefesi ve i görme tarzı da ortamı etkiler. Bu faktör kuruluun risk üstlenmeye isteklilik derecesi ile yönetimin performans esaslı yönetime ilikin felsefesini belirler. Ayrıca yönetimin biliim sistemlerine, muhasebeye, personel fonksiyonlarına, izlemeye, denetimlere ve deerlendirmelere yönelik yaklaımı iç kontrol üzerinde derin bir etki yaratabilir. Ortamı etkileyen bir baka faktör kuruluun organizasyonel yapısıdır. Organizasyonel yapı kuruluun amaçlarını gerçekletirmek üzere planlama, yol gösterme ve kontrol faaliyetlerine yönelik bir yönetim çerçevesi salar. Baarılı bir iç kontrol ortamı kuruluun organizasyonel yapısının önemli yetki ve sorumluluk alanlarını açıkça tanımlamasını ve elverili bir raporlama hattı oluturmasını gerektirir. 7

Ortam, ayrıca, kuruluun organizasyon içinde yetkilerin ve sorumlulukların devredilme tarzından etkilenir. Yetki devri; faaliyetlerin gerçekletirilmesine, ilikilerin raporlanmasına yönelik yetkileri ve sorumlulukları ve yetki protokollerini kapsar. Etkili beeri sermaye politikaları ve uygulamaları önemli bir dier çevresel faktördür. Etkili beeri sermaye politikaları ve uygulamaları ie alma, oryantasyon, eitim, deerlendirme, tavsiyelerde bulunma, tevik etme, ücret ödeme ile personelin disipline edilmesine yönelik iyi uygulamaların tesis edilmesini içerir. Ayrıca çok sayıda doru gözetim yapılmasını da kapsar. Ortamı etkileyen son bir faktör kuruluun Kongreyle ve Yönetim ve Bütçe Ofisi türünden gözetim kurulularıyla olan ilikileridir. Kuruluların üstlendikleri programlara Kongre onay verir ve bunların seyrini izler, merkezî kurulular ise çok farklı sorunlar hakkında politika üretir ve rehberlik eder. Keza, etkin bir genel kontrol ortamına Genel Müfetti ve kurum içi üst düzey yönetim konseyleri de katkıda bulunabilir. 8

Risk Deerlendirmesi ç kontrol, kuruluun hem dı hem de iç nedenler dolayısıyla karılatıı risklerin bir deerlendirmesini yapmalıdır. Risk deerlendirmesinin ön koulu, kurulu amaçlarının açık-seçik ve tutarlı biçimde belirlenmesidir. Risk deerlendirmesi Kamusal Performans ve Sonuçlar Yasasına göre tespit edilmi stratejik ve yıllık performans planlarında tanımlanmı olanlar türünden amaçların gerçekletirilmesiyle balantılı risklerin tanımlanması, analiz edilmesi ve yönetilmesi konularında bir temel oluturulmasıdır. Yönetimin riskleri ayrıntılı biçimde tanımlanması gerekir ve yönetim hem kurum çapındaki hem de faaliyet düzeyindeki iç faktörler kadar kurum ile dier taraflar arasındaki önemli bütün etkileimleri dikkate almalıdır. Risk tanımlama metotları arasında kantitatif ve kalitatif deerlendirme faaliyetleri, yönetim toplantıları, tahminde bulunma ve stratejik planlama, denetimler ve dier deerlendirmelerden elde edilen bulguların dikkate alınması yer alabilir. Riskler tanımlandıında, bunların muhtemel etkileri analiz edilmelidir. Risk analizi genel olarak riskin öneminin tahmin edilmesini, onun meydana gelme olasılıının deerlendirilmesini, riskin nasıl yönetilmesi ve hangi önlemlerin alınması gerektiine 9

karar verilmesini kapsar. Kuruluların misyonlarındaki farklılıklar ve risk düzeylerinin kalitatif ve kantitatif olarak tespit edilmesindeki güçlükler dolayısıyla yararlanılan spesifik risk analiz metotları kurulutan kurulua farklılık göstermektedir. Kamusal, ekonomik, endüstriyel, yasal ve faaliyetlerle ilgili koullar devamlı suretle deitiinden, mekanizmaların bu tür deiikliklere yol açan herhangi bir spesifik riski tanımlaması ve önleyebilmesi gerekir. Kontrol Faaliyetleri ç kontrol faaliyetleri yönetimin direktiflerinin uygulanmakta olduuna dair güvence salamaya yardımcı olur. Kontrol faaliyetleri, kuruluun kontrol amaçlarının gerçeklemesi bakımından etkin ve verimli olmalıdır. Kontrol faaliyetleri; politikalar, prosedürler, teknikler ile bütçenin hazırlanmasına ve uygulanmasına yönelik gereksinimleri destekleyen süreçler türünden yönetim direktiflerini güçlendiren mekanizmalardır. Bu mekanizmalar riskleri karılamak üzere önlemler alınmasına yardımcı olur. Kontrol faaliyetleri bir kurumun planlamasının, uygulamasının, gözden geçirmesinin ve kamu kaynaklarının idaresine yönelik hesap verme sorumluluunun ve etkin sonuçlara ulamanın ayrılmaz bir parçasıdır. 10

Kontrol faaliyetleri kurumun bütün kademelerinde ve fonksiyonlarında oluturulur. Bu faaliyetler arasında onaylamalar (resmî izinler, muvaffakatlar), yetkilendirmeler (izinler, yetkiler, salahiyetler), teyitler, mutabakatlar, performans incelemeleri, güvenlik salama ile uygun dokümantasyonun yanı sıra bu faaliyetlerin gerçekleme kanıtı olan ilgili kayıtların yapılması ve muhafazası gibi çok geni alanı içine alan muhtelif aktiviteler yer alır. Kontrol faaliyetleri bilgisayarlı bir biliim sistemi ortamında ya da elle gerçekletirilen (manual) süreçler aracılııyla uygulanabilir. Faaliyetler, bilgi ilemenin doruluunu ve tamlıını salama gibi, spesifik kontrol amaçlarına göre tasnif edilebilir. 11

Kontrol Faaliyetlerinden Örnekler fiili performansın üst düzeyde incelenmesi, yönetim tarafından fonksiyonel düzeyde ya da faaliyet düzeyinde yapılan incelemeler, beeri sermayenin yönetimi, bilgi ileme üzerindeki kontrollar, hassas varlıklar üzerindeki fiziksel kontrol, performans ölçülerinin ve göstergelerinin oluturulması ve gözden geçirilmesi, görevlerin ayrılması, ilemlerin ve ilerin gerektii ekilde icrası, ilemlerin ve ilerin eksiksiz ve vaktinde kaydedilmesi, kaynaklara ve kayıtlara eriimin kısıtlanması ve bunlarla ilgili hesap verme sorumluluu, ilemlerin ve iç kontrolun uygun biçimde dokümante edilmesi. Bütün kurulular için ortak olan belirli kontrol faaliyet kategorileri bulunmaktadır. Bunlara ilikin örnekler aaıda gösterilmitir: 12

Fiilî Performansın Üst Düzeyde ncelenmesi Yönetim Tarafından Fonksiyonel ve Organizasyonel Düzeyde Yapılan ncelemeler Beerî Sermayenin Yönetimi Yönetim, kuruluun önemli baarılarının izini sürmeli ve bunları, Kamusal Performans ve Sonuçlar Yasasına göre oluturulan planlar, ana amaçlar ve hedeflerle kıyaslamalıdır. Yöneticilerin, ayrıca, fiilî performansı örgüt genelinde planlananla ya da arzulanan sonuçlarla kıyaslaması ve önemli farklılıkları analiz etmesi gerekir. Bir örgütün igücünün ki beerî sermayesidiretkin biçimde yönetimi sonuçlara ulaılması açısından yaamsal önemde olup iç kontrolun ayrılmaz bir parçasıdır. Yönetim beerî sermayeye bir maliyet olarak deil bir varlık olarak bakmalıdır. Faaliyetlere ilikin baarı, yalnızca, ie doru personel alınmasıyla, doru eitim salanmasıyla, doru araçlar, yapı ve inisiyatif temin edilmesiyle ve doru sorumluluklar verilmesiyle mümkündür. Yönetim ihtiyaç duyulan becerileri süreklilik temelinde deerlendirmeli ve örgütün ana amaçlarını gerçekletirebilmesine hizmet edecek gerekli becerilerle donatılmı igücünü temin edebilmelidir. Eitim çalıanların beceri düzeylerini, örgütün deien ihtiyaçlarını karılayacak ekilde gelitirmeyi ve sürdürmeyi hedeflemelidir. ç kontrol hedeflerinin yerine getirilmesi için nitelikli ve sürekli bir gözetim yapılmalıdır. Çalıanların örgütün baarısıyla kendi performansları arasındaki balantıyı anlamalarına yardımcı olmak üzere etkin bir ödül sistemiyle desteklenmi performans deerleme ve tepki alma (feed back) sistemi tasarlanmalıdır. 13

Beerî sermayeyi planlamanın bir parçası olarak, yönetim, ayrıca, deerli çalıanlarını en iyi ne ekilde elinde tutacaını, nihayetinde, birbiri ardısıra göreve gelmelerini nasıl planlayacaını ve gerekli becerilerin ve yeteneklerin sürekliliini en iyi ne ekilde salayacaını göz önünde bulundurmalıdır. Bilgi leme Üzerindeki Kontrollar Bilgi ileme sürecinde çeitli kontrol faaliyetlerinden yararlanılır. Örnein; bilgisayara girii yapılan verilerin kullanıma hazır olup olmadıklarının test edilmesi, ilemlerin rakamsal olarak muhasebeletirilmesi, kontrol hesaplarıyla dosya toplamlarının karılatırılması ve verilere, dosyalara, programlara eriimin kontrol edilmesi. Bilgi ilemenin kontrol faaliyetleri hakkında Bilgi Sistemlerinin Spesifik Kontrol Faaliyetleri Bölümünden daha fazla bilgi salanabilir. Hassas Varlıklar Üzerindeki Fiziksel Kontrol Bir kurum hassas varlıkları muhafaza etmek ve güvenliini salamak üzere fiziksel kontrol tesis etmelidir. Bu tür kontrollara örnek olarak; nakit, teminatlar, stoklar ve kaybolma riski ile yetkisiz kullanıma karı duyarlı nitelikteki araç-gereçler gibi varlıkların güvenliinin salanması ve bunlara eriimin sınırlandırılması sayılabilir. Bu tür varlıklar düzenli aralıklarla sayılmalı ve kontrol kayıtlarıyla karılatırılmalıdır. 14

Performans Ölçülerinin ve Göstergelerinin Oluturulması ve Gözden Geçirilmesi Görevlerin Ayrılması lemlerin ve lerin Gerektii ekilde crası Faaliyetlerin performans ölçüleri ve göstergeleri izlemeye elverili biçimde tesis edilmelidir. Bu tür kontrollar; ilikilerin analiz edilebilmesi ve uygun önlemlerin alınabilmesi bakımından farklı veri setlerinin dierleriyle karılatırılmasını ve deerlendirme yapılmasını gerektirir. Kontrollar örgütsel ve bireysel performans ölçüleri ile göstergelerinin doruluunun ve güvenilirliinin teyit edilmesini de hedeflemelidir. Hata ya da sahtecilik riskinin azaltılması bakımından önemli görevlerin ve sorumlulukların farklı kiiler arasında bölüülmesine veya birbirinden ayrılmasına ihtiyaç duyulur. Bu ise ilemlere onay verilmesine, bunların gerçekletirilmesine ve kaydedilmesine, gözden geçirilmesine ve söz konusu varlıkların yönetilmesine dönük sorumlulukları kapsar. Bir ilemin ya da bir olayın bütün önemli boyutlarını tek bir kii kontrol etmemelidir. lemler ve dier önemli iler yalnızca bunlara yetkili kiilerce onaylanmalı ve icra edilmelidir. Satın almaya, transfere, kullanıma, kaynakların tahsisine veya baka fonksiyonlara yönelik olarak geçerli ilemlere balanması veya bu fonksiyonların harekete geçirilmesi konusunda güvence salamanın esas yolu budur. Yetkilendirmeler yöneticilere ve çalıanlara açık bir biçimde iletilmelidir. 15

lemlerin ve lerin Eksiksiz ve Vaktinde Kaydedilmesi lemlerin; yönetimin kontrol ettii faaliyetler ve aldıı kararlarla uygunluunun ve yararlılıının sürdürülmesi bakımından doru ekilde kaydedilmesi gerekir. Doru kaydetme ilemi, kayıt özetlerine ilikin nihaî sınıflama aracılııyla, bir ilemin veya iin balangıcından ve bunlara onay verilmesinden tamamlanıncaya kadar veya o ilemin veya iin bütün süresi boyunca uygulanır. Kontrol faaliyetleri bütün ilemlerin tam ve doru biçimde kayıt altına alındıından emin olunmasına da yardımcı olur. Kaynaklara ve Kayıtlara Eriimin Kısıtlanması ve Bunlarla lgili Hesapverme Sorumluluu Kaynaklara ve kayıtlara eriim yetkili kiilerle sınırlandırılmalı ve bunların gözetimine ve kullanımına ilikin olarak hesapverme sorumluluu tevdi edilip bu görev sürdürülmelidir. Kaydedilenlerle kaynakların periyodik olarak mukayesesine yönelik hesapverme sorumluluu hataların, yolsuzluun, suiistimal riskinin veya yetkisiz görev deiikliinin en aza indirilmesine yardımcı olmalıdır. lemlerin ve ç Kontrolun Uygun Biçimde Dokümante Edilmesi ç kontrolun, dier ilemlerin ve baka önemli ilerin açık biçimde dokümante edilmesi gerekir; incelemelerde kolayca belgelere ulaılmalıdır. Dokümantasyon yönetimin direktiflerinde, idarî politikalarda veya çalıma rehberlerinde açık ve net biçimde görünmeli; hem kaıt üstünde hem de elektronik ortamda tutulabilmelidir. Belgelerin ve kayıtların tümü doru biçimde yönetilip muhafaza edilmelidir. 16

Bu örnekler, sadece, kurum yöneticilerine faydalı olabilecek çok çeitli ve deiik kontrol faaliyetlerinin gösterilmesi anlamına gelir. Yukarıda sıralanan örnekler her alanı kapsamaz ve bir kurumun ihtiyaç duyabilecei özel kontrol faaliyetlerinin tümünü içermeyebilir. Keza, bir kurumun iç kontrolu, o kurumun spesifik ihtiyaçlarını karılamak bakımından kontrol faaliyetlerinin tasarlanmasına olanak salayan esneklikte olmalıdır. Belirli bir kurum tarafından kullanılan spesifik kontrol faaliyetleri çok sayıda faktöre balı olarak baka kurulular tarafından kullanılanlardan farklılık gösterebilir. Bu faktörler arasında kurumların karılatıı spesifik tehlikeler ve maruz kaldıkları riskler, amaçlardaki farklılıklar; yönetsel kararlar, organizasyonun büyüklüü ve karmaıklıı, faaliyetlere ilikin çevre koulları, verilerin gizlilii ve önemi ile sistemin güvenilirliine, yararlılıına ve performansına yönelik gereklilikler sayılabilir. 17

Biliim Sistemlerine Yönelik Spesifik Kontrol Faaliyetleri Genel Kontrol Uygulama Kontrolu Biliim sitemlerine özgü kontrol iki ana balık altında toplanmaktadır: Genel kontrol ve uygulama kontrolu. Genel kontroldan bütün biliim sistemlerinde ana bilgisayar, kiisel bilgisayar, a sistemi ve nihai kullanıcılı ortamlar- yararlanılır. Uygulama kontrolu ise uygulama yazılımı içindeki veri ilemesini kapsayacak ekilde tasarlanır. Genel Kontrol Bu tür kontrol kurum ölçekli güvenlik programının planlamasını, yönetimini, merkezi veri ilemleri aracılııyla kontrolunu, sistem yazılımının teminini ve muhafazasını, güvenlik eriimini ve uygulama sistemi oluturup bunu sürdürmeyi kapsar. Özellikle de; Veri merkezi ve müteri-sunucu faaliyetlerine yönelik kontrol; yedekleme (backup) ve telafi etme (recovery) prosedürleri ile i devamlılıı (contingency) ve afet (disaster) planlamasını kapsar. Veri merkezi faaliyetlerine yönelik kontrollar, i-düzeni 18

(job set-up) ve programı prosedürleri ile veri operatör faaliyetleri üzerindeki kontrolların tasarlanmasını da içerir. Sistem yazılım kontrolu u hususları kapsar: veri ileme sistemi, veri tabanlı yönetim sistemleri, telekomünikasyon, güvenlik yazılımı ve ortak programlar dahil olmak üzere bütün sistem yazılımlarının temini, uygulaması ve sürdürülmesi üzerindeki kontrollar. Sistemleri ve a sistemini; bilgisayar korsanları nın (hackers) ve dier mütecavizlerin (trespassers) uygunsuz eriiminden ve yetkisiz kullanımdan veya personelin amaca aykırı kullanımlarından eriim güvenlik kontrolu korur. Spesifik kontrol faaliyetlerine u hususlar dahildir: balantı (dial-up) numaralarının deime sıklıı, kesinti durumunda yedek hatlara eriimden (dial-back access) yararlanma, kullanıcıların yalnızca ihtiyaç duydukları sistem fonksiyonlarına ulamalarına olanak veren sınırlamalar, kurum dıındaki kiilerin varlıklara/bilgisayarlara ve a sistemlerine eriimini engelleyen güvenlik kalkanı (firewalls) yazılımı ile donanımı ve ifre deiim sıklıı ile kurumda daha önce çalıanlarca kullanılan ifrelerin iptal edilmesi, 19

Uygulama Kontrolları Uygulama sistemi oluturma ve bunu sürdürmeye yönelik kontrollar; yeni sistemlerin güvenli biçimde oluturulmasına ve mevcut sistemlerde deiiklik yapılmasına dönük bir yapı salar. Bu kontrollara u konular dahildir: dokümantasyon gerekleri, yürütülen projeler için yetkilendirmeler, incelemeler, testler ve faaliyetin sistemler içine yerletirilmesinden önce hazırlık ve deiiklik faaliyetlerinin onaylanması. Kurum içinde alternatif bir hazırlık faaliyeti ticari yazılımın satın alınması olabilir; seçilen yazılımın kullanıcı ihtiyaçlarını karılayıp karılamadıının kontrol edilmesi gereklidir. Bu kategorideki kontrollar eksiksizlii, doruluu, yetkilendirmeyi ve uygulama süreci boyunca bütün ilemlerin geçerliliini salayabilmek üzere tasarlanır. Kontrollar bütün girdilerin elde edilmesini ve geçerli olmasını ve çıktıların doru ve uygun biçimde daılmasını salayacak ekilde dier sistemlerle uygulamanın ara yüzlerine yerletirilir. Verinin sisteme yerletirilmesi, biçimi, mevcudiyeti ve verilerin uygunluunu gözden geçirmek üzere sisteme bilgisayar imlâ kontrollarının yerletirilmesi bu tür kontrollara örnek olarak gösterilebilir. Bilgisayar sistemleri üzerindeki genel ve uygulamaya dönük kontrollar birbirleriyle balantılıdır. Genel kontrollar uygulama kontrollarının çalımasını destekler, eksiksiz ve doru bilgi ileme için her ikisine de 20

ihtiyaç vardır. Genel kontrolun yetersiz olması durumunda muhtemelen uygulama kontrolu da düzgün çalımaz ve ilevsiz kalabilir. Biliim teknolojisinin hızla deimesi yüzünden kontrolların etkili hale getirilmesi gerekir. Teknolojideki deiiklikler ve bunun elektronik ticaret alanına uygulanması ve Internet uygulamalarının yaygınlaması yararlanılabilen spesifik kontrol faaliyetlerini ve bunların uygulanma biçimlerini deitirmekteyse de, kontrol faaliyetlerine duyulan temel gereksinim önemini muhafaza etmektedir. Bilgi ve letiimler Bilgi kaydedilmeli ve yönetime ve kurulu bünyesinde ona ihtiyacı olan dier kiilere onların iç kontrol ve dier sorumluluklarını yerine getirebilecekleri bir formatta ve zaman dilimi içinde iletilmelidir. Bir kurumun, çalıması ve faaliyetlerini kontrol etmesi bakımından iç olaylar kadar dı olaylarla balantılı uygun, güvenilir ve vakitli iletiimlere sahip olması gerekir. Amaçlarının tümünü baarması için kurum genelinde bilgiye ihtiyaç duyulur. Program yöneticileri, kurumlarının stratejik ve yıllık performans planlarını gerçekletirip gerçekletirmedikleri ve kaynakları etkin ve 21

verimli kullanmaya yönelik hesap verme sorumluluu amaçlarını yerine getirip getirmediklerini tespit etmek açısından hem faaliyetlere ilikin verilere hem de finansal verilere ihtiyaç duyarlar. Örnein; bilginin ilenmesi finansal raporların hazırlanmasını gerektirir. Bu ise satın almalar, finansal yardımlar ve sabit varlıklar ile stoklar hakkındaki verilere dayalı dier ilemlerden ve tahsilatlardan elde edilen bir dizi geni veriyi kapsar. Bilgi ileme, kurumun çeitli yasalar ve düzenlemeler gereince hukuka uygun davranıp davranmadıının tespit edilmesini de icap ettirir. Finansal bilgiye hem iç hem de dı kullanımlar için ihtiyaç duyulur. Faaliyetler hakkında karar vermek, performansı izlemek ve kaynakları tahsis etmek üzere kurum dıına periyodik raporlar ve günlük esasına göre finansal tablolar hazırlamak gerekir. Kalıcı nitelikteki bilgi tanımlanmalı, muhafaza edilmeli ve kiilerin görevlerini etkin biçimde ve zaman çizelgesine uygun olarak yapmalarını salamak üzere duyurulmalıdır. Etkin iletiim, en geni anlamıyla, örgüt içinde aaıdan yukarıya, yukarıdan aaıya ve yatay bilgi akııyla meydana gelir. Yönetim, ayrıca, kurum içi iletiimler bakımından, kurumun amaçlarına ulamasında önemli etkiye sahip paydalarla iletiim kurmaya ve onlardan bilgi edinmeye dönük elverili araçlar bulunmasını güvence altına almalıdır. Dahası, yararlı ve güvenilir bilgiye ulaılması, kayıtların süreklilik temelinde tutulması ve bilginin iletilmesi bakımlarından etkin bir biliim teknolojisi yönetimi yaamsal önemdedir. 22

zleme ç kontrol izlemesi belli bir dönem içindeki performansın kalitesini deerlendirmeli ve denetim ya da baka inceleme bulgularının derhal çözüme kavuturulmasını güvence altına almalıdır. ç kontrol, genellikle, normal faaliyetlerin akıı içinde sürekli izleme yapılmasını güvence altına almak üzere tasarlanır. zleme süreklilik temelinde gerçekletirilir ve kurum faaliyetlerinin ayrılmaz bir parçası niteliindedir. zleme; düzenli yönetimi ve gözetim altındaki faaliyetleri, karılatırmaları, uzlamaları ve kiilerin görevlerini yerine getirirken atılan dier adımları kapsar. Keza, spesifik bir zamanda üzerinde dorudan odaklanılan kontrolların etkinlii ile ilgili ayrı ayrı kontrol deerlendirmeleri yapılması da yararlı olabilir. Tekil kontrol deerlendirmelerinin kapsamı ve sıklıı öncelikle, risk deerlendirmesine ve süregelen izleme prosedürlerinin etkinliine balıdır. Tekil deerlendirmeler kontrol tasarımını gözden geçirme, iç kontrolun dorudan test edilmesi kadar özdeerlendirme formunu da dikkate alabilir. Tekil deerlendirmeler Kurum ve Tefti Kurulu veya bir dı denetçi tarafından da yürütülebilir. Sürekli izleme sırasında veya tekil deerlendirmeler aracılııyla tespit 23