İŞLETMELERDE SİSTEM VE SÜREÇ DENETİMİNE GENEL BAKIŞ DOÇ. DR. SEVAL KARDEŞ SELİMOĞLU ANADOLU ÜNİVERSİTESİ/İİBF/İŞLETME BÖLÜMÜ ANTALYA-25/29 NİSAN 2007 2. Uluslararası Muhasebe Denetimi Sempozyumu "Kamu Güveni ve Denetimi“ 8. Türkiye Muhasebe Denetimi Sempozyumu "Muhasebe Denetiminde Yeni Açılımlar" TEBLİĞİN AMACI Bilgi sistemleri ve bilgi teknolojilerindeki hızlı değişimlerin etkisinde bilginin üretilmesine, saklanmasına ve raporlanmasına verilen önem ve bilginin yarattığı katma değer açısından bir ihtiyaç olarak işletmelerde ortaya çıkan sistem ve süreç denetimi; önce kavramsal boyutuyla ele almak, sonra yapısal ve uygulama boyutuyla ortaya koymak, Sonuçta ise uluslararası ve ulusal boyutta sistem ve süreç denetimi ile ilgili uygulamalara ilişkin yasal düzenlemeler konu ile bütünleştirmektir. SELİMOĞLU 25-29 Nisan2007/ANTALYA 2 Bacon “ Bilgi Kuvvettir” Bilgi Sistemi kavramını tanımlamadan önce veri, bilgi ve sistem kavramlarının tanımlanması gerekir. Veri; “İşletme içinde oluşan olayları temsil eden belirli bir işe yarayan ya da yaramayan ham gerçekler, görüntüler, seslerdir.” ( Gelinas, Sutton ve Hunton,2005,s.4). Bilgi ; “Verinin işlenerek karar verici için anlamlı ve kullanışlı hale gelmesidir” ( Gelinas, Sutton ve Hunton,2005,s.5). SELİMOĞLU 25-29 Nisan2007/ANTALYA 3 Veri aşağıdaki şu aşamaların ya tamamından yada bazılarından geçerek bilgiye dönüşmektedir: Toplama Sınıflandırma Yeniden düzenleme Özetleme Saklama Yeniden elde etme İletme SELİMOĞLU 25-29 Nisan2007/ANTALYA 4 Bilginin elde edildiği kaynaklar ise şu şekildedir ; İnsan Kaynakları: Bilgi Teknolojisi personel yetenekleri, bilinç, bilgi sistemleri planlama, organizasyon, uygulama, destek, gözetim üretkenliği. Uygulama Sistemleri: Manuel ve programlanmış iş süreçlerinin tümü. Teknoloji: Donanım, işletim sistemi, veritabanı yönetim sistemi, bilgi ağı ve diğer teknoloji altyapısı. Fiziksel Ortam: Bilgi sistemlerini barındıran ve koruyan fiziksel ortamlar. SELİMOĞLU 25-29 Nisan2007/ANTALYA 5 Bilginin kullanıcı için değer taşıması yani iyi ve kaliteli bilgi olabilmesi için şu kriterlere uymalıdır; Etkililik Verimlilik Gizlilik Bütünlük Devamlılık Uyumluluk Güvenilirlilik SELİMOĞLU 25-29 Nisan2007/ANTALYA 6 Sistem Kavramı ise, “Girdiler alıp çıktılar oluşturan, organize bir dönüşüm süreciyle ortak bir amaca yönelik beraber çalışan ve birbiriyle ilişkili elemanların oluşturdu gruptur” (Schulteis ve Sumner,1998,s.7). SELİMOĞLU 25-29 Nisan2007/ANTALYA 7 Bilgi sistemi ise: “Veri kaynaklarını girdi olarak alıp süreçten geçiren ve çıktı olarak bilgi ürünlerini ortaya çıkaran bir sistemdir” ( Schulteis ve Sumner,1998,s.11). Tüm bilgi sistemleri insana endekslidir Bir bilgi sistemi, veriyi bilgiye dönüştürürken girdi, süreç, çıktı, saklama ve kontrol faaliyetlerini yerine getirirken SELİMOĞLU beş temel kaynağa ihtiyaç duyar ki bunlar; insan, donanım, yazılım, veri ve şebeke 25-29 Nisan2007/ANTALYA 8 YÖNETİM BİLGİ SİSTEMLERİ Küreselleşmenin getirdiği bilgi işlem ve iletişim teknolojilerinin yarattığı yeni oluşumlar gündeme yönetim bilgi sistemlerini taşımıştır. Yönetim bilgi sistemi kavramsal olarak yönetim, bilgi ve sistem kavramlarından oluşmaktadır Bilgi kullanıcıları diye adlandırılan işletme ile ilgili bu gruplar çok sayıda farklı özellikte ve içerikte, birbirini tamamlayan, birbirine bağlı bilgilere ihtiyaç duyarlar ki bu bilgiler yönetim bilgi sistemlerinden elde edilmektedir. Bu sistemler hem işletme içi hem de işletme dışı bilgi kullanıcılarına bilgi üreten sistemlerdir. Kurulacak olan yönetim bilgi sistemleri işletmenin büyüklüğüne, faaliyet sistemlerine ,faaliyet hacmine, organizasyon yapısına, yönetim anlayışına , yasal düzenlemelere bağlı olarak bir çok alt sistem şeklinde kurulurlar. SELİMOĞLU 25-29 Nisan2007/ANTALYA 9 Yönetim bilgi sistemlerinin her alt sisteminde yönetim için çok farklı bilgiler ve raporlar hazırlanır. Bu bilgilerin ve raporların hazırlanması için ise işletme faaliyetlerine, yönetimin belirlediği planlara, bütçelere ve kararlara ilişkin verilere veya bilgilere gereksinim duyulur. Bu bilgilerin ayrı ayrı alt bölümlerde üretilmesi sonucu iş tekrarları gibi bir sorunu ortaya çıkarabilir. Bu nedenle günümüzde artık işletmelerde ortak veri tabanı oluşturulmaya gidilmiştir. Böylece işlemlere ve onaylara ait verileri yalnız bir kez girmek suretiyle , değişik alt bilgi sistemlerinin ve ilgililerin bütün bilgi gereksinimleri ortak veri tabanından kolayca karşılanabilecektir. SELİMOĞLU 25-29 Nisan2007/ANTALYA 10 TEMEL YÖNETİM BİLGİ SİSTEMLERİ VE ALT BİLGİ SİSTEMLERİ SELİMOĞLU 25-29 Nisan2007/ANTALYA 11 TEMEL YÖNETİM BİLGİ SİSTEMİNDE BİLGİ ALIŞ VERİŞİ SELİMOĞLU 25-29 Nisan2007/ANTALYA 12 ORTAK VERİ TABANI TEMELİ SELİMOĞLU 25-29 Nisan2007/ANTALYA 13 Muhasebe ile ilgili Bilgi Teknolojisi uygulamalarında işletmelerde kurulan sistem türleri 3 ana başlık altında toplanabilir (Kamhi,1999,s.230); Karar Destek Sistemleri Bütünleşik sistemler Bilişim ağları SELİMOĞLU 25-29 Nisan2007/ANTALYA 14 Karar Destek Sistemleri, muhasebe uygulamaların en yaygın kullanılanıdır. Bu uygulamalarda ilişkisel veritabanı tekniğinden yararlanılmaktadır. İlişkisel veritabanları, veri alanlarından oluşan veri kayıtları aracılığı ile büyük miktarda verinin bilgisayarlarda etkin bir şekilde taranıp, istenen bilginin hızlı bir şekilde bulunmasını sağlarlar SELİMOĞLU 25-29 Nisan2007/ANTALYA 15 İnteraktif sistemler, çok boyutlu veri Bütünleşik sistemler, Kurumsal Kaynak tabanlarından yararlanırlar. Raporlama, bütçeleme, öngörülü oluşturma alanlarından kullanılmaktadırlar. Bu uygulamalarda, yönetici olsun olmasın, işletmede bilgi ihtiyacı olan herkese, kişinin görev alanı ile ilgili her türlü finansal ve finansal olmayan bilgi bilgisayarda etkileşimli olarak sunulmaktadır Planlama Sistemleri (ERP) olarak da bilinmektedir.Tedarik, imalat, satış, insan kaynakları, muhasebe kayıt, nakit yönetimi vb. gibi daha önce birbirinden ayrı ve bağımsız olan görev alanlarını bir araya getirmeyi amaçlarlar. SELİMOĞLU 25-29 Nisan2007/ANTALYA 16 SANAYİ VE BİLGİ ÇAĞI MUHASEBE SİSTEMLERİNİN KARŞILAŞTIRILMASI SANAYİ ÇAĞI Kaynaklar ve süreçler Maddi varlıklar Ürünler Olaylar Hiyerarşik yapıyı yansıtır SELİMOĞLU BİLGİ ÇAĞI Kaynaklar ve süreçlerdeki değişim oranı Maddi olmayan varlıklar Müşteriler Süreçler Ağ tipi örgüt yapısın olanaklaştırır 25-29 Nisan2007/ANTALYA 17 Sistem yaklaşımında süreç, “belirli girdilerden belirli çıktıları üretebilmek için yapılması gereken bir dizi iş ve faaliyet topluluğu olarak tanımlanmaktadır.” Bilgi teknolojisi ağırlıklı sitemlerde süreçler, satın alma süreci, satış süreci, envanter süreci, muhasebe ve raporlama süreci, insan kaynakları süreci, finansman süreci gibi süreçlerden oluşmaktadır. SELİMOĞLU 25-29 Nisan2007/ANTALYA 18 İÇ KONTROL İLE SİSTEMLERİN VE SÜREÇLERİN BÜTÜNLEŞTİRİLMESİ İç Kontrol; “organizasyonun planı ile işletmenin varlıklarını korumak, muhasebe bilgilerinin doğruluğunu ve güvenilirliğini araştırmak,faaliyetlerin verimliliğini artırmak,saptanmış yönetim politikalarına bağlılığı özendirmek amacıyla kabul edilen ve uygulamaya konulan tüm önlem ve yöntemleri içerir (Güredin,2006,s.316).” Etkin bir muhasebe iç kontrol sisteminin kurulmasında dikkate alınması gereken ilkeler şöyledir (Güredin, 2006, 329); Görevlerin ayırımı, Kıymet hareketlerinin yetkilendirilmiş olması, Uygun belgeleme ve muhasebe kayıt düzeninin varolması, Varlıkların ve muhasebe kayıtlarının fiziki korunması, Bağımsız mutabakatın sağlanması SELİMOĞLU 25-29 Nisan2007/ANTALYA 19 İç kontrol sistemi üzerindeki etkileri açısından, Bilgi teknolojilerinin ve manual bilgi işlemenin temel farklılıkları şu noktalarda ortaya çıkmaktadır (Çiftçi,2003,9): Bilgi teknolojileri sisteminde, manuel işlemeye göre, kontrol yordamlarının performansına ilişkin belgeli kanıt daha azdır. Manuel işleme sisteminde, bilgi görülebilir durumdadır. Buna karşılık Bilgi teknolojileri Sisteminde dosya ve kayıtlar genellikle bilgisayar ortamında görülebilir biçimdedir ve bilgisayar olmaksızın okunamaz. Bilgi teknolojileri sisteminde insan katkısının en aza inmiş olması sebebiyle, hatalar görünmemeye başlayabilir ki, bu manuel işlemede rahatlıkla gözlenebilir. Manuel işlemedeki bilgiye nazaran, Bilgi teknolojileri Sistemindeki bilgi daha fazla fiziksel felakette hasar görme, yetkisiz manipülasyon yapılması ve mekanik arıza riskine açıktır. Bilgi teknolojileri sisteminde, sistemdeki değişiklikler genellikle manuel işlemeden daha zor gerçekleştirilebilir ve kontrol edilebilirlik niteliği düşüktür. Bilgi teknolojileri sistemi manuel işleme sistemine göre daha fazla tutarlılık taşır. Çünkü, Bilgi teknolojileri sisteminde benzer konudaki kayıtlar aynı kontrollere tabidir. Bilgisayar temelli muhasebe raporları, tam zamanında sunulabildiğinden, şirket faaliyetlerinin gözetimi ve incelenmesinde daha etkili bir yönetim imkanı sağlayabilir. SELİMOĞLU 25-29 Nisan2007/ANTALYA 20 Bilgisayar kullanılan sistemlerde iç kontrol iki ana kategoriye ayrılır. “Genel Kontroller” “Uygulama Kontrolleri” dır. Genel Kontroller ;Bilgisayar kullanılan bir işletmenin iç kontrol yapısı içinde yer alan genel kontroller aşağıdaki başlıklardan oluşmaktadır. Örgütsel Kontroller İşletim Sistemi Kontrolleri Veri Kaynağı Kontrolleri Sistem Geliştirme Kontrolleri Sistem Bakım Kontrolleri Bilgi İşlem Merkezi Güvenliği ve Kontrolü Vergi İletişim Kontrolleri Elektronik Veri Değişim Kontrolleri SELİMOĞLU 25-29 Nisan2007/ANTALYA 21 Uygulama kontrolleri; ücretler, satışlar, satın almalar, ödemeler, tahsilatlar, stoklar gibi işletmenin bilgisayarda yürütülen işlem döngülerine ilişkin uygulama yazılımlarına yerleştirilen kontrollerdir. Uygulama kontrolleri üç ana kategoriye ayrılır: girdi kontrolleri, bilgi işleme kontrolleri çıktı kontrolleri SELİMOĞLU 25-29 Nisan2007/ANTALYA 22 Genel Kontrollerin Ve Uygulama Kontrollerinin Sınıflandırılması SELİMOĞLU 25-29 Nisan2007/ANTALYA 23 Bilgi Güvenliği Yönetimi ve Denetimi Sistemleri “Bilgi Güvenliği Yönetimi ve Denetimi Sistemlerin”’den de bahsedilmesi gerekir. Bu bağlamda ITIL uygulamaları, ISO 9001, BS15000, KOBİT standartları gibi alternatif ve genel kabul görmüş standartlar vardır SELİMOĞLU 25-29 Nisan2007/ANTALYA 24 Ama dünyada KOBİT en geçerli olan standarttır, dört temel alanda uygulama bulmaktadır. Bu alanlar, planlama ve organizasyon, satın alma ve uygulama, ulaştırma ve destek, gözlem dir KOBİT’in temel felsefesi; “bir organizasyonun hedeflerine ulaşabilmek için ihtiyaç duyduğu bilgiyi elde etmesi, Bilgi İşlem kaynaklarının yapılarına uygun bir şekilde gruplanmış süreçler ile yönetilmesine bağlıdır” şeklinde ifade edilmektedir. KOBİT metodolojisine göre üst seviye kontrol hedefleri aşağıdaki gibi denetlenir İş ihtiyaçlarının, ilgili risklerin ve kontrol önlemlerinin elde edilmesi ve anlaşılması. Kontrollerin uygunluğunun değerlendirilmesi Kontrollere belirtildiği gibi uyulup uyulmadığının sürekli biçimde test edilmesi ile kontrol uyum değerlendirmesinin yapılması Analitik teknikler ve diğer kaynaklara başvurarak karşılanmayan kontrol hedeflerinin risklerinin somutlaştırılması SELİMOĞLU 25-29 Nisan2007/ANTALYA 25 Sistem ve süreç denetimi “ sürekli gözlemleme ve güvence hizmeti temelli olduğu için işletme yönetiminin sorumluluğunda olan ve ister iç denetim bölümü isterse hizmet işletmesi tarafından outsourcing şeklinde sağlansın sonuçta işletmenin bilgi teknolojisi tabanlı iç kontrol sisteminin etkinliğini ve verimliliğini arttırıcı yönde iç denetçiye çalışmalarında destek verecek şekilde yapılan bir denetim türüdür.” SELİMOĞLU 25-29 Nisan2007/ANTALYA 26 Sistem ve süreç denetimi , istatistiksel örnekleme, bilgisayar destekli denetim teknikleri ile regresyon ileri analitik teknikler kullanılarak yerine getirilir Süreçlerin denetimi şu aşamalardan oluşur (Coe,2005,s.69): İşin gereklerinin, konuyla ilişkili risklerin ve bunlara denk düşen kontrollerin anlaşılması, Belirlenen kontrollerin uygunluğunun değerlendirilmesi, Belirlenen kontrollerin öngörülen şekilde, istikrarlı ve devamlı bir şekilde çalıştığının test edilmesi, Kontrol edilmeyen risklerin muhtemel etkisinin analitik tekniklere veya alternatif kaynaklara danışılarak belirlenmesi. SELİMOĞLU 25-29 Nisan2007/ANTALYA 27 Sistem ve süreç denetimi aşağıda sıralanan ihtiyaçlara cevap vermektedir ki bunlar ; Bilgi İşlem sistemleriniz tarafından üretilen bilgilerin kalitesini belirlemek için, Güvenilir finansal raporlama yapabilmek amacıyla geliştirdiğiniz kontrollerinizin etkinliğinden emin olmak için, İç kontrol sistemlerinizin bağımsız bir kurum tarafından incelenmesi ihtiyacı için, Şirket dışı kaynaklardan elde edilen finansal bilgileri kullanıyorsanız ve bu bilgilerin bağımsız bir kurum tarafından incelenmesi ihtiyacı için, Şirketiniz başka bir şirkete hizmet veriyorsa ve sizden bir denetim raporu sunabilmek için, Yeni bir Bilgi İşlem sistemi uyguluyorsanız veya uygulamanın tamamlanmasının ardından kontrollerin incelenmesi için, Bir şirket satın alıyorsanız ve bu şirketteki mevcut sistemler ve kontroller hakkında bağımsız bir inceleme yaptırma ihtiyacı için, SELİMOĞLU 25-29 Nisan2007/ANTALYA 28 SİSTEM VE SÜREÇ DENETİMİ İLE İLGİLİ ULUSLAR ARASI YASAL DÜZENLEMELER Uluslar arası bazda sistem ve süreç denetimi ile ilgili yasal düzenlemelere bakıldığında oldukça gelişmiş ve çok önemli adımların atılmış olduğu görülmektedir. Bu konuda uluslar arası boyutta aşağıdaki beş temel kuruluş görülmektedir: IFAC ( Uluslar arası Muhasebeciler Federasyonu) ISACA ( Bilgi Sistemleri Denetimi Ve Kontrolü Derneği), AICPA ( Amerikan Sertifikalı Muhasebeciler Enstitüsü) IIA ( Amerikan İç denetçiler Enstitüsü) ITGI ( Bilgi teknolojileri Yönetimi Enstitüsü) Ayrıca yine sistem ve süreç denetiminin kimler tarafından ne şekilde yapılacağına yönelik olarak AICPA’da SAS NO: 70 standardı vardır. SELİMOĞLU 25-29 Nisan2007/ANTALYA 29 SAS 70 Genel Açıklaması Denetim Standartları hakkında Açıklama (SAS) No.70, Hizmet Organizasyonları, Amerikan Serbest Muhasebecileri Enstitüsü (AICPA) tarafından oluşturulmuş uluslararası alanda kabul gören bir denetleme standardıdır. Bir SAS 70 denetlemesi veya hizmet denetçisi incelemesi geniş ölçüde kabul görür, çünkü bir hizmet organizasyonunun onların genellikle bilgi teknolojisi ve ilgili işlemler üzerindeki kontrolleri dahil kontrol etkinliklerini derinlemesine denetlediklerini gösterir. Bugünün küresel ekonomisinde, müşterilerine ait verileri sakladıkları veya işledikleri zaman hizmet organizasyonları veya hizmet sağlayıcıları yeterli kontrole ve koruma koşullarına sahip olduklarını göstermelidirler. Ayrıca, 2002 yılında çıkan Sarbanes-Oxley Kanununun 404. bölümünün gerekleri SAS 70 denetleme raporlarını hizmet organizasyonlarındaki etkili iç kontroller üzerindeki denetleme işlemi için daha da önemli kılmaktadır. SAS No. 70 hizmet organizasyonlarının müşterileri ve müşterilerinin denetçilerine kendi kontrol etkinlikleri ve işlemlerini bir örnek rapor formatı içinde açıklamalarına izin veren yetkili rehberdir. Bir SAS 70 incelemesi bir hizmet organizasyonunun bağımsız bir muhasebe ve denetim firması tarafından incelenen kendi kontrol hedefleri ve kontrol etkinlikleri bulunduğunu ifade eder. SAS 70 incelemesinin sonunda hizmet organizasyonuna denetçinin görüşünü içeren resmi bir rapor (“ Hizmet Denetçisi Raporu”) verilir. 25-29 Nisan2007/ANTALYA SELİMOĞLU 30 TÜRKİYE’DEKİ YASAL DÜZENLEMELER İSE, Sistem ve süreç denetim il ilgili olarak doğrudan olmasa kapsaması itibariyle sadece bankalarda kullanılan yazılım ve donanımın, bilgi sistemi süreçlerinin, mali veri üretiminde kullanılan bilgi sistemi ve süreçlerinin ve ilgili iç kontrollerin değerlendirilmesi amacıyla Bankacılık Denetleme ve Düzenleme Kurulu(BDDK) tarafından bilgi sistemleri denetimine ilişkin 16 Mayıs 2006 tarih ve 26170 sayılı Resmi Gazete’de yayınlanan yönetmelik vardır ki bu “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik” dir. Ayrıca TURMOB bünyesinde kurulan (TÜDESK)Türkiye Denetim Standartları Kurulu’nun da yayınlamış olduğu Uluslar arası Denetim Standartlarından 401 nolu standartta yine sistem ve süreç denetimi konusuyla ilişkilendirilecek bir düzenlemedir. SELİMOĞLU 25-29 Nisan2007/ANTALYA 31 SONUÇ VE ÖNERİLER , Teknolojik gelişmelerin sonucunda iş dünyasında yaşanan değişimin hızına erişmek için işletme uygulamalarına ilişkin bilginin toplanması,kaydedilmesi ve saklanmasını zor ve gerekli bir hale gelmiştir. Bu teknolojik gelişmeler, gerçek eş zamanlı işletmeleri yaratmış ki bu işletmelerde gerçek eş zamanlı işletme süreçlerine ve bu süreçlerin gerçek eş gözlemleme ile gerçek eş zamanlı kontrol edilmesini zorunlu hale getirmiştir. Bu kontroller ve gözlemlemeler ise sürekli güvencenin sağlanması için şarttır. Sürekli güvencenin sağlanması ise bir sistem olarak işletmelerin sistemlerinin ve süreçlerinin denetlenmesi ile gerçekleşecektir. SELİMOĞLU 25-29 Nisan2007/ANTALYA 32 Sonuç ve Öneriler(Devam) Gelecekte de teknolojik gelişmelerin devam edeceği düşünüldüğünde geleneksel denetim anlayışlarından vazgeçilip gündeme oturacak ve önemli bir yere sahip olacak bir uygulamadır. Geleceğin denetim anlayışı olarak kabul edilmelidir. Tabii ki buradaki denetim boyutu hem iç denetim hem de dış denetim açısından ele alınmalıdır. Her iki denetim türü de bir birinden ayrı olarak değil de birbiri ile bütünleşen çalışma yapılarında ele alınmaktadırlar. Sonuçta outsourcing hizmetleri bağlamında düşünülecek olursa denetim firmaları için yeni iş olanakları yaratacak bir denetim yaklaşımıdır. Hem eğitim kurumlarına hem de meslek ile ilgili düzenleme yapma yetkisi olan kuruluşlara bu tür yeniliklerin ülkemiz gündemine taşınması konusunda büyük görevler düşmektedir. Çağı yakalamak ve yenilikleri uygulayabilme yetisine sahip olmak zorundayız. SELİMOĞLU 25-29 Nisan2007/ANTALYA 33 DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM SELİMOĞLU 25-29 Nisan2007/ANTALYA 34