75935942-050.01.04-[01/7585] Bağımsız Denetim Standardı (BDS) 315 - “Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi

Karar No: 75935942-050.01.04-[01/7585]

Konu: BDS 315 ““Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi” Standardının ve BDS 315’in Revize Edilmesinden Kaynaklı Olarak Diğer Bazı Standartlarda Yapılan Değişikliklerin Yayımlanması

660 sayılı Kanun Hükmünde Kararnamenin 9’uncu maddesi uyarınca; uluslararası standartlara uyum sağlamak üzere, Uluslararası Bağımsız Denetim ve Güvence Denetimi Standartları Kurulu tarafından “ISA 315 (Revised 2019) and Conforming and Consequential Amendments to Other International Standards Arising from ISA 315 (Revised 2019)” başlığıyla yayımlanan Standardın ve diğer Standartlardaki değişikliklerin mevzuata kazandırılması amacıyla “BDS 315 ““Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi” Standardı ile BDS 315’in Revize Edilmesinden Kaynaklı Olarak Diğer Bazı Standartlarda Yapılan Değişiklikler"in yayımlanmasına karar verilmiştir.

BAĞIMSIZ DENETİM STANDARDI 315

“ÖNEMLİ YANLIŞLIK” RİSKLERİNİN BELİRLENMESİ VE DEĞERLENDİRİLMESİ

GÜNCELLEMELER VE YÜRÜRLÜK TARİHLERİ

• BDS 315 İşletme ve Çevresini Tanımak Suretiyle “Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi Standardının ilk sürümü, 1/1/2013 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde uygulanmak üzere 30/12/2013 tarihli ve 28867 sayılı Resmî Gazete’de yayımlanmıştır.

• BDS 315 İşletme ve Çevresini Tanımak Suretiyle “Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi Standardının son sürümü, 1/1/2017 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde uygulanmak üzere 13/12/2017 tarihli ve 30269 sayılı Resmî Gazete’de yayımlanmıştır.

Bağımsız Denetim Standardı (BDS) 315 “Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”, BDS 200 “Bağımsız Denetçinin Genel Amaçları ve Bağımsız Denetimin Bağımsız Denetim Standartlarına Uygun Olarak Yürütülmesi” ile birlikte dikkate alınır.

Giriş

Kapsam

1. Bu Bağımsız Denetim Standardı (BDS), denetçinin finansal tablolardaki “önemli yanlışlık” risklerini belirleme ve değerlendirme sorumluluğunu düzenler.

Temel Kavramlar

2. BDS 200¹, denetim riskini kabul edilebilir düşük bir seviyeye indirmek amacıyla yeterli ve uygun denetim kanıtının elde edilmesi dâhil olmak üzere², finansal tabloların bağımsız denetiminin yürütülmesi sırasında bağımsız denetçiye düşen genel sorumlulukları düzenler. Denetim riski, “önemli yanlışlık” riski ile tespit edememe riskinin bir fonksiyonudur³. BDS 200, “önemli yanlışlık” risklerinin; finansal tabloların geneli düzeyinde ve işlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde olmak üzere iki düzeyde ortaya çıkabileceğini belirtir⁴.

¹ BDS 200, “Bağımsız Denetçinin Genel Amaçları ve Bağımsız Denetimin Bağımsız Denetim Standartlarına Uygun Olarak Yürütülmesi”

² BDS 200, 17 nci paragraf

³ BDS 200, 13(c) paragrafı

⁴ BDS 200, A37 paragrafı

3. BDS 200 uyarınca denetçi; denetimin planlanması ve yürütülmesinde mesleki muhakemesini kullanır ve finansal tabloların önemli ölçüde yanlışlık içermesine sebep olan şartların bulunabileceğini kabul ederek, denetimi mesleki şüphecilik içinde planlar ve yürütür⁵.

⁵ BDS 200, 15-16 ncı paragraflar

4. Finansal tablo düzeyindeki riskler, bir bütün olarak finansal tablolarla yaygın bir şekilde ilgili olan ve çok sayıda yönetim beyanını etkileme potansiyeli bulunan risklerdir. Yönetim beyanı düzeyindeki “önemli yanlışlık” riskleri, yapısal risk ve kontrol riski olmak üzere iki bileşenden oluşur:

• Yapısal risk; ilgili kontrol mekanizması dikkate alınmadan önce, bir işlem sınıfına, hesap bakiyesine veya açıklamaya ilişkin bir yönetim beyanının, tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek bir yanlışlık içermeye açık olması durumudur.

• Kontrol riski; bir işlem sınıfı, hesap bakiyesi veya açıklamaya ilişkin bir yönetim beyanında ortaya çıkabilecek ve tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek bir yanlışlığın, işletmenin iç kontrol sistemi tarafından zamanında önlenememesi veya tespit edilerek düzeltilememesi riskidir.

5. BDS 200 uyarınca “önemli yanlışlık” riskleri, yeterli ve uygun denetim kanıtının elde edilmesi için gereken müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlemek amacıyla yönetim beyanı düzeyinde değerlendirilir⁶. Bu BDS, yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” riskleri için yapısal risk ve kontrol riskinin ayrı ayrı değerlendirilmesini gerektirir. BDS 200’de açıklandığı üzere, bazı yönetim beyanları ve ilgili işlem sınıfları, hesap bakiyeleri ve açıklamalarda yapısal risk diğerlerine göre daha yüksektir. Yapısal riskin farklılık gösterme derecesi, bu BDS’de “yapısal risk aralığı” olarak ifade edilir.

⁶ BDS 200, A39 paragrafı ve BDS 330, “Bağımsız Denetçinin Değerlendirilmiş Risklere Karşı Yapacağı İşler”, 6 ncı paragraf

6. Denetçi tarafından belirlenen ve değerlendirilen “önemli yanlışlık” riskleri hata kaynaklı ve hile kaynaklı riskleri içerir. Her iki risk türü de bu BDS’de ele alınmış olsa da, hile özel önem arz ettiğinden, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi, değerlendirilmesi ve söz konusu risklere karşılık verilmesi için kullanılan bilgileri sağlayan risk değerlendirme prosedürleri ve ilgili çalışmalara ilişkin ilave hüküm ve açıklamalar BDS 240⁷’ta yer almaktadır.

⁷ BDS 240, “Finansal Tabloların Bağımsız Denetiminde Bağımsız Denetçinin Hileye İlişkin Sorumlulukları”

7. Denetçinin risk belirleme ve değerlendirme süreci, yinelenen ve dinamik bir süreçtir. Denetçinin işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinmesi, “önemli yanlışlık” risklerinin belirlenmesine ve değerlendirilmesine ilişkin hükümlerde yer alan anlayışla birbirine bağlıdır. Bu BDS’nin zorunlu tuttuğu kanaat edinilirken, başlangıçtaki risk beklentileri geliştirilebilir (bu beklentiler, denetimi yürütürken denetçinin risk belirleme ve değerlendirme sürecinde düzeltilebilir). Ayrıca, bu BDS ve BDS 330 uyarınca denetçi; BDS 330’a göre müteakip denetim prosedürlerinin uygulanması sonucu elde edilen denetim kanıtlarına dayanarak ya da yeni bir bilgi edindiğinde, risk değerlendirmelerini revize eder ve yapacağı ilave genel işleri ve müteakip denetim prosedürlerini buna göre uyarlar.

8. BDS 330 uyarınca denetçi, finansal tablo düzeyinde “önemli yanlışlık” riski olarak değerlendirdiği risklere karşı yapacağı genel işleri tasarlar ve uygular.⁸ Ayrıca BDS 330’da, denetçinin finansal tablo düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesinin ve denetçinin risklere karşı yapacağı genel işlerin, denetçinin kontrol çevresi hakkındaki kanaatinden etkilendiği açıklanmaktadır. Denetçi, BDS 330 uyarınca niteliği, zamanlaması ve kapsamı, yönetim beyanı düzeyinde “önemli yanlışlık” riski olarak değerlendirilen riskleri esas alan ve söz konusu risklere karşılık veren müteakip denetim prosedürlerini de tasarlar ve uygular.⁹

⁸ BDS 330, 5 inci paragraf

⁹ BDS 330, 6 ncı paragraf

Ölçeklenebilirlik

9. BDS 200’de belirtildiği üzere bazı BDS’ler; işletmelerin nitelik ve şartlarının karmaşıklık düzeyine bakılmaksızın, hükümlerin tüm işletmeler için nasıl uygulanacağını gösteren ölçeklenebilirlikle ilgili hususlar içermektedir.¹⁰ Bu BDS, büyüklüğü veya karmaşıklığından bağımsız olarak tüm işletmelerin denetimine yöneliktir; dolayısıyla açıklayıcı hükümler ve uygulama bölümü, -uygun hâllerde- karmaşıklık düzeyi yüksek ve düşük olan işletmelere özgü belirli hususları içermektedir. İşletme büyüklüğü, karmaşıklık göstergesi olabilmekle birlikte, bazı küçük işletmeler karmaşık olabilirken bazı büyük işletmeler daha az karmaşık olabilir.

¹⁰ BDS 200, A69 paragrafı

Yürürlük Tarihi

10. Bu BDS, 1/1/2022 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde uygulanmak üzere yayımı tarihinde yürürlüğe girer.

Amaç

11. Denetçinin amacı, finansal tablo ve yönetim beyanı düzeylerinde hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemek ve değerlendirmek ve böylece “önemli yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak işlerin tasarlanması ve uygulanması için bir dayanak oluşturmaktır.

Tanımlar

12. Aşağıdaki terimler BDS’lerde, karşılarında belirtilen anlamlarıyla kullanılmıştır:

(a) Bilgi işleme kontrolleri: İşletmenin bilgi sistemindeki bilgi teknolojisi (BT) uygulamalarında veya manuel bilgi süreçlerinde bilginin işlenmesiyle ilgili olan ve doğrudan bilginin bütünlüğüyle (diğer bir ifadeyle; işlemlerin ve diğer bilgilerin tamlığı, doğruluğu ve geçerliliğiyle) ilgili riskleri ele alan kontroller (Bkz.: A6 paragrafı).

(b) BT çevresi: İşletmenin, faaliyetlerini desteklemek ve iş stratejilerini başarıyla uygulamak için kullandığı BT uygulamaları ve destekleyici BT altyapısının yanı sıra BT süreçleri ve bu süreçlerde yer alan personeldir. Bu BDS’nin amaçları bakımından:

(i) BT uygulaması; işlem veya bilgilerin başlatılması, işlenmesi, kaydedilmesi ve raporlanması için kullanılan bir program veya program setidir. BT uygulamaları, veri ambarlarını ve rapor yazıcılarını da içerir.

(ii) BT altyapısı; ağ, işletim sistemleri, veri tabanları ile bunlarla ilgili donanım ve yazılımlardan oluşur.

(iii) BT süreçleri; BT çevresine erişimi yönetme, program değişikliklerini veya BT çevresinde meydana gelen değişiklikleri yönetme ve BT operasyonlarını yönetmeye ilişkin işletme süreçleridir.

(c) BT kullanımından kaynaklanan riskler: İşletmenin BT süreçlerindeki (Bkz.: BT çevresi) kontrollerin etkin olmayan tasarımı veya işleyişi nedeniyle; işletmenin bilgi sistemi içinde bilgi işleme kontrollerinin etkin olmayan tasarım ve işleyişe olan açıklığıdır veya bilgilerin bütünlüğüne (diğer bir ifadeyle; işlemlerin ve diğer bilgilerin tamlığı, doğruluğu ve geçerliliğine) yönelik risklerdir.

(ç) Ciddi risk:

(i) Yapısal risk faktörlerinin, bir yanlışlığın oluşma ihtimali ile yanlışlığın oluşması durumunda muhtemel yanlışlığın büyüklüğünün bileşimini etkileme derecesi nedeniyle yapısal risk değerlendirmesinin, yapısal risk aralığının üst sınırına yakın olduğu veya

(ii) Diğer BDS’lerde yer alan hükümler uyarınca ciddi risk olarak ele alınması gereken, belirlenmiş “önemli yanlışlık” riskidir (Bkz.: A10 paragrafı).¹¹

(d) Genel bilgi teknolojisi (BT) kontrolleri: İşletmenin bilgi sistemi içinde bilgi işleme kontrollerinin etkin biçimde işlemeye devam etmesi ve bilginin bütünlüğü (diğer bir ifadeyle; bilginin tamlığı, doğruluğu ve geçerliliği) dâhil olmak üzere, işletmenin BT çevresinin sürekli doğru biçimde çalışmasını destekleyen, işletmenin BT süreçleri üzerindeki kontrollerdir. (Bkz.: “BT çevresi” tanımı)

(e) İç kontrol sistemi: Finansal raporlamanın güvenilirliği, faaliyetlerin etkinliği ve verimliliği ile ilgili mevzuata uygunluk açısından işletmenin amaçlarına ulaştığına dair makul güvence sağlamak amacıyla üst yönetimden sorumlu olanlar, yönetim ve diğer personel tarafından tasarlanan, uygulanan ve sürekliliği sağlanan sistemdir. BDS’lerin amaçları bakımından iç kontrol sistemi, birbiriyle ilişkili beş bileşenden oluşur:

(i) Kontrol çevresi,

(ii) İşletmenin risk değerlendirme süreci,

(iii) İşletmenin iç kontrol sistemini izleme süreci,

(iv) Bilgi sistemi ve iletişim ile

(v) Kontrol faaliyetleri.

(f) İlgili yönetim beyanları: Bir işlem sınıfı, hesap bakiyesi veya açıklamayla ilgili bir yönetim beyanı, söz konusu beyana ilişkin belirlenmiş bir “önemli yanlışlık” riski bulunması durumunda ilgilidir. Bir yönetim beyanının ilgili olup olmadığına, ilgili kontroller (diğer bir ifadeyle, yapısal risk) dikkate alınmadan önce karar verilir (Bkz.: A9 paragrafı).

(g) İş hayatına ilişkin riskler: İşletmenin amaçlarına ulaşma ve stratejilerini uygulama kabiliyetini olumsuz şekilde etkileyebilecek önemli şart, olay, durum, eylem veya eylemsizliklerden ya da uygun olmayan amaç ve stratejiler belirlenmesinden kaynaklanan risklerdir.

(ğ) Kontroller: Yönetim veya üst yönetimden sorumlu olanların kontrol amaçlarına ulaşabilmek için işletme tarafından oluşturulan politika veya süreçlerdir. Bu bağlamda (Bkz.: A2-A5 paragrafları):

(i) Politikalar, kontrolü etkilemek amacıyla işletme bünyesinde ne yapılması ya da ne yapılmaması gerektiğine ilişkin açıklamalardır. Bu tür açıklamalar belgelendirilmiş, kurulan iletişimlerde açıkça belirtilmiş ya da atılan adımlar veya alınan kararlarla zımnî olarak ifade edilmiş olabilir.

(ii) Prosedürler, politikaların uygulanmasına yönelik adımlardır.

(h) Kritik önem taşıyan işlem sınıfı, hesap bakiyesi veya açıklama: Bir ya da daha fazla ilgili yönetim beyanı bulunan işlem sınıfı, hesap bakiyesi veya açıklamadır.

(ı) Risk değerlendirme prosedürleri: Finansal tablo ve yönetim beyanı düzeylerinde, hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemek ve değerlendirmek amacıyla tasarlanan ve uygulanan denetim prosedürleridir.

(i) Yapısal risk faktörleri: Kontroller dikkate alınmadan önce, bir işlem sınıfına, hesap bakiyesine veya açıklamaya ilişkin bir yönetim beyanının hata veya hile kaynaklı yanlışlığa olan açıklığını etkileyen olay veya şartların özellikleridir. Bu faktörler nicel ya da nitel olabilir ve karmaşıklığı, subjektifliği, değişikliği, belirsizliği ya da yapısal riski etkiledikleri ölçüde, yönetimin taraflılığı veya diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklığı¹² içerir (Bkz.: A7-A8 paragrafları).

(j) Yönetim beyanları: Finansal tablolardaki bilgilerin finansal tablolara alınması, ölçülmesi, sunulması ve açıklanmasıyla ilgili olarak yönetimin; finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak hazırlandığına ilişkin beyanında yapısal olarak bulunan, açık veya başka bir şekildeki, beyanlarıdır. Yönetim beyanları denetçi tarafından, “önemli yanlışlık” risklerinin belirlenmesi, değerlendirilmesi ve bu risklere karşılık verilmesi sırasında oluşabilecek farklı türdeki muhtemel yanlışlıkları mütalaa etmek için kullanılır (Bkz.: A1 paragrafı).

¹¹ BDS 240, 27 nci paragraf ve BDS 550, “İlişkili Taraflar”, 18 inci paragraf

¹² BDS 240, A24-A27 paragrafları

Ana Hükümler

Risk Değerlendirme Prosedürleri ve İlgili Çalışmalar

13. Denetçi, aşağıdakiler için uygun bir dayanak oluşturacak denetim kanıtlarını elde etmek amacıyla risk değerlendirme prosedürlerini tasarlar ve uygular (Bkz.: A11-A18 paragrafları):

(a) Finansal tablo ve yönetim beyanı düzeylerinde hata veya hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi ve

(b) BDS 330’a uygun olarak müteakip denetim prosedürlerinin tasarlanması.

Denetçi risk değerlendirme prosedürlerini, doğrulayıcı olabilecek denetim kanıtları elde etme veya çelişkili olabilecek denetim kanıtlarını hariç tutma eğiliminde olmayacak şekilde (diğer bir ifadeyle, taraflı olmayan şekilde) tasarlar ve uygular. (Bkz.: A14 paragrafı)

14. Risk değerlendirme prosedürleri aşağıdakileri içerir (Bkz.: A19-A21 paragrafları):

(a) Yönetimin ve -varsa- iç denetim fonksiyonundaki kişiler dâhil, işletme içindeki diğer uygun kişilerin sorgulanması (Bkz.: A22-A26 paragrafları).

(b) Analitik prosedürler (Bkz.: A27-A31 paragrafları).

(c) Gözlem ve tetkik (Bkz.: A32-A36 paragrafları).

Diğer Kaynaklardan Elde Edilen Bilgiler

15. Denetçi, 13 üncü paragrafa uygun olarak denetim kanıtı elde ederken aşağıdakilerden edinilen bilgileri mütalaa eder (Bkz.: A37-A38 paragrafları):

(a) Denetçinin, müşteri ilişkisinin ve denetim sözleşmesinin kabulü ve devam ettirilmesiyle ilgili prosedürleri ve

(b) Uygun hâllerde, sorumlu denetçinin işletme için yürüttüğü diğer hizmetler.

16. İşletmeyle ilgili önceki deneyimlerinden ve önceki denetimlerde uyguladığı denetim prosedürlerinden elde ettiği bilgileri kullanmayı düşünmesi durumunda denetçi, bu tür bilgilerin denetim kanıtı olarak cari denetim için hâlen ihtiyaca uygun ve güvenilir olup olmadıklarını değerlendirir (Bkz.: A39-A41 paragrafları).

Denetim Ekibi İçinde Yapılan Müzakere

17. Sorumlu denetçi ve denetim ekibinin diğer kilit üyeleri, geçerli finansal raporlama çerçevesinin işletmenin durum ve gerçeklerine uygulanması ve işletmenin finansal tablolarının önemli yanlışlıklara olan açıklığı konularında müzakerede bulunur (Bkz.: A42-A47 paragrafları).

18. Denetim ekibi içinde yapılan müzakereye katılmayan denetim ekibi üyelerinin olması durumunda, sorumlu denetçi hangi konuların söz konusu üyelere bildirileceğine karar verir.

İşletme ve Çevresi, Geçerli Finansal Raporlama Çerçevesi ve İşletmenin İç Kontrol Sistemi Hakkında Kanaat Edinilmesi (Bkz.: A48-A49 paragrafları)

İşletme ve Çevresi ile Geçerli Finansal Raporlama Çerçevesi Hakkında Kanaat Edinilmesi (Bkz.: A50-A55 paragrafları)

19. Denetçi, aşağıdaki hususlar hakkında kanaat edinmek amacıyla risk değerlendirme prosedürlerini uygular:

(a) İşletme ve çevresinin aşağıdaki yönleri:

(i) İşletmenin organizasyon yapısı, ortaklık ve üst yönetim yapısı ile BT kullanımını ne ölçüde entegre ettiği dâhil olmak üzere iş modeli (Bkz.: A56- A67 paragrafları),

(ii) Sektör, mevzuata ilişkin etkenler ve diğer dış etkenler (Bkz.: A68-A73 paragrafları) ve

(iii) İşletmenin finansal performansını değerlendirmek için kullanılan iç ve dış ölçümler (Bkz.: A74-A81 paragrafları),

(b) Geçerli finansal raporlama çerçevesi ile işletmenin muhasebe politikaları ve bu politikalarda yapılan değişikliklerin sebepleri (Bkz.: A82-A84 paragrafları) ve

(c) (a) ve (b) bentlerinden elde edilen kanaate dayalı olarak, finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak hazırlanmasında, yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını ne şekilde ve ne ölçüde etkilediği (Bkz.: A85-A89 paragrafları).

20. Denetçi, işletmenin muhasebe politikalarının uygun olup olmadığını ve geçerli finansal raporlama çerçevesiyle tutarlı olup olmadığını değerlendirir.

İşletmenin İç Kontrol Sisteminin Bileşenleri Hakkında Kanaat Edinilmesi (Bkz.: A90-A95 paragrafları)

Kontrol Çevresi, İşletmenin Risk Değerlendirme Süreci ve İşletmenin İç Kontrol Sistemini İzleme Süreci (Bkz.: A96-A98 paragrafları)

Kontrol çevresi

İşletmenin risk değerlendirme süreci

23. Yönetimin belirleyemediği “önemli yanlışlık” risklerini belirlemesi hâlinde denetçi:

(a) Bu tür risklerin, denetçinin işletmenin risk değerlendirme süreci tarafından belirlenmesini beklediği türden riskler olup olmadığına karar verir ve böyle olması durumunda, işletmenin risk değerlendirme sürecinin bu tür “önemli yanlışlık” risklerini neden belirleyemediğine ilişkin kanaat edinir ve

(b) Denetçinin 22(b) paragrafına göre yapacağı değerlendirme üzerindeki etkileri dikkate alır.

İşletmenin iç kontrol sistemini izleme süreci

Bilgi Sistemi ve İletişim ile Kontrol Faaliyetleri (Bkz.: A123-A130 paragrafları)

Bilgi sistemi ve iletişim

Kontrol faaliyetleri

İşletmenin İç Kontrol Sistemindeki Kontrol Eksiklikleri

27. İşletmenin iç kontrol sisteminin her bir bileşenine ilişkin değerlendirmesine dayanarak denetçi, bir veya daha fazla kontrol eksikliğinin belirlenip belirlenmediğine karar verir (Bkz.: A182-A183 paragrafları).

“Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi (Bkz.: A184-A185 paragrafları)

“Önemli Yanlışlık” Risklerinin Belirlenmesi

28. Denetçi, “önemli yanlışlık” risklerini belirler ve söz konusu risklerin aşağıdaki düzeylerde var olup olmadığına karar verir (Bkz.: A186-A192 paragrafları):

(a) Finansal tablo düzeyinde (Bkz.: A193-A200 paragrafları) veya

(b) İşlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde (Bkz.: A201 paragrafı).

29. Denetçi, ilgili yönetim beyanlarına ve ilgili önemli işlem sınıfları, hesap bakiyeleri ve açıklamalara karar verir (Bkz.: A202-A204 paragrafları).

Finansal Tablo Düzeyindeki “Önemli Yanlışlık” Risklerinin Değerlendirilmesi

30. Finansal tablo düzeyinde belirlenen “önemli yanlışlık” risklerine yönelik olarak denetçi, söz konusu riskleri değerlendirir ve (Bkz.: A193-A200 paragrafları):

(a) Bu tür risklerin, yönetim beyanı düzeyindeki risklerin değerlendirmesini etkileyip etkilemediğine karar verir ve

(b) Finansal tablolar üzerindeki yaygın etkilerinin niteliğini ve kapsamını değerlendirir.

Yönetim Beyanı Düzeyindeki “Önemli Yanlışlık” Risklerinin Değerlendirilmesi

Yapısal Riskin Değerlendirilmesi (Bkz.: A205-A217 paragrafları)

31. Yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” risklerine yönelik olarak denetçi, yanlışlık ihtimalini ve yanlışlığın büyüklüğünü değerlendirmek suretiyle yapısal riski değerlendirir. Bunu yaparken denetçi aşağıdakileri dikkate alır:

(a) Yapısal risk faktörlerinin, ilgili yönetim beyanlarının yanlışlığa olan açıklığını nasıl ve ne ölçüde etkilediği ve

(b) Finansal tablo düzeyindeki “önemli yanlışlık” risklerinin, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin yapısal risk değerlendirmesini nasıl ve ne ölçüde etkilediği (Bkz.: A215-A216 paragrafları).

32. Denetçi, “önemli yanlışlık” riski olarak değerlendirilen herhangi bir riskin ciddi risk olup olmadığına karar verir (Bkz.: A218-A221 paragrafları).

33. Denetçi, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerinden herhangi biri için, maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamamasının söz konusu olup olmadığına karar verir (Bkz.: A222-A225 paragrafları).

Kontrol Riskinin Değerlendirilmesi

34. Kontrollerin işleyiş etkinliğini test etmeyi planlaması hâlinde denetçi, kontrol riskini değerlendirir. Kontrollerin işleyiş etkinliğini test etmeyi planlamaması durumunda ise denetçinin kontrol riskine ilişkin değerlendirmesi, “önemli yanlışlık” riskine ilişkin değerlendirme ile yapısal riske ilişkin değerlendirmenin aynı olduğu şekilde olur (Bkz.: A226-A229 paragrafları).

Risk Değerlendirme Prosedürlerinden Elde Edilen Denetim Kanıtlarının Değerlendirilmesi

35. Denetçi, risk değerlendirme prosedürlerinden elde edilen denetim kanıtlarının “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için uygun bir dayanak sağlayıp sağlamadığını değerlendirir. Uygun dayanak sağlamaması hâlinde denetçi, bu tür bir dayanak sağlayacak denetim kanıtı elde edilene kadar ilave risk değerlendirme prosedürleri uygular. “Önemli yanlışlık” risklerini belirlerken ve değerlendirirken denetçi, yönetimin sunduğu beyanları doğrulayan veya onlarla çelişen nitelikte olsun veya olmasın, risk değerlendirme prosedürlerinden elde edilen tüm denetim kanıtlarını dikkate alır (Bkz.: A230-A232 paragrafları).

Kritik Önem Taşımayan Ancak Önemli İşlem Sınıfları, Hesap Bakiyeleri ve Açıklamalar

36. Kritik önem taşıyan işlem sınıfı, hesap bakiyesi veya açıklama olarak belirlenmemiş ancak önemli işlem sınıfları, hesap bakiyeleri veya açıklamalara yönelik olarak denetçi, yapmış olduğu değerlendirmenin geçerliliğini sürdürüp sürdürmediğini değerlendirir (Bkz.: A233-A235 paragrafları).

Risk Değerlendirmesinin Revize Edilmesi

37. “Önemli yanlışlık” risklerinin ilk belirlenmesini veya değerlendirilmesini dayandırdığı denetim kanıtlarıyla tutarsız olan yeni bir bilgi edinmesi hâlinde denetçi, söz konusu belirlemeyi veya değerlendirmeyi revize eder (Bkz.: A236 paragrafı).

Belgelendirme

38. Denetçi, çalışma kâğıtlarına aşağıdaki hususları dâhil eder¹³ (Bkz.: A237-A241 paragrafları):

(a) Denetim ekibi içinde yapılan müzakereler ve bu müzakerelerde alınan önemli kararlar,

(b) Denetçinin 19, 21, 22, 24 ve 25 inci paragraflara uygun olarak edindiği kanaatin temel unsurları; denetçinin kanaatinin elde edildiği bilgi kaynakları ve uygulanan risk değerlendirme prosedürleri,

(c) 26 ncı paragrafa uygun olarak, belirlenen kontrollerin tasarımını değerlendirmek ve bu tür kontrollerin uygulanıp uygulanmadığına karar vermek ve

(ç) Ciddi riskler ile maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı riskler dâhil olmak üzere, finansal tablo ve yönetim beyanı düzeylerinde “önemli yanlışlık” riski olarak belirlenen ve değerlendirilen riskler ve varılan önemli yargıların gerekçesi.

¹³ BDS 230, “Bağımsız Denetimin Belgelendirilmesi”, 8-11 ve A6-A7 paragrafları

***

Açıklayıcı Hükümler ve Uygulama

Tanımlar (Bkz.: 12 nci paragraf)

Yönetim Beyanları (Bkz.: 12(j) paragrafı)

A1. Yönetim beyanı kategorileri, denetçiler tarafından “önemli yanlışlık” risklerinin belirlenmesi, değerlendirilmesi ve bu risklere karşılık verilmesi sırasında oluşabilecek farklı türdeki muhtemel yanlışlıkları mütalaa etmek için kullanılır. Söz konusu yönetim beyanı kategorilerine ilişkin örnekler A190 paragrafında yer almaktadır. Yönetim beyanları belirli hususların doğrulanması ya da diğer denetim kanıtlarının desteklenmesi için BDS 580¹⁴,in zorunlu kıldığı yazılı beyanlardan farklıdır.

¹⁴ BDS 580, “Yazılı Beyanlar”

Kontroller (Bkz.: 12(ğ) paragrafı)

A2. Kontroller, işletmenin iç kontrol sisteminin bileşenlerine yerleştirilir.

A3. Politikalar, işletme bünyesindeki personelin eylemleriyle veya personelin söz konusu politikaları ihlal edecek faaliyetlerde bulunmaktan kaçınmasıyla uygulanır.

A4. Prosedürler; resmî belgeler ya da yönetim veya üst yönetimden sorumlu olanlar tarafından kullanılan diğer iletişim yöntemleri aracılığıyla zorunlu tutulabilir ya da zorunlu tutulmayan ancak işletme kültürünün ortaya çıkardığı davranışlardan kaynaklanıyor olabilir. Prosedürler, işletme tarafından kullanılan BT uygulamalarının izin verdiği faaliyetler aracılığıyla veya işletmenin BT çevresinin diğer yönleri aracılığıyla yürütülebilir.

A5. Kontroller doğrudan veya dolaylı olabilir. Doğrudan kontroller, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini ele alabilecek kadar hassas olan kontrollerdir. Dolaylı kontroller, doğrudan kontrolleri destekleyen kontrollerdir.

Bilgi İşleme Kontrolleri (Bkz.: 12(a) paragrafı)

A6. Bilginin bütünlüğüne yönelik riskler, işletmenin bilgi politikalarının (işletmenin bilgi sistemindeki bilgi akışları, kayıtlar ve raporlama süreçlerini tanımlayan politikalardır) etkin olmayan bir şekilde uygulanmaya olan açıklığından kaynaklanır. Bilgi işleme kontrolleri, işletmenin bilgi politikalarının etkin bir biçimde uygulanmasını destekleyen prosedürlerdir. Bilgi işleme kontrolleri otomatik (diğer bir ifadeyle, BT uygulamalarına yerleştirilmiş) ya da manuel (örneğin, girdi veya çıktı kontrolleri) olabilir ve diğer bilgi işleme kontrolleri veya genel BT kontrolleri dâhil olmak üzere diğer kontrollere bağlı olabilir.

Yapısal Risk Faktörleri (Bkz.: 12(i) paragrafı)

Ek 2’de yapısal risk faktörleri hakkında kanaat edinilmesiyle ilgili ilave hususlar yer almaktadır.

A7. Yapısal risk faktörleri nitel ya da nicel olabilir ve yönetim beyanlarının yanlışlığa olan açıklığını etkileyebilir. Geçerli finansal raporlama çerçevesi tarafından zorunlu kılınan bilgilerin hazırlanmasıyla ilgili nitel yapısal risk faktörleri aşağıdakileri içerir:

• Karmaşıklık,

• Subjektiflik,

• Değişiklik,

• Belirsizlik veya

• Yapısal riski etkiledikleri ölçüde, yönetimin taraflılığı veya diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklık.

A8. Bir işlem sınıfı, hesap bakiyesi veya açıklamayla ilgili bir yönetim beyanının yanlışlığa olan açıklığını etkileyen diğer yapısal risk faktörleri aşağıdakileri içerebilir:

• İşlem sınıfı, hesap bakiyesi veya açıklamanın nicel veya nitel önemi ya da

• İşlem sınıfı veya hesap bakiyesi aracılığıyla işlenecek veya açıklamaya yansıtılacak olan kalemlerin hacmi ya da bu kalemlerin bileşiminin (kompozisyonunun) tekdüzelikten yoksun olması.

İlgili Yönetim Beyanları (Bkz.: 12(f) paragrafı)

A9. Bir “önemli yanlışlık” riski birden fazla yönetim beyanıyla ilgili olabilir, bu durumda bu tür bir riskin ilgili olduğu tüm yönetim beyanları ilgili yönetim beyanlarıdır. Bir yönetim beyanına ilişkin belirlenmiş bir “önemli yanlışlık” riski yoksa söz konusu yönetim beyanı ilgili yönetim beyanı değildir.

Ciddi Risk (Bkz.: 12(ç) paragrafı)

A10. Ciddiyet, bir konunun nispi ehemmiyet derecesi şeklinde tanımlanabilir ve denetçi tarafından konunun dikkate alındığı bağlamda muhakeme edilir. Yapısal risk açısından ciddiyet; yapısal risk faktörlerinin, bir yanlışlığın gerçekleşme ihtimali ile gerçekleşmesi hâlinde muhtemel yanlışlığın büyüklüğünün bileşimini (kompozisyonunu) nasıl ve ne derece etkilediği bağlamında değerlendirilebilir.

Risk Değerlendirme Prosedürleri ve İlgili Çalışmalar (Bkz.: 13-18 inci paragraflar)

A11. Belirlenecek ve değerlendirilecek olan “önemli yanlışlık” riskleri, hata ve hile kaynaklı riskleri içerir ve bu iki risk türü de bu BDS kapsamındadır. Ancak, hile özel önem arz ettiğinden, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi için kullanılan bilgileri sağlayan risk değerlendirme prosedürleri ve ilgili çalışmalara ilişkin ilâve hüküm ve açıklamalar BDS 240’ta yer almaktadır.¹⁵ Buna ek olarak, aşağıdaki BDS’ler özel husus ve durumlarla ilgili “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesine yönelik ilave hüküm ve açıklamalar içermektedir:

• Muhasebe tahminleriyle ilgili olarak BDS 540¹⁶,

• İlişkili taraf ilişkileri ve işlemleriyle ilgili olarak BDS 550,

• İşletmenin sürekliliğiyle ilgili olarak BDS 570¹⁷ ve

• Topluluk finansal tablolarıyla ilgili olarak BDS 600¹⁸.

¹⁵ BDS 240, 12-27 nci paragraflar

¹⁶ BDS 540, “Muhasebe Tahminlerinin ve İlgili Açıklamaların Denetimi”

¹⁷ BDS 570, “İşletmenin Sürekliliği”

¹⁸ BDS 600, “Özel Hususlar-Topluluk Finalisai Tablolarının Bağımsız Denetimi (Topluluğa Bağlı Birim Denetçilerinin Çalışmaları Dâhil)”

A12. Mesleki şüphecilik, risk değerlendirme prosedürleri uygulanırken toplanan denetim kanıtlarının eleştirel biçimde değerlendirilmesi açısından gereklidir ve denetçinin, risklerin varlığını doğrulama eğiliminde olmayan (diğer bir ifadeyle, taraflı olmayan) veya risklerin varlığıyla çelişkili olabilen denetim kanıtlarına karşı dikkatli olmasına yardımcı olur. Mesleki şüphecilik, denetçinin, çalışmalarına sonradan dayanak teşkil edecek olan mesleki muhakemelerde bulunurken benimsediği tutumdur. Denetçi, risk değerlendirmesi için uygun bir dayanak sağlayan denetim kanıtına sahip olup olmadığını belirlerken mesleki muhakemesini kullanır.

A13. Denetçi tarafından mesleki şüpheciliğin uygulanması aşağıdakileri içerebilir:

• Çelişkili bilgileri ve belgelerin güvenilirliğini sorgulamak,

• Sorgulamalar sonucu elde edilen cevapları ve yönetim ve üst yönetimden sorumlu olanlardan elde edilen diğer bilgileri mütalaa etmek,

• Hata veya hile kaynaklı muhtemel bir yanlışlığa işaret edebilecek durumlara karşı dikkatli olmak ve

• İşletmenin niteliği ve içinde bulunduğu şartlar dikkate alınarak, elde edilen denetim kanıtlarının denetçinin “önemli yanlışlık” risklerine ilişkin belirleme ve değerlendirmelerini destekleyip desteklemediğini mütalaa etmek.

Denetim Kanıtlarının Tarafsız (Taraflı Olmayan) Bir Şekilde Elde Edilmesinin Önemi (Bkz.: 13 üncü paragraf)

A14. “Önemli yanlışlık” risklerinin belirlenmesini ve değerlendirilmesini destekleyecek denetim kanıtlarının tarafsız bir şekilde elde edilmesine yönelik risk değerlendirme prosedürlerinin tasarlanması ve uygulanması, denetçinin çelişkili olma ihtimali bulunan bilgileri belirlemesine yardımcı olabilir; bu ise denetçinin “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesinde mesleki şüpheciliği uygulamasına yardımcı olabilir.

Denetim Kanıtlarının Kaynağı (Bkz.: 13 üncü paragraf)

A15. Denetim kanıtlarının tarafsız bir şekilde elde edilmesine yönelik risk değerlendirme prosedürlerinin tasarlanması ve uygulanması, işletme içindeki ve dışındaki birden fazla kaynaktan kanıt elde edilmesini içerebilir. Ancak denetçi, tüm muhtemel denetim kanıtı kaynaklarını belirlemek için geniş kapsamlı bir araştırma yapmakla yükümlü değildir. Diğer kaynaklardan elde edilen bilgilere¹⁹ ek olarak, risk değerlendirme prosedürlerinde kullanılacak bilgi kaynakları aşağıdakileri içerebilir:

• Yönetim, üst yönetimden sorumlu olanlar ve iç denetçiler gibi işletmenin diğer kilit personeli ile etkileşim.

• Doğrudan veya dolaylı olarak, düzenleyici kuruluşlar gibi işletme dışındaki belirli taraflardan elde edilen bilgiler.

• İşletme tarafından yayımlanan basın açıklamaları, analistlere ya da yatırımcı grubu toplantılarına yönelik materyaller, analistler tarafından ticari faaliyete ilişkin sunulan rapor veya bilgiler gibi işletme hakkında kamuyla paylaşılan bilgiler.

Denetçi, bilginin kaynağına bakmaksızın, denetim kanıtı olarak kullanılacak olan bilginin ihtiyaca uygunluğunu ve güvenilirliğini BDS 500’e²⁰ göre değerlendirir.

¹⁹ Bkz.: A37 ve A38 paragrafları

²⁰ BDS 500, “Bağımsız Denetim Kanıtları”, 7 nci paragraf

Ölçeklenebilirlik (Bkz.: 13 üncü paragraf)

A16. Risk değerlendirme prosedürlerinin niteliği ve kapsamı, işletmenin niteliğine ve içinde bulunduğu şartlara (örneğin, işletmenin politika ve prosedürleri ile süreç ve sistemlerinin resmiyeti) bağlı olarak farklılık gösterecektir. Denetçi, bu BDS’de yer alan yükümlülükleri karşılamak üzere uygulayacağı risk değerlendirme prosedürlerinin niteliği ve kapsamını belirlemek amacıyla mesleki muhakemesini kullanır.

A17. İşletmenin politika ve prosedürleri ile süreç ve sistemlerinin resmileştirilme derecesi farklılık gösterebilse de, denetçinin 19, 21, 22, 24, 25 ve 26 ncı paragraflara uygun olarak kanaat edinmesi zorunludur.

Örnekler:

Karmaşıklık düzeyi daha düşük işletmeleri de içeren bazı işletmeler ve özellikle sahibi tarafından yönetilen işletmeler; yerleşik şekilde yapılandırılmış süreç ve sistemlere (örneğin bir risk değerlendirme sürecine veya iç kontrol sistemini izlemeye yönelik bir sisteme) sahip olmayabilir ya da sınırlı bir belgelendirmesi olan veya yürütülmesinde tutarsızlıklar bulunan yerleşik süreç veya sistemlere sahip olabilirler. Bu tür süreç ve sistemler resmiyetten yoksun olduğunda, denetçi yine de gözlem ve sorgulama yoluyla risk değerlendirme prosedürlerini uygulayabilir.

Karmaşıklık düzeyi daha yüksek olan diğer işletmelerin, daha fazla resmileştirilmiş ve belgelendirilmiş politika ve prosedürlere sahip olması beklenir. Denetçi, risk değerlendirme prosedürlerini uygularken bu tür bir belgelendirmeyi kullanabilir.

A18. Bir denetim işi ilk kez üstlenildiğinde uygulanacak risk değerlendirme prosedürlerinin niteliği ve kapsamı, müteakip (birbirini takip eden) denetimlerde uygulanacak prosedürlerden daha geniş kapsamlı olabilir. Müteakip dönemlerde denetçi, bir önceki dönemden bu yana meydana gelen değişikliklere odaklanabilir.

Risk Değerlendirme Prosedürlerinin Türleri (Bkz.: 14 üncü paragraf)

A19. BDS 500²¹, risk değerlendirme prosedürleri ile müteakip denetim prosedürlerinden denetim kanıtı elde etmek için uygulanabilecek denetim prosedürlerinin türlerini açıklamaktadır. Denetim prosedürlerinin niteliği, zamanlaması ve kapsamı, bazı muhasebe verilerinin ve diğer kanıtların yalnızca elektronik ortamda bulunmasından veya sadece belirli bir tarihe ait veri ve bilgilere erişilebilmesinden etkilenebilir.²² Denetçi, daha etkin olduğunu düşünmesi hâlinde, BDS 330’a uygun olarak maddi doğrulama prosedürlerini veya kontrol testlerini, risk değerlendirme prosedürleriyle aynı zamanda uygulayabilir. Elde edilen ve “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirmesini destekleyen denetim kanıtları, yönetim beyanı düzeyindeki yanlışlıkları tespitini ya da kontrollerin işleyiş etkinliğine ilişkin değerlendirmeyi de destekleyebilir.

²¹ BDS 500, A14-A17 ve A21-A25 paragrafları

²² BDS 500, A12 paragrafı

A20. İşletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinme yükümlülüğü (Bkz.: 19-26 ncı paragraflar) kapsamında bilgi edinirken denetçi, 14 üncü paragrafta açıklanan risk değerlendirme prosedürlerinin tamamını uygulamak zorunda olmakla birlikte, hakkında kanaat edindiği her bir unsur için prosedürlerin tamamını uygulamak zorunda değildir. Diğer prosedürlerden elde edilecek bilgilerin “önemli yanlışlık” risklerinin belirlenmesine yardımcı olabileceği durumlarda bu prosedürler uygulanabilir. İşletmenin dış hukuk müşavirlerinin veya işletme dışı gözetim yapanların ya da kullandığı değerleme uzmanlarının sorgulanması bu tür prosedürlere örnek olarak verilebilir.

Otomatik Araç ve Teknikler (Bkz.: 14 üncü paragraf)

A21. Otomatik araç ve teknikleri kullanarak denetçi; analiz, yeniden hesaplama, yeniden uygulama ya da mutabakat dâhil olmak üzere, geniş hacimli veriler (defteri kebirden, yardımcı defterlerden veya diğer operasyonel verilerden elde edilen) üzerinde risk değerlendirme prosedürleri uygulayabilir.

Yönetimin ve İşletme İçindeki Diğer Kişilerin Sorgulanması (Bkz.: 14(a) paragrafı)

Yönetimin ve İşletme İçindeki Diğer Kişilerin Sorgulanma Sebebi

A22. Risklerin belirlenmesi ve değerlendirilmesine uygun bir dayanak oluşturmak ve müteakip denetim prosedürlerini tasarlamak amacıyla denetçinin elde ettiği bilgiler, yönetimin ve finansal raporlamadan sorumlu kişilerin sorgulanması yoluyla elde edilebilir.

A23. Yönetimin ve finansal raporlamadan sorumlu kişilerin, işletme içindeki diğer uygun kişilerin ve farklı yetki düzeyine sahip diğer çalışanların sorgulanması, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi sırasında denetçiye farklı bakış açılan sunabilir.

Örnekler:

• Üst yönetimden sorumlu olanların sorgulanması; denetçinin, üst yönetimden sorumlu olanların yönetimin finansal tabloları hazırlama süreci üzerindeki gözetiminin kapsamına ilişkin kanaat edinmesine yardımcı olabilir. BDS 260²³ denetçinin üst yönetimden sorumlu olanlardan bu bağlamda bilgi almasına yardımcı olması açısından, etkin ve karşılıklı iletişimin önemi vurgular.

• Karmaşık ya da olağandışı işlemlerin başlatılması, işlenmesi ve kaydedilmesinden sorumlu kişilerin sorgulanması, belirli muhasebe politikalarının seçiminin ve uygulanmasının uygunluğunu değerlendirmesinde denetçiye yardımcı olabilir.

• İşletmenin iç hukuk müşavirinin sorgulanması; davalar, mevzuata uygunluk sağlanması, işletmeyi etkileyen hile veya hile şüphesi hakkındaki bilgisi, teminatlar, satış sonrası sorumluluklar, iş ortaklarıyla yapılan anlaşmalar (iş ortaklıkları gibi) ve sözleşme şartlarının yorumlanması gibi konular hakkında bilgi sağlayabilir.

• Pazarlama veya satış personelinin sorgulanması; işletmenin satış stratejilerindeki değişiklikler, satış eğilimleri veya müşterileriyle yapılmış olan sözleşmeye bağlı düzenlemeler hakkında bilgi sağlayabilir.

• Risk yönetimi biriminin (veya bu tür görevleri yerine getirenlerin) sorgulanması, finansal raporlamaya etki edebilecek faaliyet riskleri ve mevzuat riskleri hakkında bilgi sağlayabilir.

• BT personelinin sorgulanması; sistem değişiklikleri, sistem veya kontroldeki aksaklıklar veya BT ile ilgili diğer riskler hakkında bilgi sağlayabilir.

²³ BDS 260, “Üst Yönetimden Sorumlu Olanlarla Kurulacak İletişim”, 4(b) paragrafı

Kamu Sektörü İşletmelerine Özgü Hususlar

A24. Kamu sektöründe görev yapan denetçiler, “önemli yanlışlık” risklerinin belirlenmesinde yardımcı olabilecek bilgiye sahip olan kişileri sorgularken, işletmeyle ilgili yapılan performans denetimlerinde ya da diğer denetimlerde görev almış denetçiler gibi ilave kaynaklardan bilgi edinebilirler.

İç Denetim Fonksiyonunun Sorgulanması

Ek 4’te işletmenin iç denetim fonksiyonunu hakkında kanaat edinilmesiyle ilgili hususlar yer almaktadır.

İç Denetim Fonksiyonuyla İlgili Sorgulama Yapılmasının Sebebi (İç denetim fonksiyonu varsa)

A25. İşletmenin iç denetim fonksiyonunun bulunması hâlinde, fonksiyon içerisindeki uygun kişilerin sorgulanması, risklerin belirlemesi ve değerlendirmesi amacıyla işletme ve çevresi ile işletmenin iç kontrol sistemi hakkında kanaat edinilmesinde denetçiye yardımcı olabilir.

Kamu Sektörü İşletmelerine Özgü Hususlar

A26. Kamu sektöründe görev yapan denetçilerin genellikle, iç kontrole ve mevzuata uygunluğa ilişkin ilave sorumlulukları bulunur. İç denetim fonksiyonundaki uygun kişilerin sorgulanması, mevzuata önemli aykırılık riskinin ve finansal raporlamaya yönelik kontrol eksikliklerine ilişkin riskin belirlenmesinde denetçilere yardımcı olabilir.

Analitik Prosedürler (Bkz.: 14(b) paragrafı)

Analitik Prosedürlerin Risk Değerlendirme Prosedürü Olarak Uygulanma Sebebi

A27. Analitik prosedürler, denetime etkisi olabilen hususlara işaret eden tutarsızlıkların, olağandışı işlem veya olay, tutar, oran ve eğilimlerin belirlenmesine yardımcı olur. Belirlenen olağan dışı veya beklenmedik ilişkiler, “önemli yanlışlık” risklerinin, özellikle hile kaynaklı “önemli yanlışlık” risklerinin, belirlenmesinde denetçiye yardımcı olabilir.

A28. Böylece, risk değerlendirme prosedürleri kapsamında uygulanan analitik prosedürler denetçinin; işletmenin denetçinin farkında olmadığı özelliklerini belirlemek veya değişiklik gibi yapısal risk faktörlerinin, yönetim beyanlarının yanlışlığa olan açıklığını ne şekilde etkilediğine ilişkin kanaat edinmek suretiyle “önemli yanlışlık” risklerini belirlemesine ve değerlendirmesine yardımcı olabilir.

Analitik Prosedürlerin Türleri

A29. Risk değerlendirme prosedürleri kapsamında uygulanan analitik prosedürler:

• Satış alanının büyüklüğü veya satılan malların miktarı (finansal olmayan) ile satışlar arasındaki ilişki gibi finansal ve finansal olmayan bilgiler içerebilir.

• Yüksek düzeyde (daha üst seviyede) bir araya getirilmiş verileri kullanabilir. Bu sebeple, söz konusu analitik prosedürlerin sonuçları, önemli bir yanlışlık ihtimali hakkında sadece genel bir ön gösterge sağlar.

Örnek:

Karmaşıklık düzeyi daha düşük iş modellerine ve süreçlerine ve karmaşıklık düzeyi daha düşük bir bilgi sistemine sahip olanlar dâhil olmak üzere birçok işletmenin denetiminde, denetçi daha yüksek risk potansiyeline sahip alanlara ilişkin bir gösterge elde etmek amacıyla, ara dönem ya da aylık hesap bakiyelerinde önceki dönemlerdeki bakiyelere göre meydana gelen değişimler gibi basit bir bilgi karşılaştırması yapabilir.

A30. Bu BDS’de denetçinin risk değerlendirme prosedürleri kapsamında kullandığı analitik prosedürler ele alınmaktadır. BDS 520²⁴ denetçinin analitik prosedürleri maddi doğrulama prosedürleri olarak kullanmasını (“analitik maddi doğrulama prosedürleri”) ve denetçinin analitik prosedürleri denetimin sonuna doğru uygulama sorumluluğunu ele almaktadır. Buna göre, risk değerlendirme prosedürü olarak uygulanan analitik prosedürlerin BDS 520 hükümleri uyarınca uygulanması zorunlu değildir. Bununla birlikte, BDS 520’de yer alan ana hükümler ile uygulama bölümü denetçiye, risk değerlendirme prosedürlerinin bir parçası olarak analitik prosedürlerin uygulanması konusunda fayda sağlayabilir.

²⁴ BDS 520, “Analitik Prosedürler”

Otomatik araç ve teknikler

A31. Analitik prosedürler birtakım otomatik araç ve tekniklerin kullanılması suretiyle de uygulanabilir. Otomatik analitik prosedürlerin verilere uygulanması veri analitiği olarak ifade edilebilir.

Örnek:

Denetçi; gerçekleşmiş kayıtlı tutarlarla bütçelenen tutarlar arasında karşılaştırma yapmak için bir çizelge kullanabilir veya belirli müteakip risk değerlendirme prosedürlerinin gerektirebileceği işlem sınıfları, hesap bakiyeleri veya açıklamaları belirlemek için işletmenin bilgi sisteminden veri çekip bu verileri görselleştirme teknikleri aracılığıyla ileri bir analize tabi tutarak daha gelişmiş bir prosedür uygulayabilir.

Gözlem ve Tetkik (Bkz.: 14(c) paragrafı)

Risk Değerlendirme Prosedürü Olarak Gözlem ve Tetkikin Uygulanma Sebebi

A32. Gözlem ve tetkik, yönetimin ve başkalarının sorgulamaları sırasında edinilen bilgileri destekleyebilir, doğrulayabilir veya bu bilgilerle çelişebilir ve aynı zamanda işletme ve çevresi hakkında bilgi sağlayabilir.

Ölçeklenebilirlik

A33. Politika veya prosedürlerin belgelendirilmediği veya işletmenin resmiyet düzeyi daha düşük kontrollere sahip olduğu durumlarda bile denetçi, kontrolün uygulanmasını gözlemleme ya da tetkik etme yoluyla “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirmesini destekleyecek bazı denetim kanıtları elde edebilir.

Örnekler:

• Denetçi, işletme tarafından belgelendirilmemiş olsa dahi, doğrudan gözlemleme yoluyla stok sayımı üzerindeki kontroller hakkında kanaat edinebilir.

• Denetçi, görevler ayrılığını gözlemleme imkânına sahip olabilir.

• Denetçi, parola girişlerini gözlemleme imkânına sahip olabilir.

Risk Değerlendirme Prosedürü Olarak Gözlem ve Tetkik

A34. Risk değerlendirme prosedürleri aşağıdaki hususların gözlem veya tetkikini içerebilir:

• İşletme faaliyetleri.

• İç belgeler (iş planı ve stratejileri gibi), kayıtlar ve iç kontrol rehberleri.

• Yönetim tarafından hazırlanmış raporlar (üç aylık yönetim raporları ve ara dönem finansal tablolar gibi) ve üst yönetimden sorumlu olanlar tarafından hazırlanmış raporlar (yönetim kurulu toplantı tutanakları gibi).

• İşletmenin tesisleri ve üretim yerleri.

• Ticaret ve ekonomi dergileri, analistler, bankalar veya derecelendirme kuruluşları tarafından hazırlanan raporlar, resmî veya finansal yayınlar veya işletmenin finansal performansıyla ilgili diğer dış kaynaklardan (A79 paragrafında belirtilenler gibi) elde edilen bilgiler.

• Yönetim veya üst yönetimden sorumlu olanların davranış ve eylemleri (denetim komitesi toplantısının gözlemlenmesi gibi).

Otomatik araç ve teknikler

A35. Otomatik araç ve teknikler, özellikle varlıkları, örneğin (insansız hava aracı gibi) uzaktan gözlem araçlarının kullanımı yoluyla gözlemlemek veya tetkik etmek için de kullanılabilir.

Kamu Sektörü İşletmelerine Özgü Hususlar

A36. Kamu sektöründe görev yapan denetçiler tarafından uygulanan risk değerlendirme prosedürleri, zorunlu performans raporlamasına ilişkin belgeler gibi yönetim tarafından resmî kurumlar için hazırlanan belgelerin gözlem ve tetkikini de içerebilir.

Diğer Kaynaklardan Elde Edilen Bilgiler (Bkz.: 15 inci paragraf)

Denetçinin Diğer Kaynaklardan Elde Edilen Bilgileri Dikkate Alma Sebebi

A37. Diğer kaynaklardan elde edilen bilgiler, aşağıdaki hususlarda bilgi ve kavrayış sağlayarak “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirmesi bağlamında ihtiyaca uygun olabilir:

• İşletmenin niteliği ve iş hayatına ilişkin riskleri ile önceki dönemlerden bu yana nelerin değişmiş olabileceği.

• Yönetim ve üst yönetimden sorumlu olanların dürüstlüğü ve etik değerleri; bu unsurlar denetçinin kontrol çevresi hakkında kanaat oluştururken de ihtiyaca uygun olabilir.

• Geçerli finansal raporlama çerçevesi ve bunun işletmenin niteliğine ve içinde bulunduğu şartlara uygulanması.

İhtiyaca Uygun Diğer Kaynaklar

A38. İhtiyaca uygun diğer bilgi kaynakları aşağıda yer almaktadır:

• BDS 220 uyarınca, varılan sonuçlar dâhil, denetçinin müşteri ilişkisinin ve denetimin sözleşmesinin kabulü ve devam ettirilmesiyle ilgili prosedürleri,²⁵

• Sorumlu denetçinin işletme için yürüttüğü diğer hizmetler. Sorumlu denetçi, işletme için başka hizmetler yürütürken, işletme ve çevresi hakkında da olmak üzere denetimle ilgili ihtiyaca uygun bilgi elde etmiş olabilir. Bu tür hizmetler arasında; üzerinde mutabık kalınan prosedürler, diğer bağımsız denetimler veya ülkedeki ilave raporlama yükümlülüklerini ele alacak hizmetler gibi diğer güvence hizmetleri yer alabilir.

²⁵ BDS 220, “Finansal Tabloların Bağımsız Denetiminde Kalite Kontrol”, 12 nci paragraf

Denetçinin İşletmeyle İlgili Önceki Deneyimlerinden ve Önceki Denetimlerden Elde Edilen Bilgiler (Bkz.: 16 ncı paragraf)

Önceki denetimlerden elde edilen bilgilerin cari denetim için önemli olma sebebi

A39. İşletmeyle ilgili önceki deneyimlerinden ve önceki denetimlerde uyguladığı denetim prosedürlerinden elde ettiği bilgiler denetçiye, risk değerlendirme prosedürlerinin niteliği ve kapsamını belirlemesi ile “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesi konularında ihtiyaca uygun bilgi sağlayabilir.

Önceki Denetimlerden Elde Edilen Bilgilerin Niteliği

A40. Denetçinin işletmeyle ilgili önceki deneyimleri ve önceki denetimlerde uygulanan denetim prosedürleri denetçiye aşağıdaki gibi hususlar hakkında bilgi sağlayabilir:

• Geçmişte tespit edilen yanlışlıklar ve bunların zamanında düzeltilip düzeltilmediği.

• İşletme ve çevresinin niteliği ile işletmenin iç kontrolü (iç kontrol eksiklikleri dâhil).

• İşletme veya faaliyetlerinde önceki finansal dönemden bu yana gerçekleşmiş olabilecek önemli değişiklikler.

• Denetçinin gerekli denetim prosedürlerini uygularken, -karmaşık olmaları gibi sebeplerle- zorluk yaşadığı belirli türdeki işlemler ve diğer olaylar ya da hesap bakiyeleri (ve ilgili açıklamalar).

A41. İşletmeyle ilgili önceki deneyimlerinden ve önceki denetimlerde uyguladığı denetim prosedürlerinden elde ettiği bilgileri cari denetim için kullanmayı düşünmesi hâlinde denetçinin, söz konusu bilgilerin halen ihtiyaca uygun ve güvenilir olup olmadığına karar vermesi gerekir. İşletmenin niteliğinin ve içinde bulunduğu şartların değişmiş ya da yeni bilgilerin edinilmiş olması durumunda, önceki dönemlerden elde edilen bilgiler cari denetim için artık ihtiyaca uygun veya güvenilir olmayabilir. Bu tür bilgilerin ihtiyaca uygunluğuna ya da güvenilirliğine etki edebilecek değişikliklerin olup olmadığına karar vermek amacıyla denetçi, sorgulamalar yapabilir ve ilgili sistemlerin anlaşılmasına ilişkin süreç takipleri gibi diğer uygun denetim prosedürlerini uygulayabilir. Bilginin güvenilir olmaması hâlinde denetçi, içinde bulunulan şartlara uygun ilave prosedürler uygulamayı düşünebilir.

Denetim Ekibi İçinde Yapılan Müzakere (Bkz.: 17-18 inci paragraflar)

Denetim Ekibinin Geçerli Finansal Raporlama Çerçevesinin Uygulanmasını ve İşletmenin Finansal Tablolarının Önemli Yanlışlıklara Olan Açıklığını Müzakere Etmesinin Zorunlu Kılınma Sebebi

A42. Geçerli finansal raporlama çerçevesinin uygulanmasının ve işletmenin finansal tablolarının önemli yanlışlıklara olan açıklığının denetim ekibi içinde müzakere edilmesi:

• Sorumlu denetçi dâhil daha deneyimli denetim ekibi üyelerine, işletme hakkındaki bilgilerine dayanan görüşlerini paylaşma fırsatı sağlar. Bilgi paylaşımı, tüm denetim ekibi üyelerinin daha geniş bir kanaat edinmesine katkıda bulunur.

• Denetim ekibi üyelerinin; işletme için tehdit oluşturan iş hayatına ilişkin riskler hakkında, yapısal risk faktörlerinin işlem sınıfları, hesap bakiyeleri ve açıklamaların yanlışlığa olan açıklığını nasıl etkileyebileceği hakkında ve finansal tabloların nasıl ve nerede hata veya hile kaynaklı önemli yanlışlığa açık olabileceği hakkında bilgi alışverişinde bulunmalarına imkân verir.

• Denetim ekibi üyelerinin görevlendirildikleri belirli alanlarda, finansal tablolardaki muhtemel önemli yanlışlıklara ilişkin daha iyi kanaat edinmelerine ve uyguladıkları denetim prosedürlerinin sonuçlarının müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamına ilişkin kararlar dâhil olmak üzere denetimin diğer yönlerini nasıl etkileyebileceğine ilişkin kanaat edinmelerine yardımcı olur. Müzakereler özellikle, denetim ekibi üyelerinin, işletmenin niteliği ve içinde bulunduğu şartlara ilişkin her bir üyenin kanaatini de göz önünde bulundurarak, çelişkili bilgileri yeniden değerlendirmesine yardımcı olur.

• Denetim ekibi üyelerinin denetim boyunca elde ettiği, “önemli yanlışlık” risklerinin değerlendirilmesini veya bu risklere karşı uygulanan denetim prosedürlerini etkileyebilecek yeni bilgileri iletebilecekleri ve paylaşabilecekleri bir zemin oluşturur

BDS 240; denetim ekibi içinde yapılan müzakerede, hilenin nasıl meydana gelebileceği dâhil, işletmenin finansal tablolarının nasıl ve nerede hile kaynaklı önemli yanlışlıklara açık olabileceği konusuna özel önem verilmesini zorunlu kılmaktadır.²⁶

²⁶ BDS 240, 16 ncı paragraf

A43. Mesleki şüphecilik, müteakip denetimler dâhil olmak üzere, denetim kanıtlarının titiz bir biçimde değerlendirilmesi ve denetim ekibi içinde yapılan müzakerenin güçlü ve açık bir biçimde gerçekleştirilmesi için gereklidir ve “önemli yanlışlık” risklerinin daha iyi bir şekilde belirlenmesi ve değerlendirilmesini sağlayabilir. Yine bu müzakere sonucunda, denetçi mesleki şüpheciliğin özel önem arz ettiği belirli denetim alanlarını belirleyebilir ve bu alanlarla ilgili denetim prosedürlerinin uygulanmasına katılmak için denetim ekibindeki uygun becerilere sahip olan daha deneyimli üyelerin katılımı sağlanabilir.

Ölçeklenebilirlik

A44. Denetim, tek bir denetçi tarafından yürütüldüğünde, (diğer bir ifadeyle denetim ekibi içinde müzakere yapmak mümkün olmadığında), A42 ve A46 paragraflarında yer verilen konuların dikkate alınması, denetçinin nerelerde “önemli yanlışlık” riskleri olabileceğini belirlemesine yine de yardımcı olabilir.

A45. Denetim, topluluk finansal tablolarının denetiminde olduğu gibi geniş bir denetim ekibi tarafından yürütüldüğünde, denetim ekibi üyelerinin tamamının tek bir müzakerede hazır bulunması her zaman gerekli veya pratik olmadığı gibi (örneğin, birden fazla yerde yürütülen denetimlerde olduğu gibi), üyelerin tamamına müzakerelerde ulaşılan tüm sonuçlar hakkında bilgi verilmesi de gerekli değildir. Sorumlu denetçi, denetim ekibi içinde gerekli görülen iletişimin kapsamını dikkate alarak, konulan -uygun hâllerde- özel beceri veya bilgi sahibi olanlar veya topluluğa bağlı birimlerin denetiminden sorumlu olanlar dâhil olmak üzere denetim ekibinin kilit üyeleriyle müzakere edebilir; diğer kişilerle yapılacak müzakereleri de başkalarına devredebilir. Sorumlu denetçi tarafından onaylanan bir iletişim planının oluşturulması faydalı olabilir.

Geçerli Finansal Raporlama Çerçevesindeki Açıklamaların Müzakere Edilmesi

A46. Denetim ekibi tarafından yapılan müzakereler kapsamında geçerli finansal raporlama çerçevesindeki açıklama hükümlerinin dikkate alınması, geçerli finansal raporlama çerçevesinin yalnızca basitleştirilmiş açıklamalar öngördüğü durumlarda dahi, açıklamalarla bağlantılı “önemli yanlışlık” riski içerebilecek alanların denetimin başlangıç aşamasında belirlenmesine yardımcı olur. Denetim ekibinin müzakere edebileceği hususlar aşağıdakileri içerir:

• Finansal raporlama hükümlerindeki değişikliklerin, yeni ve önemli açıklamaların yapılması veya önemli açıklamaların revize edilmesiyle sonuçlanması,

• İşletmenin çevresindeki, finansal durumundaki veya faaliyetlerindeki değişikliklerin yeni ve önemli açıklamaların yapılması veya önemli açıklamaların revize edilmesiyle sonuçlanması. Örneğin; denetlenen dönemde gerçekleşen önemli bir iş birleşmesi,

• Önceki dönemlerde hakkında yeterli ve uygun denetim kanıtı elde edilmesinde zorluk yaşanan açıklamalar ve

• Hangi bilgilerin açıklanacağı hakkında yönetim tarafından önemli muhakemeler yapılanlar dâhil, karmaşık konulara ilişkin yapılan açıklamalar.

Kamu Sektörü İşletmelerine Özgü Hususlar

A47. Kamu sektöründe görev yapan denetçilerden oluşan bir denetim ekibi tarafından yapılan müzakerelerin bir parçası olarak, kamu sektörü işletmelerine ilişkin denetim yetki dayanağı veya yükümlülüklerinden doğabilecek daha kapsamlı amaçlar ve ilgili riskler de dikkate alınabilir.

İşletme ve Çevresi, Geçerli Finansal Raporlama Çerçevesi ve İşletmenin İç Kontrol Sistemi Hakkında Kanaat Edinilmesi (Bkz.: 19-27 nci paragraflar)

Ek 1 ila 6’da işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanat edinilmesiyle ilgili ilave hususlar yer almaktadır.

Kanaat Edinme Yükümlülüğünün Yerine Getirilmesi (Bkz.: 19-27 nci paragraflar)

A48. İşletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinilmesi; bilgilerin toplanması, güncellenmesini ve analiz edilmesini içeren dinamik, yinelenen ve denetim boyunca devam eden bir süreçtir. Dolayısıyla yeni bilgiler edinildikçe, denetçinin beklentileri değişebilir.

A49. Denetçinin işletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkındaki kanaati, önemli işlem sınıfı, hesap bakiyesi ve açıklama olabilecek işlem sınıfları, hesap bakiyeleri ve açıklamalar hakkındaki ilk beklentilerini geliştirmesine yardımcı olabilir. Önemli olması beklenen söz konusu işlem sınıfları, hesap bakiyeleri ve açıklamalar, denetçinin işletmenin bilgi sistemi hakkındaki kanaatinin kapsamı için dayanak oluşturur.

İşletme ve Çevresi ile Geçerli Finansal Raporlama Çerçevesi Hakkında Kanaat Edinilmesinin Zorunlu Kılınma Sebebi (Bkz.: 19-20 nci paragraflar)

A50. Denetçinin işletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkındaki kanaati, denetçinin işletme hakkındaki olay ve şartlar hakkında kanaat edinmesine ve geçerli finansal raporlama çerçevesi uyarınca finansal tabloların hazırlanmasında yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını ne şekilde ve ne ölçüde etkilediğini belirlemesine yardımcı olur. Bu tür bir bilgi, denetçinin “önemli yanlışlık” risklerini belirlediği ve değerlendirdiği bir referans çerçevesi oluşturur. Söz konusu referans çerçevesi, denetimi planlarken ve denetim boyunca aşağıdaki gibi durumlarda mesleki muhakemede bulunup mesleki şüpheciliği uygularken denetçiye yardımcı olur:

• BDS 315 veya ilgili diğer standartlar (örneğin, hile riskleriyle ilgili olarak BDS 240 veya muhasebe tahminleriyle ilgili risklerin belirlenmesi ve değerlendirilmesi durumunda BDS 540) uyarınca finansal tablolara ilişkin “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi,

• BDS 250 uyarınca finansal tablolar üzerinde önemli bir etkiye sahip olabilecek mevzuata ilişkin aykırılıkların tespit edilmesine yardımcı olacak prosedürlerin uygulanması,²⁷

• BDS 700 uyarınca finansal tablolarda yeterli açıklama yapılıp yapılmadığının değerlendirilmesi,²⁸

• BDS 320 uyarınca önemliliğin veya performans önemliliğinin belirlenmesi²⁹ veya

• Muhasebe politikalarının seçimi ve uygulanmasının uygunluğu ile finansal tablo açıklamalarının yeterli olup olmadığının değerlendirilmesi.

A51. Denetçinin işletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkında edindiği kanaat, denetçinin müteakip denetim prosedürlerini nasıl planladığı ve uyguladığı hakkında da -örneğin aşağıdakileri yerine getirirken bilgi sağlar:

• BDS 520 uyarınca analitik prosedürlerin uygulanmasında kullanılmak üzere beklentilerin geliştirilmesi,³⁰

• BDS 330 uyarınca yeterli ve uygun denetim kanıtının elde edilmesi için müteakip denetim prosedürlerinin tasarlanması ve uygulanması ve

• Elde edilen denetim kanıtlarının (örneğin, varsayımlarla veya yönetimin sözlü ve yazılı beyanlarıyla ilgili kanıtların) yeterli ve uygun olup olmadığının değerlendirilmesi.

²⁷ BDS 250, “Finansal Tabloların Bağımsız Denetiminde İlgili Mevzuatın Dikkate Alınması”, 14 üncü paragraf

²⁸ BDS 700, “Finansal Tablolara İlişkin Görüş Oluşturma ve Raporlama”, 13(d) paragrafı

²⁹ BDS 320, “Bağımsız Denetimin Planlanmasında ve Yürütülmesinde Önemlilik”, 10-11 inci paragraflar

³⁰ BDS 520, 5 inci paragraf

Ölçeklenebilirlik

A52. Denetçinin kanaat edinme yükümlülüğünün niteliği ve kapsamı; mesleki muhakemesinin konusudur ve işletmenin aşağıdakileri de içerecek şekilde niteliği ve içinde bulunduğu şartlara bağlı olarak işletmeden işletmeye farklılık gösterir:

• BT çevresi dâhil, işletmenin büyüklüğü ve karmaşıklığı,

• Denetçinin işletmeyle ilgili önceki deneyimleri,

• İşletmenin sistem ve süreçlerinin niteliği ile bunların resmileştirilmiş olup olmadığı ve

• İşletmenin belgelendirme niteliği ve biçimi.

A53. Denetçinin kanaat edinme yükümlülüğünün yerine getirilmesine yönelik risk değerlendirme prosedürleri, karmaşıklık düzeyi daha düşük işletmelerin denetiminde daha dar kapsamlı olabilirken, karmaşıklık düzeyi daha yüksek işletmelerin denetiminde daha geniş kapsamlı olabilir. Denetçinin edinmesi gereken kanaatin kapsamının, yönetimin işletmeyi yönetirken sahip olduğundan daha dar olması beklenir.

A54. Bazı finansal raporlama çerçeveleri, daha küçük işletmelerin, finansal tablolarında yer alan açıklamaları daha basit ve daha az ayrıntı içerecek şekilde sunmalarına izin vermektedir. Ancak bu husus, denetçinin, işletme ve çevresi ile işletme için geçerli olan geçerli finansal raporlama çerçevesi hakkında kanaat edinme yükümlülüğünü ortadan kaldırmaz.

A55. İşletmenin BT kullanımı ve BT çevresindeki değişikliklerin niteliği ve kapsamı, kanaat edinme yükümlülüğünün yerine getirilmesi için ihtiyaç duyulan uzmanlık becerilerini de etkileyebilir.

İşletme ve Çevresi (Bkz.: 19(a) paragrafı)

İşletmenin Organizasyon Yapısı, Ortaklık ve Üst Yönetim Yapısı ile İş Modeli (Bkz.: 19(a)(i) paragrafı)

İşletmenin organizasyon yapısı ve ortaklık yapısı

A56. İşletmenin organizasyon yapısına ve ortaklık yapısına ilişkin edinilen kanaat, denetçinin aşağıdaki gibi konulara ilişkin kanaat edinmesini sağlayabilir:

• İşletmenin yapısının karmaşıklığı.

Örnek:

İşletme tek bir işletme olabilir veya işletmenin yapısı birden fazla yerde bulunan bağlı ortaklıkları, bölümleri ya da topluluğa bağlı birimleri içerebilir. Ayrıca hukuki yapısı, işleyiş yapısından farklı olabilir. Karmaşık yapılar genellikle “önemli yanlışlık” risklerine daha fazla açıklığa sebep olabilecek etkenleri ortaya çıkarır. Bu tür konular; şerefiye, iş ortaklıkları, yatırımlar veya özel amaçlı işletmelerin uygun bir şekilde muhasebeleştirilip muhasebeleştirilmediği ve bu konulara ilişkin olarak finansal tablolarda yeterli açıklama yapılıp yapılmadığı hususlarını içerebilir.

• Ortaklık yapısı, işletme sahipleri ile -ilişkili taraflar dâhil- diğer işletmeler ve kişiler arasındaki ilişkiler. Bu kanaat, ilişkili taraf işlemlerinin uygun şekilde belirlenip belirlenmediğinin, muhasebeleştirilip muhasebeleştirilmediğinin ve finansal tablolarda yeterli bir şekilde açıklanıp açıklanmadığının belirlenmesine yardımcı olabilir.³¹

• İşletmenin sahipleri, üst yönetimden sorumlu olanlar ve yönetim arasındaki ayrım.

Örnek:

Karmaşıklık düzeyi daha düşük işletmelerde işletme sahipleri işletmenin yönetiminde görev alabilir, dolayısıyla sahiplerle yönetim arasında çok az fark vardır ya da hiç ayrım yoktur. Buna karşın, borsada işlem gören bazı işletmelerde olduğu gibi, yönetim, işletme sahipleri ve üst yönetimden sorumlu olanlar arasında net bir ayrım bulunabilir.³²

• İşletmenin BT çevresinin yapısı ve karmaşıklığı.

Örnekler:

Bir işletme:

• Çeşitli işlerde iyi entegre olmayan birden fazla eski BT sistemine sahip olabilir, bu durum ise karmaşık bir BT çevresine yol açabilir.

• BT çevresinin farklı yönleri için dış veya iç hizmet sağlayıcıları kullanıyor olabilir (örneğin, BT çevresine ilişkin barındırma hizmeti üçüncü bir taraftan tedarik ediliyor olabilir veya bir topluluk içinde BT süreçlerinin merkezden yönetimi için paylaşımlı bir hizmet merkezi kullanılıyor olabilir).

³¹ BDS 550, denetçinin ilişkili taraflarla ilgili değerlendirmeleri konusundaki hükümleri tesis eder ve rehberlik sağlar.

³² BDS 260, A1 ve A2 paragrafları yönetimden sorumlu olanların belirlenmesi konusunda rehberlik sağlar ve bazı durumlarda üst yönetimden sorumlu olanların bazılarının veya tamamının işletmenin yönetiminde görev alabileceğini açıklar.

Otomatik araç ve teknikler

A57. Denetçi, bilgi sistemini anlamaya yönelik uyguladığı prosedürlerin bir parçası olarak işlem akışlarını ve işleyişi anlamak için otomatik araç ve teknikler kullanabilir. Bu prosedürlerin bir sonucu olarak denetçi, işletmenin organizasyon yapısı veya işletmenin birlikte iş yaptığı taraflar (örneğin, satıcılar, müşteriler, ilişkili taraflar) hakkında kanaat edinebilir.

Kamu sektörü işletmelerine özgü hususlar

A58. Bir kamu sektörü işletmesinin ortaklık yapısı, özel sektördeki kadar ilgili olmayabilir, zira işletmeyle ilgili kararlar işletmeden ayrı olarak politik süreçler sonucunda veriliyor olabilir. Dolayısıyla, verilen bazı kararlar üzerinde yönetimin herhangi bir kontrolü bulunmayabilir. İlgili olabilecek konular arasında; işletmenin tek taraflı kararlar alma yeteneğinin ve diğer kamu sektörü işletmelerinin işletmenin görev ve yetkisi ile stratejik yönü üzerinde kontrol ya da nüfuz sahibi olma yeteneğinin anlaşılması yer alabilir.

Örnek:

Bir kamu sektörü işletmesi, stratejilerini ve hedeflerini uygulamadan önce kendisi dışındaki bir tarafa onaylatmasını gerektiren bir mevzuata tabi olabilir. Dolayısıyla, işletmenin hukuki yapısının anlaşılmasıyla ilgili konular, tabi olunan mevzuatı ve işletmenin ait olduğu sınıflandırmayı (diğer bir ifadeyle; işletmenin bir bakanlık, departman, ajans ya da başka türdeki bir işletme olmasını) içerebilir.

Üst Yönetim

Denetçinin üst yönetim hakkında kanaat edinme sebebi

A59. İşletmenin üst yönetimini anlamak, iç kontrol sistemine ilişkin olarak işletmenin uygun bir gözetim gerçekleştirme kabiliyeti hakkında kanaat edinmesi konusunda denetçiye yardımcı olabilir. Ancak bu kanaat, eksikliklere ilişkin kanıt da sağlayabilir. Böyle bir durum ise işletmenin finansal tablolarının “önemli yanlışlık” risklerine olan açıklığında bir artışı gösteriyor olabilir.

İşletmenin üst yönetimi hakkında kanaat edinmek

A60. Denetçinin, işletmenin üst yönetimi hakkında kanaat edinirken dikkate alabileceği ihtiyaca uygun konular aşağıdakileri içerir:

• Üst yönetimden sorumlu olanların tamamının veya bazılarının işletme yönetiminde icrâî nitelikte görevler üstlenip üstlenmediği.

• İcrâî görevi bulunan yönetimin yanı sıra icrâî sorumluluğu bulunmayan bir kurulun varlığı (ve ayrı şekilde bulunması).

• Üst yönetimden sorumlu olanların işletmenin hukuki yapısının ayrılmaz bir parçası olan bir pozisyonda (müdür gibi) bulunup bulunmadığı.

• Üst yönetimden sorumlu olanların -denetim komitesi gibi- bir alt grubunun olup olmadığı ve varsa grubun sorumlulukları.

• Üst yönetimden sorumlu olanların, finansal tablolara onaylanması dâhil, finansal raporlamanın gözetimine ilişkin sorumlulukları.

İşletmenin İş Modeli

Ek 1’de işletme ve işletmenin iş modeli hakkında kanaat edinmekle ilgili ilave hususlar ile özel amaçlı işletmelerle ilgili ilave hususlar yer almaktadır.

Denetçinin işletmenin iş modeli hakkında kanaat edinme sebebi

A61. İşletmenin amaçları, stratejisi ve iş modeli hakkında kanaat edinmek, işletmeyi stratejik bir düzeyde tanıma ve işletmenin iş hayatına ilişkin aldığı ve karşılaştığı riskleri anlama konusunda denetçiye yardımcı olur. İş hayatına ilişkin çoğu riskin finansal sonuçlan olduğundan ve dolayısıyla bu riskler finansal tabloları etkilediğinden, finansal tablolar üzerinde etkisi bulunan iş hayatına ilişkin riskler hakkında kanaat edinilmesi, “önemli yanlışlık” risklerini belirleme konusunda denetçiye yardımcı olur.

Örnekler:

İşletmenin iş modeli, farklı şekillerde BT kullanımına dayalı olabilir:

• İşletme fiziki bir mağazadan ayakkabı satışı yapmaktadır ve ayakkabı satışlarını kayıt altına almak için gelişmiş stok ve satış noktası sistemi kullanmaktadır veya

• İşletme; işlemlerin internet sitesi aracılığıyla başlatılması dâhil, tüm işlemlerin bir BT çevresinde işlendiği, internet sitesi üzerinden ayakkabı satışı yapmaktadır.

Her iki işletme de ayakkabı satmakla birlikte, birbirinden önemli ölçüde farklılık arz eden iş modellerinden ötürü, iş hayatına ilişkin riskleri de önemli ölçüde farklı olabilmektedir.

İşletmenin iş modeli hakkında kanaat edinmek

A62. İş modelinin bazı yönleri denetçinin edineceği kanaat açısından ilgili değilken bazı yönleri ilgilidir İş hayatına ilişkin riskler, “önemli yanlışlık” riskini de içermekle birlikte, finansal tablolardaki “önemli yanlışlık” riskinden daha kapsamlıdır. İş hayatına ilişkin risklerin tümü “önemli yanlışlık” risklerine sebep olmadığı için denetçinin iş hayatına ilişkin tüm riskleri belirleme veya bunlara ilişkin kanaat edinme sorumluluğu bulunmamaktadır.

A63. “Önemli yanlışlık” riskine olan açıklığı artıran iş hayatına ilişkin riskler aşağıdakilerden kaynaklanabilir:

• Uygun olmayan amaçlar veya stratejiler, stratejilerin etkin olmayan bir şekilde yürütülmesi ya da değişim veya karmaşıklık.

• Değişim ihtiyacının dikkate alınmaması da aşağıdaki gibi durumlardan kaynaklanan iş hayatına ilişkin risklere sebep olabilir:

o Başarısızlıkla sonuçlanabilecek ürün veya hizmetlerin geliştirilmesi,

o Başarılı biçimde geliştirilmiş olsa bile bir ürün veya hizmet için yetersiz piyasanın bulunması ya da

o Hukuki bir yükümlülük veya ticari itibar riski doğurabilecek ürün veya hizmet hataları.

• Kasıtlı veya kasıtsız olarak yönetimin taraflılığına neden olabilecek ve dolayısıyla önemli varsayımların ve yönetim veya üst yönetimden sorumlu olanların beklentilerinin makullüğünü etkileyebilecek, yönetim üzerindeki teşvik ve baskılar.

A64. İşletmenin iş modeli, amaçları, stratejileri ve finansal tablolarda “önemli yanlışlık” riskine sebep olabilecek iş hayatına ilişkin riskler hakkında kanaat edinirken denetçinin dikkate alabileceği hususlara örnek olarak aşağıdakiler verilebilir:

• Endüstrideki gelişmeler, örneğin işletmenin endüstrideki değişimleri takip edecek kadar personele veya uzmanlığa sahip olmaması,

• Daha fazla yükümlülüğe neden olabilecek yeni ürün ve hizmetler,

• İşletmenin işinin genişlemesi ve talebin doğru bir biçimde tahmin edilememesi,

• Eksik veya yanlış uygulamaların yapıldığı yeni muhasebe yükümlülükleri,

• Yasal zorunlulukların artmasına neden olan, mevzuattan kaynaklanan yükümlülükler,

• Cari ve ileriye yönelik finansman ihtiyaçları, örneğin işletmenin yükümlülükleri karşılayamaması sebebiyle ortaya çıkan finansman kaybı,

• BT kullanımı, örneğin hem faaliyetleri hem de finansal raporlamayı etkileyecek yeni bir BT sisteminin uygulanması,

• Bir stratejiyi uygulamanın etkileri, özellikle de yeni muhasebe yükümlülüklerine yol açacak her türlü etki.

A65. İş hayatına ilişkin riskleri genellikle yönetim belirler ve bunları ele alan yaklaşımlar geliştirir. Bu tür bir risk değerlendirme süreci, işletmenin iç kontrol sisteminin bir parçasıdır ve 22 nci paragraf ile A109-A113 paragraflarında ele alınmaktadır.

Kamu sektörü işletmelerine özgü hususlar

A66. Kamu sektöründe faaliyet gösteren işletmeler, sahipleri için servet oluşturan işletmelerden farklı biçimlerde değer oluşturabilir ve sunabilir, ancak yine de belirli amacı olan bir iş modeline sahiptir. Kamu sektöründe görev yapan denetçilerin işletmenin iş modeliyle ilgili kanaat edinebileceği konular aşağıdakileri içerir:

• İlgili programlar dâhil, ilgili kamu faaliyetlerine ilişkin bilgiler.

• Kamu politikası unsurları dâhil, program amaçları ve stratejileri.

A67. Kamu sektörü işletmelerinin denetiminde “yönetim amaçları”, kamusal hesap verilebilirliği ortaya koyma yükümlülüklerinden etkilenebilir ve mevzuattan kaynaklanan amaçları içerebilir.

Sektör, Mevzuat/Düzenlemeler ve Diğer Dış Etkenler (Bkz.: 19(a)(ii) paragrafı)

Sektöre ilişkin etkenler

A68. Sektöre ilişkin ilgili etkenler, rekabetçi çevre, müşteri ve tedarikçi ilişkileri ile teknolojik gelişmeler gibi sektör şartlarını içerir. Denetçinin dikkate alabileceği hususlar aşağıdakileri içerebilir:

• Talep, kapasite ve fiyat rekabeti dâhil, piyasa ve rekabet.

• Konjonktürel veya sezonluk faaliyetler.

• İşletmenin ürünlerine ilişkin ürün teknolojisi.

• Enerji arzı ve maliyeti.

A69. İşletmenin faaliyet gösterdiği sektör, işin niteliğinden veya mevzuattan kaynaklanan belirli “önemli yanlışlık” risklerine sebep olabilir.

Örnek:

İnşaat sektöründe uzun vadeli sözleşmeler, “önemli yanlışlık” risklerine sebep olan önemli hasılat ve gider tahminleri içerebilir. Bu tür durumlarda, denetim ekibinde yeterli bilgi ve deneyime sahip kişilerin yer alması önemlidir.³³

³³ BDS 220, 14 üncü paragraf

Mevzuata ilişkin etkenler

A70. Mevzuata ilişkin etkenler düzenleyici çevreyi içerir. Düzenleyici çevre, diğer hususların yanı sıra geçerli finansal raporlama çerçevesini, yasal ve siyasi ortamı ve bunlarda meydana gelen değişiklikleri kapsar. Denetçinin dikkate alabileceği hususlar aşağıdakileri içerir:

• Belirli düzenlemelere tabi bir endüstriye ilişkin mevzuat, örneğin, ilgili açıklamalar dâhil, ihtiyati yükümlülükler.

• İşletmenin faaliyetlerini önemli ölçüde etkileyen mevzuat, örneğin, iş hukuku.

• Vergi mevzuatı.

• Kambiyo kontrolleri, mali ve finansal teşvikler (örneğin, devlet desteği programları) dâhil para politikaları, gümrük vergileri veya ticareti sınırlandıran politikalar gibi işletmenin faaliyetlerini etkileyen cari hükümet politikaları.

• Sektörü ve işletmenin faaliyetlerini etkileyen çevresel yükümlülükler.

A71. BDS 250, işletme veya işletmenin faaliyet gösterdiği endüstri veya sektör için geçerli olan mevzuata ilişkin bazı özel hükümler içerir.³⁴

³⁴ BDS 250, 13 üncü paragraf

Kamu sektörü işletmelerine özgü hususlar

A72. Kamu sektörü işletmelerinin denetimlerinde, işletmenin faaliyetlerini etkileyen mevzuat bulunabilir. Bu unsur, işletme ve çevresi hakkında kanaat edinirken dikkate alınması gereken bir husus olabilir.

Diğer dış etkenler

A73. Genel ekonomik şartlar, faiz oranları, finansman kaynaklarına erişebilirlik, enflasyon veya para biriminin değerinin değişmesi, işletmeyi etkileyen ve denetçinin dikkate alabileceği diğer dış etkenlerdendir.

Yönetimin İşletmenin Finansal Performansını Değerlendirmek İçin Kullandığı Ölçümler (Bkz.: 19(a)(iii) paragrafı)

Denetçinin, yönetimin kullandığı ölçümler hakkında kanaat edinme sebebi

A74. İşletmenin ölçümleri hakkında kanaat edinmek, iç veya dış ölçümlerin işletme üzerinde performans hedeflerine ulaşma yönünde baskı yaratıp yaratmadığını değerlendirmesi konusunda denetçiye yardımcı olur. Bu baskılar yönetimi, yönetimin taraflılığından veya hileden kaynaklanan önemli yanlışlığa olan açıklığı artıran eylemlerde bulunmaya (örneğin, faaliyet performansını iyileştirmeye veya finansal tablolarda kasıtlı olarak yanlışlık yapmaya) sevk edebilir (hile riskleriyle ilgili hükümler ve rehberlik için BDS 240’a bakınız).

A75. Ölçümler denetçiye, ilgili finansal tablo bilgilerinin “önemli yanlışlık” riski içerebileceğine de işaret edebilir. Örneğin, performans ölçümleri, aynı endüstrideki diğer işletmelerle karşılaştırıldığında, işletme büyüklüğünün veya kârlılığının olağan dışı ve hızlı bir şekilde arttığını gösterebilir.

Yönetim tarafından kullanılan ölçümler

A76. Yönetim ve işletmedeki diğer kişiler, önemli olduğunu düşündükleri hususları ölçer ve gözden geçirirler. Yönetimin sorgulanması, finansal performansın değerlendirilmesinde ve adımların atılmasında yönetimin bazı kilit göstergeleri -kamuoyuyla paylaşılmış olsun veya olmasın- esas aldığını ortaya koyabilir. Bu tür durumlarda denetçi, işletmenin faaliyetlerini yönetmek için kullandığı bilgiyi dikkate alarak, ilgili iç veya dış performans ölçümlerini belirleyebilir. Bu tür bir sorgulama performans ölçümü veya gözden geçirmenin olmadığına işaret ediyorsa, yanlışlıkların tespit edilmeyerek düzeltilmeme riski yüksek olabilir.

A77. Finansal performansın değerlendirilmesinde kullanılan kilit göstergeler aşağıdakileri içerebilir:

• Kilit performans göstergeleri (finansal ve finansal olmayan) ile temel finansal oranlar, eğilimler ve faaliyet istatistikleri.

• Dönem bazlı finansal performans analizleri.

• Bütçeler, tahminler, varyans analizleri, bölüm bilgileri ile işletme içindeki birimler ve diğer seviyelerdeki performans raporları.

• Çalışanlara ilişkin performans ölçümleri ve teşvik primi politikaları.

• İşletmenin performansının rakipleriyle karşılaştırılması.

Ölçeklenebilirlik (Bkz.: 19(a)(iii) paragrafı)

A78. İşletmenin ölçümleri hakkında kanaat edinmek için uygulanan prosedürler işletmenin büyüklüğü veya karmaşıklığının yanı sıra işletme sahipleri veya üst yönetimden sorumlu olanların işletme yönetimine katılımına göre farklılık gösterebilir.

Örnekler:

• Karmaşıklık düzeyi daha düşük olan bazı işletmeler için, işletmenin bankaya olan borçlarının (banka sözleşmelerinin) şartları, işletmenin performansı veya finansal durumuyla ilgili (azami işletme sermayesi tutan gibi) belirli performans ölçümleriyle bağlantılı olabilir. Denetçinin banka tarafından kullanılan performans ölçümlerine ilişkin kanaat edinmesi, “önemli yanlışlık” risklerine olan açıklığın nerelerde arttığını belirlemesine yardımcı olabilir.

• Sigortacılık veya bankacılık sektörlerinde faaliyet gösteren işletmeler gibi nitelik ve şartları daha karmaşık olan bazı işletmeler için, performans veya finansal durum, düzenleyici hükümlere göre (örneğin, sermaye yeterliliği ve likidite oranları performans ölçümleri gibi mevzuattan kaynaklanan oranlara göre) ölçülebilir. Denetçinin söz konusu performans ölçümlerine ilişkin kanaat edinmesi, “önemli yanlışlık” risklerine olan açıklığın nerelerde arttığını belirlemesine yardımcı olabilir.

Diğer hususlar

A79. Özellikle finansal bilgileri kamuoyuna açık olan işletmelerde işletmenin finansal performansı işletme dışındaki taraflarca da gözden geçirilebilir ve analiz edilebilir. İş hayatına ilişkin ilave kanaat edinmek veya çelişkili bilgileri belirlemek amacıyla denetçi, aşağıdakilerden elde edilen bilgiler gibi kamuoyuna açık bilgileri de dikkate alabilir:

• Analistler veya kredi kuruluşları.

• Sosyal medya dâhil, haber kuruluşları ile diğer medya organları.

• Vergi otoriteleri.

• Düzenleyici kuruluşlar.

• Sendikalar.

• Finansman sağlayıcılar.

Bu tür finansal bilgiler, genellikle denetlenen işletmeden elde edilebilir.

A80. Amaçları birbiriyle örtüşebilir olsa bile, finansal performansın ölçümü ve gözden geçirilmesi, iç kontrol sisteminin izlenmesiyle aynı anlama gelmemektedir (iç kontrol sisteminin izlenmesi, A114-A122 paragraflarında iç kontrol sisteminin bir bileşeni olarak ele alınmıştır):

• Performansın ölçümü ve gözden geçirilmesi, iş performansının yönetim tarafından (veya üçüncü taraflarca) belirlenen hedefleri karşılayıp karşılamadığını tespit etmeye yöneliktir.

• Bunun aksine, iç kontrol sisteminin izlenmesi, yönetimin finansal performansı ölçmesi ve gözden geçirmesiyle ilgili olanlar dâhil olmak üzere, kontrollerin etkinliğinin izlenmesiyle ilgilenir.

Bununla birlikte bazı durumlarda, performans göstergeleri yönetimin kontrol eksikliklerini belirlemesine yardımcı olacak bilgiler de sağlar.

Kamu sektörü işletmelerine özgü hususlar

A81. Kamu sektöründe görev yapan denetçiler, işletmenin finansal performansını değerlendirmek için kamu sektörü işletmesi tarafından kullanılan ilgili ölçümleri dikkate almanın yanı sıra, kamu yararına olan sonuçlara ulaşılması gibi finansal olmayan bilgileri de (belirli bir program çerçevesinde yardım edilen kişi sayısı gibi) dikkate alabilir.

Geçerli Finansal Raporlama Çerçevesi (Bkz.: 19(b) paragrafı)

Geçerli Finansal Raporlama Çerçevesi ile İşletmenin Muhasebe Politikaları Hakkında Kanaat Edinmek

A82. İşletmenin geçerli finansal raporlama çerçevesi ile bunun işletme ve çevresinin niteliği ve içinde bulunduğu şartlar bağlamında nasıl uygulandığı hakkında kanaat edinirken denetçinin dikkate alabileceği hususlar aşağıdakileri içerir:

• Geçerli finansal raporlama çerçevesi uyarınca finansal raporlama, örneğin:

o Finansal tablolardaki endüstriye özgü önemli işlem sınıfları, hesap bakiyeleri ve ilgili açıklamalar için (örneğin, bankalar için krediler ve yatırımlar veya tıbbi üretim yapan işletmeler için araştırma ve geliştirme) endüstriye özgü muhasebe ilkeleri ve endüstriye özgü uygulamalar.

o Hasılatın finansal tablolara alınması.

o İlgili kredi zararları dâhil, finansal araçların muhasebeleştirilmesi.

o Yabacı para cinsinden varlık, yükümlülük ve işlemler.

o İhtilaflı veya yeni ortaya çıkmakta olan alanlar (örneğin, kripto para biriminin muhasebeleştirilmesi) dâhil, olağandışı veya karmaşık işlemlerin muhasebeleştirilmesi.

• Muhasebe politikalarında yapılan değişiklikler ve bu değişikliklerin sebepleri dâhil, işletmenin muhasebe politikaları seçimi ve uygulaması hakkında edinilen kanaat aşağıdaki gibi hususları içerebilir:

o İşletmenin önemli ve olağandışı işlemleri finansal tablolara almak, ölçmek, sunmak ve açıklamak için kullandığı yöntemler.

o Resmi bir düzenlemenin veya görüş birliğinin bulunmadığı ihtilaflı veya yeni ortaya çıkmakta olan alanlardaki önemli muhasebe politikalarının etkisi.

o İşletmenin muhasebe politikalarında değişikliğe gidilmesini gerektiren; geçerli finansal raporlama çerçevesindeki değişiklikler veya vergi reformları gibi çevresel değişiklikler.

o İşletme için yeni olan finansal raporlama standartları ve mevzuat ile işletmenin bu tür yükümlülükleri ne zaman veya nasıl uygulamaya başlayacağı ve bunlara nasıl uygunluk sağlayacağı.

A83. İşletme ve çevresi hakkında kanaat edinmek, işletmenin finansal raporlama sürecinde (örneğin, önceki dönemlerden bu yana) nerelerde değişiklik beklenebileceğini değerlendirmesinde denetçiye yardımcı olabilir.

Örnek:

İşletmenin dönem içinde önemli bir iş birleşmesi yapmış olması hâlinde muhtemelen denetçi, söz konusu iş birleşmesiyle ilgili işlem sınıflarında, hesap bakiyelerinde ve açıklamalarda değişiklik meydana gelmesini bekler. Diğer taraftan, dönem içinde geçerli finansal raporlama çerçevesinde önemli bir değişiklik olmaması hâlinde, denetçinin edindiği kanaat, önceki dönemlerde edinilen kanaatin halen geçerli olduğunun doğrulanmasına yardımcı olabilir.

Kamu sektörü işletmelerine özgü hususlar

A84. Bir kamu sektörü işletmesinin geçerli finansal raporlama çerçevesi, bağlı bulunduğu ülke düzenlemeleri tarafından belirlenir. İşletmenin geçerli finansal raporlama yükümlülüklerini uygulaması ile bunun işletme ve çevresinin niteliği ve içinde bulunduğu şartlar bağlamında nasıl uygulandığı hususunda dikkate alınabilecek konular arasında işletmenin, Uluslararası Kamu Sektörü Muhasebe Standartları uyarınca tam tahakkuk esası veya nakit esası ya da bu iki esasın karmasından hangisini uyguladığı da bulunur.

Yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını ne şekilde etkilediği (Bkz.: 19(c) paragrafı)

Ek 2’de yapısal risk faktörüne göre sınıflandırılmış, “önemli yanlışlık” riskinin oluşmasına neden olabilecek olay ve şartlara ilişkin örnekler yer almaktadır.

Denetçinin işletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkında kanaat edinmesi sırasında yapısal risk faktörlerine ilişkin kanaat edinme sebebi

A85. İşletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkında kanaat edinmek, denetçinin işlem sınıfları, hesap bakiyeleri veya açıklamalara ilişkin yönetim beyanlarının yanlışlığa olan açıldığını etkileyecek özellikteki olay veya şartları belirlemesine yardımcı olur. Bu özellikler yapısal risk faktörleridir. Yapısal risk faktörleri, bir yanlışlığın meydana gelme ihtimalini veya meydana gelmesi durumunda söz konusu yanlışlığın büyüklüğünü etkilemek suretiyle yönetim beyanlarının yanlışlığa olan açıklığını etkileyebilir. Yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını ne şekilde etkilediğine ilişkin kanaat edinmek, denetçinin yanlışlık ihtimaline veya yanlışlığın büyüklüğüne ilişkin ön kanaat edinmesine yardımcı olur ve bu ön kanaat, denetçinin 28(b) paragrafına uygun olarak yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlemesine yardımcı olur. Yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını ne ölçüde etkilediğine ilişkin kanaat edinmek, denetçinin 31 (a) paragrafı uyarınca yapısal riski değerlendirmesi sırasında muhtemel bir yanlışlığın ihtimalini ve büyüklüğünü değerlendirmesine de yardımcı olur. Buna göre, yapısal risk faktörlerine ilişkin kanaat edinmek, denetçiye müteakip denetim prosedürlerini tasarlama ve uygulama konusunda da yardımcı olabilir.

A86. Denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlemesi ve yapısal riski değerlendirmesi, denetçinin diğer risk değerlendirme prosedürlerini ve müteakip denetim prosedürlerini uygularken ya da BDS’ler tarafından zorunlu kılınan diğer yükümlülükleri yerine getirirken (Bkz.: A95, A103, A111, A121, A124 ve A151 paragrafları) elde ettiği denetim kanıtlarından da etkilenebilir.

Yapısal risk faktörlerinin bir işlem sınıfı, hesap bakiyesi veya açıklama üzerindeki etkisi

A87. Bir işlem sınıfı, hesap bakiyesi veya açıklamanın karmaşıklık veya subjektiflikten kaynaklanan yanlışlığa ne kadar açık olduğu, çoğunlukla söz konusu işlem sınıfı, hesap bakiyesi veya açıklamanın değişim veya belirsizliğe ne ölçüde maruz kaldığıyla yakından ilgilidir.

Örnek:

İşletmenin, (seçimi önemli bir muhakemeye tabi olan) varsayımlara dayalı bir muhasebe tahmininin olması durumunda, muhasebe tahmininin ölçümü hem subjektiflik hem de belirsizlikten etkilenebilecektir.

A88. Bir işlem sınıfı, hesap bakiyesi veya açıklamanın karmaşıklık veya subjektiflik nedeniyle yanlışlığa olan açıldığı ne kadar fazlaysa, denetçinin de mesleki şüphecilik içerisinde hareket etme ihtiyacı o denli yüksek olacaktır. Ayrıca bir işlem sınıfı, hesap bakiyesi veya açıklama karmaşıklık, subjektiflik, değişim veya belirsizlik nedeniyle yanlışlığa açık olduğunda, söz konusu yapısal risk faktörleri, kasıtlı olsun veya olmasın, yönetimin taraflılığı için fırsat oluşturabilir ve yönetimin taraflılığı nedeniyle yanlışlığa olan açıklığı etkiler. Denetçinin “önemli yanlışlık” risklerini belirlemesi ve yönetim beyanı düzeyinde yapısal riske ilişkin değerlendirmesi de yapısal risk faktörlerinin birbirleriyle olan ilişkisinden etkilenir.

A89. Yönetimin taraflılığı nedeniyle yanlışlığa olan açıklığı etkileme ihtimali bulunan olay veya şartlar, diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklığı da etkileyebilir. Buna göre bu bilgi, denetçinin diğer risk değerlendirme prosedürlerinden ve yürütülen ilgili çalışmalardan elde edilen bilgilerin, bir veya daha fazla hile riski faktörünün varlığına işaret edip etmediğini değerlendirmesini zorunlu kılan BDS 240’ın 24 üncü paragrafı uyarınca kullanılacak ihtiyaca uygun bir bilgi olabilir.

İşletmenin İç Kontrol Sistemi Hakkında Kanaat Edinilmesi (Bkz.: 21-27 nci paragraflar)

Ek 3’de işletmenin iç kontrol sisteminin niteliği ile iç kontrolün yapısal kısıtlamaları daha ayrıntılı şekilde belirtilmektedir. Ek 3’de aynı zamanda BDS’lerin amaçları bakımından iç kontrol sisteminin bileşenlerine ilişkin ilave açıklamalar yer almaktadır.

A90. Denetçinin işletmenin iç kontrol sistemi hakkındaki kanaati, 21 ila 27 nci paragraflarda belirtilen iç kontrol sisteminin bileşenlerinin her birini anlamak ve değerlendirmek için uygulanan risk değerlendirme prosedürleri vasıtasıyla edinilir.

A91. Bu BDS’nin amaçları bakımından işletmenin iç kontrol sisteminin bileşenleri, bir işletmenin iç kontrol sistemini nasıl tasarladığını, uyguladığını, sürdürdüğünü veya belirli bir bileşeni nasıl sınıflandırdığını yansıtmayabilir. İşletmeler iç kontrol sisteminin farklı yönlerini açıklamak için farklı terminoloji veya çerçeveler kullanabilir. Denetimin amaçları bakımından denetçiler de bu BDS’de belirtilen tüm bileşenleri ele almak kaydıyla farklı terminoloji veya çerçeveler kullanabilirler.

Ölçeklenebilirlik

A92. İşletmenin iç kontrol sistemini tasarlama, uygulama ve sürdürme şekli işletmenin büyüklüğüne ve karmaşıklığına göre farklılık gösterir. Örneğin karmaşıklık düzeyi daha düşük olan işletmeler, amaçlarına ulaşmak için daha az yapılandırılmış veya daha basit kontroller (diğer bir ifadeyle politika ve prosedürler) kullanabilir.

Kamu sektörü işletmelerine özgü hususlar

A93. Kamu sektöründe görev yapan denetçilerin genellikle iç kontrole ilişkin (belirlenmiş uygulama kurallarına uygunluğun raporlanması veya harcamaların bütçeye göre raporlanması gibi) ilâve sorumlulukları bulunur. Ayrıca, kamu sektöründe görev yapan denetçilerin mevzuata uygunluk hakkında raporlama yapma sorumluluğu da bulunabilir. Sonuç olarak, kamu sektöründe görev yapan denetçilerin iç kontrolü gözden geçirmesi daha kapsamlı ve ayrıntılı olabilir.

İşletmenin İç Kontrol Sistemi Bileşenlerinde Bilgi Teknolojileri

Ek 5, işletmenin iç kontrol sistemi bileşenlerinde BT kullanımına ilişkin kanaat edinilmesi konusunda ilave rehberlik sağlamaktadır.

A94. Bir denetimin genel amacı ve kapsamı, işletmenin, ağırlıklı olarak manuel bir çevrede, tamamıyla otomatik bir çevrede veya manuel ve otomatik unsurların bileşiminden oluşan bir çevrede (diğer bir ifadeyle, işletmenin iç kontrol sisteminde manuel ve otomatik kontroller ve diğer kaynaklar kullanılmaktadır) faaliyet göstermesine göre farklılık göstermez.

İşletmenin İç Kontrol Sisteminin Bileşenlerinin Niteliği Hakkında Kanaat Edinmek

A95. Kontrollerin tasarım etkinliğini ve bu kontrollerin uygulanıp uygulanmadığını değerlendirirken (Bkz.: A175-A181 paragrafları) denetçinin işletmenin iç kontrol sistemi bileşenlerinin her biri hakkında edindiği kanaat, işletmenin iş hayatına ilişkin riskleri ve bunlara nasıl karşılık verdiği konusunda bir ön kanaat teşkil eder. Söz konusu ön kanaat, aynı zamanda denetçinin “önemli yanlışlık” risklerini belirlemesini ve değerlendirmesini de farklı şekillerde etkileyebilir (Bkz.: A86 paragrafı). Denetçinin, kontrollerin işleyiş etkinliğini test etmeye yönelik planları dâhil olmak üzere, müteakip denetim prosedürlerini tasarlamasına ve uygulamasına yardımcı olur. Örneğin:

• Denetçinin işletmenin kontrol çevresi, işletmenin risk değerlendirme süreci ve işletmenin kontrol bileşenlerini izleme süreci hakkındaki kanaatinin finansal tablo düzeyindeki “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesini etkilemesi daha muhtemeldir.

• Denetçinin işletmenin bilgi sistemi ve iletişimi ile işletmenin kontrol faaliyetleri bileşeni hakkındaki kanaatinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesini etkilemesi daha muhtemeldir.

Kontrol Çevresi, İşletmenin Risk Değerlendirme Süreci ve İşletmenin İç kontrol Sistemini İzleme Süreci (Bkz.: 21-24 üncü paragraflar)

A96. Kontrol çevresindeki kontroller, işletmenin risk değerlendirme süreci ve işletmenin iç kontrol sistemini izleme süreci esasen dolaylı kontrollerdir (diğer bir ifadeyle, yönetim beyanı düzeyindeki yanlışlıkları önlemek, tespit etmek veya düzeltmek için yeterince açık olmayan, fakat diğer kontrolleri destekleyen ve böylelikle bir yanlışlığın zamanında tespit edilme veya önlenme ihtimali üzerinde dolaylı etkisi olan kontrollerdir). Ancak, bu bileşenler içindeki bazı kontroller ayrıca doğrudan kontroller de olabilir.

Denetçinin kontrol çevresi, işletmenin risk değerlendirme süreci ve işletmenin iç kontrol sistemini izleme süreci hakkında kanaat edinmesinin zorunlu kılınma sebebi

A97. Kontrol çevresi, diğer iç kontrol sistemi bileşenlerinin işlemesi için genel bir zemin oluşturur. Kontrol çevresi, yanlışlıkları doğrudan önlemez, tespit etmez ve düzeltmez ancak iç kontrol sisteminin diğer bileşenlerindeki kontrollerin etkinliğini etkileyebilir. Benzer şekilde, işletmenin risk değerlendirme süreci ve iç kontrol sistemini izleme süreci, aynı zamanda iç kontrol sisteminin bütününü destekleyecek şekilde işlemek üzere tasarlanmıştır.

A98. Söz konusu bileşenler işletmenin iç kontrol sisteminin zeminini oluşturacak mahiyette olduğu için bu bileşenlerin işleyişindeki herhangi bir eksikliğin finansal tabloların hazırlanmasında yaygın bir etkisi olabilir. Bu nedenle, denetçinin bu bileşenlere ilişkin kanaat ve değerlendirmeleri, denetçinin finansal tablo düzeyindeki “önemli yanlışlık” risklerini belirlemesini ve değerlendirmesini etkiler, ayrıca yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesini de etkileyebilir. Finansal tablo düzeyindeki “önemli yanlışlık” riskleri, denetçinin bu risklere yönelik yapacağı genel işlerin (vereceği genel karşılığın) tasarımını etkiler, aynı zamanda bu risklerin BDS 330’da açıklandığı üzere denetçinin uygulayacağı müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamı üzerinde de etkisi bulunmaktadır³⁵.

³⁵ BDS 330, A1-A3 paragrafları

Kontrol çevresi hakkında kanaat edinmek (Bkz.: 21 inci paragraf)

Ölçeklenebilirlik

A99. Karmaşıklık düzeyi daha düşük olan işletmelerdeki kontrol çevresinin niteliği, karmaşıklık düzeyi daha yüksek olan işletmelerdekinden farklı olabilir. Örneğin, karmaşıklık düzeyi daha düşük olan işletmelerde, üst yönetimden sorumlu olanlar arasında bağımsız veya işletme dışından bir üye bulunmayabilir. Ayrıca, başka ortakların bulunmadığı ve sahibi tarafından yönetilen işletmelerde, üst yönetim görevi doğrudan işletmenin sahibi olan yönetici tarafından üstlenilmiş olabilir. Buna göre, işletmenin kontrol çevresiyle ilgili bazı hususlar daha az ihtiyaca uygun olabilir veya uygulanabilir olmayabilir.

A100. Ayrıca, karmaşıklık düzeyi daha düşük olan işletmelerde kontrol çevresi unsurlarına ilişkin denetim kanıtları -özellikle yönetim ile diğer personel arasındaki iletişimin gayri resmi olduğu durumlarda- yazılı biçimde bulunmayabilir, ancak içinde bulunulan şartlar çerçevesinde denetim kanıtlan yine de ihtiyaca uygun ve güvenilir olabilir.

Örnekler:

• Karmaşıklık düzeyi daha düşük olan bir işletmede organizasyon yapısı muhtemelen daha basit olacak ve finansal raporlamayla ilgili görevleri yerine getirecek az sayıda çalışan bulunacaktır.

• Üst yönetim görevinin doğrudan işletmenin sahibi olan yönetici tarafından üstlenilmiş olması durumunda, denetçi üst yönetimden sorumlu olanların bağımsızlığı hususunun ihtiyaca uygun olmadığına karar verebilir.

• Karmaşıklık düzeyi daha düşük olan işletmelerde yazılı iş ahlâkı kuralları bulunmayabilir, bunun yerine, sözlü iletişim ve yönetimin örnek teşkil etmesi yoluyla dürüstlük ve etik davranışın önemini vurgulayan bir kültür geliştirilmiş olabilir. Sonuç olarak, denetçinin karmaşıklık düzeyi daha düşük olan işletmelerin kontrol çevresi hakkında kanaat edinilmesi açısından, yönetimin veya işletmenin sahibi olan yöneticinin tutumu, farkındalığı ve eylemleri özel önem taşır.

Kontrol çevresi hakkında kanaat edinmek (Bkz.: 21 (a) paragrafı)

A101. Denetçinin kontrol çevresi hakkında kanaat edinmesi açısından denetim kanıtları, sorgulamalar ve diğer risk değerlendirme prosedürlerinin birlikte uygulanması yoluyla (diğer bir ifadeyle, gözlem veya belgelerin tetkik edilmesi suretiyle yapılan destekleyici sorgulamalarla) elde edilebilir.

A102. Denetçi, yönetimin dürüstlük ve etik değerlere ne düzeyde bağlılık gösterdiğini değerlendirirken, yönetimin ve çalışanların sorgulanması ve işletme dışındaki kaynaklardan edinilen bilgilerin dikkate alınması yoluyla aşağıdaki hususlarda kanaat edinebilir:

• Yönetimin, iş uygulamaları ve etik davranışa ilişkin görüşlerini çalışanlarına nasıl ilettiği ve

• Yönetimin yazılı iş ahlakı kurallarının tetkik edilmesi ve yönetimin bu kuralları destekler biçimde hareket edip etmediğinin gözlemlenmesi.

Kontrol çevresinin değerlendirilmesi (Bkz.: 21(b) paragrafı)

Denetçinin kontrol çevresini değerlendirme sebebi

A103. İşletmenin dürüstlük ve etik değerlere olan bağlılığıyla tutarlı davranışları nasıl gösterdiğine ilişkin olarak denetçinin yaptığı değerlendirme (kontrol çevresinin işletmenin iç kontrol sisteminin diğer bileşenleri için uygun bir zemin oluşturup oluşturmadığı ve belirlenen kontrol eksikliklerinin iç kontrol sisteminin diğer bileşenlerine zarar verip vermediği), denetçinin iç kontrol sistemin diğer bileşenlerindeki muhtemel sorunları belirlemesine yardımcı olur. Bunun nedeni, kontrol çevresinin işletmenin iç kontrol sisteminin diğer bileşenleri için zemin oluşturmasıdır. Bu değerlendirme, aynı zamanda denetçinin, işletmenin karşı karşıya kaldığı risklere ilişkin kanaat edinmesine ve dolayısıyla finansal tablo ve yönetim beyanı düzeylerindeki “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesine yardımcı olabilir (Bkz.: A86 paragrafı).

Denetçinin kontrol çevresine ilişkin değerlendirmesi

A104. Denetçinin kontrol çevresine ilişkin değerlendirmesi, 21 (a) paragrafı uyarınca edinilen kanaate dayanır.

A105. Bazı işletmelerde çok geniş takdir yetkisi kullanan tek bir kişi baskın olabilir. Söz konusu kişinin tutum ve eylemlerinin işletme kültürü üzerinde, dolayısıyla kontrol çerçevesi üzerinde yaygın bir etkisi bulunabilir. Bu tür bir etki olumlu veya olumsuz olabilir.

Örnek:

Tek bir kişinin doğrudan katılımı, işletmenin büyüme ve diğer amaçlarına ulaşmasında esas teşkil edebilir, aynı zamanda etkin bir iç kontrol sistemine önemli ölçüde katkı sağlayabilir. Öte yandan, böyle bir bilgi ve yetkinin tek kişinin elinde toplanması, kontrollerin yönetim tarafından ihlal etmesi suretiyle yanlışlığa olan açıklığın artmasına da yol açabilir.

A106. Denetçi, üst yönetimden sorumlu olanlar arasındaki bağımsız üyelerin katılımını da dikkate alarak, kıdemli yöneticilerin felsefesinin ve çalışma şeklinin kontrol çevresinin farklı unsurlarını nasıl etkileyebileceğini mütalaa edebilir.

A107. Kontrol çevresi iç kontrol sistemi için uygun bir zemin oluşturabilir ve hile riskinin azaltılmasına yardımcı olabilir, ancak uygun bir kontrol çevresi hile için her zaman etkin bir caydırıcı unsur olmayabilir.

Örnek:

Finans, muhasebe ve BT alanlarında yetkin personelin istihdamına yönelik insan kaynakları politika ve prosedürleri, finansal bilgilerin işlenmesindeki ve kayıt altına alınmasındaki hata riskini azaltabilir. Ancak söz konusu politika ve prosedürler, kontrollerin üst düzey yöneticiler tarafından (örneğin, kazançları olduğundan fazla göstermek için) ihlal edilmesini azaltmayabilir.

A108. İşletmenin BT kullanımı bakımından denetçinin kontrol çevresine ilişkin değerlendirmesi aşağıdaki gibi hususları içerebilir:

• İşletmenin teknoloji platformu veya mimarisinin karmaşıklığı veya olgunluğu ile finansal raporlamayı desteklemek için işletmenin BT uygulamalarına ne kadar güvendiği dâhil, BT alanındaki üst yönetimin işletmenin niteliği ve karmaşıklığıyla ve BT sayesinde yürütülen iş faaliyetleriyle orantılı olup olmadığı.

• BT ile ilgili yönetime ilişkin organizasyon yapısı ve tahsis edilmiş kaynaklar (örneğin, işletmenin uygun bir BT çevresine ve gerekli iyileştirmelere yatırım yapıp yapmadığı veya -işletmenin ticari yazılım (az bir değişiklikle veya değişiklik yapmaksızın) kullanması durumu da dâhil- uygun becerilere sahip yeterli sayıda kişiyi istihdam edip etmediği).

İşletmenin risk değerlendirme süreci hakkında kanaat edinmek (Bkz.: 22-23 üncü paragraflar)

İşletmenin risk değerlendirme sürecine ilişkin kanaat (Bkz.: 22(a) paragrafı)

A109. A62 paragrafında açıklandığı üzere, iş hayatına ilişkin risklerin tamamı “önemli yanlışlık” risklerine sebep olmaz. Yönetimin veya -uygun hâllerde- üst yönetimden sorumlu olanların:

• Amaçlarla ilgili risklerin belirlenmesi ve değerlendirilmesini sağlamak amacıyla işletmenin amaçlarını yeterli hassaslık ve açıklıkla nasıl belirttikleri,

• İşletmenin amaçlarına ulaşılmasıyla ilgili riskleri nasıl belirledikleri ve risklerin nasıl yönetilmesi gerektiğine dayanak olarak riskleri nasıl analiz ettikleri ve

• İşletmenin amaçlarına ulaşılmasıyla ilgili riskleri dikkate alırken hile ihtimalini nasıl değerlendirdikleri,³⁶

yönetim ve üst yönetimden sorumlu olanların finansal tabloların hazırlanmasıyla ilgili iş hayatına ilişkin riskleri nasıl belirlediğini ve bu riskleri ele almak için atacakları adımlara nasıl karar verdiklerini anlamak amacıyla denetçinin dikkate alabileceği hususlardır.

³⁶ BDS 240, 19 uncu paragraf

A110. Denetçi, iş hayatına ilişkin bu tür risklerin işletmenin finansal tabloları hazırlaması ve iç kontrol sisteminin diğer yönleri üzerinde ne tür etkileri olacağını mütalaa edebilir.

İşletmenin risk değerlendirme sürecini değerlendirmek (Bkz.: 22(b) paragrafı)

Denetçinin işletmenin risk değerlendirme sürecinin uygun olup olmadığını değerlendirme sebebi

A111. Denetçinin işletmenin risk değerlendirme sürecine ilişkin değerlendirmesi, işletmenin nerelerde risk oluşabileceğini belirlediğine ve bu risklere nasıl karşılık verdiğine ilişkin kanaat edinirken denetçiye yardımcı olabilir. Denetçinin işletmenin iş hayatına ilişkin risklerini nasıl belirlediğine, değerlendirdiğine ve ele aldığına ilişkin değerlendirmesi, işletmenin karşı karşıya olduğu risklerin işletmenin niteliğine ve karmaşıklığına uygun bir şekilde belirlenip belirlenmediğine, değerlendirilip değerlendirilmediğine ve ele alınıp alınmadığına ilişkin kanaat edinirken denetçiye yardımcı olur. Bu değerlendirme, finansal tablo ve yönetim beyanı düzeylerindeki “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesinde de denetçiye yardımcı olabilir (Bkz.: A86 paragrafı).

İşletmenin risk değerlendirme sürecinin uygun olup olmadığını değerlendirmek (Bkz.: 22(b) paragrafı)

A112. Denetçinin işletmenin risk değerlendirme sürecinin uygun olup olmadığına ilişkin değerlendirmesi, 22(a) paragrafı uyarınca edinilen kanaate dayanır.

Ölçeklenebilirlik

A113. İşletmenin niteliği ve karmaşıklığı dikkate alındığında işletmenin risk değerlendirme sürecinin işletmenin içinde bulunduğu duruma uygun olup olmadığı, mesleki muhakemesinin konusudur.

Örnek:

Karmaşıklık düzeyi daha düşük olan bazı işletmelerde, özellikle sahibi tarafından yönetilen işletmelerde, uygun bir risk değerlendirmesi, yönetimin veya işletmenin sahibi olan yöneticinin doğrudan müdahalesiyle yürütülüyor olabilir (örneğin yönetici veya işletmenin sahibi olan yönetici, iş hayatına ilişkin yeni ortaya çıkmakta olan riskleri belirlemek amacıyla rakiplerin faaliyetlerini ve piyasadaki diğer gelişmeleri izlemeye rutin olarak zaman ayırıyor olabilir). Bu tür işletmelerde risk değerlendirmesinin yapıldığına ilişkin kanıtlar genellikle resmi şekilde belgelendirilmez ancak yönetimin risk değerlendirme prosedürlerini gerçekten uyguladığı, denetçinin yönetim ile yaptığı müzakerelerden anlaşılabilir.

İşletmenin iç kontrol sistemini izleme süreci hakkında kanaat edinmek (Bkz.: 24 üncü paragraf)

Ölçeklenebilirlik

A114. Karmaşıklık düzeyi daha düşük olan işletmelerde, özellikle sahibi tarafından yönetilen işletmelerde, denetçinin işletmenin iç kontrol sistemini izleme sürecine ilişkin kanaati, genellikle yönetimin veya işletmenin sahibi olan yöneticinin faaliyetlere nasıl doğrudan katıldığı üzerine odaklanır çünkü başka bir izleme faaliyeti bulunmayabilir.

Örnek:

Yönetim, aylık hesap özetlerinde hata bulunduğu konusunda müşterilerinden şikâyet alabilir, bu tür şikâyetler işletmenin sahibi olan yöneticinin müşteri ödemelerinin muhasebe kayıtlarına yansıtılma zamanıyla ilgili sorunlar olduğunu fark etmesine neden olur.

A115. İç kontrol sisteminin izlenmesine ilişkin resmi bir sürecin bulunmadığı işletmelerde, iç kontrol sistemini izleme sürecine ilişkin kanaat edinilmesi, işletmenin yanlışlıkları önlemesine veya tespit etmesine katkı sağlamak amacıyla tasarlanan, yönetimin kullandığı muhasebe bilgilerinin periyodik olarak gözden geçirilmesini içerebilir.

İşletmenin iç kontrol sistemini izleme süreci hakkında kanaat edinmek (Bkz.: 24(a) paragrafı)

A116. İşletmenin iç kontrol sistemini nasıl izlediğine ilişkin kanaat edinmek amacıyla denetçinin dikkate alabileceği ihtiyaca uygun hususlar aşağıdakileri içerir:

• İzleme faaliyetlerinin tasarımı, örneğin dönemsel veya sürekli olup olmadığı,

• İzleme faaliyetlerinin uygulanması ve sıklığı,

• Kontrollerin etkin olup olmadığını belirlemek amacıyla izleme faaliyetlerinin sonuçlarının zamanında değerlendirilmesi ve

• İyileştirici adım atma sorumluluğu bulunan kişilere zamanında bildirilmesi dâhil, belirlenen eksikliklerin uygun iyileştirici adımlar atılarak nasıl ele alındığı.

A117. Denetçi; işletmenin iç kontrol sistemini izleme sürecinin, BT kullanımını içeren izleme bilgisi işleme kontrollerini nasıl ele aldığını da dikkate alabilir. Bu duruma ilişkin örnekler aşağıda yer almaktadır:

• Karmaşık BT çevrelerinin izlenmesine yönelik olarak;

o Bilgi işleme kontrollerinin devam eden tasarım etkinliğini değerlendiren ve bunları şartlardaki değişikliklere uygun şekilde uyarlayan kontroller veya

o Bilgi işleme kontrollerinin işleyiş etkinliğini değerlendiren kontroller.

• Görevler ayrılığını tesis eden otomatik bilgi işlem kontrollerinde uygulanan izinleri izleyen kontroller.

• Finansal raporlamanın otomasyonuyla ilgili hataların veya kontrol eksikliklerinin nasıl belirlendiğini ve ele alındığını izleyen kontroller.

İşletmenin iç denetim fonksiyonu hakkında kanaat edinmek (Bkz.: 24(a)(ii) paragrafı)

Ek 4’te işletmenin iç denetim fonksiyonu hakkında kanaat edinilmesiyle ilgili ilave hususlar yer almaktadır.

A118. Denetçinin, iç denetim fonksiyonu içindeki uygun kişileri sorgulaması, iç denetim fonksiyonunun sorumluluklarının niteliğine ilişkin bir kanaat edinmesine yardımcı olur. İç denetim fonksiyonunun sorumluluklarının işletmenin finansal raporlamasıyla ilgili olduğuna karar vermesi durumunda denetçi, iç denetim fonksiyonunun denetlenen döneme ilişkin -varsa- denetim planını inceleyerek ve fonksiyon içindeki uygun kişilerle söz konusu denetim planını müzakere ederek, iç denetim fonksiyonunun yürüttüğü veya yürüteceği çalışmalar hakkında daha fazla kanaat edinebilir. Bu kanaat, denetçinin yaptığı sorgulamalardan elde ettiği bilgilerle birlikte, doğrudan denetçinin “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesiyle ilgili de bilgi sağlayabilir. İç denetim fonksiyonu hakkında elde ettiği ön kanaate dayanarak, uygulanacak denetim prosedürlerinin nitelik veya zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim fonksiyonunun çalışmalarını kullanmayı düşünmesi hâlinde denetçi, BDS 6 1 037,u uygular.

İşletmenin iç kontrol sistemini izleme sürecinde kullanılan diğer bilgi kaynakları

Bilgi kaynakları hakkında kanaat edinmek (Bkz.: 24(b) paragrafı)

A119. Yönetimin izleme faaliyetleri, sorunlu veya iyileştirilmesi gereken alanlara işaret eden müşteri şikâyetleri ve düzenleyici kurum yorumları gibi dış taraflarca iletilen hususlardan elde edilen bilgilerin kullanılmasını da içerebilir.

Denetçinin işletmenin iç kontrol sistemini izlemek için kullandığı bilgi kaynaklarına ilişkin kanaat edinmesinin zorunlu kılınma sebebi

A120. İşletmenin iç kontrol sistemini izlerken kullandığı bilgi kaynaklarına ilişkin kanaat edinmek, kullanılan bilgilerin ihtiyaca uygun ve güvenilir olup olmadığı dâhil olmak üzere, denetçinin işletmenin iç kontrol sistemini izleme sürecinin uygun olup olmadığını değerlendirmesine yardımcı olur. İzlemede kullanılan bilgilerin, sağlam bir dayanağı olmaksızın, uygun ve güvenilir olduğunun yönetim tarafından kabul edilmesi durumunda, bilgide mevcut olabilecek hatalar, yönetimin izleme faaliyetlerinden yanlış sonuçlar çıkarmasına yol açabilir.

İşletmenin iç kontrol sistemini izleme sürecini değerlendirmek (Bkz.: 24(c) paragrafı)

Denetçinin işletmenin iç kontrol sistemini izleme sürecinin uygun olup olmadığını değerlendirme sebebi

A121. Denetçinin işletmenin kontrollerin etkinliğini izlemek amacıyla sürekli ve ayrı değerlendirmeler yürütmesine ilişkin değerlendirmesi, denetçinin işletmenin iç kontrol sisteminin diğer bileşenlerinin mevcut ve işler durumda olup olmadığına ve dolayısıyla işletmenin iç kontrol sisteminin diğer bileşenlerine ilişkin kanaat edinmesine yardımcı olur. Bu değerlendirme, finansal tablo ve yönetim beyanı düzeylerindeki “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesinde de denetçiye yardımcı olabilir (Bkz.: A86 paragrafı).

İşletmenin iç kontrol sistemini izleme sürecinin uygun olup olmadığını değerlendirmek (Bkz.: 24(c) paragrafı)

A122. Denetçinin işletmenin iç kontrol sistemini izleme sürecinin uygunluğuna ilişkin değerlendirmesi, denetçinin işletmenin iç kontrol sistemini izleme sürecine ilişkin edindiği kanaate dayalıdır.

Bilgi Sistemi ve İletişim ile Kontrol Faaliyetleri (Bkz.: 25-26 ncı paragraflar)

A123. Bilgi sistemi ve iletişim ile kontrol faaliyetleri bileşenlerindeki kontroller esas olarak doğrudan kontrollerdir (diğer bir ifadeyle, yönetim beyanı düzeyindeki yanlışlıkları önlemek, tespit etmek veya düzeltmek için yeterince hassas olan kontrollerdir).

Denetçinin bilgi sistemi ve iletişim ile kontrol faaliyetleri bileşenindeki kontroller hakkında kanaat edinmesinin zorunlu kılınma sebebi

A124. İşletmenin işlem akışlarını ve işletmenin bilgi işleme faaliyetlerinin finansal tabloların hazırlanmasıyla ilgili diğer yönlerini tanımlayan politikalara ilişkin kanaat edinmek ve söz konusu bileşenin işletmenin finansal tabloları hazırlama sürecini uygun şekilde destekleyip desteklemediğini değerlendirmek, denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesine destek olduğu için, denetçinin işletmenin bilgi sistemi ve iletişimi hakkında kanaat edinmesi zorunludur. Söz konusu kanaat ve değerlendirme; denetçinin uyguladığı prosedürlerin sonuçlarının, sözleşmenin kabulü veya devam ettirilmesi sürecinde elde edilen bilgilere dayalı olan işletmenin iç kontrol sistemi hakkındaki beklentilerle tutarlı olmaması durumunda, finansal tablo düzeyindeki “önemli yanlışlık” risklerinin belirlenmesini de sağlayabilir (Bkz.: A86 paragrafı).

A125. Denetçinin, yönetimin belirli risklerin ele alınmasına yönelik yaklaşımına ilişkin kanaat edinmesine yardımcı olduğu ve dolayısıyla BDS 330’da zorunlu kılındığı üzere söz konusu risklere karşılık veren müteakip denetim prosedürlerinin tasarlanması ve uygulanmasına da dayanak sağladığı için denetçinin, kontrol faaliyetleri bileşenindeki belirli kontrolleri belirlemesi ve söz konusu kontrollerin tasarımını ve uygulanıp uygulanmadığını değerlendirmesi zorunludur. Bir risk, yapısal risk aralığının ne kadar üst kısmında değerlendirilirse, o kadar fazla ikna edici denetim kanıtına ihtiyaç duyulur. Denetçinin belirlenen kontrollerin işleyiş etkinliğini test etmeyi planlamaması durumunda dahi denetçinin kanaati, ilgili “önemli yanlışlık” risklerine karşılık veren maddi doğrulama prosedürlerinin niteliği, zamanlaması ve kapsamını etkileyebilir.

Denetçinin bilgi sistemi ve iletişim ile kontrol faaliyetleri hakkındaki kanaat ve değerlendirmesinin yinelenen niteliği

A126. A49 paragrafında açıklandığı üzere, denetçinin işletme ve çevresi ile geçerli finansal raporlama çerçevesi hakkındaki kanaati, önemli işlem sınıfı, hesap bakiyesi ve açıklama olabilecek işlem sınıfları, hesap bakiyeleri ve açıklamalar hakkındaki ilk beklentilerini geliştirmesine yardımcı olabilir. Denetçi, 25(a) paragrafına uygun olarak bilgi sistemi ve iletişim bileşeni hakkında kanaat edinirken, işletmenin bilgi işleme faaliyetleri hakkında edineceği kanaatin kapsamını belirlemek amacıyla bu ilk beklentilerini kullanabilir.

A127. Denetçinin bilgi sistemi hakkındaki kanaati, işletmenin önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilgi akışını ve işletmenin bilgi işleme faaliyetlerinin ilgili diğer yönlerini tanımlayan politikalara ilişkin kanaatini de içerir. Söz konusu bilgi ile denetçinin bilgi sistemine ilişkin değerlendirmesinden elde edilen bilgi, denetçinin başlangıçta belirlenen önemli işlem sınıfları, hesap bakiyeleri ve açıklamalar hakkındaki beklentilerini doğrulayabilir ya da başka şekilde etkileyebilir (Bkz.: A126 paragrafı).

A128. Denetçi; önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilginin nasıl işletmenin bilgi sistemine girdiği, sistem içinde dolaştığı ve sistem dışına çıktığı hakkında kanaat edinirken, 26(a) paragrafı uyarınca belirlenmesi zorunlu kılınan kontrol faaliyetleri bileşenindeki kontrolleri de belirleyebilir. Denetçinin kontrol faaliyetleri bileşenindeki kontrollere ilişkin belirleme ve değerlendirmesi, ilk olarak yevmiye kayıtları üzerindeki kontroller ile denetçinin maddi doğrulama prosedürlerinin niteliği, zamanlaması ve kapsamını tasarlarken işleyiş etkinliğini test etmeyi planladığı kontroller üzerine odaklanabilir.

A129. Denetçinin yapısal riske ilişkin değerlendirmesi, kontrol faaliyetleri bileşenindeki kontrollerin belirlenmesini de etkileyebilir. Örneğin, denetçinin ciddi risklerle ilgili kontrolleri belirlemesi, ancak denetçinin 31 inci paragraf uyarınca yönetim beyanı düzeyindeki yapısal riskleri değerlendirmiş olması hâlinde belirlenebilir nitelikte olabilir. Ayrıca, denetçinin maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlamadığına karar verdiği riskleri ele alan kontroller (33 üncü paragraf uyarınca) ancak denetçinin yapısal risk değerlendirmesini gerçekleştirmiş olması hâlinde belirlenebilir nitelikte olabilir.

A130. Denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesi aşağıdakilerden etkilenir:

• Denetçinin, işletmenin bilgi sistemi ve iletişim bileşenindeki bilgi işleme faaliyetlerine ilişkin politikaları hakkındaki kanaati ve

• Denetçinin kontrol faaliyetleri bileşenindeki kontrolleri belirlemesi ve değerlendirmesi.

Bilgi sistemi ve iletişim hakkında kanaat edinmek (Bkz.: 25 inci paragraf)

Ek 3’ün 15-19 uncu paragraflarında bilgi sistemi ve iletişimle ilgili ilave hususlar yer almaktadır.

Ölçeklenebilirlik

Al31. Karmaşıklık düzeyi daha düşük işletmelerde bilgi sistemi ve ilgili iş süreçleri daha büyük işletmelere göre muhtemelen daha az gelişmiştir ve karmaşıklık düzeyi muhtemelen daha düşük olan bir BT çevresi bulunur; ancak bilgi sisteminin rolü daha büyük işletmeninkiyle aynı derecede önemlidir. Yönetimin doğrudan katılımının olduğu karmaşıklık düzeyi daha düşük işletmeler muhasebe prosedürlerine ilişkin ayrıntılı açıklamalara, gelişmiş muhasebe kayıtlarına veya yazılı politikalara ihtiyaç duymayabilir. Bu sebeple karmaşıklık düzeyi daha düşük bir işletmenin denetiminde işletmenin bilgi sisteminin ilgili yönlerinin anlaşılması daha az çaba gerektirebilir ve belgelerin gözlem veya tetkikinden daha fazla sorgulama içerebilir. Ancak kanaat edinme ihtiyacı, BDS 330 uyarınca müteakip denetim prosedürlerinin tasarımına dayanak oluşturması açısından önemini sürdürmektedir ve denetçinin “önemli yanlışlık” risklerini belirlemesine ve değerlendirmesine de yardımcı olabilir (Bkz.: A86 paragrafı).

Bilgi sistemi hakkında kanaat edinmek (Bkz.: 25(a) paragrafı)

A132. İç kontrol sisteminin, işletmenin finansal raporlama amaçlarını da içeren raporlama amaçlarıyla ilgili yönlerinin yanı sıra, finansal raporlamayla ilgili olmaları hâlinde faaliyet ve uygunluk hedefleriyle ilgili yönleri de bulunabilir. Denetçinin bilgi sistemine ilişkin kanaati kapsamında işletmenin işlemleri nasıl başlattığı ve bilgiyi nasıl kayıt altına aldığı hakkında kanaat edinilmesi, işletmenin uygunluk ve faaliyet hedeflerini ele almak için tasarlanan sistemleri (politikaları) hakkında da bilgi içerebilir çünkü bu bilgiler finansal tabloların hazırlanmasıyla ilgilidir. Buna ek olarak bazı işletmeler; kontrollerin finansal raporlama, uygunluk ve faaliyet hedeflerini ve bunların bileşimlerini eş zamanlı olarak yerine getirecek bir biçimde tasarlanmış olabildiği yüksek düzeyde entegre bilgi sistemlerine sahip olabilir.

A133. İşletmenin bilgi sistemi hakkında kanaat edinilmesi, işletmenin bilgi işleme faaliyetlerinde kullanılacak kaynaklara ilişkin kanaat edinilmesini de içerir. Bilgi sistemlerinin bütünlüğüne yönelik risklerin anlaşılması için ihtiyaca uygun olabilecek insan kaynaklarıyla ilgili bilgiler aşağıdakileri içerir:

• İşi üstlenen kişilerin yetkinliği,

• Yeterli kaynak bulunup bulunmadığı ve

• Uygun bir görevler ayrılığı olup olmadığı.

A134. Bilgi sistemi ve iletişim bileşenindeki işletmenin önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilgi akışını tanımlayan politikalara ilişkin kanaat edinirken denetçinin dikkate alabileceği hususlar arasında aşağıdakilerin niteliği yer alır:

(a) İşlemler ve işlenecek diğer olay ve şartlarla ilgili veri ya da bilgi,

(b) Söz konusu veri veya bilginin bütünlüğünü sürdürmek için bilgi işleme ve

(c) Bilgi işleme sürecinde kullanılan bilgi süreçleri, personel ve diğer kaynaklar.

A135. İşlemlerin kaynağında nasıl başlatıldığı da dâhil olmak üzere iş süreçleri hakkında kanaat edinilmesi, işletmenin bilgi sistemi hakkında (işletmenin durumuna uygun bir şekilde) kanaat edinmesinde denetçiye yardımcı olur.

A136. Denetçinin bilgi sistemi hakkındaki kanaati, aşağıdakileri de içeren çeşitli yollarla edinilebilir:

• İlgili personeli işlemlerin başlatılması, kaydedilmesi veya raporlanması için kullanılan prosedürler ya da işletmenin finansal raporlama süreci konusunda sorgulamak,

• Politika veya süreç kılavuzlarını veya işletmenin bilgi sistemindeki diğer belgeleri tetkik etmek,

• İşletme personelinin politika veya prosedürleri nasıl uyguladığını gözlemlemek veya

• İşlemleri seçmek ve bilgi sistemindeki uygulanabilir süreç boyunca takip etmek (diğer bir ifadeyle, süreç takibi yapmak).

Otomatik araç ve teknikler

A137. Denetçi işlemlerin muhasebe kayıtlarının depolandığı işletmenin bilgi sistemindeki veri tabanlarına doğrudan erişim sağlamak veya bu veri tabanlarından dijital ortamda veri indirmek için otomatik teknikler kullanabilir. Denetçi bu bilgiye otomatik araç ve teknikler uygulayarak, işlemlerin bilgi sistemi içinde nasıl bir yol izlediği hakkında edindiği kanaati; yevmiye kayıtlarını veya belirli bir işlemle ilgili dijital kayıtları ya da bütün bir işlem topluluğunu, muhasebe kaydının oluşturulmasından defteri kebire kaydedilmesine kadar izleyerek doğrulayabilir. Tam veya geniş işlem kümelerinin analiz edilmesi, söz konusu işlemler için normal veya beklenen işleme prosedürlerinden ortaya çıkan farklılıkların belirlenmesini ve böylelikle “önemli yanlışlık” risklerinin belirlenmesini sağlayabilir.

Defteri Kebir ve Yardımcı Defterler Dışındaki Kaynaklardan Elde Edilen Bilgiler

A138. Finansal tablolarda; defteri kebir ve yardımcı defterler dışındaki kaynaklardan elde edilen bilgiler de yer alabilir. Denetçinin dikkate alabileceği bu tür bilgilere örnek olarak aşağıdakiler verilebilir:

• Finansal tablolardaki açıklamalarla ilgili kira sözleşmelerinden elde edilen bilgi.

• İşletmenin risk yönetim sistemi tarafından oluşturulan ve finansal tablolarda açıklanan bilgi.

• Yönetimin faydalandığı uzmanlar tarafından oluşturulan ve finansal tablolarda açıklanan gerçeğe uygun değer bilgisi.

• Finansal tablolara alınan veya finansal tablolarda açıklanan muhasebe tahminlerinin geliştirilmesinde kullanılan modellerden veya diğer hesaplamalardan elde edilen ve finansal tablolarda açıklanan bilgiler ile söz konusu modellerde kullanılan dayanak (temel) veriler ve varsayımlarla ilgili aşağıdaki gibi bilgiler;

* İşletme içinde geliştirilen ve bir varlığın yararlı ömrünü etkileyebilecek varsayımlar.

• Faiz oranları gibi, işletmenin kontrolü dışındaki etkenlerden etkilenen veriler.

• Yönetimin farklı varsayımları dikkate aldığını gösteren -finansal modellerden türetilen- duyarlılık analizleri hakkında finansal tablolarda açıklanan bilgi. - İşletmenin vergi beyannamelerinden ve kayıtlarından elde edilen ve finansal tablolarına alınan veya finansal tablolarında açıklanan bilgi.

• Yönetimin işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin yaptığı değerlendirmeyi desteklemek için hazırlanan analizlerden elde edilen ve finansal tablolarda açıklanan bilgi (örneğin, -varsa- işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin ciddi şüphe oluşturabilecek olay veya şartlarla ilgili açıklamalar).38

A139. İşletmenin finansal tablolarındaki belirli tutarlar veya açıklamalar (kredi riski, likidite riski ve piyasa riski hakkında yapılan açıklamalar gibi); işletmenin risk yönetim sisteminden elde edilen bilgilere dayanıyor olabilir. Bununla birlikte, denetçinin risk yönetim sisteminin tüm yönlerini anlaması zorunlu değildir ve denetçi, sistemi hakkında ne kadar kanaat edinmesi gerektiğini belirlerken mesleki muhakemesini kullanır.

İşletmenin bilgi sisteminde bilgi teknolojilerini kullanması

Denetçinin bilgi sistemiyle ilgili BT çevresi hakkında kanaat edinme sebebi

A140. İşletmenin BT uygulamalarını ve BT çevresinin diğer yönlerini kullanması, BT kullanımından kaynaklanan risklere yol açabildiği için denetçinin bilgi sistemi hakkındaki kanaati, işlem akışlarıyla ve bilginin işletmenin bilgi sisteminde işlenmesiyle ilgili BT çevresini içerir.

A141. İşletmenin iş modeline ve BT kullanımını nasıl entegre ettiğine ilişkin kanaat, bilgi sisteminde bulunması beklenen BT’nin niteliği ve kapsamı için faydalı bir bağlam da oluşturabilir.

İşletmenin BT kullanımı hakkında kanaat edinmek

A142. Denetçinin BT çevresine ilişkin kanaati, BT çevresinin işlem akışlarıyla ve bilginin bilgi sisteminde işlenmesiyle ilgili diğer yönlerinin ve belirli BT uygulamalarının belirlenmesi ile bu unsurların niteliği ve sayısı hakkında kanaat edinilmesine odaklanabilir. Bilgi sistemi içindeki işlem akışlarında veya bilgilerde meydana gelen değişiklikler, BT uygulamalarındaki program değişikliklerinden ya da söz konusu işlem veya bilgilerin işlenmesi veya depolanmasında kullanılan veri tabanlarındaki doğrudan veri değişikliklerinden kaynaklanıyor olabilir.

A143. Denetçi BT uygulamalarını ve destekleyici BT altyapısını; önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilgilerin işletmenin bilgi sistemine nasıl girdiği, sistem içinde dolaştığı ve sistem dışına çıktığı konusundaki kanaatiyle eş zamanlı olarak belirleyebilir.

İşletmenin kurduğu iletişim hakkında kanaat edinmek (Bkz.: 25(b) paragrafı)

Ölçeklenebilirlik

A144. Daha büyük ve karmaşıklık düzeyi daha yüksek olan işletmelerde denetçinin işletmenin kurduğu iletişimler hakkında kanaat edinmek amacıyla dikkate alabileceği bilgiler, politika rehberleri ve finansal raporlama rehberlerinden elde edilebilir.

A145. Karmaşıklık düzeyi daha düşük işletmelerde, daha az sorumluluk seviyesinin bulunması ve yönetimin daha görünür ve ulaşılabilir olması sebebiyle, iletişim daha basit (örneğin resmi rehberler kullanılmıyor) olabilir. İşletmenin büyüklüğünden bağımsız olarak, açık iletişim kanalları sapmaların raporlanmasına ve sonrasında gerekli adımların atılmasına yardımcı olur.

Bilgi sisteminin ilgili yönlerinin işletmenin finansal tablolarının hazırlanmasını destekleyip desteklemediğini değerlendirmek (Bkz.: 25(c) paragrafı)

A146. Denetçinin işletmenin bilgi sistemi ve iletişiminin finansal tabloların hazırlanmasını uygun şekilde destekleyip desteklemediğine ilişkin değerlendirmesi, 25(a)-(b) paragraflarında edinilen kanaate dayanır.

Kontrol Faaliyetleri (Bkz.: 26 ncı paragraf)

Kontrol faaliyetleri bileşenindeki kontroller

Ek 3’ün 20 ve 21 inci paragraflarında kontrol faaliyetleriyle ilgili ilave hususlar yer almaktadır.

A147. Kontrol faaliyetleri bileşeni; (kendileri de birer kontrol olan) politikaların, işletmenin iç kontrol sisteminin diğer tüm bileşenlerinde düzgün bir biçimde uygulanması için tasarlanan kontrolleri içerir ve hem doğrudan hem de dolaylı kontrolleri bünyesinde barındırır.

Örnek:

İşletme personelinin yıllık fiziki stok sayımını uygun bir şekilde yapmasını ve kaydetmesini sağlamak için işletmenin oluşturmuş olduğu kontroller, stok hesap bakiyesiyle ilgili var olma ve tamlığa yönelik yönetim beyanlarıyla ilgili “önemli yanlışlık” riskleriyle doğrudan ilişkilidir.

A148. Denetçinin kontrol faaliyetleri bileşenindeki kontrolleri belirlemesi ve değerlendirmesi bilgi işleme kontrolleri üzerinde odaklanır (bilgi işleme kontrolleri, bilginin işletmenin bilgi sisteminde işlenmesi sırasında uygulanan ve doğrudan bilginin bütünlüğüne -diğer bir ifadeyle, işlemlerin ve diğer bilgilerin tamlığı, doğruluğu ve geçerliliğine- yönelik riskleri ele alan kontrollerdir). Bununla birlikte denetçi, işlem akışlarını ve işletmenin bilgi işlem faaliyetlerinin önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili diğer yönlerini tanımlayan işletme politikalarıyla ilgili tüm bilgi işleme kontrollerini belirlemek ve değerlendirmek zorunda değildir.

A149. Kontrol çevresinde, işletmenin risk değerlendirme sürecinde veya işletmenin iç kontrol sistemini izleme sürecinde 26 ncı paragrafa göre belirlenen doğrudan kontroller de bulunabilir. Bununla birlikte, diğer kontrolleri destekleyen kontrollerle dikkate alınmakta olan kontrol arasındaki ilişki ne kadar dolaylı ise, söz konusu kontrolün ilgili yanlışlıkları önleme veya tespit edip düzeltme etkinliği de o kadar az olabilir.

Örnek:

Bir satış yöneticisinin bölgeler bazında belirli mağazalara ait satış faaliyeti özetini gözden geçirmesi, genellikle satış hasılatına yönelik tamlık beyanıyla ilgili “önemli yanlışlık” riskleriyle sadece dolaylı olarak ilgilidir. Dolayısıyla bu kontrol, sevk irsaliyeleri ile faturaların eşleştirilmesi örneğinde olduğu gibi söz konusu yönetim beyanıyla daha doğrudan ilgili kontrollere kıyasla, yönetim beyanına yönelik riskin azaltılması konusunda daha az etkin olabilir.

A150. 26 ncı paragraf denetçinin BT uygulamalarına ilişkin genel BT kontrollerini ve BT çevresinin BT kullanımından kaynaklanan risklere maruz kaldığını belirlediği diğer yönlerini de belirlemesini ve değerlendirmesini zorunlu kılar çünkü genel BT kontrolleri bilgi işleme kontrollerinin etkin şekilde işleyişini sürdürmesini desteklemektedir. Bir genel BT kontrolü yönetim beyanı düzeyindeki bir “önemli yanlışlık” riskinin ele alınması için genellikle tek başına yeterli değildir.

A151. 26 ncı paragrafa uygun olarak, denetçinin belirlemesi ve tasarımını değerlendirmesi ve uygulanıp uygulanmadığına karar vermesi zorunlu kılınan kontroller aşağıda yer almaktadır:

• Denetçinin maddi doğrulama prosedürlerinin niteliği, zamanlaması ve kapsamına karar verirken işleyiş etkinliğini test etmeyi planladığı kontroller. Bu tür kontrollerin değerlendirilmesi, denetçinin BDS 330 uyarınca kontrol prosedürlerinin testini tasarlamasına dayanak teşkil eder. Bu kontroller maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlamadığı riskleri ele alan kontrolleri de içerir.

• Kontroller ciddi riskleri ele alan kontrolleri ve yevmiye kayıtları üzerindeki kontrolleri içerir. Denetçinin bu tür kontrolleri belirlemesi ve değerlendirmesi, denetçinin ilave “önemli yanlışlık” risklerinin belirlenmesi dâhil olmak üzere “önemli yanlışlık” risklerine ilişkin kanaatini de etkileyebilir (Bkz.: A95 paragrafı). Bu kanaat ayrıca, denetçinin ilgili değerlendirilmiş “önemli yanlışlık” risklerine karşılık veren maddi doğrulama prosedürlerini tasarlaması için dayanak teşkil eder.

• Denetçinin yönetim beyanı düzeyindeki riskler bakımından 13 üncü paragrafın amaçlarına ulaşabilmesini sağlayacak olan ve mesleki muhakemesine dayanarak uygun olduğunu düşündüğü diğer kontroller.

A152. Kontrol faaliyetleri bileşenindeki kontrollerin 26(a) paragrafında yer alan kıstaslardan bir veya daha fazlasını karşılaması durumunda, söz konusu kontrollerin belirlenmesi zorunlu kılınmıştır. Ancak birden fazla kontrolün her birinin aynı amacı yerine getirmesi durumunda, söz konusu amaca ilişkin kontrollerden her birini belirlemek gerekmez.

Kontrol faaliyetleri bileşenindeki kontrollerin türleri (Bkz.: 26 ncı paragraf)

A153. Kontrol faaliyetleri bileşenindeki kontrollere ilişkin örnekler; yetkilendirme ve onaylar, mutabakatlar, (düzeltme ve doğrulama kontrolleri veya otomatik hesaplamalar gibi) doğrulamalar, görevler ayrılığı ve -varlıkların korunmasını ele alanlar dâhil- fiziksel veya mantıksal kontrolleri içerir.

A154. Kontrol faaliyetleri bileşenindeki kontroller, yönetim tarafından oluşturulan ve geçerli finansal raporlama çerçevesine uygun olarak hazırlanmayan açıklamalardaki “önemli yanlışlık” risklerini ele alan kontrolleri de içerebilir. Bu tür kontroller ayrıca defteri kebir ve yardımcı defterler dışındaki kaynaklardan elde edilmek suretiyle finansal tablolara dâhil edilen bilgilerle de ilgili olabilir.

A155. BT çevresi veya manuel sistemlerde olup olmadığına bakılmaksızın, kontrollerin çeşitli amaçları bulunur ve farklı kurumsal ve fonksiyonel düzeylerde uygulanır.

Ölçeklenebilirlik (Bkz.: 26 ncı paragraf)

A156. Karmaşıklık düzeyi daha düşük işletmelerde kontrol faaliyetleri bileşenindeki kontroller daha büyük işletmelerdekilerle benzer olabilmekle birlikte, işleyiş şekilleri farklılık gösterebilir. Ayrıca karmaşıklık düzeyi daha düşük işletmelerde daha fazla kontrol yönetim tarafından doğrudan uygulanıyor olabilir.

Örnek:

Müşterilere kredi açılmasının ve önemli satın alımların onaylanmasının yalnızca yönetimin yetkisinde olması, önemli hesap bakiyeleri ve işlemler üzerinde güçlü bir kontrol sağlayabilir.

Al57. Karmaşıklık düzeyi daha düşük olan ve az sayıda çalışanı bulunan işletmelerde görevler ayrılığını tesis etmek daha az uygulanabilir olabilir. Ancak sahibi tarafından yönetilen bir işletmede, işletmenin sahibi olan yönetici doğrudan katılım yoluyla daha büyük bir işletmeye kıyasla daha etkin bir gözetim yapabilir. Bununla beraber, BDS 240’da da açıklandığı üzere, yönetimin tek bir kişimim hâkimiyetinde olması, kontrollerin yönetim tarafından ihlal edilmesine fırsat verdiğinden, potansiyel bir iç kontrol eksikliği olabilir.39

Yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini ele alan kontroller (Bkz.: 26(a) paragrafı)

Ciddi risk olduğuna karar verilen riskleri ele alan kontroller (Bkz.: 26(a)(i) paragrafı)

Al58. Denetçinin ciddi riskleri ele alan kontrollerin işleyiş etkinliğini test etmeyi planlayıp planlamadığına bakılmaksızın, yönetimin söz konusu riskleri ele alma yaklaşımı hakkında denetçinin edindiği kanaat, BDS 330’da zorunlu kılınan şekilde ciddi risklere karşılık veren maddi doğrulama prosedürlerinin tasarımı ve uygulanması için bir dayanak sağlayabilir.40 Rutin olmayan hususların rutin kontrollere tabi tutulma ihtimali genelde daha az olmakla birlikte, yönetimin bu tür risklere karşılık veren başka seçenekleri olabilir. Bu sebeple, işletmenin rutin olmayan veya muhakeme gerektiren hususlardan kaynaklanan ciddi risklere yönelik kontroller tasarlayıp tasarlamadığı ve bunları uygulayıp uygulamadığı hakkında denetçinin elde edeceği bilgiler, yönetimin risklere karşılık verip vermediğini ve nasıl karşılık verdiğini kapsar. Bu tür karşılıklar aşağıdakileri içerebilir:

• Kıdemli yöneticiler veya uzmanlar tarafından varsayımların gözden geçirilmesi gibi kontroller.

• Muhasebe tahminleri için belgelendirilen süreçler.

• Üst yönetimden sorumlu olanların onayı.

Örnek:

Önemli bir davanın tebliği gibi münferit bir olayın söz konusu olduğu durumlarda, işletmenin bu riske yönelik olarak yapacağı işlemlerin değerlendirilmesi; konunun uygun uzmanlara yönlendirilip yönlendirilmediği (işletmenin iç veya dış hukuk müşavirleri gibi), bu riskin potansiyel etkisine dair bir değerlendirme yapılıp yapılmadığı ve durumun finansal tablolarda nasıl açıklanmasının önerildiği gibi konuların irdelenmesini içerebilir.

Al59. BDS 24041 denetçinin (ciddi riskler olarak ele alınan) hile kaynaklı “önemli yanlışlık” riski olarak değerlendirilen risklerle ilgili kontroller hakkında kanaat edinmesini zorunlu kılmakta ve aynı zamanda denetçinin yönetim tarafından hilenin önlenmesi ve tespiti için tasarlanan, uygulanan ve sürdürülen kontroller hakkında kanaat edinmesinin önemli olduğunu açıklamaktadır.

Yevmiye kayıtları üzerindeki kontroller (Bkz.: 26(a)(ii) paragrafı)

A160. Yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini ele alan ve bütün denetimler için belirlenmesi beklenen kontroller yevmiye kayıtları üzerindeki kontrollerdir, çünkü bir işletmenin bilgileri kayıt işleme sisteminden defteri kebire aktarma biçimi genelde, standart veya standart olmayan ya da otomatik veya manuel olan yevmiye kayıtlarının kullanımını içerir. Diğer kontrollerin ne ölçüde belirlendiği, işletmenin niteliğine ve denetçinin müteakip denetim prosedürleri için planladığı yaklaşıma bağlı olarak farklılık gösterebilir.

Örnek:

Karmaşıklık düzeyi daha düşük bir işletmenin denetiminde işletmenin bilgi sistemi karmaşık olmayabilir ve denetçi kontrollerin işleyiş etkinliğine güvenmeyi planlamayabilir. Ayrıca denetçi, kontrollerin tasarımını değerlendirmesini ve uygulandıklarına karar vermesini gerektiren herhangi bir ciddi risk veya başka bir “önemli yanlışlık” riski belirlememiş olabilir. Bu tür bir denetimde denetçi, işletmenin yevmiye kayıtları üzerindeki kontroller dışında belirlenen başka bir kontrolün bulunmadığına karar verebilir.

Otomatik araç ve teknikler

Al61. Muhasebenin elle tutulduğu sistemlerde, standart olmayan yevmiye kayıtları; defterlerin, yevmiye kayıtlarının ve destekleyici belgelerin tetkik edilmesi suretiyle belirlenebilir. Defteri kebir kayıtlarını tutmak ve finansal tabloları hazırlamak için otomatik prosedürlerin kullanılması hâlinde, bu tür standart olmayan yevmiye kayıtları sadece elektronik ortamda mevcut olduğundan, söz konusu kayıtlar otomatik teknikler kullanılmak suretiyle kolayca belirlenebilir.

Örnek:

Karmaşıklık düzeyi daha düşük bir işletmede denetçi, tüm yevmiye kayıtlarının toplam listesini basit bir çizelgeye çıkarma imkânına sahip olabilir. Bu durumda denetçi; yevmiye kayıtlarını para birimi tutarı, hazırlayanın veya gözden geçirenin adı, sadece bilanço ve gelir tablosunun brüt tutarını artıran yevmiye kayıtları gibi çeşitli filtreler uygulayarak ayırabilir veya yevmiye kaydının defteri kebire kaydedildiği tarih itibarıyla listeyi görüntüleyebilir ve tüm bunlar denetçinin yevmiye kayıtlarıyla ilgili olarak belirlenen risklere vereceği karşılıkları tasarlamasına yardımcı olur.

Denetçinin işleyiş etkinliğini test etmeyi planladığı kontroller (Bkz.: 26(a)(iii) paragrafı)

A162. Denetçi, maddi doğrulama prosedürlerinin tek başlarına yönetim beyanına ilişkin yeterli ve uygun denetim kanıtı sağlayamadığı durumda, yönetim beyanı düzeyinde herhangi bir “önemli yanlışlık” riskinin olup olmadığına karar verir. BDS 33042 uyarınca maddi doğrulama prosedürlerinin yönetim beyanı düzeyinde tek başlarına yeterli ve uygun denetim kanıtı sağlayamadığı durumlarda denetçinin bu tür “önemli yanlışlık” risklerini ele alan kontrol testlerini tasarlaması ve uygulaması zorunlu kılınmıştır. Sonuç olarak, söz konusu riskleri ele alan bu tür kontrollerin bulunması hâlinde, bu risklerin belirlenmesi ve değerlendirilmesi zorunludur.

A163. Diğer durumlarda, denetçinin BDS 330 uyarınca maddi doğrulama prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlerken kontrollerin işleyiş etkinliğini dikkate almayı planladığı durumlarda, BDS 33043 denetçinin söz konusu kontrol testlerini tasarlamasını ve uygulamasını zorunlu kıldığından ötürü bu tür kontrollerin de belirlenmesi zorunludur.

Örnekler:

Denetçi, aşağıdaki kontrollerin işleyiş etkinliğini test etmeyi planlayabilir:

• Rutin işlem sınıfları üzerindeki kontroller; çünkü böyle bir test büyük hacimli homojen işlemler için daha etkili veya etkin olabilir.

• İşletme tarafından üretilen bilginin tamlığı ve doğruluğuyla ilgili kontroller; (örneğin, sistem tarafından üretilen raporların hazırlanması üzerindeki kontroller), buradaki amaç denetçinin müteakip denetim prosedürlerini tasarlarken ve uygularken bu kontrollerin işleyiş etkinliğini dikkate almayı planladığı durumda bu bilginin güvenilirliğine karar vermektir.

• Denetçinin değerlendirdiği veya denetim prosedürlerinde kullandığı verilerle ilgili olmaları hâlinde, faaliyet ve uygunluk hedeflerine ilişkin kontroller.

A164. Denetçinin kontrollerin işleyiş etkinliğini test etmeye yönelik planları, finansal tablo düzeyinde belirlenen “önemli yanlışlık” risklerinden de etkilenebilir. Örneğin, kontrol çevresiyle ilgili eksikliklerin belirlenmesi hâlinde bu durum denetçinin doğrudan kontrollerin işleyiş etkinliği konusundaki genel beklentilerini etkileyebilir.

Denetçinin uygun olduğunu düşündüğü diğer kontroller (Bkz.: 26(a)(iv) paragrafı)

A165. Denetçinin belirlemenin, tasarımını değerlendirmenin ve uygulanıp uygulanmadığına karar vermenin uygun olduğunu düşündüğü diğer kontroller aşağıdakileri içerebilir:

• Yapısal risk aralığının daha üst kısmında değerlendirilen ancak ciddi risk olarak belirlenmemiş olan riskleri ele alan kontroller,

• Detaylı kayıtların defteri kebirle mutabakatıyla ilgili kontroller veya

• Bir hizmet kuruluşunun kullanılması hâlinde, hizmet alan işletmenin tamamlayıcı kontrolleri.44

BT uygulamalarını, BT çevresinin diğer yönlerini, BT kullanımından kaynaklanan riskleri ve genel BT kontrollerini belirlemek (Bkz.: 26(b)-(c) paragrafı)

Ek 5’de BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarının ve BT çevresinin diğer yönlerinin belirlenmesinde ihtiyaca uygun olabilecek BT uygulamalarına ve BT çevresinin özelliklerine ilişkin örnekler ile bu özelliklerle ilgili rehberlik yer almaktadır.

BT uygulamalarını ve BT çevresinin diğer yönlerini belirlemek (Bkz.: 26(b) paragrafı)

Denetçinin BT kullanımından kaynaklanan riskleri ve belirlenen BT uygulamaları ve BT çevresinin diğer yönleriyle ilgili genel BT kontrollerini belirleme sebebi

A166. BT kullanımından kaynaklanan riskler ve işletme tarafından söz konusu riskleri ele almak için kullanılan genel BT kontrolleri hakkında kanaat edinilmesi aşağıdakileri etkileyebilir:

• Denetçinin, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini ele almaya yönelik kontrollerin işleyiş etkinliğini test etme veya etmeme kararı,

Örnek:

Genel BT kontrollerinin, BT kullanımından kaynaklanan riskleri ele almak için etkin bir biçimde tasarlanmamış veya uygun şekilde uygulanmamış olması hâlinde (örneğin, kontrollerin yetkisiz program değişikliklerini veya BT uygulamalarına yetkisiz erişimi uygun şekilde önlememesi veya tespit etmemesi), bu durum denetçinin etkilenen BT uygulamaları içindeki otomatik kontrollere güvenme kararını etkileyebilir.

• Denetçinin yönetim beyanı düzeyindeki kontrol riskine ilişkin değerlendirmesi,

Örnek:

Bir bilgi işleme kontrolünün devam eden işleyiş etkinliği, BT bilgi işleme kontrolünde yapılacak yetkisiz program değişikliklerini önleyen ya da tespit eden belli genel BT kontrollerine (diğer bir ifadeyle, ilgili BT uygulaması üzerindeki program değişikliği kontrollerine) bağlı olabilir. Bu tür durumlarda, genel BT kontrolünün beklenen işleyiş etkinliği (veya işleyiş etkinliğinden yoksunluğu) denetçinin kontrol riskine ilişkin değerlendirmesini etkileyebilir (örneğin, bu tür genel BT kontrollerinin etkisiz olmasının beklendiği veya denetçinin genel BT kontrollerini test etmeyi planlamadığı durumlarda kontrol riski daha yüksek olabilir).

• Denetçinin işletme tarafından üretilen -işletmenin BT uygulamalarınca üretilen ya da işletmemin BT uygulamalarından elde edilen bilgileri içeren- bilgileri test etme stratejisi,

Örnek:

Denetim kanıtı olarak kullanılacak olan ve işletme tarafından üretilen bilgilerin BT uygulamaları tarafından üretilmiş olması hâlinde denetçi, sistem tarafından üretilen raporlar üzerindeki kontrolleri test etmeye karar verebilir. Buna, uygun olmayan veya yetkisiz program değişiklikleri yapılmasına veya raporlarda doğrudan veri değişiklikleri yapılmasına ilişkin riskleri ele alan genel BT kontrollerinin belirlenmesi ve test edilmesi de dâhildir.

• Denetçinin yönetim beyanı düzeyindeki yapısal risklere ilişkin değerlendirmesi veya

Örnek:

Geçerli finansal raporlama çerçevesinin yeni veya revize edilmiş raporlama yükümlülüklerini ele almak amacıyla bir BT uygulamasında önemli veya kapsamlı programlama değişikliklerinin yapılması, yeni yükümlülüklerin ve bunların işletmenin finansal tabloları üzerindeki etkilerinin karmaşıklığına işaret edebilir. Bu tür kapsamlı programlama veya veri değişikliklerinin meydana gelmesi hâlinde, BT uygulaması da BT kullanımından kaynaklanan risklere maruz kalabilecektir.

• Müteakip denetim prosedürlerinin tasarımı.

Örnek:

Bilgi işleme kontrollerinin genel BT kontrollerine bağlı olması durumunda denetçi, genel BT kontrollerinin işleyiş etkinliğini test etmeye karar verebilir. Söz konusu karar, genel BT kontrolleri için kontrol testlerinin tasarlanmasını gerektirecektir. Denetçinin aynı şartlar altında genel BT kontrollerinin işleyiş etkinliğini test etmemeye karar vermesi veya genel BT kontrollerinin etkin olmamasının beklenmesi durumunda, BT kullanımından kaynaklanan ilgili risklerin maddi doğrulama prosedürlerinin tasarlanması suretiyle ele alınması gerekebilir. Ancak, maddi doğrulama prosedürlerinin tek başlarına yeterli ve uygun denetim kanıtı sağlamadığı risklerle ilgili olmaları hâlinde, BT kullanımından kaynaklanan risklerin ele alınması mümkün olmayabilir. Bu tür durumlarda denetçi, bu durumun denetim görüşü üzerindeki etkilerini mütalaa etme ihtiyacı duyabilir.

BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlemek

A167. Bilgi sistemiyle ilgili BT uygulamaları açısından işletmenin uygulamış olduğu birtakım BT süreçleri ile genel BT kontrollerinin niteliği ve karmaşıklığı hakkında kanaat edinmek, bilgi sistemindeki bilgileri doğru bir biçimde işlemek ve bilginin bütünlüğünü sağlamak için işletmenin hangi BT uygulamalarına güvendiğine karar verirken denetçiye yardımcı olabilir. Bu tür BT uygulamaları, BT kullanımından kaynaklanan risklere maruz kalabilir.

A168. BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlemek, denetçi tarafından belirlenen kontrollerin dikkate alınmasını içerir çünkü bu tür kontroller BT kullanımını içerebilir veya BT’ye dayalı olabilir. Denetçi aynı zamanda bir BT uygulamasının, maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denim kanıtı sağlamadığı riskleri ele alan kontroller dâhil olmak üzere, yönetimin güvendiği ve denetçinin belirlediği otomatik kontroller içerip içermediğine odaklanabilir. Denetçi önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilgilerin bilgi sisteminde nasıl depolandığını, işlendiğini ve yönetimin bu bilgilerin bütünlüğünü sürdürmek için genel BT kontrollerine güvenip güvenmediğini dikkate alabilir.

A169. Denetçi tarafından belirlenen kontroller sistem tarafından üretilen raporlara bağlı olabilir; bu durumda söz konusu raporları üreten BT uygulamaları BT kullanımından kaynaklanan risklere maruz kalabilir. Diğer durumlarda denetçi sistem tarafından üretilen raporlar üzerindeki kontrollere güvenmeyi değil de, söz konusu raporların girdi ve çıktılarını doğrudan test etmeyi planlayabilir. Böyle bir durumda denetçi BT uygulamalarının BT kullanımından kaynaklanan risklere maruz olmadıklarını belirleyebilir.

Ölçeklenebilirlik

A170. İşletmede uygulanan genel BT kontrollerinin kapsamı dâhil, denetçinin BT süreçleri hakkındaki kanaatinin kapsamı; işletmenin niteliği, işletmenin içinde bulunduğu şartlar ve işletmenin BT çevresine göre farklılık gösterecek ve aynı zamanda denetçinin belirlediği kontrollerin niteliğine ve kapsamına dayalı olacaktır. BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarının sayısı da söz konusu etkenlere göre farklılık gösterecektir.

Örnekler:

• Ticari bir yazılım kullanan ve herhangi bir program değişikliği yapmak için yazılımın kaynak koduna erişimi olmayan bir işletmenin program değişiklikleri yapma konusunda herhangi bir sürecinin olması muhtemel değildir, ancak bu işletmenin yazılımı yapılandırmaya yönelik süreci veya prosedürleri olabilir (örneğin, hesap planı, raporlama parametreleri veya eşikleri). Ayrıca, işletmenin uygulamaya erişimi yönetmek (örneğin, ticari yazılıma idari erişimi olan yetkilendirilmiş bir kişi) konusunda süreci veya prosedürleri olabilir. Bu şartlar altında işletmenin resmileştirilmiş genel BT kontrollerine sahip olması veya ihtiyaç duyması muhtemel değildir.

• Bunun aksine, daha büyük bir işletmede bilgi teknolojilerine büyük ölçüde güveniliyor, BT çevresi birden fazla BT uygulaması içeriyor ve BT çevresinin yönetilmesine yönelik karmaşık BT süreçleri (örneğin, program değişikliklerini geliştiren ve uygulayan ve erişim haklarını yöneten bir BT departmanı) bulunuyor olabilir ve bu kapsamda işletme BT süreçleri üzerinde resmileştirilmiş genel BT kontrolleri uyguluyor olabilir.

• Yönetimin işlemleri işlemek veya verileri tutmak amacıyla otomatik kontrollere veya genel BT kontrollerine güvenmediği ve denetçinin herhangi bir otomatik kontrol veya diğer bilgi işleme kontrolü (veya genel BT kontrollerine dayanan herhangi bir kontrol) belirlemediği durumlarda, denetçi işletme tarafından BT kullanılmak suretiyle üretilen herhangi bir bilgiyi doğrudan test etmeyi planlayabilir ve BT kullanımından kaynaklanan risklere maruz kalan herhangi bir BT uygulaması belirlemeyebilir.

• Yönetimin veri işleme veya tutma amacıyla bir BT uygulamasına güvendiği, veri hacminin önemli olduğu ve yönetimin denetçi tarafından da belirlenmiş olan otomatik kontrolleri yürütmek için söz konusu BT uygulamasına güvendiği durumlarda, söz konusu BT uygulamasının BT kullanımından kaynaklanan risklere maruz kalması muhtemeldir.

A171. İşletmenin BT çevresinde karmaşıklık düzeyinin daha yüksek olması durumunda; BT uygulamaları ve BT çevresinin diğer yönlerinin belirlenmesi, BT kullanımından kaynaklanan ilgili risklere karar verilmesi ve genel BT kontrollerinin belirlenmesi, BT alanında uzmanlık becerilerine sahip ekip üyelerinin katılımını gerektirebilir. Karmaşık BT çevreleri için bu tür bir katılım ciddi derecede önem taşıyabilir ve katılımın yoğun olması gerekebilir.

BT çevresinin BT kullanımından kaynaklanan risklere maruz kalan diğer yönlerini belirlemek

A172. BT çevresinin BT kullanımından kaynaklanan risklere maruz kalma ihtimali olan diğer yönleri arasında; ağ, işletim sistemi, veri tabanları ve belirli durumlarda BT uygulamaları arasındaki ara yüzler yer alır. Denetçinin BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlemediği durumlarda genellikle BT çevresinin diğer yönleri de belirlenmez. Denetçinin BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlediği durumlarda, BT çevresinin diğer yönlerinin (örneğin, veri tabanı, işletim sistemi, ağ) belirlenmesi muhtemeldir, çünkü bu tür yönler belirlenen BT uygulamalarını destekler ve onlarla etkileşimde bulunur.

BT kullanımından kaynaklanan riskleri ve genel BT kontrollerini belirlemek (Bkz.: 26(c) paragrafı)

Ek 6’da genel BT kontrollerine ilişkin hususlar yer almaktadır.

A173. BT kullanımından kaynaklanan riskleri belirlerken denetçi, belirlenen BT uygulamasının niteliğini veya BT çevresinin diğer yönlerini ve BT kullanımından kaynaklanan risklere olan açıklık nedenlerini dikkate alabilir. Belirlenen bazı BT uygulamaları veya BT çevresinin diğer yönleri için denetçi; BT kullanımından kaynaklanan ve ağırlıklı olarak yetkisiz erişim veya yetkisiz program değişiklikleriyle ilgili olan ve ayrıca uygunsuz veri değişiklikleriyle ilgili riskleri ele alan geçerli riskleri belirleyebilir (örneğin, doğrudan veri tabanına erişim veya bilgiyi doğrudan manipüle etme imkânı gibi, verilerde uygunsuz değişiklikler yapma riski).

A174. BT kullanımından kaynaklanan geçerli risklerin nitelik ve kapsamı, belirlenen BT uygulamalarının ve BT çevresinin diğer yönlerinin nitelik ve özelliklerine bağlı olarak farklılık gösterir. Geçerli BT riskleri; işletmenin BT çevresinin belirlenmiş yönleri için dış veya iç hizmet sağlayıcılar kullanması durumunda ortaya çıkabilir (örneğin, BT çevresi için barındırma hizmetinin üçüncü bir taraftan tedarik edilmesi veya bir topluktaki BT süreçlerinin merkezden yönetimi için paylaşımlı bir hizmet merkezi kullanılması gibi). BT kullanımından kaynaklanan geçerli riskler siber güvenlikle ilgili olarak da belirlenebilir. Otomatik uygulama kontrollerinin büyüklüğü ve karmaşıklığı arttıkça ve işlemlerin etkin şekilde işlenmesi veya dayanak bilgilerin bütünlüğünün etkin şekilde sürdürülmesi için yönetim bu kontrollere daha fazla güvendikçe, BT kullanımından kaynaklanan daha fazla risk olma ihtimali yüksektir.

Kontrol faaliyetleri bileşenindeki belirlenen kontrollerin tasarımını değerlendirmek ve uygulanıp uygulanmadığına karar vermek (Bkz.: 26(ç) paragrafı)

A175. Belirlenen bir kontrolün tasarımının değerlendirilmesi, kontrolün tek başına veya diğer kontrollerle birlikte önemli yanlışlıkları etkin bir biçimde önleme veya tespit edip düzeltme (diğer bir ifadeyle; kontrol amacı) kapasitesinin olup olmadığını denetçinin dikkate almasını içerir.

A176. Denetçi, kontrolün mevcut olduğunu ve işletmenin bu kontrolü kullandığını tespit ederek, belirlenen bir kontrolün uygulanıp uygulanmadığına karar verir. Denetçinin etkin biçimde tasarlanmamış bir kontrolün uygulanmasını değerlendirmesinin bir anlamı olmayacaktır. Bu sebeple, denetçi öncelikli olarak kontrolün tasarımını değerlendirir. Uygun olmayan şekilde tasarlanan bir kontrol, kontrol eksikliğini gösterebilir.

A177. Kontrol faaliyetleri bileşenindeki belirli kontrollerin tasarım ve uygulanması hakkında denetim kanıtı elde etmeye yönelik risk değerlendirme prosedürleri aşağıdakileri içerebilir:

• İşletme personelinin sorgulanması.

• Belirli kontrollerin uygulanmasının gözlemlenmesi.

• Belge ve raporların tetkik edilmesi.

Ancak sorgulama, bu tür amaçlar için tek başına yeterli değildir.

A178. Denetçi, önceki denetimlerden elde edilen deneyimlere veya cari dönem risk değerlendirme prosedürlerine dayanarak, yönetimin ciddi bir riski ele almak için etkin biçimde tasarlanmış veya uygulanmış kontrollere sahip olmamasını bekleyebilir. Bu gibi durumlarda, 26(ç) paragrafındaki yükümlülüğü yerine getirmek için uygulanacak prosedürler, bu kontrollerin etkin bir biçimde tasarlanmadığını veya uygulanmadığını belirlemeyi içerebilir. Prosedürlerin sonuçlarının kontrollerin yeni tasarlandığını veya uygulandığını göstermesi durumunda denetçi, yeni tasarlanmış veya uygulanmış kontrollere ilişkin olarak 26(b)-(ç) paragrafında yer alan prosedürleri uygulamak zorundadır.

A179. Denetçi, etkin biçimde tasarlanan ve uygulanan bir kontrolün, maddi doğrulama prosedürleri tasarlanırken bu kontrolün işleyiş etkinliğini dikkate almak amacıyla, test edilmeye uygun olabileceği sonucuna varabilir. Ancak bir kontrolün etkin bir biçimde tasarlanmadığı veya uygulanmadığı durumlarda, söz konusu kontrolü test etmenin yararı yoktur. Denetçi bir kontrolü test etmeyi planladığında, kontrolün “önemli yanlışlık” riskini (risklerini) ne ölçüde ele aldığı hakkında elde edilen bilgiler, denetçinin yönetim beyanı düzeyindeki kontrol riski değerlendirmesinde bir girdiyi oluşturur.

A180. Kontrol faaliyetleri bileşenindeki belirli kontrollerin tasarımının değerlendirilmesi ve bunların uygulanıp uygulanmadığına karar verilmesi, bunların işleyiş etkinliğini test etmek için yeterli değildir. Bununla birlikte, otomatik kontroller açısından, denetçi, doğrudan otomatik kontrollerin işleyiş etkinliğini test etmek yerine, otomatik bir kontrolün tutarlı biçimde işlemesini sağlayan genel BT kontrollerini belirleyip test ederek otomatik kontrollerin işleyiş etkinliğini test etmeyi planlayabilir. Örneğin, manuel bir kontrolün belirli bir zamanda uygulanması hakkında denetim kanıtı elde edilmesi, bu kontrolün denetlenen dönem boyunca diğer zamanlardaki işleyiş etkinliği hakkında bir denetim kanıtı sağlamaz. Dolaylı kontrol testleri de dâhil olmak üzere, kontrollerin işleyiş etkinliğine ilişkin testle BDS 330’da daha detaylı olarak açıklanmaktadır.45

A181. Denetçinin belirlenen kontrollerin işleyiş etkinliğini test etmeyi planlamadığı durumlarda; ilgili “önemli yanlışlık” risklerine karşı uygulanan maddi doğrulama prosedürlerinin niteliği, zamanlaması ve kapsamının tasarlanmasında denetçinin kanaati yine de yardımcı olabilir.

Örnek:

Bu risk değerlendirme prosedürlerinin sonuçları, denetçinin denetim örneklemesini tasarlarken bir ana kitlede bulunan olası sapmaları dikkate alması için dayanak oluşturabilir.

İşletmenin İç Kontrol Sistemindeki Kontrol Eksiklikleri (Bkz.: 27 nci paragraf)

A182. Denetçi, işletmenin iç kontrol sisteminin bileşenlerinden her birine ilişkin değerlendirme yaparken;46 bir bileşene dair işletme politikalarının belirli bir kısmının işletmenin niteliğine ve içinde bulunduğu şartlara uygun olmadığına karar verebilir. Böyle bir karar, kontrol eksikliklerini belirlemede denetçiye yardımcı olacak bir gösterge olabilir. Bir veya daha fazla kontrol eksikliği belirlemesi durumunda denetçi, bu kontrol eksikliklerinin, BDS 330’a uygun olarak müteakip denetim prosedürlerinin tasarlanması üzerindeki etkisini dikkate alabilir.

A183. Denetçinin bir veya birden çok kontrol eksikliği tespit etmesi durumunda; BDS 26547 uyarınca denetçi bu eksikliklerin tek başına veya diğer eksikliklerle birlikte önemli bir eksiklik teşkil edip etmediğine karar verir. Denetçi, bir eksikliğin önemli bir kontrol eksikliğini gösterip göstermediğine karar verirken mesleki muhakemesini kullanır48

Örnekler:

Önemli bir kontrol eksikliğinin mevcut olduğunu gösterebilecek durumlar arasında aşağıdaki gibi hususlar yer alabilir:

• Üst yönetimin karıştığı herhangi bir büyüklükte bir hilenin belirlenmesi,

• İç denetim tarafından dikkat çekilen eksikliklerin raporlanması ve bildirilmesi bakımından yetersiz kalan iç süreçlerin belirlenmesi,

• Daha önceden bildirilen ancak yönetim tarafından zamanında düzeltilmeyen eksiklikler,

• Yönetimin ciddi risklere, örneğin ciddi risklere yönelik kontroller uygulamayarak, karşılık vermekte başarısız olması ve

• Önceden yayımlanmış finansal tabloların yeniden düzenlenmiş olması.

“Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi (Bkz.: 28-37 paragrafları)

Denetçinin “Önemli Yanlışlık” Riskini Belirleme ve Değerlendirme Sebebi

A184. “Önemli yanlışlık” riskleri, yeterli ve uygun denetim kanıtının elde edilmesi için gerekli olan müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlemek amacıyla denetçi tarafından belirlenir ve değerlendirilir. Bu kanıtlar, denetçinin finansal tablolar hakkında kabul edilebilir derecede düşük bir denetim riski düzeyinde görüş vermesini sağlar.

A185. Risk değerlendirme prosedürleri uygulanarak toplanan bilgiler, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için temel oluşturmak amacıyla denetim kanıtı olarak kullanılır. Örneğin, belirlenen kontrollerin tasarımının değerlendirilmesi ve bu kontrollerin kontrol faaliyetleri bileşeninde uygulanıp uygulanmadığının belirlenmesi sırasında elde edilen denetim kanıtları, risk değerlendirmesini destekleyecek denetim kanıtı olarak kullanılır. Bu tür kanıtlar ayrıca, BDS 330’a uygun olarak denetçinin, finansal tablo düzeyinde “önemli yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak uygun işler tasarlamasını, ayrıca niteliği, zamanlaması ve kapsamı, yönetim beyanı düzeyinde “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık veren müteakip denetim prosedürlerini tasarlamasını ve uygulamasını sağlar.

“Önemli Yanlışlık" Risklerinin Belirlenmesi (Bkz.: 28 inci paragraf)

A186. “Önemli yanlışlık” risklerinin belirlenmesi; ilgili kontrollerin herhangi biri dikkate alınmadan gerçekleştirilir (diğer bir ifadeyle, yapısal risk) ve hem meydana gelmesine hem de meydana geldiğinde önemli olmasına ilişkin makul bir ihtimal bulunan yanlışlıklar için denetçi tarafından yapılan ön değerlendirmeye dayanır.49

A187. “Önemli yanlışlık” risklerini belirlemek; denetçinin önemli işlem sınıfları, hesap bakiyeleri ve açıklamaları belirlemesine yardımcı olan ilgili yönetim beyanlarına karar vermesinde dayanak oluşturur.

Yönetim Beyanları

Denetçinin Yönetim Beyanlarını Kullanma Sebebi

A188. “Önemli yanlışlık” risklerini belirlerken ve değerlendirirken denetçi, meydana gelebilecek farklı türdeki muhtemel yanlışlıkları mütalaa etmek için yönetim beyanlarını kullanır. Denetçinin ilgili “önemli yanlışlık” risklerini tespit ettiği yönetim beyanları, ilgili yönetim beyanlarıdır.

Yönetim Beyanlarının Kullanılması

A189. Denetçi, “önemli yanlışlık” risklerini belirlerken ve değerlendirirken, A190 (a)-(b) paragraflarında tanımlanan yönetim beyanlarını kullanabilir veya bunları söz konusu paragraflarda tanımlanan tüm yönleri kapsaması şartıyla farklı bir biçimde ifade edebilir. Denetçi, işlem sınıfları ve olaylar ile ilgili açıklamalar hakkındaki yönetim beyanlarını hesap bakiyeleri ve ilgili açıklamalar hakkındaki yönetim beyanlarıyla birleştirmeyi seçebilir.

A190. Gerçekleşebilecek farklı muhtemel yanlışlık türlerini dikkate alırken denetçi tarafından kullanılan yönetim beyanları aşağıdaki kategorilerden birine girebilir:

(a) Denetlenen döneme ilişkin işlem sınıfları ve olaylar ile ilgili açıklamalar hakkındaki yönetim beyanları:

(i) Gerçekleşme: Kaydedilmiş veya açıklanmış işlem ve olaylar gerçekleşmiştir ve bu işlem ve olaylar işletmeye aittir.

(ii) Tamlık: Kaydedilmiş olması gereken tüm işlem ve olaylar kaydedilmiş ve finansal tablolarda bulunması gereken tüm açıklamalara finansal tablolarda yer verilmiştir.

(iii) Doğruluk: Kaydedilmiş işlem ve olaylara ilişkin tutarlar ve diğer veriler uygun bir şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve ifade edilmiştir.

(iv) Hesap kesimi: İşlem ve olaylar doğru hesap döneminde kaydedilmiştir.

(v) Sınıflandırma: İşlem ve olaylar uygun hesaplara kaydedilmiştir.

(vi) Sunum: İşlem ve olaylar uygun bir şekilde bir araya getirilmiş veya parçalara (alt bölümlere) ayrılmış ve açık bir şekilde ifade edilmiştir. İlgili açıklamalar geçerli finansal raporlama çerçevesi hükümleri bağlamında ihtiyaca uygun ve anlaşılabilirdir.

(b) Dönem sonundaki hesap bakiyeleri ve ilgili açıklamalara ilişkin yönetim beyanları aşağıdaki gibidir:

(i) Var olma (mevcut olma): Varlıklar, yükümlülükler ve özkaynak payları mevcuttur.

(ii) Hak ve yükümlülükler: İşletme, varlıkların tasarruf ve kontrol hakkına sahiptir ve borçlar işletmenin yükümlülüğüdür.

(iii) Tamlık: Kaydedilmiş olması gereken tüm varlıklar, borçlar ve özkaynak payları kaydedilmiş ve finansal tablolarda bulunması gereken tüm açıklamalara finansal tablolarda yer verilmiştir.

(iv) Doğruluk, değerleme ve dağıtım: Varlıklar, yükümlülükler ve özkaynak payları uygun tutarlarda finansal tablolarda yer almaktadır ve her türlü değerleme ve dağıtım düzeltmeleri uygun şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve ifade edilmiştir.

(v) Sınıflandırma: Varlıklar, yükümlülükler ve özkaynak payları uygun hesaplara kaydedilmiştir.

(vi) Sunum: Varlıklar, yükümlülükler ve özkaynak payları uygun bir şekilde bir araya getirilmiş veya parçalara (alt bölümlere) ayrılmış ve açık bir şekilde ifade edilmiştir. İlgili açıklamalar geçerli finansal raporlama çerçevesi hükümleri bağlamında ihtiyaca uygun ve anlaşılabilirdir.

A191. A190 (a)-(b) paragraflarında açıklanan yönetim beyanları -durama uygun bir şekilde uyarlanabildiği sürece- kaydedilmiş işlem sınıfları, olaylar ve hesap bakiyeleriyle doğrudan ilgili olmayan açıklamalarda gerçekleşebilecek farklı türdeki yanlışlıkların dikkate alınmasında da kullanılabilir.Örnek:

Bu tür bir açıklamaya örnek olarak; işletmenin finansal araçları sebebiyle maraz kaldığı riskleri, söz konusu risklerin nasıl meydana geldiğini, bu risklerin yönetilmesine ilişkin amaçları, politikaları ve süreçleri ile riskleri ölçmek için kullanılan yöntemleri açıklama yükümlülüğü verilebilir.

Kamu Sektörü İşletmelerine Özgü Hususlar

A192. Yönetim, kamu sektörü işletmelerinin finansal tabloları hakkında beyanda bulunurken 190(a)-(b) paragraflarında belirtilenlere ek olarak, genellikle işlem ve olayların mevzuata uygun olarak gerçekleştirildiği konusunda da beyanda bulunabilir. Bu tür yönetim beyanları finansal tablo denetiminin kapsamına girebilir.

Finansal Tablo Düzeyindeki "Önemli Yanlışlık” Riskleri (Bkz.: 28(a) ve 30 uncu paragraflar)

Denetçinin Finansal Tablo Düzeyindeki “Önemli Yanlışlık” Risklerini Belirleme ve

Değerlendirme Sebebi

A193. Denetçi, finansal tablo düzeyindeki “önemli yanlışlık” risklerini; risklerin finansal tablolarda yaygın bir etkisinin olup olmadığını ve bu bağlamda BDS 330 uyarınca yapılması gereken genel bir işin olup olmadığını değerlendirmek için belirler.30

A194. Ayrıca, finansal tablo düzeyindeki “önemli yanlışlık” riskleri, münferit yönetim beyanlarını da etkileyebilir ve bu risklerin belirlenmesi, denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini değerlendirmesine ve belirlenen riskleri ele alması için müteakip denetim prosedürlerini tasarlamasına yardım edebilir.

Finansal Tablo Düzeyindeki “Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi

A195. Finansal tablo düzeyindeki “önemli yanlışlık” riskleri, bir bütün olarak finansal tablolarla yaygın bir şekilde ilgili olan ve çok sayıda yönetim beyanını etkileme potansiyeli bulunan riskleri ifade eder. Bu nitelikteki riskler; işlem sınıfları, hesap bakiyeleri veya açıklamalar düzeyinde belirli yönetim beyanlarıyla ilişkilendirilebilir riskler olmak zorunda değildir (örneğin, yönetimin kontrolleri ihlâl etme riski). Bu tür riskler daha ziyade, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini yaygın biçimde artırabilen durumları yansıtır. Denetçinin, belirlenen risklerin finansal tablolarla yaygın bir şekilde ilgili olup olmadığı yönündeki değerlendirmesi; denetçinin finansal tablo düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesini destekler. Diğer durumlarda, bazı yönetim beyanları riske açık olarak da belirlenebilir ve bu nedenle denetçinin riskleri belirlemesini ve yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini değerlendirmesini etkileyebilir.

Örnek:

İşletme; faaliyet zararları ve likidite sorunları ile karşı karşıyadır ve henüz koruma altına alınmamış fonlara bağımlı durumdadır. Bu tür bir durumda denetçi, işletmenin sürekliliği esasının finansal tablo düzeyinde “önemli yanlışlık” riskine yol açtığını belirleyebilir. Bu durumda, muhasebe çerçevesinin, tüm yönetim beyanlarını yaygın olarak etkileyecek bir tasfiye esası kullanılarak uygulanması gerekebilir.

A196. Denetçinin finansal tablo düzeyinde “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesi; özellikle denetçinin kontrol çevresine ilişkin kanaatinden, işletmenin risk değerlendirme sürecinden ve işletmenin iç kontrol sistemini izleme sürecinden olmak üzere denetçinin işletmenin iç kontrol sistemine ilişkin kanaatinden ve aşağıdaki hususlardan etkilenir:

• 21 (b), 22(b), 24(c) ve 25(c) paragrafları tarafından zorunlu kılınan ilgili değerlendirmelerin sonuçları ve

• 27 nci paragrafa uygun olarak belirlenmiş her tür kontrol eksikliği.

Finansal tablo düzeyinde riskler, bozulan ekonomik şartlar gibi işletme dışındaki olay veya şartlarla da ilgili olabilmekle birlikte, özelikle eksik (yetersiz) bir kontrol çevresinden kaynaklanabilir.

A197. Hile kaynaklı “önemli yanlışlık” riskleri, özellikle denetçinin finansal tablo düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesiyle ilgili olabilir.

Örnek:

Denetçi yönetimi sorguladığında; işletmenin finansal tablolarının, işletme sermayesini korumak için daha fazla finansman sağlamak amacıyla borç verenlerle yapılacak görüşmelerde kullanılacağı kanaatine varır. Dolayısıyla denetçi, yapısal riski etkileyen hile riski faktörleri nedeniyle yanlışlığa olan açıklığın daha fazla olduğuna (diğer bir ifadeyle, finansman temin edebilmek için varlıkların ve hasılatın olduğundan fazla, yükümlülük ve giderlerin de olduğundan daha az gösterilmesi gibi hileli finansal raporlama riski nedeniyle finansal tabloların önemli yanlışlıklara açık olduğuna) karar verebilir.

A198. Denetçinin, kontrol çevresinin ve iç kontrol sisteminin diğer bileşenlerinin ilgili değerlendirmelerini de içeren kanaati; denetim görüşüne dayanak teşkil edecek denetim kanıtlarını elde edilebilmesine dair şüpheler doğurabilir veya mevzuatla izin verilmesi hâlinde denetimden çekilmesine neden olabilir.

Örnekler:

• İşletmenin kontrol çevresinin değerlendirilmesi sonucunda, denetçinin işletme yönetiminin dürüstlüğüyle ilgili endişeleri bulunabilir ve bu endişeler, denetçinin, finansal tablolarda yönetimin yanlış açıklamalarda bulunma riskinin denetimin yürütülmesini engelleyebilecek düzeyde olduğu sonucuna varmasına sebep olacak kadar ciddi olabilir.

• İşletmenin bilgi sistemi ve iletişiminin değerlendirilmesi sonucunda denetçi, BT çevresindeki önemli değişikliklerin kötü yönetildiğine, yönetimin ve üst yönetimden sorumlu olanların düzgün gözetiminin olmadığına karar verir. Denetçi, işletmenin muhasebe kayıtlarının durumu ve güvenilirliğiyle ilgili önemli endişeler olduğu sonucuna varır. Böyle bir durumda denetçi, finansal tablolara ilişkin olumlu görüş vermesini destekleyebilecek yeterli ve uygun denetim kanıtı elde edilmesinin muhtemel olmadığı sonucuna varabilir.

A199. BDS 70551 denetçinin sınırlı olumlu görüş (şartlı görüş) vermesine veya görüş vermekten kaçınmasına veya bazı durumlarda gerekli olabileceği gibi -mevzuatla izin verilmesi hâlinde- denetimden çekilmesine ihtiyaç olup olmadığını belirlemeye yönelik hükümler ve açıklamalar içerir.

Kamu Sektörü İşletmelerine Özgü Hususlar

A200. Kamu sektörü işletmeleri için finansal tablo düzeyindeki risklerin belirlenmesi; siyasi iklim, kamu yararı ve program duyarlılığı ile ilgili konuların dikkate alınmasını içerebilir.

Yönetim Beyanı Düzeyindeki “Önemli Yanlışlık” Riskleri (Bkz.: 28(b) paragrafı)

Ek 2’de -yapısal risk faktörleri bağlamında- önemli olma ihtimali bulunan, yanlışlığa açıklığa işaret edebilecek olay veya şartlara ilişkin örnekler yer almaktadır.

A201. Finansal tablolarla yaygın bir şekilde ilgili olmayan “önemli yanlışlık” riskleri, yönetim beyanı düzeyindeki “önemli yanlışlık” riskleridir.

İlgili Yönetim Beyanları ile Önemli İşlem Sınıfları, Hesap Bakiyeleri ve Açıklamalar (Bkz.: 29 uncu paragraf)

İlgili Yönetim Beyanları ile Önemli İşlem Sınıfları, Hesap Bakiyeleri ve Açıklamalara Karar

Verilme Sebebi

A202. İlgili yönetim beyanları ile önemli işlem sınıfları, hesap bakiyeleri ve açıklamalara karar verilmesi; denetçinin 25 (a) paragrafı uyarınca elde etmesi gerekli olan, işletmenin bilgi sistemine yönelik kanaatine temel oluşturur. Bu kanaat ayrıca “önemli yanlışlık” risklerini belirleme ve değerlendirme konusunda denetçiye yardımcı olabilir (Bkz.: A86 paragrafı).

Otomatik Araç ve Teknikler

A203. Denetçi, önemli işlem sınıflarının, hesap bakiyelerinin ve açıklamaların belirlenmesine yardımcı olması amacıyla otomatik teknikler kullanabilir.

Örnekler:

• Bütün bir işlem ana kitlesi; niteliğini, kaynağını, büyüklüğünü ve hacmini anlamak için otomatik araç ve teknikler kullanılarak analiz edilebilir. Otomatik teknikler uygulayarak denetçi, örneğin, dönem sonunda sıfır bakiyeye sahip bir hesabın, hesap bakiyesinin veya işlem sınıfının önemli olabileceğini belirten, dönem içinde meydana gelen çok sayıda netleştirme işleminden ve yevmiye kaydından oluştuğunu belirleyebilir (örneğin, bir bordro mutabakatı hesabı). Aynı bordro mutabakatı hesabı, yönetime (ve diğer çalışanlara) gider iadeleri de belirleyebilir; bu da söz konusu ödemelerin ilişkili taraflara yapılması nedeniyle önemli bir açıklama olabilir.

• Denetçi, tüm hasılat işlemleri ana kitlesinin akışını analiz ederek, önceden belirlenmemiş önemli bir işlem sınıfını daha kolay bir şekilde belirleyebilir.

Önemli Olabilecek Açıklamalar

A204. Önemli açıklamalar, bir veya daha fazla ilgili yönetim beyanının bulunduğu sayısal ve sayısal olmayan açıklamaları içerir. İlgili yönetim beyanları bulunabilen ve sayısal olmayan dolayısıyla denetçi tarafından önemli olduğu değerlendirilen açıklama örnekleri aşağıdakileri içerir:

• Finansal sıkıntı yaşayan bir işletmenin likidite durumu ve borç sözleşmeleri.

• Değer düşüklüğü zararının finansal tablolara alınmasına neden olan olay veya şartlar.

• Gelecek hakkında yapılan varsayımlar dâhil, tahmin belirsizliğinin kilit kaynakları.

• Muhasebe politikasındaki değişikliğin niteliği ve geçerli finansal raporlama çerçevesi tarafından zorunlu kılınan diğer ilgili açıklamalar. Örneğin; yeni finansal raporlama hükümlerinin işletmenin finansal durumu ve finansal performansı üzerinde önemli bir etkiye sahip olmasının beklenmesi.

• Finansal tablolara alınan tüm tutarların nasıl belirlendiğine ilişkin bilgiler dâhil, hisse bazlı ödeme anlaşmaları ve diğer ilgili açıklamalar.

• İlişkili taraflar ve ilişkili taraf işlemleri.

• Kaydedilen veya açıklanan bir tutara ilişkin ölçüm belirsizliğinin dayanağının kullanıcılar tarafından anlaşılmasını sağlamak amacıyla, duyarlılık analizleri ve işletmenin değerleme tekniklerinde kullanılan varsayımlarda meydana gelen değişiklikler.

Yönetim Beyanı Düzeyindeki “Önemli Yanlışlık” Risklerinin Değerlendirilmesi

Yapısal Riskin Değerlendirilmesi (Bkz.: 31-33 üncü paragraflar)

Yanlışlık ihtimalinin ve yanlışlığın büyüklüğünün değerlendirilmesi (Bkz.: 31 inci paragraf)

Denetçinin yanlışlık ihtimalini ve yanlışlığın büyüklüğünü değerlendirme sebebi

A205. Denetçi, belirlenmiş “önemli yanlışlık” riskleri için yanlışlık ihtimalini ve yanlışlığın büyüklüğünü değerlendirir; çünkü bir yanlışlığın gerçekleşme ihtimali ile gerçekleşmesi hâlinde muhtemel yanlışlığın büyüklüğünün bileşiminin önemi, belirlenen riskin yapısal risk aralığında nerede değerlendirileceğini belirler; bu da denetçinin söz konusu riski ele almak için müteakip denetim prosedürleri tasarlamasında bilgilendirici olur.

A206. Belirlenen “önemli yanlışlık” risklerinin yapısal riskinin değerlendirmesi de, ciddi risklere karar vermesinde denetçiye yardımcı olur. BDS 330 ve diğer BDS’ler uyarınca ciddi risklere yönelik belirli adımlar atılması gerektiğinden, denetçi ciddi risklere karar verir.

A207. Yapısal risk faktörleri denetçinin, yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” risklerindeki yanlışlık ihtimaline ve yanlışlığın büyüklüğüne ilişkin değerlendirmesini etkiler. Bir işlem sınıfı, hesap bakiyesi veya açıklama önemli yanlışlıklara ne kadar açıksa; yapısal risk değerlendirmesinin de o kadar yüksek olması muhtemeldir. Yapısal risk faktörlerinin yönetim beyanının yanlışlığa olan açıklığını ne derece etkilediğini göz önünde bulundurmak; yönetim beyanı düzeyindeki “önemli yanlışlık” riskini uygun şekilde değerlendirirken ve bu tür bir riske daha hassas bir karşılık tasarlarken denetçiye yardımcı olur.

Yapısal risk aralığı

A208. Yapısal riski değerlendirirken denetçi, yanlışlık ihtimali ile yanlışlığın büyüklüğünün bileşiminin önemine karar vermek için mesleki muhakemesini kullanır.

A209. Yönetim beyanı düzeyinde belirli bir “önemli yanlışlık” riski ile ilgili olarak değerlendirilen yapısal risk, yapısal risk aralığında düşükten yükseğe doğru bir aralıkta yapılan muhakemeyi temsil eder. Yapısal riskin hangi aralıkta değerlendirileceğine ilişkin muhakeme; işletmenin niteliği, büyüklüğü ve karmaşıklığına göre değişebilir ve yanlışlığın önceden değerlendirilmiş ihtimali ve büyüklüğü ile yapısal risk faktörlerini de göz önünde bulundurur.

A210. Denetçi, bir yanlışlığın olasılığını dikkate alırken; yapısal risk faktörlerine dayalı olarak bir yanlışlığın gerçekleşme ihtimalini değerlendirir.

A211. Bir yanlışlığın büyüklüğünü dikkate alırken denetçi, muhtemel yanlışlığın sayısal ve sayısal olmayan yönlerini de değerlendirir (diğer bir ifadeyle; büyüklüklerine, niteliklerine veya şartlarına bağlı olarak, işlem sınıfları, hesap bakiyeleri veya açıklamalara ilişkin yönetim beyanlarındaki yanlışlıkların önemli olduğu yargısına varılabilir).

A212. Denetçi, yapısal riskin yapısal risk aralığında (diğer bir ifadeyle, aralık) nereye denk geldiğini belirlerken, muhtemel bir yanlışlığın ihtimali ile büyüklüğünün bileşiminin öneminden faydalanır. İhtimalin ve büyüklüğün bileşimi ne kadar yüksekse, yapısal risk değerlendirmesi de o kadar üst seviyede; ihtimalin ve büyüklüğün bileşimi ne kadar düşükse, yapısal risk değerlendirmesi de o kadar alt seviyede olacaktır.

A213. Bir riskin yapısal risk aralığının üst kısmında değerlendirilmesi için hem büyüklüğün hem de ihtimalin yüksek değerlendirilmiş olması zorunlu değildir. Aslında, önemli yanlışlığın büyüklük ve ihtimalinin yapısal risk aralığındaki kesişimi; daha önce değerlendirilmiş yapısal riskin, yapısal risk aralığında üst veya alt seviyelerde olacağını belirler. Farklı ihtimal ve büyüklük bileşimlerinden daha yüksek bir yapısal risk değerlendirmesi de ortaya çıkabilir, örneğin, daha yapısal riskin daha yukarı seviyelere denk gelen bir değerlendirmesi, daha düşük bir ihtimalden ve çok yüksek bir büyüklükten kaynaklanabilir.

A214. Denetçi, “önemli yanlışlık” risklerine karşılık vermek için uygun stratejiler geliştirmek amacıyla; yapısal risk aralığındaki kategoriler içinde, yapısal riske ilişkin değerlendirmeye dayanarak “önemli yanlışlık” riskleri belirleyebilir. Bu kategoriler farklı şekillerde tanımlanabilir. Kullanılan kategorize etme yönteminden bağımsız olarak, yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” risklerine karşılık veren müteakip denetim prosedürlerinin tasarım ve uygulaması; yapısal riskin değerlendirmesine ve bu değerlendirmenin nedenlerine uygun şekilde karşılık verdiğinde, denetçinin yapısal risk değerlendirmesi de uygundur.

Yönetim Beyanı Düzeyindeki Yaygın “Önemli Yanlışlık” Riskleri (Bkz.: 31(b) paragrafı)

A215. Denetçi, yönetim beyanı düzeyinde belirlenmiş “önemli yanlışlık” risklerini değerlendirirken; bazı “önemli yanlışlık” risklerinin bir bütün olarak finansal tablolarla yaygın bir şekilde ilgili olduğu ve potansiyel olarak çok sayıda yönetim beyanını etkilediği sonucuna varabilir. Bu durumda, denetçi fınansal tablo düzeyindeki “önemli yanlışlık” risklerine ilişkin belirlemesini güncelleyebilir.

A216. “Önemli yanlışlık” risklerinin, bazı yönetim beyanları üzerindeki yaygın etkileri nedeniyle finansal tablo düzeyindeki riskler olarak belirlendiği ve belirli yönetim beyanlarıyla ilişkilendirilebildiği durumlarda; denetçi, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin yapısal riski değerlendirirken bu riskleri dikkate almak zorundadır.

Kamu Sektörü İşletmelerine Özgü Hususlar

A217. “Önemli yanlışlık” riskinin değerlendirilmesinde mesleki muhakemede bulunurken kamu sektöründe görev yapan denetçi, mevzuatın karmaşıklığını ve kurum düzenlemelerine aykırılık risklerini dikkate alabilir.

Ciddi Riskler (Bkz.: 32 nci paragraf)

Ciddi risklere karar verilme sebebi ve denetim üzerindeki etkileri

A218. Ciddi risklere karar verilmesi, denetçinin, aşağıdakiler de dâhil olmak üzere bazı gerekli karşılıkların verilmesi yoluyla, yapısal risk aralığının üst sınırında bulunan risklere daha fazla dikkat etmesine imkân tanır:

• Ciddi riskleri ele alan kontrollerin -kontrolün 26(ç) paragrafına göre etkin bir biçimde tasarlanıp tasarlanmadığını ve uygulanıp uygulanmadığını değerlendirme şartıyla- 26(a)(i) paragrafına göre belirlenmesi zorunludur.

• BDS 330, ciddi riskleri ele alan kontrollerin cari dönemde test edilmesini (denetçi bu tür kontrollerin işleyiş etkinliğine güvenmek istediğinde) ve belirlenen ciddi riske özellikle karşılık veren maddi doğrulama prosedürlerin planlanmasını ve uygulanmasını zorunlu kılar.52

• BDS 330, denetçinin, yaptığı risk değerlendirmesinin sonucunda belirlediği risk düzeyi ne kadar yüksekse, o kadar fazla ikna edici denetim kanıtı elde etmesini zorunlu kılar.53

• BDS 260, denetçinin, belirlediği ciddi riskleri üst yönetimde olanlara bildirmesini zorunlu kılar.54

• ISA 701 denetçinin, azami düzeyde dikkat etmesini gerektiren, kilit denetim konusu olabilecek hususları belirlerken ciddi riskleri göz önünde bulundurmasını zorunlu kılar.55

• Çalışma kâğıtlarının sorumlu denetçi tarafından zamanında ve denetimin uygun aşamalarında gözden geçirilmesi, ciddi riskler dâhil, önemli sorunların, denetçi raporu tarihinde veya öncesinde sorumlu denetçinin ikna olacağı şekilde çözülmesini sağlar.56

• BDS 600, ciddi risk bir topluluk denetimindeki bir birimle ilgiliyse ve topluluk denetim ekibinin, topluluk denetçisi tarafından birimde gerekli olan işi yönlendirmesi için topluluk sorumlu denetçisinin daha fazla katılımını zorunlu kılar.57

Ciddi risklere karar verilmesi

A219. Ciddi risklere karar verirken hangi risklerin üst sınıra yakın olabileceğini değerlendirmede dayanak oluşturması için denetçi, ilk olarak yapısal risk aralığı üzerinde daha önceden yüksek risk olarak değerlendirilmiş “önemli yanlışlık” risklerini belirleyebilir. Yapısal risk aralığının üst sınırına yakın olmak işletmeden işletmeye, hatta aynı işletme için dönemden döneme farklılık gösterebilir. Bu yakınlık, riski değerlendirilen işletmenin niteliğine ve içinde bulunduğu şartlara bağlı olabilir.

A220. “Önemli yanlışlık” riski olarak değerlendirilen risklerden hangilerinin yapısal risk aralığında üst sınıra yakın ve dolayısıyla ciddi risk olacağına karar verilmesi; riskin bir başka BDS uyarınca ciddi risk olarak görüleceği özel olarak belirtilmiş olmadıkça, mesleki muhakemenin konusudur. BDS 240, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi ile ilgili ilave yükümlülükler ve rehberlik içerir.38

Örnek:

• Bir süpermarketteki nakit para, genellikle yanlışlık ihtimalinin yüksek olduğu bir alan olarak ele alınır (zimmete para geçirme riski nedeniyle), ancak (paranın) büyüklüğü genellikle çok düşüktür (marketlerde fiziki para miktarının düşük tutulması sebebiyle). Bu iki faktörün yapısal risk aralığındaki bileşiminin, nakit para varlığının ciddi risk olarak belirlenmesine yol açma ihtimali düşüktür.

• Bir işletme faaliyet bölümlerinden birini satmak amacıyla müzakerelerde bulunmaktadır. Denetçi, şerefiyenin değer düşüklüğü üzerindeki etkiyi dikkate alır ve sübjektiflik, belirsizlik ve yönetimin taraflılığına olan açıklık veya diğer hile riski faktörleri nedeniyle bir yanlışlığın daha yüksek bir ihtimale ve daha fazla büyüklüğe sahip olacağına karar verebilir. Bu ise şerefiyenin değer düşüklüğüne ciddi risk olarak karar verilmesiyle sonuçlanabilir.

A221. Denetçi yapısal riski değerlendirirken, yapısal risk faktörlerinin görece etkilerini de dikkate alır. Yapısal risk faktörlerinin etkisi ne kadar düşük olursa, değerlendirilen risk de o kadar düşük olacaktır. Yüksek yapısal riske sahip olarak değerlendirilmiş ve bu nedenle ciddi risk olduğuna karar verilebilen “önemli yanlışlık” riskleri, aşağıdaki gibi hususlardan kaynaklanabilir:

• Subjektiflik içeren, birden fazla kabul edilebilir muhasebeleştirme yöntemi olan işlemler.

• Yüksek tahmin belirsizliği veya karmaşık modellere sahip muhasebe tahminleri.

• Hesap bakiyelerini destekleyecek verilerin toplanması ve işlenmesindeki karmaşıklık.

• Karmaşık hesaplamalar içeren hesap bakiyeleri veya sayısal olmayan açıklamalar.

• Farklı yorumlara tabi olabilecek muhasebe ilkeleri.

• İşletmenin iş kolunda, örneğin birleşme ve satın almalar gibi muhasebe değişiklikleri içeren değişimler.

Maddi Doğrulama Prosedürlerinin Tek Başına Yeterli ve Uygun Denetim Kanıtı Sağlamadığı Riskler (Bkz.: 33 üncü paragraf)

Maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlamadığı risklerin belirlenmesinin zorunlu kılınma sebebi

A222. “Önemli yanlışlık” riskinin ve bu riski ele alan kontrol faaliyetlerinin doğası itibariyle, bazı durumlarda yeterli ve uygun denetim kanıtı elde etmenin tek yolu kontrollerin işleyiş etkinliğini test etmektir. Dolayısıyla, bu tür risklerin, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini ele almak amacıyla BDS 330 uyarınca müteakip denetim prosedürlerinin tasarlanması ve uygulanması üzerindeki etkileri nedeniyle, denetçinin söz konusu riskleri belirleme yükümlülüğü bulunmaktadır.

A223. Ayrıca 26(a)(iii) paragrafı, maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı riskleri ele alan kontrollerin belirlenmesini gerektirir, çünkü BDS 33059 uyarınca denetçi, bu tür kontrol testlerini tasarlamak ve uygulamak zorundadır.

Maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlamadığı risklere karar verilmesi

A224. Rutin işlemlerin, manuel müdahalenin çok az olduğu veya hiç olmadığı yüksek otomasyon ortamında yapıldığı durumlarda, riskle ilgili olarak yalnızca maddi doğrulama prosedürlerinin uygulanması mümkün olmayabilir. İşletme bilgilerinin önemli bir bölümünün, BT uygulamaları arasında yüksek derecede entegrasyon içeren bir bilgi sisteminde olduğu gibi yalnızca elektronik ortamda başlatıldığı, kaydedildiği, işlendiği ve raporlandığı hâllerde bu tür bir durum söz konusu olabilir. Bu tür durumlarda:

• Denetim kanıtı sadece elektronik ortamda olabilir ve bu kanıtın yeterliliği ve uygunluğu genellikle bilgilerin doğruluk ve tamlığı üzerindeki kontrollerin etkinliğine bağlıdır.

• Uygun kontrollerin etkin biçimde çalışmaması hâlinde bilgilerin uygun olmayan şekilde başlatılması veya değiştirilmesi ve bunun tespit edilememesi ihtimali daha yüksek olabilir.

Örnek:

Tek başına maddi doğrulama prosedürlerine dayanarak bir telekomünikasyon işletmesinin hasılatına ilişkin yeterli ve uygun denetim kanıtı elde edilmesi genellikle mümkün değildir. Bunun nedeni, çağrı veya veri faaliyetine ilişkin kanıtların gözlemlenebilir bir biçimde mevcut olmamasıdır. Bunun yerine, çağrının başlatılması ve tamamlanması ile veri faaliyetinin doğru bir şekilde kayıt altına alındığını (örneğin, bir çağrının dakikaları veya veri indirme hacmi) ve işletmenin faturalandırma sistemine doğru şekilde kaydedildiğini belirlemek için genellikle maddi kontrol testleri yapılır.

A225. Muhasebe tahminleriyle ilgili olarak, maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlamadığı riskler hakkında daha fazla bilgi BDS 540’ta yer almaktadır.60 Muhasebe tahminleri açısından bu durum otomasyonlarla sınırlı olmayıp, aynı zamanda karmaşık modeller için de geçerli olabilir.

Kontrol Riskinin Değerlendirilmesi (Bkz.: 34 üncü paragraf)

A226. Denetçinin kontrollerin işleyiş etkinliğini test etme planları, kontrollerin etkin bir biçimde işlediği beklentisine dayanır ve bu denetçinin kontrol riski değerlendirmesinin dayanağını oluşturur. Kontrollerin işleyiş etkinliğine ilişkin ilk beklenti, denetçinin kontrol faaliyetleri bileşeninde belirlenen kontrollerin tasarımını değerlendirmesine ve uygulanıp uygulanmadığına karar vermesine dayanır. Kontrollerin işleyiş etkinliğini BDS 330’a göre test ettikten sonra denetçi, kontrollerin işleyiş etkinliğine ilişkin ilk beklentiyi doğrulayabilecektir. Kontroller beklendiği gibi etkin bir biçimde işlemiyorsa, denetçinin kontrol riski değerlendirmesini 37 nci paragrafa uygun olarak revize etmesi gerekecektir.

A227. Denetçinin kontrol riski değerlendirmesi, tercih edilen denetim teknik veya metodolojilerine bağlı olarak farklı şekillerde yapılabilir ve farklı şekillerde ifade edilebilir.

A228. Denetçi, kontrollerin işleyiş etkinliğini test etmeyi planlıyorsa, kontrollerin etkin bir biçimde işlediğine dair beklentisini doğrulamak için kontrollerin bir kombinasyonunu test etmesi gerekebilir. Denetçi, genel BT kontrolleri dâhil, hem doğrudan hem de dolaylı kontrolleri test etmeyi planlayabilir ve böyle bir durumda, kontrol riskini değerlendirirken kontrollerin beklenen bileşik etkisini dikkate alabilir. Test edilecek kontrolün değerlendirilen yapısal riski tümüyle ele almadığı durumlarda, denetçi, denetim riskini kabul edilebilir düşük bir seviyeye indirmek amacıyla müteakip denetim prosedürlerinin tasarımı üzerindeki etkilerine karar verir.

A229. Otomatik bir kontrolün işleyiş etkinliğini test etmeyi planlaması durumunda denetçi; BT kullanımından doğan riskleri ele almak ve otomatik kontrolün dönem boyunca etkin biçimde işlediğine dair beklentisine dayanak oluşturmak amacıyla, söz konusu otomatik kontrolün işleyiş sürekliliğini destekleyen ilgili genel BT kontrollerinin işleyiş etkinliğini test etmeyi de planlayabilir. Denetçi, ilgili genel BT kontrollerinin etkin olmayacağını beklediğinde, bu tespit, denetçinin yönetim beyanı düzeyinde kontrol riski değerlendirmesini etkileyebilir ve denetçinin müteakip denetim prosedürlerinin, BT kullanımından kaynaklanan geçerli riskleri ele almak için maddi doğrulama prosedürleri içermesi gerekebilir. Denetçinin bu gibi durumlarda uygulayabileceği prosedürlere ilişkin daha fazla bilgi BDS 330’da yer alır.61

Risk Değerlendirme Prosedürlerinden Elde Edilen Denetim Kanıtlarının Değerlendirilmesi (Bkz.: 35 inci paragraf)

Denetçinin Risk Değerlendirme Prosedürlerinden Elde Edilen Denetim Kanıtlarını

Değerlendirme Sebebi

A230. Risk değerlendirme prosedürlerinin uygulanmasından elde edilen denetim kanıtları, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için dayanak oluşturur. Bu ise, BDS 330’a uygun olarak denetçinin, yönetim beyanı düzeyinde “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık veren müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamını tasarlaması için dayanak oluşturur. Buna göre, risk değerlendirme prosedürlerinden elde edilen denetim kanıtları, finansal tablo ve yönetim beyanı düzeylerindeki hata veya hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için dayanak sağlar.

Denetim Kanıtının Değerlendirilmesi

A231. Risk değerlendirme prosedürlerinden elde edilen denetim kanıtları; yönetim beyanlarını destekleyen ve doğrulayan bilgiler ile bu beyanlarla çelişen her tür bilgiyi kapsar.62

Mesleki Şüphecilik

A232. Denetçi, risk değerlendirme prosedürlerinden elde edilen denetim kanıtlarını değerlendirirken; “önemli yanlışlık” risklerini ve “önemli yanlışlık” riskine işaret edebilen çelişkili herhangi bir kanıtın olup olmadığını belirlemek amacıyla, işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında yeterli bilgi olup olmadığını mütalaa eder.

Kritik Önem Taşımayan Ancak Önemli İşlem Sınıfları, Hesap Bakiyeleri ve Açıklamalar (Bkz.: 36 ncı paragraf)

A233. BDS 320’de açıklandığı üzere63, işlem sınıfları, hesap bakiyeleri veya açıklamalara ilişkin “önemli yanlışlık” riskleri belirlenirken ve değerlendirilirken önemlilik ve denetim riski göz önünde bulundurulur. Denetçinin önemliliği belirlemesi mesleki muhakemesini kullanmasını gerektiren bir konudur ve bu belirleme denetçinin finansal tablo kullanıcılarının finansal bilgiye olan ihtiyaçlarını algılayışından etkilenir.64 Bu BDS ve BDS 330’un 18 inci paragrafının amaçları açısından işlem sınıfları, hesap bakiyeleri veya açıklamalar; bunlar hakkındaki bilgilerin ihmal edilmesinin, yanlış sunulmasının veya anlaşılmasının zorlaştırılmasının; kullanıcılar tarafından bir bütün olarak finansal tablolara dayanılarak alınan ekonomik kararları makul ölçüde etkilemesi bekleniyorsa, önemlidir.

A234. Önemli olan, ancak kritik önem taşımadığı belirlenen işlem sınıfı, hesap bakiyeleri veya açıklamalar olabilir (diğer bir ifadeyle, ilgili herhangi bir yönetim beyanı bulunmamaktadır).

Örnek:

İşletmenin, denetçinin “önemli yanlışlık” riski belirlemediği makam tazminatı hakkında bir açıklaması olabilir. Ancak denetçi, A233 paragrafında yer alan hususlara dayanarak bu açıklamanın önemli olduğuna karar verebilir.

A235. Önemli olan, ancak kritik önem taşımadığı belirlenen işlem sınıfları, hesap bakiyeleri veya açıklamaları ele alan denetim prosedürleri BDS 330’da ele alınmaktadır.65 Bir işlem sınıfı, hesap bakiyesi veya açıklamanın 29 uncu paragrafta öngörülen şekilde önemli olduğuna karar verildiğinde; söz konusu işlem sınıfı, hesap bakiyesi veya açıklama, BDS 330’un 18 inci paragrafının amaçları açısından da önemli bir işlem sınıfı, hesap bakiyesi veya açıklama olarak kabul edilir.

Risk Değerlendirmesinin Revize Edilmesi (Bkz.: 37 nci paragraf)

A236. Denetim sırasında, risk değerlendirmesine dayanak oluşturan bilgilerden önemli ölçüde farklılık gösteren yeni veya başka bilgiler denetçinin dikkatini çekebilir.

Örnek:

İşletmenin risk değerlendirmesi belirli kontrollerin etkin bir biçimde işlediği beklentisine dayanabilir. Bu kontrol testlerini uygularken denetçi, kontrollerin denetim sırasında ilgili zamanlarda etkin bir biçimde işlemediğine ilişkin denetim kanıtı elde edebilir. Benzer şekilde maddi doğrulama prosedürlerini uygularken denetçi, yaptığı risk değerlendirmesiyle tutarlı olandan daha yüksek tutar veya sıklıkta gerçekleşen yanlışlıkları tespit edebilir. Bu tür durumlarda risk değerlendirmesi işletmenin gerçek durumunu uygun şekilde yansıtmayabilir ve planlanan müteakip denetim prosedürleri önemli yanlışlıkların tespit edilmesinde etkin olmayabilir. BDS 330’un 16 ve 17 nci paragrafları kontrollerin işleyiş etkinliğinin değerlendirilmesi hakkında ilave rehberlik sağlar.

Belgelendirme (Bkz.: 38 inci paragraf)

A237. Müteakip (birbirini takip eden) denetimlerde, belirli çalışma kâğıtları gerekli hâllerde işletmenin faaliyet veya süreçlerindeki değişiklikleri yansıtmak amacıyla güncellenerek gelecekte de kullanılabilir.

A238. BDS 230, diğer hususlara ek olarak, denetçinin mesleki şüpheciliğinin belgelendirilmesinin tek bir yolu olmamasına rağmen, çalışma kâğıtlarının yine de denetçinin mesleki şüpheciliğini kullandığına dair kanır sağlayabileceğini belirtmektedir.66 Örneğin, risk değerlendirme prosedürlerinden elde edilen denetim kanıtları, yönetimin beyanlarını hem doğrulayan hem de bunlarla çelişen kanıtlar içerdiğinde, belgelendirme; denetim kanıtlarının denetçinin “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesi için uygun bir dayanak sağlayıp sağlamadığını değerlendirirken yaptığı mesleki muhakeme de dâhil olmak üzere, denetçinin söz konusu kanıtları nasıl değerlendirdiğini de içerebilir. Hangi çalışma kâğıtlarının denetçinin mesleki şüpheciliği uyguladığının kanıtı olabileceğine dair bu BDS’de yer alan diğer hükümlere ilişkin örnekler aşağıdakileri içerir:

• Denetçinin, risk değerlendirme prosedürlerini, risklerin varlığına dair doğrulayıcı olabilecek denetim kanıtları elde etme veya risklerin varlığıyla çelişkili olabilecek denetim kanıtlarını hariç tutma eğiliminde olmayacak şekilde tasarlamasını ve uygulamasını zorunlu kılan 13 üncü paragraf,

• Geçerli finansal raporlama çerçevesinin uygulanması ve işletmenin finansal tablolarının önemli yanlışlıklara olan açıklığı konusunda kilit denetim ekibi üyeleri arasında müzakerede bulunulmasını zorunlu kılan 17 nci paragraf,

• Denetçinin işletmenin muhasebe politikalarında yapılan herhangi bir değişikliğin sebeplerini anlamasını ve işletmenin muhasebe politikalarının uygun olup olmadığını ve geçerli finansal raporlama çerçevesiyle tutarlı olup olmadığını değerlendirmesini zorunlu kılan 19(b) ve 20 nci paragraflar,

• Denetçinin, edindiği kanaate dayalı olarak, işletmenin iç kontrol bileşenlerinin, işletmenin nitelik ve karmaşıklığına uygun olup olmadığını değerlendirmesini ve bir veya daha fazla kontrol eksikliğinin belirlenip belirlenmediğine karar vermesini zorunlu kılan 21(b), 22(b), 23(b), 24(c), 25(c), 26(ç) ve 27 nci paragraflar,

• Denetçinin, yönetim beyanlarını doğrulayan veya onlarla çelişen nitelikte olsun veya olmasın, risk değerlendirme prosedürlerinden elde edilen tüm denetim kanıtlarını dikkate almasını ve risk değerlendirme prosedürlerinden elde edilen denetim kanıtlarının “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için uygun bir dayanak sağlayıp sağlamadığını değerlendirmesini zorunlu kılan 35 inci paragraf ve

• Denetçinin, uygun hâllerde, önemli bir işlem sınıfı, hesap bakiyesi veya açıklama için “önemli yanlışlık” riski bulunmadığına dair değerlendirmesinin geçerliliğini sürdürüp sürdürmediğini değerlendirmesini zorunlu kılan 36 ncı paragraf.

Ölçeklenebilirlik

A239. 38 inci paragrafta belirtilen hususların belgelendirilme şekline denetçi mesleki muhakemesini kullanarak karar verir.

A240. Denetimle daha önceden hiçbir bağlantısı bulunmayan tecrübeli bir denetçinin, uygulanan denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını anlayabilmesine olanak sağlamak için yeterli olan daha ayrıntılı çalışma kâğıtları, varılan zorlu yargıların gerekçesini desteklemek için gerekli olabilir.

A241. Karmaşıklık düzeyi daha düşük işletmelerin denetimlerinde, belgelendirmenin şekli ve kapsamı basit ve nispeten özet bir şekilde olabilir. Belgelendirmenin şekli ve kapsamı; işletmenin niteliği, büyüklüğü ve karmaşıklığı, iç kontrolü, işletmeden bilgilerin elde edilebilirliği ve denetim sürecinde kullanılan denetim metodolojisi ve teknolojisinden etkilenir. Denetçinin işletmeyi tanırken elde ettiği bilgi ve ilgili hususların tamamını belgelendirmesine gerek yoktur. Denetçi tarafından belgelendirilen, kanaat edinirken elde edilen bilgilerin temel unsurları67; denetçinin “önemli yanlışlık” risklerine ilişkin yaptığı değerlendirmeye dayanak teşkil eden bilgileri içerebilir. Bununla birlikte denetçinin, yönetim beyanı düzeyinde “önemli yanlışlık” risklerini belirlerken ve değerlendirirken her bir yapısal risk faktörünü nasıl dikkate aldığını belgelendirmesi gerekli değildir.

Örnek:

Karmaşıklık düzeyi daha düşük işletmelerin denetimlerinde belgelendirme, genel stratejiye ve denetim planına ilişkin çalışma kâğıtlarına dâhil edilebilir.68 Benzer şekilde, örneğin, risk değerlendirmesinin sonuçları ayrı ayrı belgelendirilebilir veya müteakip denetim prosedürlerine ilişkin çalışma kâğıtlarının bir parçası olarak belgelendirilebilir.69

Ek 1

(Bkz.: A61-A67 paragrafları)

İşletme ve İşletmenin İş Modeli Hakkında Kanaat Edinilmesiyle İlgili Hususlar

Bu Ek, işletmenin iş modelinin amaçlarını ve kapsamını açıklar ve iş modeline dâhil edilebilecek faaliyetler hakkında kanaat edinirken denetçinin dikkate alabileceği hususlara ilişkin örnekler içerir. İş modeline ve bunun iş stratejisinden ve iş hedeflerinden nasıl etkilendiğine ilişkin kanaat edinmesi, denetçiye, finansal tablolar üzerinde etkisi olabilecek iş hayatına ilişkin riskleri belirlemesinde yardımcı olabilir. Ayrıca söz konusu kanaat, “önemli yanlışlık” risklerini belirleme konusunda denetçiye yardımcı olabilir.

İşletmenin İş Modelinin Amaçları ve Kapsamı

1. Bir işletmenin iş modeli; örneğin işletmenin organizasyon yapısını, faaliyetlerini veya faaliyetlerinin kapsamını, iş kollarını (rakipler ve müşterileri dâhil), süreçlerini, büyüme fırsatlarını, küreselleşmeyi, düzenleyici hükümleri ve teknolojileri nasıl değerlendirdiğini tanımlar. İşletmenin iş modeli, işletmenin paydaşları için nasıl finansal veya daha geniş bir kapsamda değer yarattığını, koruduğunu ve kayıt altına aldığını tanımlar.

2. Stratejiler, işletmenin karşılaştığı risk ve fırsatları nasıl ele almayı planladığı dâhil olmak üzere, yönetimin işletmenin amaçlarına ulaşırken kullanmayı planladığı yaklaşımlardır. Bir işletmenin stratejileri, amaçlarındaki ve faaliyet gösterdiği iç ve dış şartlardaki değişikliklere karşılık verecek şekilde, zamanla yönetim tarafından değiştirilir.

3. Bir iş modelinin tanımı genellikle aşağıdakileri içerir:

• İşletmenin faaliyetlerinin kapsamı ve bunları neden gerçekleştirdiği.

• İşletmenin yapısı ve faaliyetlerinin ölçeği.

• Faaliyet gösterdiği pazarlar ya da coğrafi veya demografik çevreler ve değer zincirinde bölümler, bu pazarlarla veya çevrelerle nasıl etkileşime girdiği (ana ürünler, müşteri segmentleri ve dağıtım yöntemleri) ve rekabet koşulları.

• İşletmenin faaliyetlerini yerine getirirken kullanılan, iş süreçlerinin değer yaratma, koruma veya kayıt altına almada önemli olan kısımlarına odaklanan işletme veya faaliyet süreçleri (örneğin, yatırım, finansman ve faaliyet süreçleri).

• Başarısı için gerekli veya önemli olan kaynaklar (örneğin, finansman, insan, entelektüel, çevresel ve teknolojik) ve diğer girdi ve ilişkiler (örneğin, müşteriler, rakipler, tedarikçiler ve çalışanlar).

• İşletmenin iş modelinin, BT ara yüzleri ve diğer teknolojiler aracılığıyla, BT kullanımını müşteriler, tedarikçiler, borç verenler ve diğer paydaşlarla olan etkileşimlerine nasıl entegre ettiği.

4. İş hayatına ilişkin bir risk; işlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyindeki veya finansal tablo düzeyindeki “önemli yanlışlık” riski açısından doğrudan bir etkiye sahip olabilir. Örneğin, emlak piyasasındaki önemli bir düşüşten kaynaklanan iş hayatına ilişkin risk, orta vadeli gayrimenkul teminatlı kredi verenler için değerleme yönetim beyanıyla ilişkili “önemli yanlışlık” riskini artırabilir. Bununla birlikte aynı risk, özellikle kredilerinde yaşam boyu kredi kayıpları riskini eşzamanlı olarak artıran ciddi bir ekonomik gerilemeyle birlikte daha uzun vadeli bir sonuç doğurabilir. Sonuçta ortaya çıkan net kredi kayıplarına maruz kalınması, işletmenin sürekliliğini devam ettirme kabiliyeti konusunda ciddi şüphe oluşturabilir. Bu durumun, işletmenin sürekliliği esasının kullanılmasının uygunluğuna ve önemli bir belirsizlik olup olmadığına ilişkin yönetimin ve denetçinin varacağı sonuç üzerinde etkisi olabilir. Dolayısıyla iş hayatına ilişkin bir riskin “önemli yanlışlık” riskiyle sonuçlanıp sonuçlanmayacağı hususu, işletmenin içinde bulunduğu şartlar dikkate alınarak değerlendirilir. “Önemli yanlışlık” riskinin oluşmasına neden olabilecek olay ve şartlara ilişkin örnekler Ek 2’de yer almaktadır.

İşletmenin Faaliyetleri

5. Aşağıdakiler, işletmenin faaliyetleri (işletmenin iş modeli dâhil) hakkında kanaat edinirken denetçinin dikkate alabileceği hususlara örnek olarak verilebilir:

(a) İşletme faaliyetleri, örneğin:

o İnternet satışları ve pazarlama faaliyetleri gibi elektronik ticaret dâhil, hâsılat kaynaklarının, ürünlerin (veya hizmetlerin) ve pazarların niteliği.

o Faaliyetlerin yürütülmesi (örneğin, üretim aşamaları ve yöntemleri veya çevresel risk oluşturan faaliyetler).

o İş birliktelikleri, iş ortaklıkları ve dışarıdan hizmet alımı faaliyetleri.

o Coğrafi dağılım ve endüstri bölümleri.

o Üretim tesisleri, depo ve ofislerin yerleri ile stokların yer ve miktarları.

o Kilit müşteriler ve önemli mal ve hizmet tedarikçileri, istihdama yönelik düzenlemeler (toplu sözleşme, emeklilik ve emeklilik sonrası sağlanan diğer faydalar, pay opsiyonu veya teşvik primi düzenlemeleri ve istihdama ilişkin hükümet düzenlemeleri dâhil).

o Araştırma ve geliştirme faaliyetleri ve harcamaları.

o İlişkili taraflarla yapılan işlemler.

(b) Yatırımlar ve yatırım faaliyetleri, örneğin;

o Planlanmış veya yakın bir geçmişte gerçekleştirilen işletme satın alımları veya elden çıkarmaları.

o Menkul kıymet alım-satımı ve kredi alımı ve geri ödemeleri.

o Sermaye yatırımı faaliyetleri.

o Ortaklıklar, iş ortaklıkları ve özel amaçlı işletmeler dâhil, konsolide edilmeyen işletmelerdeki yatırımlar.

(c) Finansman ve finansman faaliyetleri, örneğin:

o Konsolide ve konsolide edilmeyen yapılar dâhil, önemli bağlı ortaklık ve iştiraklere dayalı sahiplik yapısı.

o Bilânço dışı finansman anlaşmaları ve finansal kiralama sözleşmeleri dâhil, borç yapısı ve bu borçların şartları.

o Menfaat sahiplerinin yerli ve/veya yabancı olup olmadığı, ticari itibar ve deneyimleri ve ilişkili taraflar.

o Türev finansal araçların kullanımı.

Özel Amaçlı İşletmelerin Niteliği

6. Özel amaçlı bir işletme (bazen özel amaçlı araç olarak da ifade edilir) genellikle finansal kiralama işlemi veya varlığa dayalı menkul kıymet ihracı gerçekleştirmek veya araştırma ve geliştirme faaliyetleri yürütmek gibi dar kapsamlı ve iyi tanımlanmış bir amaç için kurulan işletmedir. Bu işletme bir anonim şirket, yatırım fonu, ortaklık veya adi ortaklık şeklinde olabilir. Diğer taraflar özel amaçlı işletmenin finansmanını sağlarken, adına özel amaçlı bir işletme kurulan işletme genellikle:

Özel amaçlı işletmeye (örneğin, finansal varlıkların finansal tablo dışı bırakılması işleminin bir parçası olarak) bazı varlıkları devredebilir,

Özel amaçlı işletmenin varlıklarının kullanım hakkına sahip olabilir veya Söz konusu işletmeye hizmet sunabilir.

BDS 550’de belirtildiği üzere bazı durumlarda özel amaçlı işletme, işletmenin ilişkili bir tarafı olabilir.70

7. Finansal raporlama çerçeveleri genellikle kontrolün belirlenmesiyle ilgili olan ayrıntılı şartları veya özel amaçlı işletmenin konsolidasyona dâhil edilmesi gereken durumları belirler. Bu tür çerçevelerin hükümlerinin yorumlanması, genellikle özel amaçlı işletmenin yer aldığı ilgili sözleşmeler hakkında ayrıntılı bilgi sahibi olunmasını gerektirir.

Ek 2

(Bkz.: 12(i), 19(c), A7-A8, A85-A89 paragrafları)

Yapısal Risk Faktörleri Hakkında Kanaat Edinmek

Bu Ek’te, yapısal risk faktörleri hakkında ayrıntılı açıklamaların yanı sıra, denetçinin, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirleme ve değerlendirmede yapısal risk faktörleri hakkında kanaat edinmede ve uygulamada dikkate alabileceği hususlar yer almaktadır.

Yapısal Risk Faktörleri

1. Yapısal risk faktörleri, kontroller dikkate alınmadan önce, bir işlem sınıfına, hesap bakiyesine veya açıklamaya ilişkin bir yönetim beyanının hata veya hile kaynaklı yanlışlığa olan açıklığını etkileyen olay veya şartların özellikleridir. Bu faktörler nicel ya da nitel olabilir ve karmaşıklığı, subjektifliği, değişikliği, belirsizliği ya da yapısal riski etkiledikleri ölçüde yönetimin taraflılığı veya diğer hile riski faktörleri71 nedeniyle yanlışlığa olan açıklığı içerir. Denetçi, 19 (a)-(b) paragraflarına uygun olarak, işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin muhasebe politikaları hakkında kanaat edinirken, finansal tabloların hazırlanmasında, yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa olan açıklığını nasıl etkilediği hakkında da kanaat edinir.

2. Geçerli finansal raporlama çerçevesi tarafından zorunlu kılınan bilgilerin hazırlanmasıyla ilgili yapısal risk faktörleri (bu paragrafta “zorunlu kılınan bilgi” olarak anılacaktır) aşağıdakileri içerir:

• Karmaşıklık, bilginin niteliğinden veya zorunlu kılınan bilginin hazırlanma biçiminden kaynaklanır (bu tür hazırlık süreçlerinin uygulanmasının yapısal olarak zor olduğu durumlar dâhil). Karmaşıklık aşağıdaki gibi durumlarda ortaya çıkabilir:

o Tedarikçi iskonto hükümlerinin hesaplanmasında, farklı tedarikçilere uygulanan farklı ticari şartları veya vadesi gelen indirimlerin hesaplanmasında ilgili olan birbiriyle ilişkili birçok ticari şartı dikkate almak gerekebilir veya

o Muhasebe tahmininde kullanılan farklı özelliklere sahip birçok potansiyel veri kaynağı olduğunda, bu verilerin işlenmesi birbiriyle ilişkili birçok adımı içerir ve bu nedenle verilerin belirlenmesi, kayıt altına alınması, erişilmesi, anlaşılması veya işlenmesi yapısal olarak daha zordur.

• Subjektiflik, bilgiye erişimdeki kısıtlamalar nedeniyle, zorunlu kılınan bilgileri objektif bir şekilde hazırlama kabiliyetindeki yapısal sınırlamalardan kaynaklanır; öyle ki yönetim, kullanılacak uygun yaklaşım ve finansal tablolara dâhil edilecek nihai bilgiler hakkında bir seçim yapmak veya subjektif bir yargıya varmak zorunda kalabilir. Zorunlu kılınan bilgilerin hazırlanmasında kullanılabilecek farklı yaklaşımlar nedeniyle, geçerli finansal raporlama çerçevesi hükümlerinin uygun şekilde uygulanması açısından farklı sonuçlar ortaya çıkabilir. Bilgi veya verilerdeki kısıtlamalar arttıkça, makul derecede bilgi sahibi ve bağımsız kişiler tarafından verilebilecek kararlardaki subjektiflik ve bu kararların muhtemel sonuçlarındaki çeşitlilik de artacaktır.

• Değişiklik, zaman içinde, işletmenin faaliyetlerini veya faaliyet gösterdiği iktisadi, muhasebeyle ilgili, düzenleyici, sektörel veya diğer ortamlarını etkileyen olay veya şartlardan kaynaklanır ve söz konusu olay veya şartların etkileri zorunlu kılınan bilgilere yansıtıldığı durumlarda meydana gelir. Bu tür olaylar veya şartlar finansal raporlama dönemlerinde veya bu dönemler arasında meydana gelebilir. Örneğin, değişiklik, geçerli finansal raporlama çerçevesi hükümlerinin veya işletmenin ve iş modelinde veya işletmenin faaliyet gösterdiği çevredeki gelişmelere bağlı olarak ortaya çıkabilir. Bu değişiklik, yönetimin muhasebe politikaları seçimiyle veya muhasebe tahminlerinin nasıl yapıldığına veya ilgili açıklamaların nasıl belirlendiğine ilişkin olanlar dâhil olmak üzere yönetimin varsayımlarını ve yargısını etkileyebilir.

• Belirsizlik; zorunlu kılınan bilgi sadece doğrudan gözlem yoluyla doğrulanabilecek kadar hassas ve kapsamlı verilere dayanarak hazırlanamadığında ortaya çıkar. Bu durumda, varsa, yeterli ölçüde hassas, kapsamlı ve gözlemlenebilir veri ve var olmadığında en uygun mevcut verinin desteklediği makul varsayımlar kullanılarak bilginin hazırlanması için mevcut bilgiye yönelik bir yaklaşım gerekebilir. Yönetimin kontrolünde olmayan (uygun hâllerde, maliyet kısıtlamalarına maruz kalan) bilgi veya verilerin erişilebilirliği üzerindeki kısıtlamalar belirsizlik kaynaklandır ve bunların zorunlu kılınan bilgilerin hazırlanması üzerindeki etkileri ortadan kaldırılamaz. Örneğin, tahmin belirsizliği, gerekli parasal tutarın kesin bir şekilde belirlenememesi ve tahmin sonucunun finansal tabloların kesinleştiği tarihten önce bilinmemesi durumunda ortaya çıkar.

• Yapısal riski etkiledikleri ölçüde yönetimin taraflılığı veya diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklık; yönetim taraflılığına açıklık, yönetim tarafından bilgilerin hazırlanmasında tarafsızlığı korumakta kasıtlı veya kasıtsız olarak başarısızlığa açıklık yaratan şartlardan kaynaklanır. Yönetimin taraflılığı genellikle, karar vermede tarafsızlığı korumama potansiyeline (potansiyel yönetim taraflılığının göstergelerine) neden olan ve kasıtlı olsa hileli olacak bilgilere ilişkin önemli yanlışlıklara yol açabilecek belirli şartlarla ilişkilidir. Bu tür göstergeler, yapısal riski (örneğin, istenen bir kâr hedefi veya sermaye oranı gibi istenen bir sonuca ulaşma motivasyonunun bir sonucu olarak) etkileyen ölçüde tarafsızlığı sürdürmeme teşviklerini veya baskılarını ve fırsatını içerir. Hileli finansal raporlama veya varlıkların kötüye kullanılması şeklindeki hileye dayalı yanlışlığa açıklıkla ilgili faktörler, BDS 240’ın A1-A5 paragraflarında açıklanmaktadır.

3. Karmaşıklık yapısal bir risk faktörü olduğunda, bilgi hazırlarken daha karmaşık süreçlere yapısal bir ihtiyaç bulunabilir ve bu tür süreçlerin uygulanması yapısal olarak daha zor olabilir. Sonuç olarak, bunları uygulamak uzmanlık bilgi veya becerileri gerektirebilir ve yönetimin faydalandığı uzmanın kullanılmasını gerektirebilir.

4. Yönetimin muhakemesi daha subjektif olduğunda, kasıtsız veya kasıtlı olsun, yönetimin taraflılığı nedeniyle yanlışlığa olan açıklık da artabilir. Örneğin, yüksek tahmin belirsizliğine sahip olduğu belirlenen muhasebe tahminlerinin yapılmasında önemli bir yönetim muhakemesi söz konusu olabilir ve yöntem, veri ve varsayımlara ilişkin çıkarımlar yönetimin kasıtsız veya kasıtlı yanlılığını yansıtabilir.

“Önemli Yanlışlık” Riskinin Oluşmasına Neden Olabilecek Olay veya Şartlara İlişkin

Örnekler

5. Finansal tablolarda, finansal tablo düzeyinde veya yönetim beyanı düzeyinde “önemli yanlışlık” risklerinin varlığına işaret edebilecek olay (işlemler dâhil) ve şartlara ilişkin örnekler aşağıdaki tabloda yer almaktadır. Yapısal risk faktörünün örnekleri çok çeşitli olay ve şartları kapsar; ancak, olay ve şartların tümü her bir denetimle ilgili olmak zorunda değildir ve verilen örnekler tüm durumları ele almaz. Olay ve şartlar, içinde bulunulan şartlarda en büyük etkiye sahip olabilecek yapısal risk faktörüne göre kategorize edilmiştir. Daha da önemlisi, yapısal risk faktörleri arasındaki ilişkiler nedeniyle, örnek olay ve şartların da farklı yapısal risk faktörlerine maruz kalması veya bunlardan etkilenmesi -değişen ölçeklerde- muhtemeldir.

Finansal tablo düzeyindeki “önemli yanlışlık” risklerine işaret edebilecek diğer olay veya şartlar.

• Uygun düzeyde muhasebe ve finansal raporlama becerilerine sahip personel eksikliği.

• Kontrol eksiklikleri- özellikle kontrol çevresinde, risk değerlendirme sürecinde ve izleme sürecinde ve özellikle yönetim tarafından ele alınmayanlarda.

• Geçmiş dönemlerdeki yanlışlık ve hatalar veya dönem sonunda yapılan önemli büyüklükteki düzeltmeler.

Ek 3

(Bkz.: 12(e), 21-26, A90-A181 paragrafları) İşletmenin İç Kontrol Sistemi Hakkında Kanaat Edinmek

1. İşletmenin iç kontrol sistemi; politika ve prosedür kılavuzlarına, sistemlerine ve formlarına ve içinde bulunan bilgilere yansıtılabilir ve kişilerden etkilenir. İşletmenin iç kontrol sistemi işletmenin yapısına göre yönetim, üst yönetim ve diğer personel tarafından uygulanır. İşletmenin iç kontrol sistemi, yönetimin, üst yönetimin veya diğer personelin kararlarına dayalı olarak ve mevzuattan kaynaklanan yükümlülükler bağlamında, işletmenin işletim modeline, tüzel kişilik yapısına veya bunların bileşimine uygulanabilir.

2. Bu Ek; 12(e), 21-26 ve A90-A181 paragraflarında açıklanan işletmenin iç kontrol sisteminin bileşenlerine ve bunların kısıtlamalarına ilişkin olarak, finansal tabloların denetimiyle ilgili oldukları ölçüde ilave açıklamalar sağlar.

3. İşletmenin iç kontrol sisteminde, işletmenin finansal raporlama amaçları dâhil olmak üzere, işletmenin raporlama hedefleriyle ilgili hususlar yer alır, söz konusu hususların finansal raporlama ile ilgili olduğu durumlarda, faaliyet ve uygunluk hedefleriyle ilgili hususları da içerebilir.

Örnek:

Mevzuata uygunluğa ilişkin kontroller, bu kontroller işletmenin finansal tablolardaki şarta bağlı varlık ve yükümlülüklere ilişkin açıklamaları hazırlamasıyla ilgili olduğunda, finansal raporlamayla ilgili olabilir.

İşletmenin İç Kontrol Sisteminin Bileşenleri

Kontrol Çevresi

4. Kontrol çevresi, işletmenin üst yönetim ve yönetim fonksiyonları ile üst yönetimden sorumlu olanların ve yönetimin, işletmenin iç kontrol sistemi ve iç kontrolün işletmedeki önemine ilişkin farkındalık, tutum ve faaliyetlerini içerir. Kontrol çevresi, çalışanların kontrol bilincini etkileyerek, organizasyonun genel tutumunu belirler ve işletmenin iç kontrol sisteminin diğer bileşenlerinin çalışması için genel bir zemin oluşturur.

5. Bir işletmenin kontrol bilinci, üst yönetimden sorumlu olanlardan etkilenir. Çünkü üst yönetimden sorumlu olanların görevlerinden biri, yönetim üstündeki finansal raporlamaya ilişkin piyasa taleplerinden veya ücret rejiminden kaynaklanabilecek baskıyı dengelemektir. Bu sebeple, üst yönetimden sorumlu olanların katılımıyla ilgili olarak kontrol çevresi tasarımının etkinliği, aşağıdaki gibi hususlardan etkilenir:

• Üst yönetimden sorumlu olanların yönetimden bağımsız olmaları ve yönetimin eylemlerini değerlendirebilme kabiliyetleri.

• İşletmenin işleriyle ilgili işlemlerini anlayıp anlamadıkları.

• Finansal tabloların, yeterli açıklamaları içerip içermediği dâhil, geçerli finansal raporlama çerçevesine uygun olarak hazırlanıp hazırlanmadığını ne ölçüde değerlendirdikleri.

6. Kontrol çevresi aşağıdaki unsurları içerir:

(a) Yönetimin; işletme kültürünü oluşturma ve sürdürme ve yönetimin dürüstlük ve etik değerlere bağlılığını gösterme gibi sorumluluklarının nasıl yerine getirildiği. Kontrollerin etkinliği, bu kontrolleri oluşturan, yöneten ve izleyenlerin dürüstlük ve etik değerlerinin üstüne çıkamaz. Dürüstlük ve etik davranış, işletmenin etik ve davranış standartları veya davranış kurallarının, bu standartların ne şekilde bildirildiğinin (örneğin politika beyanları vasıtasıyla) ve uygulamada bu standartların nasıl uygulandığının (örneğin, personeli dürüst olmayan, hukuka aykırı veya etik olmayan eylemlere yönlendirebilecek istek veya teşvikleri ortadan kaldıran veya en aza indiren yönetim faaliyetleri yoluyla) bir ürünüdür. Dürüstlük ve etik değerlere ilişkin işletme politikalarının bildirilmesi; politika belgeleri, iş ahlâkı kuralları ve örnek davranışlar aracılığıyla davranış standartlarının personele bildirilmesini içerebilir.

(b) Üst yönetimden sorumlu olanların yönetimden farklı olduğu durumlarda, üst yönetimden sorumlu olanların yönetimden bağımsızlıklarını nasıl gösterdikleri ve işletmenin iç kontrol sistemine ilişkin gözetimi nasıl yaptıkları. İşletmenin kontrol bilinci, üst yönetimden sorumlu olanlardan etkilenir. Dikkate alınacak hususlar aşağıdakileri içerebilir:

Değerlendirme ve karar alma süreçlerinde yönetimden bağımsız ve objektif kişilerin sayıca yeterli olup olmadığı,

Üst yönetimden sorumlu olanların gözetim sorumluluklarını nasıl belirlediği ve kabul ettiği,

Üst yönetimden sorumlu olanların, yönetimin işletmenin iç kontrol sistemini tasarlamasına, uygulamasına ve yürütmesine ilişkin gözetim sorumluluğunu yerine getirip getirmediği.

Üst yönetimden sorumlu olanların sorumluluklarının önemi; uygulama kurallarında, diğer mevzuatta ve üst yönetimden sorumlu olanların kullanması amacıyla hazırlanan rehberlerde yer alır. Üst yönetimden sorumlu olanların diğer sorumlulukları; ihbar prosedürlerinin tasarımının ve işleyiş etkinliğinin gözetimini içerir.

(c) İşletmenin amaçlarını yerine getirirken yetki ve sorumlulukları nasıl atadığı. Söz konusu atama aşağıdakilerin dikkate alınmasını içerebilir:

• Esas yetki ve sorumluluk alanları ve uygun raporlama kanalları,

• Uygun iş uygulamalarına ilişkin politikalar, kilit personelin bilgi ve deneyimi ile görevlerin yerine getirilmesi için sağlanan kaynaklar ve

• Tüm personelin işletme amaçlarını anlamasını, kendi eylemlerinin bu amaçlarla olan ilgisini ve bu amaçlara nasıl katkıda bulunduğunun farkında olmasını ve nasıl ve neden sorumlu tutulacaklarını bilmelerini sağlayan politika ve bildirimler.

(ç) İşletmenin, yetkin kişileri amaçları doğrultusunda ne şekilde bünyesine çektiği, geliştirdiği ve bünyesinde tuttuğu. Bu husus, işletmenin, kişinin mesleğini tanımlayan görevleri yerine getirebilmesi için gereken bilgi ve becerilere sahip olmasını nasıl sağladığını içerir, örneğin:

• Adayların eğitim geçmişine, daha önceki iş deneyimine, geçmiş başarılarına, dürüstlük ve etik davranışlarına ilişkin kanıtlara dikkat çeken; en nitelikli kişilerin işe alınmasına yönelik standartlar.

• Personele gelecekteki görev ve sorumluluklarını bildiren ve beklenen performans ve davranış düzeylerini gösteren kurs ve seminerler gibi uygulamaları içeren eğitim politikaları.

• İşletmenin nitelikli personelinin daha yüksek sorumluluk seviyelerine ilerlemesi yönündeki iradesini ortaya koyan, düzenli aralıklarla yapılan performans değerlendirmelerine göre gerçekleştirilen terfiler.

(d) İşletmenin, iç kontrol sisteminin amaçlarını yerine getirirken kişileri sorumlulukları konusunda nasıl hesap verebilir hâlde tuttuğu. Bu durum, aşağıdaki gibi yapılabilir:

• Kontrol sorumluluklarının yerine getirilmesi ve gerektiğinde düzeltici adımların atılması konularında kişilerle iletişim kurma ve hesap verebilir tutma mekanizmaları,

• İşletmenin iç kontrol sisteminden sorumlu olanlar için; ölçümlerin nasıl değerlendirildiği ve ihtiyaca uygunluk düzeyini koruduğu dâhil, performans ölçümleri, teşvikler ve ödüller geliştirmek,

• Kontrol hedeflerine ulaşılmasıyla ilgili baskıların kişinin sorumluluklarını ve performans ölçümlerini nasıl etkilediği ve

• Kişilerin gerektiğinde nasıl disipline edildiği.

Yukarıda belirtilen hususların uygunluğu; büyüklüğüne, yapısının karmaşıklığına ve faaliyetlerinin niteliğine bağlı olarak her işletme için farklı olacaktır.

İşletmenin Risk Değerlendirme Süreci

7. İşletmenin risk değerlendirme süreci, işletmenin amaçlarına ulaşması için riskleri belirlemek ve analiz etmek amaçlı yinelenen bir süreçtir ve yönetimin veya yönetimden sorumlu olanların yönetilecek riskleri nasıl belirlediğine dayanak teşkil eder.

8. Finansal raporlama amaçları açısından işletmenin risk değerlendirme süreci;

Yönetimin, finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak hazırlanmasıyla ilgili iş hayatına ilişkin riskleri nasıl belirlediğini,

Bu risklerin ciddiyetini nasıl tahmin ettiğini,

Bu risklerin gerçekleşme olasılıklarını nasıl değerlendirdiğini ve

Riskleri yönetmek için atacağı adımlara nasıl karar verdiğini ve bunların sonuçlarını,

içerir. Örneğin, işletmenin risk değerlendirme süreci, işletmenin kayda geçirilmemiş işlemlerin bulunma ihtimalini nasıl dikkate aldığını veya finansal tablolarda yer alan önemli tahminleri nasıl belirlediğini ve analiz ettiğini ele alabilir.

9. Güvenilir finansal raporlamaya ilişkin riskler, işletmenin; yönetimin finansal tablolardaki beyanlarıyla tutarlı olarak finansal bilgileri başlatma, kaydetme, işleme ve raporlama kabiliyetini olumsuz biçimde etkileyebilecek ve gerçekleşmesi muhtemel iç ve dış olayları, işlemleri veya durumları içerir. Yönetim belirli riskleri ele almak için plan, program veya eylemler başlatabilir ya da maliyet veya diğer hususlardan dolayı bir riski üstlenmeye karar verebilir. Riskler, aşağıdaki gibi durumlar sebebiyle ortaya çıkabilir veya değişebilir:

• Faaliyet çevresindeki değişiklikler: Düzenleyici çevredeki, ekonomik şartlardaki veya faaliyet çevresindeki değişiklikler, rekabet baskısının değişmesine ve önemli derecede farklı risklere sebep olabilir.

• Yeni personel: Yeni personelin işletmenin iç kontrol sistemine ilişkin farklı bir bakış açısı veya anlayışı olabilir.

• Yeni veya yenilenmiş bilgi sistemi: Bilgi sistemlerindeki önemli ve hızlı değişiklikler, işletmenin iç kontrol sistemine ilişkin riskleri değiştirebilir.

• Hızlı büyüme: Faaliyetlerin ciddi ve hızlı biçimde genişlemesi kontrolleri zorlayabilir ve kontrollerin aksama/çökme riskini artırabilir.

• Yeni teknoloji: Üretim süreçlerine veya bilgi sistemine yeni teknolojilerin dâhil edilmesi, işletmenin iç kontrol sistemine ilişkin riski değiştirebilir.

• Yeni iş modelleri, ürünler veya faaliyetler: İşletmenin deneyiminin az olduğu iş alanlarına veya işlemlere girilmesi, işletmenin iç kontrol sistemiyle ilgili yeni riskler ortaya çıkarabilir.

• Kurumsal yeniden yapılanma: Yeniden yapılanmalar beraberinde, işletmenin iç kontrol sistemine ilişkin riski değiştirebilecek nitelikte; çalışan sayısının azaltılmasını, yönlendirme, gözetim ve görevler ayrılığında değişiklikleri getirebilir.

• Genişleyen yurt dışı faaliyetler: Yurt dışı faaliyetlerinin genişlemesi veya yurt dışında yeni işletmelerin satın alınması, döviz işlemlerinden kaynaklanan ilâve veya değişen riskler gibi, iç kontrolü etkileyebilecek yeni ve genellikle kendine özgü riskler taşır.

• Yeni muhasebe düzenlemeleri: Yeni muhasebe ilkelerinin kabulü veya muhasebe ilkelerinin değiştirilmesi, finansal tabloların hazırlanmasına ilişkin riskleri etkileyebilir.

• BT Kullanımı: Aşağıdakilerle ilgili riskler:

o Veri ve bilgi işlemenin bütünlüğünü korumak;

o İşletmenin BT stratejisinin, işletmenin iş stratejisini etkin bir şekilde desteklememesi durumunda, işletmenin iş stratejisine ilişkin ortaya çıkan riskler veya

o İşletmenin BT çevresindeki değişiklikler, kesintiler veya BT personelinin değişme hızı ya da işletmenin BT çevresinde gerekli güncellemeleri yapmaması veya bu güncellemelerin zamanında yapılmaması.

İşletmenin İç Kontrol Sistemini İzleme Süreci

10. İşletmenin iç kontrol sistemini izleme süreci, işletmenin iç kontrol sisteminin etkinliğini değerlendirmek ve gerekli iyileştirici adımları zamanında atmak için devamlılık arz eden bir süreçtir. İşletmenin iç kontrol sistemini izleme süreci, sürekli faaliyetlerden, ayrı değerlendirmelerden (periyodik olarak gerçekleştirilir) veya bu ikisinin bileşiminden oluşabilir. Sürekli izleme faaliyetleri genellikle, işletmenin normal tekrarlanan faaliyetlerine dâhil edilir ve düzenli yönetim, yönlendirme ve gözetim faaliyetlerini içerebilir. İşletmenin süreci, işletme tarafından risklerin değerlendirilmesine bağlı olarak, kapsam ve sıklık olarak değişiklik gösterebilir.

11. İç denetim fonksiyonlarının amacı ve kapsamı, genellikle işletmenin iç kontrol sisteminin etkinliğini değerlendirmek veya izlemek amacıyla tasarlanmış faaliyetleri içerir.72 İşletmenin iç kontrol sistemini izleme süreci; banka mutabakatlarının zamanında hazırlanıp hazırlanmadığının yönetim tarafından gözden geçirilmesi, satış personelinin işletmenin satış sözleşmelerinin şartlarına ilişkin işletme politikalarına uygun hareket edip etmediklerinin iç denetçiler tarafından değerlendirilmesi ve işletmenin etik veya iş uygulama politikalarına uygunluğunun hukuk departmanı tarafından gözetimi gibi faaliyetleri içerebilir. İzleme ayrıca, kontrollerin zaman içinde etkin şekilde işlemeye devam etmesini sağlamak amacıyla da yapılır. Örneğin, banka mutabakatlarının doğruluğu ve zamanında yapılıp yapılmadığı izlenmezse, personel bu mutabakatları hazırlamayı bırakabilir.

12. Dayanak teşkil eden otomatik denetimleri izleyenler de dâhil olmak üzere, işletmenin iç kontrol sistemini izleme süreciyle ilgili kontroller otomatik veya manuel veya her ikisinin bileşimi olabilir. Örneğin, bir işletme, belirli anomalileri manuel olarak araştıran yönetime olağandışı faaliyetlerin otomatik raporlarını veren; belirli teknolojilere erişime yönelik otomatik izleme kontrollerini kullanabilir.

13. Bilgi sistemiyle ilgili bir izleme faaliyeti ile bir kontrol arasında ayrım yapılırken, özellikle faaliyet bir miktar gözetim incelemesi içerdiğinde, faaliyetin dayanak teşkil eden detayları göz önünde bulundurulur. Gözetim incelemeleri otomatik olarak izleme faaliyetleri olarak sınıflandırılmaz ve bir incelemenin bilgi sistemiyle veya izleme faaliyetiyle ilgili bir kontrol olarak sınıflandırılıp sınıflandırılmayacağı mesleki muhakemenin konusudur. Örneğin, bir izleme faaliyeti hataların neden oluştuğunu sorgulayacak ve yönetime gelecekteki hataları önlemek için süreci düzeltme sorumluluğunu atayacakken, aylık bir tamlık kontrolünün amacı hataları tespit etmek ve düzeltmek olacaktır. Basit bir ifadeyle, bilgi sistemiyle ilgili bir kontrol belirli bir riske karşılık verirken, bir izleme faaliyeti, işletmenin iç kontrol sisteminin beş bileşeninin her birindeki kontrollerin amaçlandığı gibi işleyip işlemediğini değerlendirir.

14. İzleme faaliyetleri, işletme dışındaki tarafların bildirimlerinden elde edilen ve sorunlu veya iyileştirilmesi gereken alanları gösteren bilgilerin kullanılmasını içerebilir. Müşteriler, faturalarını ödemek veya fatura tutarlarına ilişkin şikâyette bulunmak suretiyle dolaylı olarak fatura verilerini doğrularlar. Buna ek olarak düzenleyici kurumlar, işletmenin iç kontrolünün işleyişine etki eden konularda (örneğin, bankacılık alanındaki düzenleyici kurumlar tarafından yapılan incelemelere ilişkin bildirimler gibi) işletmeyle iletişime geçebilir. Ayrıca, izleme faaliyetlerini gerçekleştirirken yönetim, dış denetçiler tarafından iç kontrole ilişkin olarak yapılan bildirimleri dikkate alabilir.

Bilgi Sistemi ve İletişim

15. Finansal tabloların hazırlanmasına yönelik bilgi sistemi, aşağıdakileri yapmak üzere tasarlanan ve oluşturulan faaliyetler ve politikalar ile muhasebe kayıtları ve destekleyici kayıtlardan oluşur:

• İşletmenin işlemlerini başlatmak, kaydetmek ve işlemek (işlemlerin dışındaki olay ve şartlara ilişkin bilgileri kayıt altına almak, işlemek ve açıklamak) ve ilgili varlık, yükümlülük ve özkaynaklara ilişkin hesap verebilirliği sürdürmek,

• İşlemlerin yanlış bir şekilde işlenmesini (örneğin, geçici kalemlerin zamanında silinmesi için takip edilen prosedürlerde ve otomatik geçici dosyalardaki gibi) önlemek,

• Kontrollerin devre dışı bırakılması veya sistemin ihlâl edilmesini hesaba katmak ve işlem yapmak,

• Kayıt işlemesinden elde edilen bilgileri defteri kebire dâhil etmek (örneğin, birikmiş kayıtların yardımcı defterden aktarılması),

• Varlıkların amortismanı ve itfası ile varlıkların geri kazanılabilirliğindeki değişiklikler gibi, işlemler dışındaki olay ve şartlar için finansal tabloların hazırlanması ile ilgili bilgileri elde etmek ve işlemek ve

• Geçerli finansal raporlama çerçevesine göre açıklanması gereken bilgilerin toplanmasını, kaydedilmesini, işlenmesini, özetlenmesini ve finansal tablolarda uygun şekilde raporlanmasını sağlamak.

16. Bir işletmenin iş süreçleri, aşağıdakileri gerçekleştirmek üzere tasarlanmış faaliyetlerden oluşur:

• Bir işletmenin ürün ve hizmetlerini geliştirmek, satın almak, üretmek, satmak ve dağıtmak,

• Mevzuata uymak ve

• Muhasebe ve finansal raporlama bilgileri dâhil, bilgileri kaydetmek.

İş süreçleri, bilgi sistemi tarafından kaydedilen, işlenen ve raporlanan işlemlerle sonuçlanır.

17. Bilgilerin kalitesi, yönetimin işletme faaliyetlerini yönetmeye ve kontrol etmeye yönelik uygun kararlar alma ve güvenilir finansal raporlar hazırlama kabiliyetini etkiler.

18. Finansal raporlamaya yönelik işletmenin iç kontrol sistemiyle ilgili bireysel görev ve sorumlulukların anlaşılmasını da içeren iletişim; politika rehberleri, muhasebe ve finansal raporlama rehberleri ve bilgi notu gibi şekillerde olabilir. İletişim ayrıca elektronik ortamda, sözlü şekilde veya yönetimin eylemleriyle gerçekleştirilebilir.

19. İşletme tarafından finansal raporlamayla ilgili görev ve sorumluluklar ile finansal raporlamaya ilişkin önemli konuların bildirilmesi; işletmenin finansal raporlamaya yönelik iç kontrol sistemi konusundaki bireysel görev ve sorumluluklara ilişkin bilgilerin sağlanmasını da içerir. Bu bildirim personelin, finansal raporlama bilgi sistemindeki faaliyetlerinin diğerlerinin çalışmalarıyla ilişkisini ne ölçüde anladığı ve sapmaların işletmedeki uygun bir üst kademeye raporlanma şekilleri gibi hususları da kapsar.

Kontrol Faaliyetleri

20. Kontrol faaliyetleri bileşenindeki kontroller, 26 ncı paragrafa uygun olarak belirlenir. Bu tür kontroller arasında, her ikisi de manuel veya otomatik olabilen; bilgi işleme kontrolleri ve genel BT kontrolleri bulunur. Yönetimin finansal raporlamayla ilgili kullandığı ve güvendiği otomatik kontrollerin veya otomatik yönlere sahip kontrollerin kapsamı ne kadar büyükse; işletmenin bilgi işleme kontrollerinin otomatik yönlerinin işlevini sürdürmesini ele alan genel BT kontrollerini uygulaması o kadar büyük önem arz edebilir. Kontrol faaliyetleri bileşenindeki kontroller aşağıdakilerle ilişkili olabilir:

• Yetkilendirme ve onaylar. Yetkilendirme, bir işlemin geçerli olduğunu onaylar (diğer bir ifadeyle, gerçek bir ekonomik olayı temsil eder veya bir işletmenin politikası dâhilindedir). Yetkilendirme genellikle, üst düzey bir yönetim veya onay makamının onayı ve işlemin geçerli olup olmadığını tespit etmesi şeklindedir. Örneğin, gözetim yapan bir kişi, masrafların makul ve politika dâhilinde olup olmadığını inceledikten sonra harcama raporunu onaylar. Otomatik onaya ilişkin bir örnek ise, fatura birim maliyetinin, önceden belirlenmiş bir tolerans seviyesi dâhilinde, ilgili satın alma emri birim maliyetiyle otomatik olarak karşılaştırılmasıdır. Tolerans seviyesi içinde kalan faturalar ödeme için otomatik olarak onaylanır. Tolerans seviyesi dışında kalan faturalar ise ilave bir araştırmaya tabi tutulmak üzere işaretlenir.

• Mutabakatlar: Mutabakatlar iki veya daha fazla veri unsurunu karşılaştırır. Farklılıkların tespit edilmesi hâlinde, verilerin mutabakatının sağlanması için adım atılır. Mutabakatlar genellikle işlemlerin işlenmesinin tamlığını veya doğruluğunu ele alır.

• Doğrulamalar: Doğrulamalar, iki veya daha fazla kalemi birbiriyle karşılaştırır veya bir kalemi bir politika ile karşılaştırır ve iki kalem eşleşmediğinde veya kalemle politika tutarlı olmadığında muhtemel bir takip süreci içerir. Doğrulamalar genellikle işlemlerin işlenmesinin tamlığını, doğruluğunu veya geçerliliğini ele alır.

• Yetkisiz erişim, edinim, kullanım veya elden çıkarmaya karşı varlıkların güvenliğini ele alan kontroller dâhil fiziksel veya mantıksal kontroller. Aşağıdakileri kapsayan kontrollerdir:

o Varlık ve kayıtlara erişimin koruma altına alınması gibi yeterli koruma tedbirleri dâhil, varlıkların fiziki güvenliği.

o Bilgisayar programlarına ve veri dosyalarına erişim yetkisi (diğer bir ifadeyle, mantıksal erişim).

o Periyodik sayım ve bunun kontrol kayıtlarında görünen tutarlarla karşılaştırılması (örneğin, kasa, teminat ve stok sayım sonuçlarının muhasebe kayıtlarıyla karşılaştırılması).

Varlıkların kötüye kullanılmaya daha açık olması gibi çeşitli durumlara bağlı olarak; varlıkların çalınmasını önlemeye yönelik fiziki kontrollerin düzeyi, finansal tabloların hazırlanmasının güvenilirliğiyle ilgilidir.

• Görevler ayrılığı: İşlemlerin yetkilendirilmesi, kaydedilmesi ve varlıkların korunmasına ilişkin sorumlulukların farklı kişilere verilmesi. Görevler ayrılığı, bir kişinin görevini ifa etmesi sırasında hem hata veya hile yapacak hem de bunları saklayacak bir pozisyonda olmasına imkân veren fırsatları azaltmayı amaçlar.

Örneğin, kredili satışlara yetki veren bir yönetici, alacak hesaplarının veya nakit makbuzların tutulmasından sorumlu değildir. Bir kişi tüm bu faaliyetleri gerçekleştirebiliyorsa, tespit edilemeyen sahte bir satış ortaya çıkabilir. Benzer şekilde, satış görevlilerinin ürün fiyat dosyalarını veya komisyon oranlarını değiştirememeleri gerekmektedir.

Bazı durumlarda görevler ayrılığı pratik, fayda-maliyet açısından uygun veya uygulanabilir olmayabilir. Örneğin, daha küçük ve karmaşıklık düzeyi daha düşük işletmeler, ideal görevler ayrılığını sağlamak için yeterli kaynaktan yoksun olabilir ve ek personel alma maliyeti engelleyici olabilir. Böyle durumlarda yönetim alternatif kontroller uygulayabilir. Yukarıdaki örnekte, satış görevlisinin ürün fiyat dosyalarını değiştirebilmesi durumunda, satış işleviyle ilgisi olmayan personelin, satış görevlisinin fiyatları değiştirip değiştirmediğini ve hangi şartlar altında değiştirdiğini periyodik olarak gözden geçirmesi için tespit edici bir kontrol faaliyeti uygulanabilir.

21. Belirli kontrol faaliyetleri, yönetim veya üst yönetimden sorumlu olanlar tarafından oluşturulmuş uygun üst düzey kontrollerin varlığına bağlı olabilir. Örneğin yetkilendirme kontrolleri, üst yönetimden sorumlu olanların belirlediği yatırım kıstasları gibi oluşturulan yönergelerle devredilebilir veya alternatif olarak, büyük satın almalar veya elden çıkarmalar gibi rutin olmayan işlemler, bazı durumlarda, hissedarların onayı dâhil belirli üst düzey bir onay gerektirebilir.

İç Kontrolün Kısıtlamaları

22. Ne kadar etkin olursa olsun, bir işletmenin iç kontrol sistemi; işletmeye, finansal raporlama amaçlarına ulaşılması konusunda sadece makul bir güvence sağlayabilir. Söz konusu amaçlara ulaşma ihtimali iç kontrolün yapısal kısıtlamalarından etkilenir. Bu kısıtlamalar, insanların karar verirken yargılarının hatalı olabileceği ve işletmenin iç kontrol sisteminin insan hatasından dolayı etkisiz kalabileceği gerçeğini içerir. Örneğin, bir kontrolün tasarlanması veya değiştirilmesi sırasında bir hata oluşabilir. Aynı şekilde, iç kontrolün amaçları için oluşturulan bilgileri (örneğin, bir sapma raporunu) gözden geçirmekten sorumlu kişilerin (bilgilerin amacını anlamaması veya uygun adımı atmaması sebebiyle) bu bilgileri verimli şekilde kullanamaması nedeniyle bir kontrolün işleyişi etkin olmayabilir.

23. Ayrıca, iki veya daha fazla kişi tarafından yapılan muvazaalı işlem veya yönetimin kontrolleri ihlâl etmesi sebebiyle kontroller atlatılabilir. Örneğin yönetim, müşterilerle, işletmenin standart satış sözleşmelerinin şart ve hükümlerini değiştiren ve hâsılatın uygun olmayan şekilde finansal tablolara alınmasıyla sonuçlanabilecek yan sözleşmeler yapabilir. Ayrıca, belirli tutarların üzerindeki işlemleri belirlemek ve raporlamak için tasarlanmış bir BT uygulamasındaki düzeltme kontrolleri ihlâl edilebilir veya geçersiz hâle getirilebilir.

24. Ayrıca yönetim, kontrolleri tasarlar ve uygularken uygulamayı seçeceği kontrollerin nitelik ve kapsamı ile üstlenmeyi seçeceği risklerin nitelik ve kapsamı hakkında muhakemede bulunabilir.

Ek 4

(Bkz.: 14(a), 24(a)(ii), A25-A28, Al 18 paragrafları)

İşletmenin İç Denetim Fonksiyonu Hakkında Kanaat Edinilmesiyle İlgili Hususlar

Bu Ek’te, işletmenin -varsa- iç denetim fonksiyonu hakkında kanaat edinilmesiyle ilgili ilave hususlar yer almaktadır.

İç Denetim Fonksiyonunun Amaçları ve Kapsamı

1. İç denetim fonksiyonunun amaçları ve kapsamı, sorumluluklarının niteliği ve fonksiyonun yetkileri ve hesap verebilirliği dâhil kurumsal yapı içindeki statüsü, geniş ölçüde farklılık gösterir ve işletmenin büyüklüğü ve yapısı ile yönetimin ve -uygun hâllerde- üst yönetimden sorumlu olanların gereksinimlerine bağlıdır. Bu hususlar iç denetim yönergesinde veya iş tanımlarında belirtilebilir.

2. İç denetim fonksiyonunun sorumlulukları,

- Risk yönetimi,

- İç kontrol ve

- Kurumsal yönetim,

süreçlerinin tasarımına ve etkinliğine ilişkin yönetime ve üst yönetimden sorumlu olanlara güvence sağlamak amacıyla prosedürler uygulanmasını ve sonuçlarının değerlendirilmesini içerebilir. Bu şekilde olması hâlinde, iç denetim fonksiyonu, işletmenin iç kontrol sisteminin izlenmesinde önemli bir rol oynayabilir. Ancak, iç denetim fonksiyonunun sorumlulukları faaliyetlerin ekonomikliği, verimliliği ve etkinliğinin değerlendirilmesine odaklanabilir; bu durumda, bu fonksiyonun çalışmaları işletmenin finansal raporlamasıyla doğrudan ilgili olmayabilir.

İç Denetim Fonksiyonunun Sorgulanması

3. İşletmenin iç denetim fonksiyonunun bulunması hâlinde fonksiyon içindeki uygun kişilerin sorgulanması, işletme ve çevresine, geçerli finansal raporlama çerçevesine ve işletmenin iç kontrol sistemine ilişkin kanaat edinmesinde, finansal tablo ve yönetim beyanı düzeylerinde “önemli yanlışlık” risklerini belirlemesinde ve değerlendirmesinde denetçiye yararlı bilgiler sağlayabilir. İç denetim fonksiyonu, çalışmalarını yürütürken işletmenin faaliyetleri ve iş hayatına ilişkin riskler hakkında bir fikir edinmiş olabilir ve çalışmaları sonucunda, belirlenmiş kontrol eksiklikleri veya riskleri gibi bulgular elde edebilir. Edinilen bu fikir ve bulgular, denetçinin işletme ve çevresine, geçerli finansal raporlama çerçevesine, işletmenin iç kontrol sistemine ilişkin kanaat edinmesi, risk değerlendirmesi veya denetimin diğer yönleri açısından değerli girdiler sağlayabilir. Bu sebeple, uygulanacak denetim prosedürlerinin niteliğini veya zamanlamasını değiştirmek veya kapsamını daraltmak için denetçi tarafından iç denetim fonksiyonunun çalışmalarının kullanılıp kullanılmayacağına bakılmaksızın sorgulama yapılır.73 Bu sorgulamalar özellikle, iç denetim fonksiyonunun üst yönetimden sorumlu olanlara ilettiği konularla ve fonksiyonun kendi risk değerlendirme sürecinin sonuçlarıyla ilgili olabilir.

4. Sorgulamalarına verilen yanıtlara dayanarak, finansal raporlama ve finansal tabloların denetimiyle ilgili bulguların olabileceği sonucuna varması hâlinde denetçi, iç denetim fonksiyonunun ilgili raporlarını okumayı uygun bulabilir. İç denetim fonksiyonunun ilgili olabilecek rapor örnekleri, fonksiyonun strateji ve planlama belgelerini ve iç denetim fonksiyonunun incelemelerine ait bulguları tanımlayan ve yönetim veya üst yönetimden sorumlu olanlar için hazırlanmış raporları içerir.

5. Bununla birlikte BDS 24074 tarafından zorunlu kılındığı üzere, iç denetim fonksiyonunun denetçiye gerçekleşmiş, şüphelenilen veya iddia edilen herhangi bir hile hakkında bilgi sağlaması hâlinde denetçi, hile kaynaklı “önemli yanlışlık” riskini belirlerken bu bilgiyi dikkate alır.

6. İç denetim fonksiyonu içinde sorgulanacak uygun kişiler, iç denetim birimi başkanı gibi veya şartlara bağlı olarak fonksiyonun diğer personeli gibi denetçinin yargısına göre uygun bilgi, deneyim ve yetkiye sahip kişilerdir. Ayrıca denetçi, bu kişilerle düzenli toplantılar yapmayı uygun görebilir.

Kontrol Çevresi Hakkında Kanaat Edinirken İç Denetim Fonksiyonunun Dikkate Alınması

7. Kontrol çevresi hakkında kanaat edinirken denetçi, yönetimin; aşağıdaki hususlar dâhil olmak üzere iç denetim fonksiyonunun, finansal tabloların hazırlanmasıyla ilgili belirlenen kontrol eksiklikleri hakkındaki bulgu ve önerilerine nasıl karşılık verdiğini dikkate alabilir:

Söz konusu karşılıkların uygulanıp uygulanmadığı ve nasıl uygulandığı, Sonrasında, verilen bu karşılıkların iç denetim fonksiyonu tarafından değerlendirilip değerlendirilmediği.

İç Denetim Fonksiyonunun İşletmenin İç Kontrol Sistemini İzleme Sürecinde Oynadığı Rol Hakkında Kanaat Edinilmesi

8. İç denetim fonksiyonunun sorumlulukları ve güvence faaliyetlerinin niteliğinin işletmenin finansal raporlama sistemiyle ilgili olması hâlinde denetçi, denetim kanıtı elde etmek için doğrudan uygulayacağı denetim prosedürlerinin nitelik ve zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim fonksiyonunun çalışmalarını da kullanabilir. Önceki denetimlerden elde edilen deneyimlere veya risk değerlendirme prosedürlerine dayanarak, işletmenin karmaşıklığına ve faaliyetlerinin niteliğine kıyasla, işletmenin yeterli ve uygun kaynaklara sahip bir iç denetim fonksiyonu olduğunun ve bu fonksiyonun üst yönetimden sorumlu olanlarla doğrudan raporlama ilişkisinin bulunduğunun anlaşılması hâlinde, denetçilerin iç denetim fonksiyonunun çalışmalarını kullanabilme ihtimali daha fazladır.

9. İç denetim fonksiyonu hakkında elde ettiği ön bilgilere dayanarak, uygulanacak denetim prosedürlerinin nitelik veya zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim fonksiyonunun çalışmalarını kullanmayı düşünmesi hâlinde denetçi, BDS 610’u uygular.

10. BDS 610’da ayrıntılı olarak açıklandığı üzere, iç denetim fonksiyonunun faaliyetleri, işletmenin yanlışlıkları önlemesine veya tespit etmesine katkı sağlamak amacıyla geliştirilen, yönetimin kullandığı muhasebe bilgilerinin gözden geçirilmesi gibi finansal raporlamayla ilgili olabilecek diğer izleme kontrollerinden farklıdır.

11. İşletmenin iç denetim fonksiyonunda görev yapan uygun kişilerle denetimin başlangıcında iletişim kurulması ve iletişimin denetim süresince devam ettirilmesi, etkin bilgi paylaşımı sağlayabilir. Bu şekilde, denetçinin çalışmasını etkileyebilecek önemli hususlar, iç denetim fonksiyonunun dikkatini çektiğinde, bu hususların denetçiye aktarıldığı bir ortam oluşturulmuş olur. BDS 200, denetim kanıtı olarak kullanılacak belgelerin ve sorgulamalarda alınan cevapların güvenilirliği hakkında soru işaretleri oluşturacak bilgilere karşı dikkatli olunması dâhil, denetçinin, denetimi mesleki şüphecilik75 içinde planlaması ve yürütmesinin önemini açıklar. Bu sebeple, iç denetim fonksiyonuyla denetim boyunca kurulan iletişim, bu tür bilgileri denetçinin dikkatine sunmaları açısından iç denetçilere fırsat sağlayabilir. Böylece denetçi, “önemli yanlışlık” risklerini belirler ve değerlendirirken bu tür bilgileri dikkate alabilir.

Ek 5

(Bkz.: 25(a), 26(b)-(c), A94, A166-A172 paragrafları)

Bilgi Teknolojileri (BT) Hakkında Kanaat Edinilmesiyle İlgili Hususlar

Bu Ek’te, denetçinin, işletmenin iç kontrol sisteminde BT kullanımına ilişkin kanaat edinirken dikkate alabileceği diğer hususlar yer almaktadır.

İşletmenin İç Kontrol Sistemi Bileşenlerinde Bilgi Teknolojileri Kullanımına İlişkin Kanaat Edinmek

1. Bir işletmenin iç kontrol sistemi manuel ve otomatik unsurlar içerir (diğer bir ifadeyle; işletmenin iç kontrol sisteminde kullanılan manuel ve otomatik kontroller ve diğer kaynaklar). Bir işletmenin manuel ve otomatik unsurlarının bileşimi, söz konusu işletmenin BT kullanımının niteliğine ve karmaşıklığına göre farklılık gösterir. İşletmenin BT kullanımı, finansal tabloların geçerli finansal raporlama çerçevesi uyarınca hazırlanmasında kullanılan ihtiyaca uygun bilgilerin işlenme, saklanma ve iletilme şeklini etkiler ve böylece işletmenin iç kontrol sisteminin tasarlanma ve uygulanma şekli etkilenir. İşletmenin iç kontrol sisteminin her bileşeni belli bir ölçüde BT kullanabilir.

Genel olarak BT, bir işletmenin aşağıdakileri yapmasına imkân sağlayarak işletmenin iç kontrol sistemine katkıda bulunur:

• Önceden tanımlanmış iş kurallarını tutarlı biçimde uygulamak ve büyük hacimli işlem veya verileri işlerken karmaşık hesaplamaları yapmak,

• Bilgilerin güncelliğini, erişilebilirliğini ve doğruluğunu artırmak,

• Bilgilere ilişkin ek analizler yapmasını kolaylaştırmak,

• İşletmenin politikalarını, prosedürlerini ve performansını izleme kabiliyetini geliştirmek,

• Kontrollerin atlatılması riskini azaltmak,

• Uygulamalara, veri tabanlarına ve işletim sistemlerine güvenlik kontrolleri yerleştirerek görevler ayrılığı ilkesini etkin bir şekilde uygulama kabiliyetini artırmak.

2. Manuel veya otomatik unsurların özellikleri, denetçinin “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesiyle ve bu değerlendirmeye dayanan müteakip denetim prosedürleriyle ilgilidir. Daha zor devre dışı bırakılabildikleri, göz ardı edilebildikleri, ihlâl edilebildikleri ve basit hata ve yanlışlara daha az açık oldukları için otomatik unsurlar manuel unsurlara kıyasla daha güvenilir olabilir. Otomatik kontroller, manuel kontrollere kıyasla aşağıdaki durumlarda daha etkili olabilir:

• Yüksek hacimli veya yinelenen işlemlerin söz konusu olduğu ya da öngörülebilen veya tahmin edilebilen hataların otomasyon sayesinde önlenebileceği veya tespit edilip düzeltilebileceği durumlar.

• Kontrolün uygulanması için belirli yolların yeterli bir şekilde tasarlanıp otomatik hâle getirilebileceği yerlerdeki kontroller.

İşletmenin Bilgi Sisteminde Bilgi Teknolojisi Kullanımına İlişkin Kanaat Edinilmesi (Bkz.: 25(a) paragrafı)

3. İşletmenin bilgi sistemi, işlemlerin başlatılma, kaydedilme, işlenme ve raporlanma biçimlerini de etkileyen manuel ve otomatik unsurların kullanımını içerebilir. Özellikle, işlemleri başlatmak, kaydetmek, işlemek ve raporlamak amaçlı prosedürler, işletme tarafından kullanılan BT uygulamaları ve işletmenin bu uygulamaları yapılandırma biçimi vasıtasıyla uygulanabilir. Ayrıca, dijital bilgi hâlindeki kayıtlar, kâğıt belge hâlindeki kayıtların yerini alabilir veya onları tamamlayabilir.

4. Bilgi sistemindeki işlemlerin akışına ve bilgi işlemeyle ilgili BT çevresine ilişkin kanat edinirken denetçi, kullanılan BT uygulamalarının niteliği ve özellikleri ile destekleyici BT altyapısı ve BT hakkında bilgi toplar. Aşağıdaki tablo, denetçinin BT çevresi hakkında kanaat edinirken dikkate alabileceği konulara ilişkin örnekler ve işletmenin bilgi sisteminde kullanılan BT uygulamalarının karmaşıklığına bağlı olarak BT çevrelerinin tipik özelliklerine ilişkin örnekler içerir. Ancak bu özellikler yönelimlidir ve işletme tarafından kullanılan belirli BT uygulamalarının niteliğine bağlı olarak farklılık gösterebilir.

Gelişmekte Olan Teknolojiler

5. İşletmeler gelişmekte olan teknolojileri (örneğin, blok zinciri, robotik veya yapay zekâ) kullanabilirler, çünkü söz konusu teknolojiler faaliyet etkinliğini artırmak veya finansal raporlamayı geliştirmek için belli fırsatlar sunabilir. İşletmenin bilgi sisteminde finansal tabloların hazırlanmasıyla ilgili gelişmekte olan teknolojiler kullanıldığında, denetçi, BT uygulamalarının ve BT çevresinin BT kullanımından kaynaklanan risklere maruz kalan diğer yönlerinin belirlenmesinde bu teknolojileri de dâhil edebilir. Gelişmekte olan teknolojiler mevcut teknolojilere kıyasla daha gelişmiş veya karmaşık görünse de, denetçinin 26(b)-(c) paragrafı uyarınca BT uygulamaları ve belirlenen genel BT kontrollerine ilişkin sorumlulukları değişmemektedir.

Ölçeklenebilirlik

6. Karmaşıklığı düzeyi daha düşük bir işletme ticari bir yazılım kullandığında ve bu işletmenin herhangi bir program değişikliği yapmak için kaynak koduna erişimi bulunmadığında, işletmenin BT çevresi hakkında kanaat edinmek daha kolay olabilir. Bu tür işletmelerin tahsisli BT kaynakları olmayabilir, ancak çalışanlara erişim izni vermek veya BT uygulamalarının tedarikçi tarafından sağlanan güncelleştirmelerini yüklemek amacıyla yönetici rolüne atanmış bir kişi mevcut olabilir. Denetçinin, karmaşıklık düzeyi daha düşük olan bir işletme tarafından bilgi sisteminde kullanılan tek BT uygulaması olabilecek bir ticari muhasebe yazılım paketinin niteliği hakkında kanaat edinirken dikkate alabileceği belirli konular aşağıdakileri içerebilir:

• Yazılımın oturmuş bir yazılım olup olmadığı ve güvenilirliğe ilişkin itibarının bulunup bulunmadığı,

• İşletmenin, temel yazılıma ek modüller (diğer bir ifadeyle eklentiler) eklemek veya verilerde doğrudan değişiklik yapmak amacıyla, yazılımın kaynak kodunda değişiklik yapmasının ne ölçüde mümkün olduğu,

• Yazılımda yapılan değişikliklerin nitelik ve kapsamı. Bir işletme, yazılımın kaynak kodunda değişiklik yapamasa da pek çok yazılım paketi yapılandırmaya izin verir (örneğin, raporlama parametrelerini ayarlama veya değiştirme). Bunlar genellikle kaynak kodunda değişiklik yapılmasını içermez; ancak denetçi, yazılım tarafından üretilen ve denetim kanıtı olarak kullanılan bilgilerin tamlığını ve doğruluğunu göz önünde bulundururken işletmenin yazılımı ne ölçüde yapılandırabileceğini değerlendirebilir ve

• Finansal tabloların hazırlanmasına ilişkin verilere ne ölçüde doğrudan erişilebileceği (diğer bir ifadeyle, BT uygulamasını kullanmadan veri tabanına doğrudan erişim) ve işlenen verilerin hacmi. Yeri hacmi arttıkça, işletmenin, yetkisiz erişim ve verilerde değişiklik yapılmasına ilişkin genel BT kontrollerini de içeren, veri bütünlüğünü korumaya yönelik kontrollere ihtiyacı olabilecektir.

7. Karmaşık BT çevreleri, yüksek düzeyde özelleştirilmiş veya yüksek düzeyde entegre edilmiş BT uygulamaları içerebilir ve bu nedenle bunların anlaşılması daha fazla çaba gerektirebilir. Finansal raporlama süreçleri veya BT uygulamaları diğer BT uygulamalarıyla entegre edilebilir. Böyle bir entegrasyon, işletmenin ticari faaliyetlerinde kullanılan ve BT uygulamalarına, işletmenin bilgi sistemindeki işlem akışları ve bilgi işleme ile ilgili bilgi sağlayan BT uygulamalarını içerebilir. Bu tür durumlarda, işletmenin ticari faaliyetlerinde kullanılan belirli BT uygulamaları, finansal tabloların hazırlanmasında da ihtiyaca uygun olabilir. Karmaşık BT çevreleri, yazılım geliştirme ve BT çevresinin idamesi becerilerine sahip personel tarafından desteklenen, yapılandırılmış BT süreçlerini içeren tahsisli BT departmanları da gerektirebilir. Diğer durumlarda, işletme BT çevresinin belirli yönlerini veya BT süreçlerini yönetmek için dâhili veya harici hizmet tedarikçileri (örneğin, üçüncü taraf barındırma (hosting) hizmetleri) kullanabilir.

BT Kullanımından Kaynaklanan Risklere Maruz Kalan BT Uygulamalarının Belirlenmesi

8. Denetçi, bilgi işleme kontrollerinin niteliği ve kapsamı dâhil olmak üzere, işletmenin BT çevresinin niteliği ve karmaşıklığı hakkında kanaat edinerek, finansal bilgilerin bütünlüğünü doğru bir şekilde işlemek ve sürdürmek için işletmenin hangi BT uygulamalarını esas aldığını belirleyebilir. İşletmenin esas aldığı BT uygulamalarının belirlenmesi, denetçinin, otomatik kontrollerin belirlenmiş “önemli yanlışlık” risklerini ele aldığı varsayımıyla, bu tür BT uygulamalarındaki otomatik kontrolleri test etme kararını etkileyebilir. Aksine, eğer işletme bir BT uygulamasını esas almıyorsa, bu BT uygulaması içindeki otomatik kontrollerin işleyiş etkinliği testlerine uygun veya yeterince hassas olması muhtemel değildir. 26(b) paragrafı uyarınca belirlenebilecek otomatik kontroller, örneğin, bir satın alma siparişinin üç yönlü eşleşmesi, satıcı irsaliye belgesi ve satıcı faturası gibi otomatik hesaplamalar veya girdi, işleme ve çıktı kontrollerini içerebilir. Otomatik kontroller denetçi tarafından belirlendiğinde ve denetçi, işletmenin, BT çevresine ilişkin kanaat edinerek, bu otomatik kontrolleri içeren bir BT uygulamasını esas aldığına karar verdiğinde, denetçinin BT uygulamasını BT kullanımından kaynaklanan risklere maruz kalan bir uygulama olarak belirlemesi daha muhtemeldir.

9. Otomatik kontroller olarak belirlediği BT uygulamalarının BT kullanımından kaynaklanan risklere maruz kalıp kalmadığını göz önünde bulundururken denetçi, yönetimin bu tür kontrollerde veya BT uygulamalarında program değişiklikleri yapmasına imkân veren kaynak koduna erişip erişemeyeceğini ve ne dereceye kadar erişebileceğini dikkate alacaktır. İşletmenin program veya yapılandırma değişikliklerini ne ölçüde yaptığı ve BT süreçlerinin bu değişikliklerden ne ölçüde etkilendiği de dikkate alınabilecek önemli hususlar olabilir. Denetçi ayrıca uygunsuz erişim veya verilerde değişiklik yapma riskini de dikkate alacaktır.

10. Denetçinin denetim kanıtı olarak kullanmayı planlayabileceği sistem tarafından üretilen raporlar, örneğin ticari alacak yaşlandırma raporlarını veya stok değerleme raporlarını içerebilir. Bu tür raporlar için denetçi, raporun girdi ve çıktılarına ilişkin maddi doğrulama testi uygulayarak raporların tamlığı ve doğruluğu hakkında denetim kanıtı elde edebilir. Diğer durumlarda denetçi, raporun hazırlanması ve idamesi üzerindeki kontrollerin işleyiş etkinliğini test etmeyi planlayabilir; bu durumda, üretildiği BT uygulamasının BT kullanımından kaynaklanan risklere maruz kalması muhtemeldir. Denetçi, raporun tamlığını ve doğruluğunu test etmenin yanı sıra, rapordaki uygunsuz veya yetkisiz program değişiklikleri veya verilerdeki değişikliklerle ilgili riskleri ele alan genel BT kontrollerinin işleyiş etkinliğini test etmeyi planlayabilir.

11. Bazı BT uygulamaları rapor yazma fonksiyonu içerebilirken, bazı işletmeler ayrı rapor yazma uygulamaları (diğer bir ifadeyle, rapor yazıcılar) kullanabilirler. Bu gibi durumlarda, BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlemek amacıyla denetçi, sistem tarafından üretilen raporların kaynaklarını (diğer bir ifadeyle; raporu hazırlayan uygulama ve rapor tarafından kullanılan veri kaynaklarını) belirleme ihtiyacı duyabilir.

12. BT uygulamaları tarafından kullanılan veri kaynakları, örneğin yalnızca BT uygulaması tarafından veya veri tabanı yönetimi ayrıcalıklarına sahip BT personeli tarafından erişilebilen veri tabanları olabilir. Diğer durumlarda, veri kaynağı, kendi başına BT kullanımından kaynaklanan risklere maruz kalan bir BT uygulaması olarak değerlendirilebilecek bir veri ambarı olabilir.

13. Denetçi, işletmenin birden fazla entegre BT uygulamasını içerebilen yüksek derecede otomatik ve kağıtsız işlemlerin kullanımı nedeniyle maddi doğrulama prosedürlerinin tek başına yeterli olmadığı bir risk belirlemiş olabilir. Bu gibi durumlarda, denetçi tarafından belirlenen kontrollerin otomatik kontrolleri içermesi muhtemeldir. Ayrıca işletme, işlenen işlemlerin ve işlemede kullanılan diğer bilgilerin bütünlüğünü korumak için genel BT kontrollerini esas alıyor olabilir. Bu gibi durumlarda, bilgilerin işlenmesi ve saklanmasında yer alan BT uygulamalarının BT kullanımından kaynaklanan risklere maruz kalması muhtemeldir.

Son Kullanıcı Bilgi-İşlem

14. Her ne kadar denetim kanıtı, son kullanıcı bilgi işlem aracında yapılan hesaplamada kullanılan, sistem tarafından üretilen çıktı biçiminde gelse de (örneğin, elektronik tablo yazılımı veya basit veri tabanları), bu tür araçlar genellikle 26(b) paragrafı uyarınca BT uygulamaları olarak belirlenmez. Son kullanıcı bilgi işlem araçlarına erişim ve bunlarda yapılan değişikliklere ilişkin kontrolleri tasarlamak ve uygulamak zor olabilir ve bu tür kontroller genel BT kontrollerine nadiren eşdeğerdir veya nadiren onlar kadar etkindir. Daha ziyade, denetçi, son kullanıcı bilgi işleminin amacını ve karmaşıklığını dikkate alarak aşağıdaki gibi bilgi işleme kontrollerinin bileşimini değerlendirebilir:

• İlgili otomatik veya ara yüz denetimleri de dâhil olmak üzere, verilerin çıkarıldığı noktaya kadar (diğer bir ifadeyle; veri ambarı) kaynak verilerin başlatılması ve işlenmesi üzerindeki bilgi işleme denetimleri,

• Mantığın amaçlandığı gibi çalışıp çalışmadığını kontrol etmek için kontroller, örneğin, raporun türetildiği verilerle mutabakat edilmesi, rapordan alınan münferit verilerle kaynağın karşılaştırılması veya tam tersi gibi, verilerin çıkarılmasını ‘kanıtlayan’ kontroller ile formülleri veya makroları kontrol eden kontroller veya

• Elektronik tablo bütünlüğü araçları gibi, formülleri veya makroları sistematik olarak kontrol eden doğrulama yazılım araçlarının kullanımı.

Ölçeklenebilirlik

15. İşletmenin, bilgi sisteminde saklanan ve işlenen bilgilerin bütünlüğünü koruma kabiliyeti, ilgili işlemlerin ve diğer bilgilerin karmaşıklığına ve hacmine bağlı olarak farklılık gösterebilir. Önemli bir işlem sınıfını, hesap bakiyesini veya açıklamayı destekleyen verilerin karmaşıklığı ve hacmi ne kadar büyük olursa, işletmenin yalnızca bilgi işleme kontrolleri (örneğin, girdi ve çıktı kontrolleri veya inceleme kontrolleri) yoluyla söz konusu bilgilerin bütünlüğünü koruması da o denli zordur. Ayrıca denetçinin, söz konusu bilgileri denetim kanıtı olarak kullanıldığında, tek başına maddi doğrulama testiyle bu tür bilgilerin tamlığı ve doğruluğu hakkında denetim kanıtı elde etmesi de zorlaşır. Bazı durumlarda, işlemlerin hacmi ve karmaşıklığı daha düşük olduğunda, yönetim, verilerin doğruluğunu ve tamlığını doğrulamak için yeterli olan bir bilgi işleme kontrolüne sahip olabilir (örneğin, işleme konulan ve faturalandırılan münferit müşteri siparişleri, ilk başta BT uygulamasına girilen yazılı kopyayla eşleştirilebilir). İşletme, BT uygulamaları tarafından kullanılan belirli bilgilerin bütünlüğünü korumak için genel BT kontrollerini esas aldığında, denetçi, bu bilgileri muhafaza eden BT uygulamalarının BT kullanımından kaynaklanan risklere maruz kaldığını belirleyebilir.

BT Çevresinin, BT Kullanımından Kaynaklanan Risklere Maruz Kalan Diğer Yönleri

16. Denetçi, BT kullanımından kaynaklanan risklere maruz kalan BT uygulamalarını belirlediğinde, genelde BT çevresinin diğer yönleri de BT kullanımından kaynaklanan risklere maruz kalır. BT altyapısı veri tabanlarını, işletim sistemini ve ağı içerir. Veri tabanları, BT uygulamaları tarafından kullanılan verileri depolar ve birbiriyle ilişkili pek çok veri tablosunu içerebilir. Veri tabanlarındaki verilere, BT personeli veya veri tabanı yönetim ayrıcalıklarına sahip diğer personel tarafından doğrudan veri tabanı yönetim sistemleri aracılığıyla da erişilebilir. İşletim sistemi; donanım, BT uygulamaları ve ağda kullanılan diğer yazılımlar arasındaki iletişimi yönetmekten sorumludur. Bu nedenle, BT uygulamalarına ve veri tabanlarına işletim sistemi üzerinden doğrudan erişilebilir. BT altyapısında veri iletmek ve ortak bir iletişim bağlantısı aracılığıyla bilgi, kaynak ve hizmetleri paylaşmak için bir ağ kullanılır. Ağ ayrıca, dayanak oluşturan kaynaklara erişim için (işletim sistemi aracılığıyla etkinleştirilen) bir mantıksal güvenlik katmanı oluşturur.

17. BT uygulamalarının BT’den kaynaklanan risklere maruz kalacağı denetçi tarafından belirlendiğinde, belirlenmiş bir BT uygulaması tarafından işlenen verileri depolayan veri taban(lar)ı da genellikle aynı şekilde belirlenir. Benzer şekilde, bir BT uygulamasının çalışma yeteneği genellikle işletim sistemine bağlı olduğundan ve BT uygulamalarına ve veri tabanlarına doğrudan işletim sistemi üzerinden erişilebildiğinden, işletim sistemi tipik olarak BT kullanımından kaynaklanan risklere maruz kalır. Ağ; tanımlanmış BT uygulamalarına ve ilgili veri tabanlarına merkezi bir erişim noktası olduğunda veya bir BT uygulaması internet üzerinden tedarikçilerle veya işletme dışındaki taraflarla etkileşime girdiğinde veya web’e dönük BT uygulamaları denetçi tarafından tanımlandığında belirlenebilir.

BT Kullanımından ve Genel BT Kontrollerinden Kaynaklanan Risklerin Belirlenmesi

18. BT kullanımından kaynaklanan risklere örnek olarak; verileri hatalı işleyen, hatalı verileri işleyen veya her ikisini birden yapan BT uygulamalarını uygun olmayan şekilde esas almaya ilişkin riskler verilebilir. Söz konusu risklere ilişkin örnekler aşağıda yer almaktadır:

• Verilerin zarar görmesine veya veriler üzerinde uygun olmayan değişikliklerin yapılmasına yol açabilecek şekilde verilere yetkisiz erişilmesi (yetkisiz veya var olmayan işlemlerin kaydedilmesi veya işlemlerin hatalı kaydedilmesi dâhil). Birden fazla kullanıcının ortak bir veri tabanına eriştiği durumlarda belirli riskler ortaya çıkabilir.

• BT personelinin, görevler ayrılığı ilkesinin bozulmasına sebep olacak şekilde, görev alanları çerçevesinde ihtiyaç duyduklarının ötesinde erişim ayrıcalıkları elde etme ihtimali.

• Ana dosyalardaki verilerde yetkisiz değişiklikler yapılması.

• BT uygulamalarında veya BT çevresinin diğer yönlerinde yetkisiz değişiklikler yapılması.

• BT uygulamalarında veya BT çevresinin diğer yönlerinde gereken değişikliklerin yapılmaması.

• Uygun olmayan manuel müdahaleler.

• Veri kaybı ihtimali veya gerektiğinde verilere erişilememesi.

19. Denetçi yetkisiz erişimi dikkate alırken, işletme içindeki veya dışındaki tarafların yetkisiz erişimi ile ilgili riskleri de (genellikle siber güvenlik riskleri olarak atıfta bulunulur) dikkate alabilir. Bir işletmenin BT çevresi, faaliyet veya uyumluluk ihtiyaçlarını ele alan BT uygulamalarını ve ilgili verileri de içerebileceğinden, bu tür riskler finansal raporlamayı etkilemeyebilir. Genelde öncelikle finansal tabloların hazırlanmasını etkileyen BT uygulamasından, veri tabanından ve işletim sistemlerinden daha fazla kaldırılma eğiliminin çok olduğu çevre ve iç ağ katmanları aracılığıyla siber olayların gerçekleştiğini bilmek önemlidir. Buna göre, güvenlik ihlali hakkında bilgi tespit edilirse, denetçi böyle bir ihlalin finansal raporlamayı ne ölçüde etkileyebileceğini değerlendirir. Finansal raporlamanın etkilenebilmesi durumunda denetçi, finansal tablolardaki muhtemel yanlışlıkların olası etkisini veya kapsamını belirlemek için ilgili kontrolleri anlamaya ve test etmeye karar verebilir veya işletmenin bu tür güvenlik ihlali ile ilgili yeterli açıklama sağlamış olduğuna karar verebilir.

20. Ayrıca, işletmenin finansal tabloları üzerinde doğrudan veya dolaylı etkisi olabilecek mevzuat içerisinde veri koruma mevzuatı da bulunabilir. BDS 25077 uyarınca bir işletmenin mevzuata uygunluk sağlayıp sağlamadığını değerlendirmek, mevzuata uygunluk sağlamak için uygulanan BT süreçleri ve genel BT kontrolleri hakkında kanaat edinmeyi içerebilir.

21. BT kullanımından kaynaklanan riskleri ele almak için genel BT kontrolleri uygulanır. Buna göre denetçi, belirlenecek genel BT kontrollerine karar verirken, belirlenmiş BT uygulamaları ve BT çevresinin diğer yönleriyle BT kullanımından doğacak geçerli riskler hakkında elde edilen kanaati kullanır. Bazı durumlarda, işletme BT çevresinde veya belirli BT uygulamalarında ortak BT süreçlerini kullanabilir; bu durumda BT ve ortak genel BT kontrollerinden kaynaklanan ortak riskler belirlenebilir.

22. Genel olarak, BT çevresinin diğer yönlerine kıyasla, BT uygulamaları ve veri tabanları ile ilgili daha fazla sayıda genel BT kontrolünün belirlenmesi muhtemeldir. Bunun nedeni, bu yönlerin işletmenin bilgi sisteminde bilgi işleme ve bilginin depolanması ile en yakından ilgili yönler olmasıdır. Genel BT kontrollerini belirlerken denetçi, hem son kullanıcıların hem de işletmenin BT personelinin veya BT hizmet sağlayıcılarının faaliyetleri üzerindeki kontrolleri değerlendirebilir.

23. Ek 6’da BT çevresinin farklı yönleri için sıklıkla uygulanan genel BT kontrollerinin niteliği hakkında ilave açıklamalar yer almaktadır. Ayrıca, farklı BT süreçlerine yönelik genel BT kontrollerine ilişkin örneklere de yer verilmektedir.

Ek 6

(Bkz.: 26(c)(ii), A173-A174 paragrafları)

Genel BT Kontrolleri Hakkında Kanaat Edinilmesiyle İlgili Hususlar

Bu Ek’te, denetçinin genel BT kontrolleri hakkında kanaat edinirken dikkate alabileceği ilave hususlar yer almaktadır.

1. BT çevresinin her bir yönüne ilişkin olarak genellikle uygulanan genel BT kontrollerinin niteliği:

(a) Uygulamalar

BT uygulaması katmanındaki genel BT kontrolleri, uygulama işlevselliği ve teknolojide izin verilen erişim yollarının niteliği ve kapsamı ile ilişkilendirilecektir. Örneğin, yalnızca işlem yoluyla erişim yöntemleriyle az sayıda hesap bakiyesini destekleyen eski bir BT uygulamasına kıyasla, karmaşık güvenlik seçeneklerine sahip yüksek entegrasyona sahip BT uygulamalarına ilişkin daha fazla kontrol ihtiyaca uygun olacaktır.

(b) Veri tabanı

Veri tabanı katmanındaki genel BT kontrolleri, veri tabanına doğrudan erişim veya bir komut dosyasının veya programın yürütülmesi yoluyla veri tabanındaki finansal raporlama bilgilerinde yapılan yetkisiz güncelleştirmelerle ilgili olan BT kullanımından kaynaklanan riskleri ele alır.

(c) İşletim sistemi

İşletim sistemi katmanındaki genel BT kontrolleri, genellikle yönetim erişimiyle ilgili BT kullanımından kaynaklanan ve diğer kontrollerin ihlal edilmesini kolaylaştırabilecek risklere yöneliktir. Bu, diğer kullanıcıların kimlik bilgilerini tehlikeye atma, yeni, yetkisiz kullanıcılar ekleme, kötü amaçlı yazılım yükleme veya komut dosyaları veya diğer yetkisiz programları yürütme gibi eylemleri içerir.

(Ç) Ağ

Ağ katmanındaki genel BT kontrolleri, genellikle ağ segmentasyonu, uzaktan erişim ve kimlik doğrulama ile ilgili BT kullanımından kaynaklanan riskleri ele alır. Bir işletmenin finansal raporlamada kullanılan web’e dönük uygulamaları olduğunda ağ kontrolleri önemli olabilir. İşletmenin veri iletimini ve uzaktan erişim ihtiyacını artırabilecek önemli iş ortağı ilişkileri veya üçüncü taraf dış kaynak kullanımı olduğunda da ağ kontrolleri önemli olabilir.

2. BT sürecine göre düzenlenen genel BT kontrollerine ilişkin örnekler aşağıdakileri içerir:

(a) Erişimi yönetme süreci:

o Kimlik Doğrulama

Bir kullanıcının BT uygulamasına veya BT çevresinin başka bir yönüne erişirken kendi oturum açma kimlik bilgilerini kullanmasına yönelik kontroller (diğer bir ifadeyle, kullanıcının başka bir kullanıcının kimlik bilgilerini kullanmaması).

o Yetkilendirme

Kullanıcıların iş sorumlulukları için gerekli bilgilere erişmelerini ve bunlardan başka herhangi bir şeye erişememesini sağlayan ve görevlerin uygun şekilde ayrılmasını kolaylaştıran kontroller.

o Kullanıcı provizyonu

Yeni kullanıcıların yetkilendirilmesini ve mevcut kullanıcıların erişim ayrıcalıklarında değişiklik yapılmasını sağlayan kontroller.

o Kullanıcı deprovizyonu

İş akdi feshi veya transfer durumunda kullanıcı erişimini kaldıran kontroller.

o Ayrıcalıklı erişim

Yönetici veya güçlü kullanıcıların erişimi üzerindeki kontroller.

o Kullanıcı erişiminin gözden geçirilmesi

Zaman içinde, süregelen yetkilendirme için kullanıcı erişimini yeniden sertifikalandırma veya değerlendirme kontrolleri.

o Güvenlik yapılandırma kontrolleri

Her teknoloji, genellikle çevreye erişimi kısıtlamaya yardımcı olan kilit yapılandırma ayarları içerir.

o Fiziksel erişim

Veri merkezine ve donanıma fiziksel erişim üzerindeki kontroller; zira bu erişimler diğer kontrolleri ihlal etmek için kullanılabilmektedir.

(b) BT çevresindeki program değişikliklerini veya diğer değişiklikleri yönetme süreci:

o Değişim yönetimi süreci

Bir üretim (diğer bir ifadeyle, son kullanıcı) çevresindeki değişiklikleri tasarlama, programlama, test etme ve migrasyon süreci üzerindeki kontroller.

o Değişim migrasyonunda görevler ayrılığı

Bir üretim çevresinde değişiklik yapmak ve bu çevrede değişimlerin migrasyonu için erişimi ayıran kontroller.

o Sistem geliştirme veya satın alma veya uygulama

İlk defa BT uygulaması geliştirilmesi veya uygulanması üzerindeki (veya BT çevresinin diğer yönleri ile ilgili) kontroller.

o Veri dönüştürme

BT çevresindeki geliştirme, uygulama veya yükseltme süreçleri esnasında veri dönüştürme kontrolleri.

(c) BT faaliyetlerini yönetme süreci

o İş çizelgeleme

Finansal raporlamayı etkileyebilecek işleri veya programları planlamak ve başlatmak için erişim kontrolleri.

o İş izleme

Başarılı yürütme için finansal raporlama işlerini veya programlarını izleme kontrolleri.

o Yedekleme ve kurtarma

Finansal raporlama verilerinin yedeklenmesinin planlandığı gibi yapılmasını ve bu tür verileri bir kesinti veya saldırı durumunda zamanında kurtarmak için erişilebilir olmasını sağlayan kontroller.

o Saldırı tespiti

BT çevresindeki güvenlik açıklarını ve/veya saldırıları izlemek amacıyla kontroller.

Aşağıdaki tabloda; niteliklerine göre farklı BT uygulamaları dâhil, BT kullanımından kaynaklanan risk örneklerini ele alan genel BT kontrollerine ilişkin örnekler yer almaktadır.

BDS 315’in Revize Edilmesinden Kaynaklı Olarak Diğer Bazı Standartlarda Yapılan Değişiklikler

BDS 315’in revize edilmesinden kaynaklı olarak diğer bazı Standartlarda yapılan değişiklikler; silinen metinlerde üzeri çizili olarak, yeni eklenen metinlerde ise altı çizili olarak gösterilmiştir. Yeni eklenen paragraflar (BDS 200, A40a gibi) söz konusu Standardın ana metnine teselsül ettirilerek işlenecektir. Dipnot numaraları, ilgili Standartta yer alan dipnotların sıralamasına uygun bir şekilde numaralandırılacaktır.

BDS 200 BAĞIMSIZ DENETÇİNİN GENEL AMAÇLARI VE BAĞIMSIZ DENETİMİN BAĞIMSIZ DENETİM STANDARTLARINA UYGUN OLARAK YÜRÜTÜLMESİ

...

Kapsam

...

7. BDS’lerde, denetçinin makul güvence elde etmesini desteklemek üzere tasarlanmış olan amaçlar, ana hükümler, açıklayıcı hükümler ve uygulama bölümleri yer alır. BDS’ler, denetimin planlanması ve yürütülmesi sırasında denetçinin mesleki muhakemesini kullanmasını, mesleki şüpheciliğini sürdürmesini ve diğer hususların yanı sıra;

• İşletmeİşletmenin iç kontrolü dâhil işletme ve çevresini, geçerli finansal raporlama çerçevesini ve işletmenin iç kontrol sistemini anlamak için edindiği bilgilere dayanarak hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemesini ve değerlendirmesini,

• Risk olduğu değerlendirilen hususlara karşı yapılacak uygun işleri tasarlamak ve uygulamak suretiyle önemli yanlışlıkların var olup olmadığı hakkında yeterli ve uygun denetim kanıtı elde etmesini,

• Elde edilen denetim kanıtlarından ulaşılan sonuçlara dayanarak finansal tablolara ilişkin görüş oluşturmasını,

zorunlu kılar.

...

Tanımlar

13. Aşağıdaki terimler BDS’lerde, karşılarında belirtilen anlamlarıyla kullanılmıştır:

(h) “Önemli yanlışlık” riski: Finansal tabloların denetim öncesinde önemli bir yanlışlık içermesi riskidir. Aşağıda belirtildiği gibi bu risk yönetim beyanı düzeyinde iki bileşenden oluşur (Bkz.: A15a paragrafı):

(i) Yapısal risk: İlgili kontrol mekanizması dikkate alınmadan önce, bir işlem sınıfına, hesap bakiyesine veya açıklamalara ilişkin bir yönetim beyanının, tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek bir yanlışlık içermeye açık olması durumudur.

(ii) Kontrol riski: Bir işlem sınıfı, hesap bakiyesi veya açıklamalara ilişkin bir yönetim beyanında ortaya çıkabilecek ve tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek bir yanlışlığın, işletmenin kontrolleriiç kontrolü tarafından zamanında önlenememesi veya tespit edilerek düzeltilememesi riskidir.

...

Açıklayıcı Hükümler ve Uygulama

...

Tanımlar

Finansal Tablolar (Bkz.: 13 (d) paragrafı)

“Önemli Yanlışlık” Riski (Bkz.: 13(h) paragrafı)

A15a. BDS’lerin amaçları bakımından, aşağıdakiler için makul bir ihtimal mevcut olduğunda, önemli yanlışlık riski bulunmaktadır:

(a) Yanlışlığın meydana gelmesi (diğer bir ifadeyle, ihtimali) ve

(b) Yanlışlığın meydana gelmesi hâlinde önemli olması (diğer bir ifadeyle, büyüklüğü).

Finansal Tabloların Denetimine İlişkin Etik Hükümler (Bkz.: 14 üncü paragraf)

A30. 17 no’lu dipnot değişmiştir:

“17 BDS 315, ‘“Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”, 16 ncı paragraf

“Önemli Yanlışlık” Riskleri

A40. Yapısal risk, yapısal risk faktörlerinden etkilenir. Yapısal risk faktörlerinin bir yönetim beyanının yanlışlığa olan açıklığını ne ölçüde etkilediğine bağlı olarak, yapısal risk seviyesi yapısal risk aralığı olarak ifade edilen bir ölçeğe göre farklılık gösterir. “Önemli yanlışlık” risklerini belirleme ve değerlendirme sürecinin bir parçası olarak denetçi, önemli işlem sınıfları, hesap bakiyeleri ve açıklamalara ve bunlarla ilgili yönetim beyanlarına karar verir. Örneğin,A40. Bazı yönetim beyanı ve ilgili işlem sınıfları, hesap bakiyeleri ve açıklamalarda yapısal risk diğerlerine göre daha yüksektir. Bu risk örneğin, karmaşık hesaplamalarda veya önemli tahmin belirsizlikleri içeren muhasebe tahminlerinden elde edilen tutarların yer aldığı hesap bakiyeleri önemli hesap bakiyeleri olarak belirlenebilir ve denetçinin yönetim beyanı düzeyindeki ilgili riskler için yapısal riske ilişkin değerlendirmesi, yüksek tahmin belirsizliği nedeniyle daha yüksek olabilir. hesaplarda daha yüksek olabilir.

A40a. İş hayatına ilişkin risklere sebep olabilecek dış şartlar da yapısal riski etkileyebilir. Örneğin, teknolojik gelişmeler belirli bir ürünü modası geçmiş hâle getirebilir ve bu durum stokların finansal tablolarda olduğundan daha fazla bir değerle gösterilmesine yol açabilir. İşlem sınıflarının, hesap bakiyelerinin veya açıklamaların bazılarına veya tamamına ilişkin işletme ve çevresiyle ilgili faktörler de belirli bir yönetim beyanına ilişkin yapısal riski etkileyebilir. Yapısal riski etkileyen faktörlere, işletmenin faaliyetlerinin devamlılığını sağlayacak yeterli bir işletme sermayesinin bulunmaması veya işletmenin faaliyet gösterdiği sektörde çok sayıda işletmenin kapanmasına yol açan bir daralmanın ortaya çıkması örnek olarak verilebilir.

A41. Kontrol riski, bir işletmenin finansal tabloların hazırlanmasıyla ilgili amaçlarına ulaşılmasını tehdit eden belirlenmiş riskleri ele almak amacıyla yönetim tarafından kontrolleriniç kontrolün tasarlanması, uygulanması ve sürdürülmesinin etkinliğinin bir fonksiyonudur. Ancak ne kadar iyi tasarlanmış ve uygulanmış olursa olsun kontrolleriç kontrol, yapısal kısıtlamalar sebebiyle finansal tablolardaki “önemli yanlışlık” risklerini ortadan kaldırmaz, sadece azaltabilir. Kişilerin hatası veya yanlış hareketleri ya da yönetimin uygun olmayan davranışları veya muvazaalı işlem sonucu iç kontrolün ihlal edilmesi ihtimali gibi durumlar, bu kısıtlamalara örnek olarak verilebilir. Bu sebeple, belirli bir kontrol riski her zaman olacaktır. Uygulanacak olan maddi doğrulama prosedürlerinin niteliğinin, zamanlamasının ve kapsamının belirlenmesi için BDS’ler, hangi şartlarda denetçinin iç kontrolün işleyiş etkinliğini test etmesinin gerekli olduğunu veya test etmeyi tercih edebileceğini açıklar.⁷⁸

A42. “Önemli yanlışlık” risklerinin değerlendirilmesi, nitel olarak veya yüzdelik veriler hâlinde nicel olarak ifade edilebilir. Her durumda, denetçinin uygun risk değerlendirmeleri yapma ihtiyacı, bu değerlendirmelerde kullanılabilecek farklı yaklaşımlardan daha önemlidir. BDS’ler, genel olarakgenellikle yapısal riske ve kontrol riskine ayrı ayrı atıfta bulunmakbulunmaz. Bunun verine, yapısal riski ve kontrol riskini birlikte değerlendirerek “önemli yanlışlık” risklerine atıfta bulunur. Ancak BDS 315540⁷⁹ denetçinin; BDS 330’a⁸⁰ uygun olarak, yönetim beyanı düzeyindedüzeyindeki muhasebe tahminleri için, ciddi riskler dâhil; “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık veren müteakipilave denetim prosedürlerinin tasarlanması ve uygulanmasına dayanak sağlamak amacıyla yapısal riski vekontrol riskindeni ayrı olarakayrı değerlendirmesini zorunlu kılar. Muhasebe tahminleri dışındaki önemli işlem sınıfları, hesap bakiyeleri veya açıklamalara ilişkin “önemliyanlışlık” risklerini belirler ve değerlendirirken denetçi, tercih edilen denetim teknik veya metodolojilerine ve uygulamaya ilişkin hususlara-bağlı olarak yapısal risk ve kontrol riskini ayrı ayrı veya birlikte değerlendirebilir.

A43a. “Önemli yanlışlık” riskleri, yeterli ve uygun denetim kanıtının elde edilmesi için gereken müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlemek amacıyla yönetim beyanı düzeyinde değerlendirilir.⁸¹

A52. 23 no’lu dipnot değişmiştir:

“23 BDS 315, 17-22 nci paragraflar 5-10 uncu paragraflar”

A61. Gerekli hâllerde, açıklayıcı hükümler ve uygulama bölümü standardın ana hükümlerine ilişkin ayrıntılı açıklamalara yer verir ve bu ana hükümlerin uygulanmasına yönelik rehberlik sağlar. Bu bölüm özellikle:

• BDS 315 gibi bazı BDS’ler, bir prosedürün zorunlu kılınma sebebi dâhil birBir ana hükmün neyi ifade ettiğini veya amaçlanan kapsamı daha sarih biçimde açıklayabilir.

• İçinde bulunulan şartlara uygun olabilecek prosedürlere ilişkin örnekler verebilir. BDS 315 gibi bazı BDS’lerde örnekler kutu içinde sunulur.

...

Küçük İşletmelere Özgü Hususlar Ölçeklenebilirlikle İlgili Hususlar

A65a. Bazı BDS’ler (örneğin, BDS 315) isletmelerin nitelik ve şartlarının karmaşıklık düzeyine bakılmaksızın, hükümlerin tüm isletmeler için nasıl uygulanacağını gösteren ölçeklenebilirlikle ilgili hususlar içermektedir. Karmaşıklık düzeyi daha düşük olan işletmeler, A66 paragrafında ver alan özelliklerin geçerli olduğu işletmelerdir.

A65b. Bazı BDS’lerde “küçük isletmelere özgü hususlar” öncelikle borsada işlem görmeyen isletmeler göz önünde bulundurularak düzenlenmiştir. Ancak bu hususlardan bazıları, borsada işlem gören küçük isletmelerin denetiminde de yardımcı olabilir.

A66. Küçük işletmelerin denetiminde dikkate alınması gereken ilâve hususları açıklayan bölümlerde “küçük işletme” terimi genellikle aşağıdaki niteliksel özelliklere sahip bir işletmeyi ifade eder:

(b)...

(iv) Daha basitAz sayıda iç kontrol sistemleri,

A67. A65b’ye taşınmıştır.

Otomatik Araç ve Tekniklere Özgü Hususlar

A67a. Bazı BDS’lerde (örneğin BDS 315) yer verilen “otomatik araç ve tekniklere” özgü hususlar, denetçinin denetim prosedürlerini uygulaması sırasında otomatik araç ve teknikleri kullanırken belirli hükümleri nasıl uygulayabileceğini açıklamak amacıyla geliştirilmiştir.

BDS 210 BAĞIMSIZ DENETİM SÖZLEŞMESİNİN ŞARTLARI ÜZERİNDE ANLAŞMAYA VARILMASI

Açıklayıcı Hükümler ve Uygulama

A18. Finansal tabloların hazırlanması için gerekli olan iç kontrolü belirlemek yönetimin sorumluluğundadır. “İç kontrol” terimi; kontrol çevresi, işletmenin risk değerlendirme süreci, ilgili iş süreçleri dâhil finansal raporlama ve iletişime ilişkin bilgi sistemi, kontrol faaliyetleri ve kontrollerin izlenmesi şeklinde tanımlanabilecek bileşenler kapsamındaki birçok faaliyeti içerir: “İç kontrol” terimi; kontrol çevresi, işletmenin risk değerlendirme süreci, iç kontrol sistemini izleme süreci, bilgi sistemi ve iletişim ve kontrol faaliyetleri seklinde tanımlanabilecek iç kontrol sistemi bileşenleri kapsamındaki birçok faaliyeti içerir. Ancak bu ayrım, belirli bir işletmenin kendi iç kontrolünü nasıl tasarlayabileceğini, uygulayabileceğini ve sürdürebileceğini veya belirli bir bileşeni nasıl sınıflandırabileceğini göstermez.⁸² Bir işletmenin iç kontrolü (özellikle muhasebe defterleri ve kayıtları veya muhasebe sistemleri) yönetimin ihtiyaçlarına, işletme faaliyetlerinin karmaşıklığına, işletmenin maruz kaldığı risklerin niteliğine ve mevzuata göre şekillenir.

BDS 230 BAĞIMSIZ DENETİMİN BELGELENDİRİLMESİ

...

Açıklayıcı Hükümler ve Uygulama

...

A17. Küçük bir işletmenin denetçisi, çalışma kâğıtlarını hazırlarken destekleyici çalışma kâğıtlarına uygun biçimde çapraz-referanslar vermek suretiyle denetimin çeşitli yönlerini ve aşamalarını tek bir belge altında toplamayı faydalı ve etkin bulabilir. Küçük bir işletmenin denetiminde birlikte belgelendirilebilecek hususlara örnek olarak; işletme ve çevresinin, geçerli finansal raporlama çerçevesinin ve işletmenin ve iç kontrol sistemininkontrolünün anlaşılması, genel denetim stratejisi ve denetim planı, BDS 320’ye uygun olarak belirlenen önemlilik, risk olarak değerlendirilen hususlar, denetim sırasında tespit edilen önemli hususlar ve ulaşılan sonuçlar verilebilir.

...

BDS 240 FİNANSAL TABLOLARIN BAĞIMSIZ DENETİMİNDE BAĞIMSIZ DENETÇİNİN HİLEYE İLİŞKİN SORUMLULUKLARI

Giriş

7. Denetçinin, yönetim tarafından yapılan hile (yönetim hilesi) kaynaklı önemli yanlışlığı tespit edememe riski, çalışanların yaptığı hileyi tespit edememe riskinden daha yüksektir. Bunun sebebi, yönetimin genellikle doğrudan veya dolaylı olarak muhasebe kayıtlarını manipüle edebilecek, hileli finansal bilgi sunabilecek veya diğer çalışanların yapabileceği benzer hileleri önlemek üzere tasarlanmış kontrollerikontrol prosedürlerini ihlal edebilecek bir pozisyonda olmasıdır.

16. 6 no’lu dipnot değişmiştir:

“BDS 315,10 uncu paragraf 17-18 inci paragraflar”

17. Denetçi, işletmenin iç kontrolü dâhil,işletme ve çevresini, geçerli finansal raporlama çerçevesini ve işletmenin iç kontrol sistemini tanımak amacıyla BDS 315⁸⁵ tarafından zorunlu kılınan risk değerlendirme prosedürlerini uygularken ve ilgili faaliyetleri gerçekleştirirken, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesinde kullanacağı bilgileri elde edebilmek için 24-44 üncü 18-25 inci paragraflardaki prosedürleri uygular.

21. Üst yönetimden sorumlu olanların tamamının işletme yönetiminde icrâî nitelikte görevler üstlenmediği durumlarda denetçi, işletmedeki hile risklerinin belirlenmesi ve bu risklere karşılık verilmesiyle ilgili olarak yönetim tarafından izlenen süreçler ile bu risklerin azaltılması için yönetimin oluşturduğu kontrolleriç kontrol üzerinde üst

yönetimden sorumlu olanların nasıl bir gözetim gerçekleştirdiğini anlar (Bkz.: A20-A22 paragrafları).

26. 9 no’lu dipnot değişmiştir:

“BDS 315, 25 inci paragraf 28 inci paragraf"

28. Denetçi, hile kaynaklı “önemli yanlışlık” riski olarak değerlendirdiği riskleri “ciddi riskler” olarak ele alır ve bu yüzden, henüz yapılmadıysa, kontrol faaliyetleri dâhil, işletmenin bu tür riskleri ele alan işletmerisklere yönelik kontrollerini belirler, bunların tasarımını değerlendirir ve uygulanıp uygulanmadıklarını belirler.⁸⁴anlamak zorundadır (Bkz.: A32-A33 paragrafları).

45. Denetçi, BDS 315 uyarıncaişletme ve çevresini tanımasına ve“önemli yanlışlık” risklerini belirlemesine ve değerlendirmesine ilişkin olarak BDS 315 kapsamındaki çalışma kâğıtlarına, aşağıda belirtilenleri dedâhil eder:⁸⁵

(a) İşletmenin finansal tablolarının hile kaynaklı “önemli yanlışlık” risklerine açıklığı konusunda denetim ekibi içinde yapılan müzakereler sırasında alınan önemli kararlar, ve

(b) Finansal tablo düzeyinde ve yönetim beyanı düzeyinde, hile kaynaklı “önemli yanlışlık” riski olarak belirlenen ve değerlendirilen riskler ve

(c) Hile kaynaklı “önemli yanlışlık” riski olarak değerlendirilen riskleri ele alan, kontrol faaliyetleri bileşenindeki belirlenen kontroller.

Açıklayıcı Hükümler ve Uygulama

Mesleki Şüphecilik (Bkz.: 13-15 inci paragraflar)

A8. Mesleki şüphecilik, elde edilen bilgilerin ve denetim kanıtlarının, hile kaynaklı önemli bir yanlışlık olabileceğine işaret edip etmediğinin sürekli olarak sorgulanmasını gerektirir. Mesleki şüphecilik, denetim kanıtı olarak kullanılacak bilgilerin güvenilirliğinin ve uygun hâllerde- bu bilgilerin hazırlanması ve muhafazasına ilişkin -varsa- kontrol faaliyetleri bileşenindeki belirlenen kontrollerin göz önünde bulundurulmasını içerir. Hilenin özellikleri sebebiyle, hile kaynaklı “önemli yanlışlık” risklerinin değerlendirilmesinde mesleki şüphecilik özel bir öneme sahiptir.

A19. 17 no’lu dipnot değişmiştir:

“BDS 315, 14(a) ve 24(a)(ii) paragrafları 6(a) ve 23 üncü paragraflar ve BDS 610, “İç Denetçi Çalışmalarının Kullanılması””

A20. Üst yönetimden sorumlu olanlar işletmenin; riskin izlenmesine, finansal kontrole ve mevzuata uyulmasına yönelik sistemlerinin gözetimini yapar. Gelişmiş kurumsal yönetim uygulamalarına sahip birçok ülkede üst yönetimden sorumlu olanlar, hile risklerine ve bu tür riskleri ele alan kontrollere ilgili iç kontrole ilişkin işletme tarafından yapılan değerlendirmenin gözetiminde aktif bir rol oynar. Üst yönetimden sorumlu olanlar ile yönetimin sorumlulukları ülkelere ve işletmelere göre değişebileceğinden, denetçinin yapılan gözetim faaliyetlerini anlayabilmesi için bu kişilerin sorumluluklarını anlaması önemlidir.

A21. Üst yönetimden sorumlu olanlar tarafından yapılan gözetimin anlaşılması; işletmenin yönetim hilesine açıklığı, hile risklerini ele alan kontrollerinrisklerine karşı iç kontrolün yeterliliği ve yönetimin yetkinliği ile dürüstlüğü hakkında bir anlayış sağlayabilir. Denetçi bu tür konuların müzakere edildiği toplantılara katılmak, bu toplantıların tutanaklarını okumak veya üst yönetimden sorumlu olanları sorgulamak gibi çeşitli yollarla bu konuları anlayabilir.

A23. Analitik prosedürlerinin uygulanmasıyla elde edilen bilgilere ek olarak, işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında elde edilen diğer bilgiler de hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesinde faydalı olabilir. Denetim ekibi üyeleri arasında yapılan müzakereler, bu tür risklerin belirlenmesine yardımcı olan bilgiler sağlayabilir. Ayrıca, denetçi tarafından müşteri ilişkisinin kabulü ve devam ettirilmesi süreçlerinden elde edilen bilgiler ile işletmede yapılan diğer denetimlerden, örneğin ara dönem finansal bilgilerin sınırlı bağımsız denetiminden elde edilen deneyim, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesinde faydalı olabilir.

A26. Ek 1’de, hileli finansal raporlama ve varlıkların kötüye kullanılmasıyla ilgili hile riski faktörlerine ilişkin örnekler verilmiştir. Bu risk faktörlerine ilişkin örnekler, genellikle hilenin bulunduğu durumlarda mevcut olan üç şart esas alınarak sınıflandırılmıştır:

• Hile yapmaya yönelik teşvik veya baskı,

• Hile yapmak için algılanan bir fırsat ve,

• Hileli eylemi rasyonelleştirme kabiliyeti.

Hile riski faktörleri: kontroller dikkate alınmadan önce, yanlışlığa açıklığa neden olan şartlardan kaynaklanan teşvik, baskı veya fırsatlarla ilgili olabilir. Yönetimin kasıtlı taraflılığını da içeren hile riski faktörleri, yapısal riski etkiledikleri ölçüde yapısal risk faktörleridir.⁸⁶ Hile riski faktörleri: hile yapma fırsatı oluşturan veya yönetimin hileli eylemleri rasyonelleştirmeye ilişkin tutum veya kabiliyetini etkileyen, işletmenin iç kontrol sistemi içerisindeki şartlarla da ilgili olabilir. Hileli eylemin rasyonelleştirilmesine izin veren bir tutum yansıtan hile riskirisk faktörleri, denetçi tarafından kolayca gözlemlenemeyebilir. Bununla birlikte denetçi, örneğin, işletmenin kontrol çevresine ilişkin kanaat edinme yükümlülüğü vasıtasıyla⁸⁷, böyle bir bilginin varlığının farkına varabilir. Ek 1’de tanımlanan hile riski faktörleri, denetçilerin karşılaşabilecekleri durumların çoğunu kapsamakla birlikte sadece örnek niteliğinde olup, başka risk faktörleri de bulunabilir.

A33. Bu sebeple denetçinin, yönetimin hileyi önlemek ve tespit etmek için tasarladığı, uyguladığı ve sürdürdüğü kontrolleri anlaması önemlidir. Hile kaynaklı “önemli yanlışlık” risklerini ele alan kontrolleri belirlerken denetçiDenetçi bu şekilde, örneğin yönetimin görevlerin ayrılığı ilkesinin uygulanmamasıyla bağlantılı olan riskleri kabul etmeyi, bilerek seçtiğini öğrenebilir. Bu kontrollerin belirlenmesi, tasarımlarının değerlendirilmesi ve uygulanıp uygulanmadıklarına karar verilmesiKontrollerin anlaşılması sırasında elde edilen bilgi denetçinin, finansal tablolarda hile kaynaklı önemli yanlışlık bulunması risklerine ilişkin değerlendirmesini etkileyebilecek hile riski faktörlerini belirlemesinde faydalı olabilir.

A43. Ayrıca otomatik süreç ve kontroller, dikkatsizlikten kaynaklanan hata riskini azaltsa da, kişilerin bu tür süreçleri (örneğin, otomatik olarak defteri kebire veya finansal raporlama sistemine aktarılan tutarları değiştirerek) ihlal etmesi riskini ortadan kaldırmaz. Bu sebeple denetçinin, yevmiye kayıtları üzerindeki kontrollerin⁸⁸ ihlaliyle bağlantılı “önemli yanlışlık” risklerini dikkate alması önemlidir. Bununla birlikte, bilgilerin otomatik olarak transfer edilmesi için BT’nin kullanıldığı yerlerde, kişiler tarafından bilgi sistemlerine yapılacak bu tür bir müdahalenin görünürde çok az kanıtı olabilir veya hiçbir kanıtı olmayabilir.

A44. Test etmek amacıyla yevmiye kayıtlarının ve diğer düzeltmelerin belirlenmesi ve seçilmesi ile seçilen kalemlere dayanak oluşturan belgelerin incelenmesi hususunda uygun bir yönteme karar verilirken aşağıdaki konular dikkate alınır:

• Hile kaynaklı “önemli yanlışlık" risklerinin belirlenmesi ve değerlendirilmesi: Hile riski faktörlerinin varlığı ve hile kaynaklı “önemli yanlışlık” risklerinin denetçi tarafından belirlenmesi ve değerlendirilmesi sırasında elde edilen diğer bilgiler, test edilecek belirli yevmiye kaydı sınıflarının ve diğer düzeltmelerin belirlenmesinde denetçiye yardımcı olur.

• Yevmiye kayıtları ve diğer düzeltmeler üzerinde uygulanan kontroller. Yevmiye kayıtlarının ve diğer düzeltmelerin hazırlanmasında ve kayda geçirilmesinde etkin kontrollerin uygulanması, denetçinin bu kontrollerin işleyiş etkinliğini test etmesi kaydıyla, zorunlu olan maddi doğrulama testlerinin kapsamını daraltabilir.

• İşletmenin finansal raporlama süreci ve elde edilebilecek kanıtların niteliği: İşletmelerin çoğunda işlemlerin rutin olarak işlenmesi süreci, manuel ve otomatik kontrollerinadımların ve prosedürlerin bir bileşimini içerir. Benzer şekilde, yevmiye kayıtlarının ve diğer düzeltmelerin işlenmesi süreci de manuel ve otomatik prosedürlerin vekontrollerin ikisini de içerebilir. Finansal raporlama sürecinde BT’nin kullanıldığı hâllerde, yevmiye kayıtları ve diğer düzeltmeler sadece elektronik ortamda mevcut olabilir.

• Hileli yevmiye kayıtları veya diğer düzeltmelerin ayırt edici özellikleri: Uygun olmayan yevmiye kayıtları veya diğer düzeltmeler, genellikle kendilerine özgü ayırt edici özelliklere sahiptir. Bu özellikler arasında kayıtların (a) ilişkili olmayan, olağan dışı veya nadiren kullanılan hesaplar aracılığıyla yapılması, (b) genellikle yevmiye kayıtları yapmayan kişiler tarafından yapılması, (c) dönem sonunda veya çok az açıklama veya bilgi içeren ya da hiç bilgi içermeyen kapanış sonrası kayıtlar şeklinde yapılması, (ç) finansal tabloların hazırlanmasından önce veya bu tabloların hazırlanması sırasında belirli bir kodu olmayan hesaplara kaydedilmeleri veya (d) yuvarlanmış rakamlar veya sonları aynı biten ya da belirli bir kalıp taşıyan sayılar içermesi gibi hususlar yer alır.

• Hesapların niteliği ve karmaşıklığı: Uygun olmayan yevmiye kayıtları veya düzeltmeler (a) yapısı gereği karmaşık veya olağan dışı işlemler içeren, (b) önemli tahminler ve dönem sonu düzeltmeleri içeren, (c) geçmişten beri yanlışlıklara açık olan, (ç) mutabakat sağlanmamış farklılıklar içeren veya zamanında mutabakat sağlanmamış olan, (d) topluluğa bağlı birimler veya bir işletmenin kendi bölümleri arasındaki işlemleri içeren veya (e) belirlenmiş hile kaynaklı “önemli yanlışlık” riskleriyle başka bir şekilde bağlantılı olan hesaplarda yapılabilir. Birden fazla yerde faaliyet gösteren veya topluluğa bağlı birimleri bulunan işletmelerin denetiminde, yevmiye kayıtlarının birden fazla faaliyet yerinden seçilmesine dikkat edilir.

• Olağan iş akışı dışında yapılan yevmiye kayıtları veya diğer düzeltmeler. Standart olmayan yevmiye kayıtları; aylık satışlar, satın alımlar ve nakit ödemeler gibi yinelenen işlemleri kaydetmek için kullanılan yevmiye kayıtlarınınkiyle aynı nitelik ve kapsamdaki kontollerekayıtlarıyla aynı düzeyde iç kontrole tabi tutulmayabilir.

Ek 1

Hile Riski Faktörlerine İlişkin Örnekler

Bu Ek’te yer alan hile riski faktörleri, denetçilerin farklı durumlarda karşılaşabileceği faktörlere örnek olarak verilmiştir. Denetçinin, denetim sırasında dikkate aldığı iki tür hile bulunur: Hileli finansal raporlama ve varlıkların kötüye kullanılması. Bunlara ilişkin örnekler ayrı ayrı sunulmuştur. Bu iki hile türünün her biri için risk faktörleri, hile kaynaklı önemli yanlışlıklar ortaya çıktığında genellikle mevcut bulunan üç şart esas alınarak ilave alt sınıflara ayrılmıştır: (a) Teşvikler/Baskılar, (b) Fırsatlar ve (c) Tutumlar/Rasyonelleştirmeler. Aşağıda yer alan risk faktörleri çok farklı durumları kapsamakla birlikte, sadece örnek niteliğindedir ve bu sebeple denetçi, ilave veya daha farklı risk faktörleri belirleyebilir. Örneklerin tamamı her durumda geçerli olmayıp, farklı büyüklüğe, ortaklık yapısına veya şartlara sahip işletmelerde bunların önem düzeyi değişebilir. Ayrıca, risk faktörlerine ilişkin örneklerin sıralaması, önem derecelerini veya meydana gelme sıklıklarını yansıtmaz.

Hile riski faktörleri: kontroller dikkate alınmadan önce, yanlışlığa açıklığa neden olan şartlardan kaynaklanan teşvik, baskı veya fırsatlarla (diğer bir ifadeyle, yapısal risk) ilgili olabilir. Hile riski faktörleri, yapısal riski etkiledikleri ölçüde yapısal risk faktörleridir ve yönetimin taraflılığından kaynaklanıyor olabilirler. Fırsatlarla ilgili hile riski faktörleri, belirlenen diğer yapısal risk faktörlerinden de kaynaklanıyor olabilir (örneğin, karmaşıklık veya belirsizlik, hile kaynaklı önemli yanlışlığa açıklığa neden olan fırsatlar oluşturabilir). Fırsatlarla ilgili hile riski faktörleri, işletmenin iç kontrolünde bulunan ve bu tür fırsatları oluşturan kısıtlamalar ve eksiklikler gibi, işletmenin iç kontrol sistemi içerisindeki şartlarla da ilgili olabilir. Tutum veya rasyonelleştirmelerle ilgili hile riski faktörleri, özellikle işletmenin kontrol çevresindeki kısıtlama veya eksikliklerden kaynaklanıyor olabilir.

Hileli Finansal Raporlamadan Kaynaklanan Yanlışlıklara İlişkin Risk Faktörleri

Aşağıda, hileli finansal raporlamadan kaynaklanan yanlışlıklara ilişkin risk faktörlerine örnekler verilmiştir.

Fırsatlar

Aşağıdaki durumlardan kaynaklanan iç kontrol eksiklikleri: İç kontrol bileşenlerinin aşağıda belirtilen durumlar sebebiyle yetersiz olması:

• Otomatik kontroller ve ara dönem finansal raporlama üzerindeki kontroller (dış raporlamanın gerekli olduğu yerlerde) dâhil işletmenin iç kontrol sistemini izleme sürecinin yeterli olmaması, kontrollere yönelik yetersiz izleme.

• Muhasebe, iç denetim veya BT’de verimsiz personelin istihdamı veya bu kişilerin işten ayrılma oranının yüksek olması.

• Önemli iç kontrol eksikliklerini içeren durumlar dâhil, etkin olmayan muhasebe ve bilgi sistemlerinin bulunması.

Varlıkların Kötüye Kullanılmasından Kaynaklanan Yanlışlıklara İlişkin Risk Faktörleri

Fırsatlar

Varlıklar üzerinde yetersiz kontrolleriniç kontrolün bulunması, söz konusu varlıkların kötüye kullanıma açıklığını arttırır. Örneğin, varlıkların kötüye kullanılması aşağıdaki hususların varlığından kaynaklanabilir:

Tutumlar/Rasyonelleştirmeler

• Varlıkların kötüye kullanılmasına ilişkin risklerin izlenmesine veya azaltılmasına olan ihtiyacın göz ardı edilmesi.

• Mevcut kontrollerin ihlal edilmesi veya bilinen iç kontrol eksiklikleri için uygun düzeltici adımların atılmaması suretiyle, varlıkların kötüye kullanımı üzerindeki kontrolleriniç kontrolün göz ardı edilmesi.

BDS 250 FİNANSAL TABLOLARIN BAĞIMSIZ DENETİMİNDE MEVZUATIN DİKKATE ALINMASI

Açıklayıcı Hükümler ve Uygulama

Tespit Edilen veya Şüphelenilen Aykırılıkların Etkilerinin Değerlendirilmesi (Bkz.: 22 nci paragraf)

A23. 22 nci paragraf uyarınca denetçi, yazılı beyanların güvenilirliği ile yaptığı risk değerlendirmesi dâhil, tespit edilen veya şüphelenilen aykırılıkların denetimin diğer alanları üzerindeki etkilerini değerlendirir. Tespit edilen veya şüphelenilen belirli aykırılıkların etkileri aşağıdakilere bağlıdır:

• Fiilin gerçekleştirilmesinin ve gizlenmesinin -varsa- belirli kontrollerlekontrol faaliyetleriyle olan ilişkisi ve

• Fiile karışan yönetim veya işletme için ya da işletme yönetimi altında çalışan kişilerin bulunduğu kademe (özellikle işletmede en yüksek yetkiye sahip olanların karışmasından kaynaklanan etkiler için).

9 uncu paragrafta belirtildiği üzere, denetçinin mevzuata ve etik hükümlere uyumu, denetçinin 22 nci paragrafta belirtilen sorumluluklarıyla ilgili ilave bilgiler sağlayabilir.

BDS 260 ÜST YÖNETİMDEN SORUMLU OLANLARLA KURULACAK İLETİŞİM

Açıklayıcı Hükümler ve Uygulama

A12. Denetçi tarafından belirlenen ciddi risklerin bildirilmesi, bu hususların ve ciddi risk olarak belirlenme sebeplerinindenetimde bu hususlara neden özellikle dikkat edilmesi gerektiğinin üst yönetimden sorumlu olanlar tarafından anlaşılmasına yardımcı olur. Ciddi riskler hakkında yapılan bu bildirim, finansal raporlama sürecinin gözetimine ilişkin sorumluluğunu yerine getirmesinde üst yönetimden sorumlu olanlara kolaylık sağlayabilir.

A13. Bildirilecek hususlar aşağıdakileri içerebilir:

• Denetçinin finansal tablolarda hata veya hile kaynaklı ciddi “önemli yanlışlık” risklerini nasıl ele almayı planladığı.

• Daha yüksek “önemli yanlışlık” riski içerdiğini değerlendirdiği alanları, denetçinin nasıl ele almayı planladığı.

• Denetçinin işletmenin iş kontrol sisteminedenetimle ilgili iç kontrole ilişkin yaklaşımı.

BDS 265 İÇ KONTROL EKSİKLİKLERİNİN ÜST YÖNETİMDEN SORUMLU OLANLARA VE YÖNETİME BİLDİRİLMESİ

Giriş

Kapsam

1. Bu Bağımsız Denetim Standardı (BDS), denetçinin finansal tabloların denetimi sırasında tespit ettiği iç kontrol eksikliklerini uygun bir biçimde üst yönetimden sorumlu olanlara ve yönetime bildirmesine yönelik sorumluluğunu düzenler. Bu BDS denetçiye, işletmenin iç kontrol sisteminin kontrolün anlaşılması ve kontrol testlerinin tasarlanması ve uygulanması bakımından, BDS 315 ve BDS 330 hükümlerinde yer alan sorumluluklara ilâve sorumluluklar yüklemez. BDS 260’da denetçinin denetimle ilgili olarak üst yönetimden sorumlu olanlarla iletişim kurma sorumluluğuna ilişkin ilâve düzenlemeler yer almaktadır.

2. “Önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi sırasında denetçinin işletmenin denetimle ilgili iç kontrol sistemini kontrolü anlaması gerekir. Denetçi söz konusu risk değerlendirmelerini yaparken; işletmenin iç kontrol sistemini iç kontrolü - iç kontrolün etkinliği hakkında bir görüş vermek amacıyla değil- içinde bulunulan şartlar altında uygun olan denetim prosedürlerini tasarlamak amacıyla dikkate alır. Denetçi iç kontroldeki kontrol eksikliklerini sadece risk değerlendirme sürecinde değil, denetimin diğer aşamalarında da tespit edebilir. Bu BDS, tespit edilen eksikliklerin hangilerinin denetçi tarafından üst yönetimden sorumlu olanlara ve yönetime bildirilmesi gerektiğini belirler.

Açıklayıcı Hükümler ve Uygulama

Küçük İşletmelere Özgü Hususlar

A3. Küçük işletmelerde kontrol faaliyetleri bileşenindeki kontrollerin faaliyetlerinin temelini oluşturan kavramların büyük işletmelerdekilere benzemesi muhtemel olsa da bu kontrol faaliyetlerinin işleyiş şekli farklılık gösterir. Ayrıca küçük işletmelerde, yönetim tarafından gerçekleştirilen kontroller nedeniyle, belirli kontrol faaliyeti türlerinin gerekli olmadığına karar verilebilir. Örneğin, müşterilere vadeli satış kararlarında ve önemli satın almaları onaylamada yönetimin tek yetkili olması, önemli hesap bakiyeleri ve işlemler üzerinde etkin kontrol sağlayabilir. Söz konusu durum, daha detaylı kontrollere olan ihtiyacı kontrol faaliyetleri ihtiyacını azaltabilir veya ortadan kaldırabilir.

A8. Kontroller tek tek veya birlikte, etkin bir şekilde yanlışlıkları önlemek veya tespit edip düzeltmek üzere tasarlanabilir. Örneğin ticari alacaklar hesabına ilişkin kontroller, hesap bakiyesindeki yanlışlıkları önlemek veya tespit edip düzeltmek amacıyla birlikte uygulanmak üzere tasarlanan manuel ve otomatik kontrollerin her ikisinden oluşabilir. Bir iç kontrol eksikliği tek başına önemli bir eksiklik teşkil edecek öneme sahip olmayabilir. Ancak aynı hesap bakiyesini veya açıklamayı, ilgili yönetim beyanını veya işletmenin iç kontrol sistemi bileşenini etkileyen eksiklikler, bir bütün olarak önemli eksikliğe neden olduğu ölçüde, yanlışlık risklerini artırabilir.

BDS 300 FİNANSAL TABLOLARIN BAĞIMSIZ DENETİMİNİN PLANLANMASI

...

Açıklayıcı Hükümler ve Uygulama

...

Küçük İşletmelere Özgü Hususlar

A21. A11 paragrafında belirtildiği üzere, uygun bir bilgi notu özeti, küçük bir işletmenin denetiminde belgelendirilmiş denetim stratejisi olarak işlev görebilir. Küçük işletmelerde muhtemel olduğu gibi, ilgili birkaç kontrolün⁸⁹ kontrol faaliyetinin bulunduğu varsayımıyla oluşturulan standart denetim programları veya kontrol listeleri (Bkz.: A17 paragrafı), denetçinin risk değerlendirmeleri dâhil denetimin şartlarına göre biçimlendirilmiş olması kaydıyla, denetim planı olarak kullanılabilir.

⁸⁹ BDS 315, 26(a) paragrafı

BDS 330 BAĞIMSIZ DENETÇİNİN RİSK OLARAK DEĞERLENDİRİLMİŞ HUSUSLARA KARŞI YAPACAĞI İŞLER

Giriş

Kapsam

1. 1 no ’lu dipnot değişmiştir:

“1 BDS 315, “İşletme ve Çevresini Tanımak Suretiyle ‘Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”

Yönetim Beyanı Düzeyinde “Önemli Yanlışlık” Riski Olarak Değerlendirilen Risklere Karşı Uygulanan Denetim Prosedürleri

6. Denetçi; niteliği, zamanlaması ve kapsamı, yönetim beyanı düzeyinde “önemli yanlışlık” riski olarak değerlendirilen riskleri esas alan ve söz konusu risklere karşılık veren müteakip denetim prosedürlerini tasarlar ve uygular (Bkz.: A4-A8 ve A42-A52 paragrafları).

7. Denetçi uygulanacak müteakip denetim prosedürlerini tasarlarken:

(a) Her bir önemli işlem sınıfı, hesap bakiyesi ve açıklama için yönetim beyanı düzeyindeki “önemli yanlışlık” riskine ilişkin değerlendirmenin aşağıdakileri de içeren gerekçelerini dikkate alır:

(i) Önemli İlgili işlem sınıfı, hesap bakiyesi veya açıklamanın belirli özellikleri sebebiyle önemli yanlışlık bulunması ihtimali ve yanlışlığın büyüklüğü (yapısal risk) ve

(ii) Risk değerlendirmesinin “önemli yanlışlık” risklerini ele alan ilgili kontrolleri dikkate alıp almadığı (kontrol riski); dolayısıyla, kontrollerin etkin biçimde işleyip işlemediğine karar vermek amacıyla denetçinin denetim kanıtı elde etmesinin gerekip gerekmediği (denetçi, maddi doğrulama prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlerken kontrollerin işleyiş etkinliğini test etmeyi planlayabilir etkinliğine güvenmek isteyebilir) (Bkz.: A9-A18 paragrafları).

(b) Yaptığı risk değerlendirmesi sonucunda belirlediği risk düzeyi ne kadar yüksekse, o kadar fazla ikna edici denetim kanıtı elde eder.

(Bkz.: A19 paragrafı)

Kontrol Testleri

8. Denetçi aşağıdaki durumlarda, ilgili kontrollerin işleyiş etkinliklerine ilişkin yeterli ve uygun denetim kanıtı elde etmek amacıyla kontrol testlerini tasarlar ve uygular:

(a) Denetçinin yönetim beyanı düzeyinde ortaya çıkan “önemli yanlışlık” risklerine ilişkin yaptığı değerlendirme, kontrollerin etkin bir şekilde işlediğine dair bir beklenti içeriyorsa (denetçi, maddi doğrulama prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlerken kontrollerin işleyiş etkinliğini test etmeyi planlıyorsa) veya etkin bir şekilde işlediğine güvenmek istiyorsa) veya

(b) Maddi doğrulama prosedürleri, tek başlarına, yönetim beyanına ilişkin yeterli ve uygun denetim kanıtı sağlayamıyorsa.

(Bkz.: A20-A24 paragrafları)

Kontrol Testlerinin Niteliği ve Kapsamı

10. Denetçi kontrol testlerini tasarlarken ve uygularken:

(a) Aşağıdakiler de dâhil kontrollerin işleyiş etkinliğine ilişkin denetim kanıtı elde etmek için sorgulamayla birlikte diğer denetim prosedürlerini uygular:

(i) Denetlenen dönem boyunca kontrollerin ilgili zamanlarda nasıl uygulandığı,

(ii) Kontrollerin uygulanmasındaki tutarlılık ve

(iii) Kontrollerin kimler tarafından veya hangi araçlar kullanılarak uygulandığı. (Bkz.: A26-A29a paragrafları)

(b) Henüz ele alınmamış ölçüde, test Test edilecek kontrollerin diğer kontrollere (dolaylı kontrollere) bağlı olup olmadığına, diğer kontrollere bağlı olması durumunda ise, söz konusu dolaylı kontrollerin etkin şekilde işlediklerini destekleyen denetim kanıtı elde etmenin gerekip gerekmediğine karar verir (Bkz.: A30-A31 paragrafları).

Önceki denetimlerden elde edilen denetim kanıtlarının kullanılması

13. Denetçi, kontrollerin işleyiş etkinliği hakkında önceki denetimlerden elde edilen denetim kanıtlarını kullanmanın uygun olup olmadığına ve uygun olması durumunda, bir kontrolü yeniden test etmesi için ne kadar süre geçmesi gerektiğine karar verirken aşağıdakileri mütalaa eder:

(a) Kontrol çevresi, işletmenin iç kontrol sistemini izleme süreci işletmedeki kontrollerin izlenmesi ve işletmenin risk değerlendirme süreci dâhil, işletmenin iç kontrol sisteminin bileşenlerinin iç kontrolün diğer unsurlarının etkinliği.

(b) ...

14. Denetçi; belirli kontrollerin işleyiş etkinliğine ilişkin önceki denetimlerden elde edilen denetim kanıtlarını kullanmayı planlarsa, bir önceki denetimden itibaren bu kontrollerde önemli değişiklikler meydana gelip gelmediği hakkında denetim kanıtı elde ederek, önceki denetime ait denetim kanıtlarının ihtiyaca uygunluğunun ve güvenilirliğinin devam ettiğine karar verir. Denetçi, söz konusu belirli kontrollere ilişkin anlayışını doğrulamak amacıyla, sorgulamayla birlikte gözlem veya tetkik yaparak bu kanıtları elde eder ve:

Ciddi risklere yönelik kontroller

15. Denetçi, ciddi risk olduğuna karar verdiği bir riske yönelik kontrollere güvenmek istiyorsa güvenmeyi planlıyorsa, bu kontrolleri cari dönemde test eder.

Kontrollerin İşleyiş Etkinliğinin Değerlendirilmesi

16. Denetçi, güvenmek istediği ilgili kontrollerin işleyiş etkinliğini değerlendirirken, maddi doğrulama prosedürleri aracılığıyla tespit edilen yanlışlıkların, kontrollerin etkin şekilde işlemediğine işaret edip etmediği konusunda değerlendirme yapar. Ancak maddi doğrulama prosedürleri sonucunda yanlışlık tespit edilmemiş olması, test edilen yönetim beyanlarına ilişkin kontrollerin, etkin olduğuna dair denetim kanıtı sağlamaz (Bkz.: A40 paragrafı).

17. Güvenmeyi düşündüğü kontrollerde sapmalar tespit etmesi hâlinde denetçi, bu hususları ve muhtemel sonuçlarını anlamak üzere özel sorgulamalar yapar ve (Bkz.: A41 paragrafı):

(a) Uygulanan kontrol testlerinin kontrollere güven duyulması için uygun bir dayanak teşkil edip etmediğine,

(b) İlâve kontrol testlerinin gerekip gerekmediğine veya

(c) Maddi doğrulama prosedürlerini kullanmak suretiyle muhtemel “önemli yanlışlık” risklerine karşılık vermenin gerekip gerekmediğine,

karar verir.

27. Denetçi, bir işlem sınıfı, hesap bakiyesi veya açıklamaya finansal tablolara ilişkin ihtiyaca uygun önemli yönetim beyanlarına dair yeterli ve uygun denetim kanıtı elde edememiş ise, daha fazla denetim kanıtı elde etmeye çalışır. Denetçi, yeterli ve uygun denetim kanıtı elde edemiyor ise, sınırlı olumlu görüş (şartlı görüş) verir veya söz konusu finansal tablolar hakkında görüş vermekten kaçınır.

Açıklayıcı Hükümler ve Uygulama Yapılacak Genel İşler (Bkz.: 5 inci paragraf)

A1. Finansal tablo düzeyinde “önemli yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak genel işler aşağıdakileri içerebilir:

• Denetim ekibine mesleki şüpheciliği korumanın gerekliliğinin belirtilmesi.

• Daha deneyimli personelin veya özel becerilere sahip kişilerin görevlendirilmesi veya uzmanların kullanılması.

• Denetim ekibi üyelerinin yönlendirme ve gözetiminin niteliği, zamanlaması ve kapsamında yapılan değişiklikler ve yapılan işin gözden geçirilmesi.

• Daha fazla yönlendirme ve gözetim yapılması.

• Uygulanacak müteakip denetim prosedürlerinin seçimine daha fazla öngörülemezlik unsurlarının dâhil edilmesi.

• BDS 300’ün zorunlu kıldığı üzere genel denetim stratejisinde veya planlanan denetim prosedürlerinde yapılan değişiklikler ile aşağıdaki hususlarda yapılan değişiklikleri içerir:

o BDS 320 uyarınca denetçinin performans önemliliğine ilişkin belirlemesi.

o Özellikle kontrol çevresindeki veya işletmenin izleme faaliyetlerindeki eksikliklerin belirlendiği durumlarda, denetçinin kontrollerin işleyiş etkinliğini test etme planları ve kontrollerin işleyiş etkinliğine ilişkin planlanan güveni desteklemek için gereken denetim kanıtlarının ikna ediciliği.

o Maddi doğrulama prosedürlerinin niteliği, zamanlaması ve kapsamı. Örneğin, “önemli yanlışlık” riskinin daha yüksek değerlendirildiği durumlarda maddi doğrulama prosedürlerinin finansal tablo tarihinde veya buna yakın bir tarihte uygulanması uygun olabilir.

• Denetim prosedürlerinin niteliği, zamanlaması ve kapsamıyla ilgili genel değişiklikler yapılması. Örneğin, maddi doğrulama prosedürlerinin ara dönem yerine dönem sonunda uygulanması veya daha ikna edici denetim kanıtları elde etmek amacıyla denetim prosedürlerinin niteliğinin değiştirilmesi.

Müteakip Denetim Prosedürlerinin Niteliği, Zamanlaması ve Kapsamı (Bkz.: 6 ncı paragraf)

A4. Yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” risklerine risklere ilişkin denetçinin yapacağı değerlendirme, müteakip denetim prosedürlerinin tasarlanması ve uygulanması açısından denetçinin uygun bir denetim yaklaşımı belirlemesine dayanak oluşturur. Örneğin, denetçi aşağıdakilere karar verebilir:

(a) Denetçi sadece kontrol testlerini uygulayarak, belirli bir yönetim beyanına ilişkin “önemli yanlışlık” riski olarak değerlendirilen bir riske etkin bir karşılık verebilir.

(b) Denetçi belirli yönetim beyanları için yalnızca maddi doğrulama prosedürleri uygulamanın uygun olduğuna karar verebilir ve bu sebeple kontrollerin etkisini ilgili risk değerlendirmesi kapsamından çıkartır. Bu durumun sebebi, denetçinin uyguladığı risk değerlendirme prosedürlerinin, ilgili yönetim beyanına ilişkin herhangi bir etkin kontrol belirlememiş olması veya kontrollerin test edilmesinin verimsiz olabilmesi ve bu sebeple de denetçinin, maddi doğrulama prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlerken kontrollerin işleyiş etkinliğine güvenmek istememesidir. Denetçi belirli yönetim beyanları için yalnızca maddi doğrulama prosedürleri uygulamanın uygun olduğuna karar verebilir ve bu sebeple kontrollerin etkisini “önemli yanlışlık” risklerine ilişkin değerlendirmesinin kapsamından çıkartır. Bu durumun sebebi, denetçinin maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı bir risk belirlememiş olması ve dolayısıyla kontrollerin işleyiş etkinliğini test etmek zorunda olmaması olabilir. Bu sebeple denetçi, maddi doğrulama prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlerken kontrollerin işleyiş etkinliğini test etmeyi planlamayabilir.

(c) Hem kontrol testlerini hem de maddi doğrulama prosedürlerini kullanan karma yaklaşım, etkin bir yaklaşımdır.

“Önemli yanlışlık” risklerine ilişkin değerlendirmenin kabul edilebilir düşük bir seviyenin altında olduğu durumlarda denetçi, müteakip denetim prosedürlerini tasarlama ve uygulama ihtiyacı duymaz. Ancak, 18 inci paragrafta belirtildiği üzere, seçilen yaklaşıma ve “önemli yanlışlık” riski olarak değerlendirilen riske bakılmaksızın denetçi, önemli her bir işlem sınıfı, hesap bakiyesi ve açıklama için maddi doğrulama prosedürleri tasarlar ve uygular.

A7. Denetim prosedürünün kapsamı, uygulanacak prosedürlerin miktarını (örneğin örneklem büyüklüğü veya bir kontrole kontrol faaliyetine ilişkin gözlem sayısını) ifade eder.

A9. BDS 315, denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesini, yapısal riski ve kontrol riskini değerlendirerek yapmasını zorunlu kılar. Denetçi yapısal riski, yanlışlığın olasılığını ve büyüklüğünü ve yapısal risklerinin, ilgili yönetim beyanlarının yanlışlığa olan açıklığını nasıl ve ne derece etkilediğini dikkate alarak değerlendirir⁹⁰. Denetçi tarafından risk olarak değerlendirilen hususlar - bu şekilde değerlendirilen risklerin nedenleri dâhil- hem uygulanacak denetim prosedürlerinin türünü hem de bu prosedürlerin kombinasyonunu etkileyebilir. Örneğin, değerlendirilmiş risk yüksek ise denetçi, belgeyi tetkik etmenin yanı sıra sözleşme şartlarının tamlığını karşı taraftan teyit edebilir. Hatta belirli yönetim beyanları için bazı denetim prosedürleri diğer denetim prosedürlerinden daha uygun olabilir. Örneğin, hâsılata ilişkin olarak; tamlıkla ilgili yönetim beyanı açısından “önemli yanlışlık” riski olarak değerlendirilen riske karşı yapılabilecek en iyi iş kontrol testleri olabilirken, gerçekleşmeyle ilgili yönetim beyanı açısından “önemli yanlışlık” riski olarak değerlendirilen riske karşı yapılabilecek en iyi iş maddi doğrulama testleri olabilir.

A10. Bir risk için yapılan değerlendirmenin gerekçeleri, denetim prosedürlerinin niteliğinin belirlenmesiyle ilgilidir. Örneğin, ilgili kontrolleri dikkate almadan bir işlem sınıfının belirli özelliklerinden dolayı daha önce risk olarak değerlendirilmiş riskin düşük olması durumunda denetçi, analitik maddi doğrulama prosedürlerinin tek başına yeterli ve uygun bir denetim kanıtı sağladığına karar verebilir. Diğer taraftan, denetçinin kontrollerin işleyiş etkinliğini test etmeyi planlaması iç kontroller sebebiyle riski düşük olarak değerlendirilmesi ve maddi doğrulama prosedürlerini bu değerlendirmeye dayandırmak istemesi durumunda denetçi, 8(a) paragrafı uyarınca, söz konusu kontrollere yönelik kontrol testlerini yapar. Bu durum örneğin, işletmenin bilgi sistemi tarafından rutin olarak işlenen ve kontrol edilen, makul ölçülerde tekdüze olan ve karmaşık olmayan özelliklere sahip bir işlem sınıfı için söz konusu olabilir.

Küçük işletmelere özgü hususlar

A18. Küçük işletmelerde, denetçi tarafından belirlenebilecek çok sayıda kontrol faaliyeti olmayabilir veya kontrollerin mevcudiyetine veya işleyişine ilişkin işletme tarafından yapılan belgelendirmenin kapsamı sınırlı ve az olabilir. Bu tür durumlarda denetçinin ağırlıklı olarak maddi doğrulama prosedürlerinden oluşan müteakip denetim prosedürlerini uygulaması daha etkili olabilir. Ancak bazı istisnai durumlarda, kontrollerin veya iç kontrol sistemi faaliyetlerinin veya diğer kontrol bileşenlerinin bulunmaması, yeterli ve uygun denetim kanıtının elde edilmesini imkânsız hâle getirebilir.

Kontrol Testleri

Kontrol Testlerinin Tasarlanması ve Uygulanması (Bkz.: 8 inci paragraf)

A20. Kontrol testleri yalnızca, denetçinin, ihtivaca uygun bir yönetim beyanındaki önemli bir yanlışlığı önlemek veya tespit edip düzeltmek için doğru biçimde tasarlandığını belirlediği kontroller üzerinde uygulanır ve denetçi bu kontrolleri test etmeyi planlar. Denetim yapılan dönemde farklı zamanlarda, birbirlerinden oldukça farklı kontrollerin kullanılmış olması durumunda bu kontrollerin her biri ayrı ayrı değerlendirilir.

A24. Bazı durumlarda denetçi, tek başlarına yönetim beyanı düzeyinde yeterli ve uygun denetim kanıtı sağlayabilecek etkin maddi doğrulama prosedürleri tasarlamanın mümkün olmadığını düşünebilir.⁹¹ Böyle bir durum, işletmenin faaliyetlerini BT kullanarak yürütmesi ve BT sistemi ortamı dışında, işlemlere dair hiçbir belgenin üretilmemesi veya saklanmaması durumunda söz konusu olabilir. Bu tür durumlarda denetçi, 8(b) paragrafına göre maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı riski ele alan ilgili kontrollere ilişkin testler uygular.

A27. Belirli bir kontrolün niteliği, kontrolün etkin şekilde işleyip işlemediği hakkında denetim kanıtı elde etmek için uygulanacak prosedür türünü etkiler. Örneğin, işleyiş etkinliğinin belgeyle kanıtlanması hâlinde, işleyiş etkinliği hakkında denetim kanıtı elde etmek için denetçi, bu belgeyi tetkik etmeye karar verebilir. Ancak diğer kontroller açısından belgelendirme mümkün veya ilgili olmayabilir. Örneğin, kontrol çevresindeki bazı etkenlere (örneğin, yetki ve sorumlulukların dağıtımında olduğu gibi) veya otomatik kontroller gibi bazı kontrollere bazı kontrol faaliyetlerine (örneğin bilgisayar ortamında gerçekleştirilenler de olduğu gibi) yönelik, faaliyetle ilgili herhangi bir belgelendirme bulunmayabilir. Bazı durumlarda, gözlem veya BDDT’lerin kullanımı gibi diğer denetim prosedürleriyle birlikte sorgulama yapmak suretiyle, işleyiş etkinliğine ilişkin denetim kanıtı elde edilebilir.

A29. BT işleyişinin doğasındaki tutarlılık sebebiyle, otomatik bir kontrole ilişkin testin kapsamını genişletmek gerekli olmayabilir. BT uygulaması Program değiştirilmediği sürece (BT uygulamasının programın kullandığı tablolar, dosyalar veya diğer sabit veriler dâhil) otomatik bir kontrolün tutarlı şekilde çalışması beklenebilir. Denetçi, otomatik kontrolün amacına uygun olarak çalıştığına bir kez karar vermesi hâlinde (kontrolün ilk uygulandığı zamanda veya daha sonraki bir tarihte karar verilebilir), kontrolün etkin şekilde çalışmaya devam edip etmediğini belirlemek amacıyla testler yapmayı düşünebilir. Bu tür testler, BT uygulamasıyla ilgili genel BT kontrollerinin test edilmesini içerebilir. Bu testler;

• Programlarda yapılan değişikliklerin, uygun program değişiklik kontrollerine tabi tutulmaksızın yapılmadığının,

• İşlemlerin yürütülmesi için programın onaylı versiyonunun kullanıldığının,

• İlgili diğer genel kontrollerin etkin olduğunun,

belirlenmesini içerebilir.

Ayrıca bu tür testler, programlarda değişikliklerin yapılıp yapılmadığının (işletmenin değiştirilmeden veya bakım yapılmadan kullanılan paket yazılım uygulamalarını kullanması durumunda söz konusu olabileceği gibi) belirlemesini içerebilir. Örneğin denetçi, dönem içinde izinsiz erişim olup olmadığına dair denetim kanıtı elde etmek için BT güvenliğinden sorumlu birimin kayıtlarını tetkik edebilir.

A29a. Benzer şekilde denetçi; işletmenin veri bütünlüğüyle veya işletmenin sistem tarafından üretilen raporlarının tamlığı ve doğruluğuyla ilgili “önemli yanlışlık” risklerini ela alan veya maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı “önemli yanlışlık” risklerini ele alan kontrolleri test edebilir. Bu kontrol testleri, 10(a) paragrafında ver alan konulan ele alan genel BT kontrollerinin test edilmesini içerebilir. Böyle bir durumda, denetçi 10(a) paragrafında ver alan konular hakkında denetim kanıtı elde etmek için müteakip testler uygulama ihtiyacı duymayabilir.

A29b. Genel BT kontrollerinden birinin yetersiz olduğuna karar vermesi durumunda denetçi, “önemli yanlışlık” riski olarak değerlendirilen riskleri ele almak için uygulayacağı ilave prosedürlerin tasarlanmasına dayanak sağlamak amacıyla, BT kullanımından kaynaklanan ve BDS 315⁹²’e uygun olarak belirlenmiş ilgili risk(ler)in niteliğini dikkate alabilir. Söz konusu prosedürler, aşağıdakilerin belirlenmesini ele alabilir:

• BT’den kaynaklanan ilgili risk(ler)in gerçekleşip gerçekleşmediği. Örneğin, kullanıcıların bir BT uygulamasına yetkisiz erişiminin bulunması (ancak erişimi izleyen sistem kayıtlarına (log) erişememesi veya bunları değiştirememesi) durumunda denetçi, söz konusu kullanıcıların dönem boyunca söz konusu BT uygulamasına erişim sağlamadığı konusunda denetim kanıtı elde etmek için sistem kayıtlarını (log) tetkik edebilir.

• BT kullanımından kaynaklanan ilgili risk(ler)i ele alan, birbirinin verine kullanılan veya ihtiyaç fazlası olarak bulunan genel BT kontrollerinin veya başka kontrollerin var olup olmadığı. Böyle bir kontrolün bulunması durumunda denetçi, bu kontrolleri (daha önce belirlenmemişse) belirleyebilir ve böylelikle söz konusu kontrollerin tasarımını değerlendirebilir, uygulandıklarına karar verebilir ve işleyiş etkinliklerini test edebilir. Örneğin, kullanıcı erişimiyle ilgili genel bir BT kontrolünün yetersiz/eksik olması durumunda, işletmenin BT yönetiminin son kullanıcı erişim raporlarını zamanında gözden geçirdiği alternatif bir kontrolü bulunabilir. Bir uygulama kontrolünün BT kullanımından kaynaklanan bir riski ele alabileceği durumlar, genel BT kontrolü yetersizliğinden/eksikliğinden etkilenebilecek bir bilginin: dış kaynaklar (örneğin, banka ekstresi) ya da genel BT kontrolü eksikliğinden etkilenmeyen iç kaynaklar (örneğin, ayrı bir BT uygulaması veya veri kaynağı) aracılığıyla mutabakatının yapılabileceği durumları içerebilir.

Dolaylı kontrollerin test edilmesi (Bkz.: 10(b) paragrafı)

A30. Bazı durumlarda, dolaylı kontrollerin (örneğin, genel BT kontrolleri) etkin şekilde işlediğini destekleyen denetim kanıtı elde etmek gerekebilir. A29-A29b paragraflarında açıklandığı üzere, otomatik kontrollerin işleyiş etkinliğini destekledikleri ya da sistem tarafında üretilen raporlar dâhil, işletmenin finansal raporlamasında kullanılan bilginin bütünlüğünün sürdürülmesini desteklediklerinden dolayı için BDS 315’e uygun olarak genel BT kontrolleri belirlenmiş olabilir. 10(b) paragrafındaki yükümlülük, denetçinin 10(a) paragrafındaki hususları ele almak amacıyla bazı dolaylı kontrolleri daha önce test etmiş olabileceğini kabul etmektedir. Örneğin denetçinin; yetkilendirilmiş kredi limitlerini aşan satışların ayrıntılarını veren sapma raporlarına ilişkin kullanıcı tarafından yapılan gözden geçirmenin etkinliğini test etmeye karar vermesi durumunda, söz konusu gözden geçirme ve ilgili izleme-denetçi-için doğrudan ihtiyaca uygun (ilgili) bir kontroldür. Raporlarda yer alan bilgilerin doğruluğuna ilişkin kontroller ise (örneğin, genel BT kontrolleri) “dolaylı” kontroller olarak tanımlanır.

A31. BT işleyişinin doğasındaki tutarlılık sebebiyle, otomatik bir uygulama kontrolünün uygulanmasına ilişkin denetim kanıtı, işletmenin genel kontrollerinin (özellikle, değişiklik kontrollerinin) işleyiş etkinliği hakkındaki denetim kanıtı ile birlikte dikkate alındığında, otomatik uygulama kontrolünün işleyiş etkinliğine ilişkin önemli denetim kanıtı da sağlayabilir.

Kontrol Testlerinin Zamanlaması

İstenen güvenme dönemi (Bkz.: 11 inci paragraf)

A32. Yalnızca belli bir tarihe ait olan denetim kanıtı (örneğin dönem sonunda yapılan fiziki stok sayımına ilişkin kontrollerin test edilmesi) denetçinin amacı için yeterli olabilir. Diğer taraftan denetçinin, bütün dönem boyunca bir kontrole güvenmek (dayanmak) istemesi hâlinde, bu dönem boyunca ve konuyla ilgili zamanlarda kontrolün etkin bir şekilde işlediğine dair denetim kanıtı sağlayabilen testler uygundur. Bu tür testler, işletmenin iç kontrol sistemini izleme sürecindeki kontrol testlerini kontrolleri izlemesine yönelik testleri de içerebilir.

Önceki denetimlerden elde edilen denetim kanıtlarının kullanılması (Bkz.: 13 üncü paragraf)

A35. Belirli durumlarda, denetçinin denetim kanıtlarının ihtiyaca uygunluğunun ve güvenilirliğinin devam edip etmediğini belirlemeye yönelik denetim prosedürlerini uygulaması hâlinde, önceki dönemlerde elde edilen denetim kanıtları -cari dönemde de- kullanılabilir. Örneğin, daha önceki bir denetimi yürütürken denetçi, otomatik bir kontrolün amacına uygun olarak işlediğine karar vermiş olabilir. Denetçi, otomatik kontrolün etkin şekilde işlemeyi sürdürmesini etkileyen herhangi bir değişikliğin yapılıp yapılmadığını belirlemek için, yönetimin sorgulanması ve değişiklik yapılan kontrolleri gösteren kayıtların (logların) tetkik edilmesi gibi yöntemlerle denetim kanıtları elde edebilir. Bu değişiklikler hakkındaki denetim kanıtlarının dikkate alınması, kontrollerin işleyiş etkinliğine ilişkin cari dönemde elde edilmesi beklenen denetim kanıtlarının arttırılması veya azaltılması kararını destekleyebilir.

Önceki denetimlerden sonra değişen kontroller (Bkz.: 14(a) paragrafı)

A36. Değişiklikler, önceki denetimlerden elde edilen denetim kanıtlarının ihtiyaca uygunluğunu ve güvenilirliğini etkileyebilir; çünkü söz konusu kanıtlara olan güvenmenin devam edeceğine dair herhangi bir dayanak kalmamış olabilir. Örneğin, işletmenin sistemden yeni bir rapor almasını sağlayan sistemdeki değişiklikler, daha önceki denetimden elde edilen denetim kanıtlarının ihtiyaca uygunluğunu muhtemelen etkilemez; ancak, verilerin farklı şekilde toplanmasına veya hesaplanmasına sebep olan değişiklik, denetim kanıtlarının ihtiyaca uygunluğunu etkiler.

A38. Genel olarak “önemli yanlışlık” riski ne kadar yüksekse veya kontrollere ne kadar fazla güvenilmekte ise, -varsa- aradan geçen süre o kadar kısa olacaktır. Aşağıdakiler, bir kontrolün yeniden test edilmesi için geçecek süreyi azaltabilecek veya önceki denetimlerden elde edilen denetim kanıtlarına hiçbir şekilde güven duyulmamasına sebep olabilecek etkenlerdendir:

• Zayıf kontrol çevresi.

• İşletmenin iç kontrol sistemini izleme sürecindeki Kontrollerin izlenmesindeki yetersizlik, eksiklik.

• Kontrollerin İlgili kontrollerin manuel bir şekilde yapılan önemli bir unsuru.

• Kontrolün uygulanışını ciddi şekilde etkileyen personel değişiklikleri.

• Kontrolde değişiklikler yapılması ihtiyacını gösteren değişen durumlar.

• Yetersiz (eksik) genel BT kontrolleri.

Maddi Doğrulama Prosedürleri (Bkz.: 18 inci paragraf)

A42. 18 inci paragraf denetçinin, “önemli yanlışlık” riski olarak değerlendirilen risklerden bağımsız olarak, her bir önemli işlem sınıfı, hesap bakiyesi ve açıklama için maddi doğrulama prosedürleri tasarlamasını ve uygulamasını gerektirir. Söz konusu gereklilik: (a) denetçinin yapacağı risk değerlendirmesinin denetçinin muhakemesine edemeyebileceğinden ve (b) yönetimin iç kontrolü ihlal etmesi dâhil olmak üzere, iç kontrole ilişkin yapısal kısıtlamalardan kaynaklanmaktadır. 6 ncı paragraf uyarınca denetçinin yönetim beyanı düzeyinde “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık veren müteakip denetim prosedürlerini tasarlaması ve uygulaması gerektiğinden, önemli işlem sınıfları, hesap bakiyeleri ve açıklamalar için maddi doğrulama prosedürleri daha önce uygulanmış olabilir. Buna göre, 18 inci paragraf uyarınca aşağıdaki durumlarda/hususlarda maddi doğrulama prosedürlerinin tasarlanması ve uygulanması zorunlu kılınmıştır:

• 6 ncı paragraf uyarınca önemli işlem sınıfları, hesap bakiyeleri veya açıklamalar için tasarlanan ve uygulanan müteakip denetim prosedürleri maddi doğrulama prosedürlerini içermediğinde veya

• Önemli işlem sınıfları, hesap bakiyeleri ve açıklamalar olmayan fakat BDS 315⁹³ uyarınca önemli olarak belirlenen her bir işlem sınıfı, hesap bakiyesi veya açıklama için.

• Söz konusu gereklilik: (a) denetçinin yapacağı risk değerlendirmesinin denetçinin muhakemesine dayanmasından ve bu sebeple de denetçinin tüm “önemli yanlışlık” risklerini tespit edemeyebileceğinden ve (b) yönetimin iç kontrolü ihlal etmesi dâhil olmak üzere, kontrollere ilişkin yapısal kısıtlamalardan kaynaklanmaktadır.

A42a. Önemli bir işlem sınıfı, hesap bakiyesi veya açıklamayla ilgili yönetim beyanlarının tamamının test edilmesi zorunlu değildir. Daha ziyade, uygulanacak maddi doğrulama prosedürleri tasarlanırken; bir yanlışlığın gerçekleşmesi hâlinde yanlışlığın önemli olmasına makul ölçüde ihtimal verilen yönetim beyan(lar)ının denetçi tarafından dikkate alınması, uygulanacak prosedürlerin niteliği, zamanlaması ve kapsamının belirlenmesinde yardımcı olabilir.

A45. Detay testlerinin tasarımı, yönetim beyanı ve riskin niteliğiyle ilgilidir Riske ilişkin değerlendirme veya yönetim beyanının niteliği, detay testlerinin tasarımıyla ilgilidir. Örneğin, var olma veya gerçekleşme konusundaki yönetim beyanına ilişkin detay testleri, finansal tablo tutarlarının içerdiği kalemlerden seçim yapılmasını ve ilgili denetim kanıtının elde edilmesini içerebilir. Diğer taraftan, tamlık konusundaki yönetim beyanına ilişkin detay testleri, ilgili finansal tablo tutarında yer alması beklenen kalemlerden seçim yapılmasını ve bu kalemlerin finansal tablolara dâhil edilip edilmediğinin araştırılmasını içerebilir.

A46. “Önemli yanlışlık” riskinin değerlendirilmesinde denetçinin test etmeyi planladığı kontrollerin iç kontrolün dikkate alınması sebebiyle, kontrol testlerinden alınan sonuçlar yetersiz olduğunda maddi doğrulama prosedürlerinin kapsamının genişletilmesi gerekebilir. Ancak denetim prosedürünün kapsamının genişletilmesi, yalnızca söz konusu denetim prosedürünün bizatihi belirli bir riskle ilgili olması durumunda uygundur.

A56. Maddi doğrulama prosedürlerinin -sonraki bir tarihte ilâve prosedürler uygulanmaksızın- ara bir tarihte uygulanması, denetçinin dönem sonunda var olabilecek yanlışlıkları tespit edememe riskini artırır. Dönem sonuna kalan süre uzadıkça bu risk de artar. Aşağıdaki gibi etkenler, maddi doğrulama prosedürlerinin ara bir tarihte uygulanıp uygulanmayacağını etkileyebilir:

• Kontrol çevresi ve diğer ilgili kontroller.

A57. Söz konusu ara tarih ile dönem sonu arasındaki döneme ilişkin olarak analitik maddi doğrulama prosedürlerinin uygulanıp uygulanmayacağına ilişkin kararı aşağıdaki gibi etkenler etkileyebilir:

• ...

• Finansal raporlamayla ilgili bilgi Bilgi sisteminin; dönem sonu bakiyeleri ve ara tarihten sonra kalan dönemdeki işlemlerle ilgili olarak aşağıdaki hususların araştırılmasına imkân tanıyacak kadar yeterli bilgiyi sağlayıp sağlamadığı:

(a) ...

A60. Finansal tabloların denetimi kümülatif ve yinelenen bir süreçtir. Planlanan denetim prosedürlerini uygularken elde edilen denetim kanıtı, denetçinin planlanan diğer denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını değiştirmesine neden olabilir. Denetçi, risk değerlendirmesine dayanak oluşturan bilgilerden önemli ölçüde farklılık gösteren yeni bilgiler elde edebilir. Örneğin:

Bu tür durumlarda; “önemli yanlışlık” riski olarak değerlendirilen hususların yeniden dikkate alınmasına ve önemli işlem sınıfları, hesap bakiyeleri veya açıklamalar ile bunların ilgili açıklamaların ve yönetim beyanları üzerindeki etkisine beyanlarının bir kısmına veya tamamına ilişkin risk olarak değerlendirdiği hususların yeniden dikkate alınmasına dayanarak, denetçinin, planlanan denetim prosedürlerini yeniden değerlendirmesi gerekebilir. BDS 315, denetçinin risk değerlendirmesini gözden geçirmesine ilişkin ilâve rehberlik içerir.⁹⁴

A62. Denetçinin nelerin yeterli ve uygun denetim kanıtı oluşturduğuna ilişkin yargısını aşağıdaki gibi etkenler etkiler:

• ...

• İşletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinilmesi. İç kontrol dâhil, işletme ve çevresinin tanınması

Belgelendirme (Bkz.: 28 inci paragraf)

A63. Çalışma kâğıtlarının biçim ve kapsamı, mesleki muhakeme konusudur ve işletmenin ve iç kontrol sisteminin kontrolünün niteliğinden, büyüklüğünden, karmaşıklığından, bilgilerin işletmeden elde edilebilmesinden ve denetimde kullanılan denetim metodolojisi ile teknolojisinden etkilenir.

BDS 402 HİZMET KURULUŞU KULLANAN BİR İŞLETMENİN BAĞIMSIZ DENETİMİNDE DİKKATE ALINACAK HUSUSLAR

Giriş

Kapsam

1. Bu Bağımsız Denetim Standardı (BDS), hizmet alan işletmenin bir veya daha fazla hizmet kuruluşu kullanması durumunda, hizmet alan işletme denetçisinin yeterli ve uygun denetim kanıtı elde etme sorumluluğunu düzenler. Bu BDS, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesini sağlayacak şekilde, finansal tabloların hazırlanmasıyla denetimle ilgili işletmenin iç kontrol sistemi dâhil olmak üzere hizmet alan işletmenin tanınmasında ve bu risklere karşılık vermek üzere müteakip denetim prosedürlerinin tasarlanması ve uygulanmasında hizmet alan işletme denetçisinin BDS 315 ve BDS 330’u nasıl uygulayacağını düzenler.

...

3. Bir hizmet kuruluşunca sağlanan hizmetler ve onlar üzerindeki kontrollerin, hizmet alan işletmenin ilgili iş süreçleri de dâhil olmak üzere finansal raporlamaya finansal tabloların hazırlanmasına ilişkin bilgi sisteminin bir parçası olması hâlinde, bu hizmetler hizmet alan işletmenin finansal tablolarının denetimiyle ilgili kabul edilir. Hizmet kuruluşundaki kontrollerin çoğu muhtemelen finansal raporlamayla ilgili olmasına rağmen, denetimle ilgili olabilecek başka kontroller de (varlıkların korunmasına ilişkin kontroller gibi) söz konusu olabilir. Hizmet kuruluşundaki kontrollerin çoğu muhtemelen hizmet alan işletmenin finansal tablolarının hazırlanmasıyla ilgili bilgi sisteminin veya varlıkların korunmasına ilişkin kontroller gibi ilgili kontrollerin bir parçasıdır. Bir hizmet kuruluşunun sağladığı hizmetler, aşağıdakilerden herhangi birini etkilemesi hâlinde, işletmenin ilgili iş süreçleri de dâhil olmak üzere finansal raporlamaya ilişkin bilgi sisteminin bir parçası olarak değerlendirilir:

(a) Önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili bilgilerin, hizmet alan işletmenin bilgi sisteminde nasıl bir yol izlediği; manuel olarak mı yoksa BT kullanarak mı akış gösterdiği ve defteri kebir ve yardımcı defterlerden mi yoksa bunlar dışındaki kaynaklardan mı elde edildiği. Bu husus, hizmet kuruluşunun hizmetlerinin aşağıdakileri etkilediği durumları da içerir: Hizmet alan işletmenin finansal tabloları açısından önem arz eden ve işletmenin faaliyetlerinin bir parçası olan işlem sınıfları,

(i) Hizmet alan işletmenin işlemlerinin nasıl başlatıldığı, işlemlerle ilgili bilgilerin nasıl kaydedildiği, işlendiği, gerektiğinde nasıl düzeltildiği, defteri kebire nasıl aktarıldığı ve finansal tablolarda nasıl raporlandığı ve

(ii) İşlemler dışındaki olay veya şartlarla ilgili bilgilerin nasıl kayıt altına alındığı, işlendiği ve hizmet alan işletme tarafından finansal tablolarda nasıl açıklandığı.

(b) Hizmet alan işletmenin işlemlerinin başlatılmasında; kaydedilmesinde yürütülmesinde, gerektiğinde düzeltilmesinde, defteri kebir hesaplarına aktarılmasında ve finansal tablolarda raporlanmasında kullandığı bilişim BT) ve manuel sistemlerdeki prosedürler,

(c) (b) Hizmet alan işletmenin işlemlerin başlatılmasında, kaydedilmesinde; yürütülmesinde ve raporlanmasında kullandığı finansal tablolardaki belirli hesaplar, destekleyici bilgiler ile elektronik veya fiziki ortamdaki ilgili muhasebe kayıtları. Bu husus, yanlış bilgilerin düzeltilmesini ve bilginin nasıl defteri kebire aktarıldığını da içerir. Muhasebe kayıtları, hizmet alan işletmenin finansal tablolarındaki belirli hesaplar ve 3(a) paragrafında yer alan bilgi akışlarıyla ilgili diğer destekleyici kayıtlar.

(ç) Hizmet alan işletmenin, bilgi sisteminin finansal tablolar açısından önemli olan-işlemler dışındaki diğer olay ve şartları nasıl ele aldığı,

(d)(c) Önemli muhasebe tahminleri ve açıklamaları dâhil olmak üzere hizmet alan işletmenin finansal tabloları hazırlamak için kullandığı finansal raporlama süreci ve Hizmet alan işletmenin, 3(b) paragrafında tanımlanan kayıtlardan yola çıkarak finansal tablolarını hazırlamak için kullandığı finansal raporlama süreci (bunun açıklamalarla ve önemli işlem sınıfları, hesap bakiyeleri ve açıklamalarla ilgili muhasebe tahminleriyle olan ilgisi dâhil) ve

(ç) İşletmenin yukarıdaki (a)-(c) bentleriyle ilgili BT çevresi.

(e) Tekrar etmeyen ve olağan dışı işlem veya düzeltmeleri kaydetmek için kullanılan standart olmayan yevmiye kayıtları da dâhil olmak üzere, yevmiye kayıtlarını kapsayan kontroller.

...

Amaçlar

7. Hizmet alan işletme, bir hizmet kuruluşunun hizmetlerini kullandığında kullanıcı işletmenin denetçisinin amaçları:

(a) “Önemli yanlışlık” risklerinin belirlenmesi risklerini tespit etmeye ve değerlendirilmesi için uygun bir dayanak sağlamaya değerlendirmeye yetecek ölçüde, hizmet kuruluşundan sağlanan hizmetlerin niteliği ve önemi ile bu hizmetlerin hizmet alan işletmenin denetimle ilgili iç kontrol sistemi üzerindeki kontrolüne etkisini anlamak ve

(b) Bu risklere karşı denetim prosedürlerini tasarlamak ve uygulamaktır.

...

10. Hizmet alan işletme denetçisi, BDS 315⁹⁵’e uygun olarak denetimle ilgili iç kontrol hakkında bilgi edinmesi sırasında, hizmet kuruluşu tarafından yapılan işlemlere uygulanan kontroller de dâhil olmak üzere, hizmet kuruluşundan sağlanan hizmetlere ilişkin hizmet alan işletmedeki ilgili kontrollerin tasarım ve uygulamasını değerlendirir. Hizmet alan işletme denetçisi, BDS 315 uyarınca işletmenin iç kontrol sistemi hakkında kanaat edinirken, hizmet kuruluşu tarafından yapılan işlemlere uygulanan kontroller de dâhil olmak üzere, hizmet kuruluşu tarafından sağlanan hizmetlerle ilgili olanlar arasından hizmet alan işletmedeki kontrol faaliyetleri bileşenindeki kontrolleri⁹⁶ belirler, söz konusu kontrollerin tasarımını değerlendirir ve uygulanıp uygulanmadıklarını belirler⁹⁷ (Bkz.: A12-A14 paragrafları).

⁹⁵ BDS 315, 12 nci paragraf

⁹⁶ BDS 315, 26(a) paragrafı

⁹⁷ BDS 315, 26(ç) paragrafı

11. Hizmet alan işletme denetçisi, hizmet kuruluşundan sağlanan hizmetlerin niteliği ve önemi ile bunların hizmet alan işletmenin denetimle ilgili iç kontrol sistemi kontrolü üzerindeki etkisi hakkında, “önemli yanlışlık” risklerini belirlemek belirlemeye ve değerlendirmek için uygun bir dayanak sağlamaya değerlendirmeye yetecek kadar bilgi elde edilip edilmediğine karar verir.

12. Hizmet alan işletme denetçisi, hizmet alan işletmeyi yeterli derecede tanıyamadığı hâllerde, aşağıdaki prosedürlerden birini veya daha fazlasını uygulayarak işletmeyi tanımaya çalışır:

...

(ç) Hizmet kuruluşundaki ilgili kontroller hakkında gerekli bilgileri sağlayacak prosedürleri uygulamak için başka bir denetçinin kullanılması (Bakınız: A15-A20 paragrafları).

...

14. Hizmet kuruluşundaki kontrollerin tasarımı ve uygulaması hakkında edindiği bilgiyi desteklemek için 1 inci tip veya 2 nci tip raporu denetim kanıtı olarak kullanmayı planlaması hâlinde, hizmet alan işletmenin denetçisi:

...

(b) Hizmet kuruluşundaki kontrolleri alan işletmenin denetimle ilgili iç kontrolünü anlamak için raporun sağladığı kanıtın yeterlilik ve uygunluğunu değerlendirir ve

...

Açıklayıcı Hükümler ve Uygulama

...

A19. Hizmet kuruluşundaki hizmet alan işletmeye sağlanan hizmetlerle ilgili kontroller hakkında gerekli bilgileri sağlayacak prosedürleri uygulamak için başka bir denetçi kullanılabilir. 1 inci tip veya 2 nci tip raporun düzenlenmiş olması durumunda, hizmet kuruluşu denetçisinin hizmet kuruluşuyla hâlihazırda bir ilişkisi olduğundan hizmet alan işletme denetçisi bu prosedürleri uygulamak için hizmet kuruluşu denetçisini kullanabilir. Başka bir denetçinin çalışmasını kullanan hizmet alan işletme denetçisi, bu durum başka bir denetçi hakkında bilgi elde edilmesi (denetçinin bağımsızlığı ve mesleki yeterliliği dâhil) ve çalışmanın nitelik, zamanlama ve kapsamının planlanmasında ve elde edilen denetim kanıtlarının yeterlilik ve uygunluğunun değerlendirilmesinde başka bir denetçinin çalışmasına katılımı içermesinden dolayı BDS 600’deki açıklamaları faydalı bulabilir.

...

A22. Hizmet alan işletme hakkındaki bilgilerle birlikte, 1 inci tip veya 2 nci tip rapor, hizmet alan işletme denetçisinin aşağıdaki hususları anlamasına yardımcı olabilir:

(a) ...

...

1 inci tip veya 2 nci tip rapor, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için yeterli bilginin (anlayışın) elde edilmesinde hizmet alan işletme denetçisine yardımcı olabilir. Ancak, 1 inci tip rapor ilgili kontrollerin işleyiş etkinliği hakkında herhangi bir kanıt sağlamaz.

...

Kontrol Testleri (Bakınız: 16 ncı paragraf)

A29. BDS 330 uyarınca, hizmet alan işletme denetçisinin belirli durumlarda ilgili kontrollerin işleyiş etkinliğine dair yeterli ve uygun denetim kanıtı elde etmek için kontrol testleri tasarlaması ve uygulaması gerekmektedir. Hizmet kuruluşu bağlamında, bu yükümlülük aşağıdaki durumlarda uygulanır:

...

A30. 2 nci tip raporun bulunmaması durumunda, hizmet alan işletme denetçisi, ilgili kontrollerin işleyiş etkinliği testlerini içeren bir 2 nci tip rapor hazırlaması için bir hizmet kuruluşu denetçisinin görevlendirilmesini talep etmek üzere, hizmet alan işletme vasıtasıyla, hizmet kuruluşuyla irtibat kurabilir veya hizmet alan işletme denetçisi hizmet kuruluşunda söz konusu kontrollerin işleyiş etkinliğini test eden prosedürleri uygulamak üzere başka bir denetçi kullanabilir. Hizmet kuruluşunun kabul etmesi durumunda, hizmet alan işletme denetçisi ayrıca hizmet kuruluşunu ziyaret edebilir ve ilgili kontrol testlerini gerçekleştirebilir. Hizmet alan işletme denetçisinin risk değerlendirmeleri, başka denetçinin yaptığı çalışmadan sağlananlar ile kendi prosedürlerinden elde ettiği kanıtların birleşimine dayanır.

...

A33. Ayrıca, hizmet alan işletme denetçisi, 2 nci tip raporun kapsadığı dönemin dışındaki dönemde hizmet kuruluşundaki ilgili kontrollerde gerçekleşen önemli değişikliklere ilişkin ilâve kanıt elde edilmesinin veya ilâve denetim prosedürlerinin uygulanmasının gerekli olduğuna karar verebilir. Hizmet kuruluşu denetçisi tarafından düzenlenen raporun kapsadığı dönem dışındaki dönemde işleyen, hizmet kuruluşundaki kontroller hakkında elde edilecek ilâve denetim kanıtlarına karar verilmesinde dikkate alınacak ilgili faktörler aşağıdakileri içerebilir:

...

• Kontrol çevresinin ve hizmet alan işletmenin iç kontrol sistemini izleme sürecinin işletmedeki kontrollerin izlenmesinin etkinliği.

A34. Örneğin kontrol testlerinin kalan dönemi kapsayacak şekilde uygulanması veya kontrollerin hizmet alan işletmenin iç kontrol sistemini izleme sürecinin işletme tarafından izlenmesinin test edilmesi gibi yollarla ilâve denetim kanıtı elde edilebilir.

...

A39. Hizmet alan işletme denetçisi, denetim sırasında belirlediği önemli eksiklikleri yönetim ve üst yönetimden sorumlu olanlara yazılı olarak zamanında bildirir.⁹⁸ Hizmet alan işletme denetçisi ayrıca, denetim sırasında iç kontrolde belirlediği ve mesleki muhakemesine göre yönetimin dikkatini çekecek kadar önemli olduğunu düşündüğü diğer eksiklikleri zamanında yönetimin uygun bir kademesine bildirir.⁹⁹ Hizmet alan işletme denetçisinin denetim sırasında belirleyebileceği ve yönetime ve üst yönetimden sorumlu olanlara iletebileceği hususlar aşağıdakileri içerir:

• 1 inci tip veya 2 nci tip raporu elde etmenin bir sonucu olarak tanımlananlar dâhil olmak üzere hizmet alan işletme tarafından uygulanmış olabilecek işletmenin iç kontrol sistemini izleme sürecindeki her türlü kontrol kontrollerin izlenmesi,

⁹⁸ BDS 265, “İç Kontrol Eksikliklerin Üst Yönetimden Sorumlu Olanlara ve Yönetime Bildirilmesi”, 9-10 uncu paragraflar

⁹⁹ BDS 265, 10 uncu paragraf

...

BDS 500 BAĞIMSIZ DENETİM KANITLARI

...

Açıklayıcı Hükümler ve Uygulama

...

Yeterli ve Uygun Denetim Kanıtı (Bkz.: 6 ncı paragraf)

A5. Denetim kanıtları, denetçinin görüş ve raporunun desteklenmesi için gereklidir. Denetim kanıtları nitelik olarak kümülatiftir ve öncelikle denetim sırasında uygulanan denetim prosedürlerinden elde edilir. Bununla birlikte denetim kanıtları, daha önce yürütülen denetimlerden (denetçinin önceki denetimden bu yana, bilgilerin cari denetimle olan ilgisini etkileyebilecek değişikliklerin olup olmadığına karar vermesi denetçinin, bu tür bir bilginin cari denetim için denetim kanıtı olarak ihtivaca uygun ve güvenilir olup olmadığını değerlendirmesi şartıyla) veya denetim şirketinin müşteri ilişkisinin kurulması ve devam ettirilmesine ilişkin kalite kontrol prosedürleri gibi diğer kaynaklardan elde edilen bilgileri de içerebilir. İşletmenin muhasebe kayıtları ve işletme içindeki diğer kaynaklar da önemli bir denetim kanıtı kaynağıdır. Ayrıca, denetim kanıtı olarak kullanılabilecek bilgiler, yönetimin faydalandığı bir uzman tarafından hazırlanmış ya da dış bir bilgi kaynağından elde edilmiş olabilir. Denetim kanıtı, yönetim beyanlarını destekleyen ve doğrulayan bilgiler ile bu beyanlarla çelişen her tür bilgiyi kapsar. Ayrıca, bazı hâllerde bilginin bulunmaması durumu da (örneğin, yönetimin talep edilen bir konuda gerekli açıklamada bulunmayı reddetmesi) denetçi tarafından kullanılır ve böylelikle bu da bir denetim kanıtı teşkil eder.

...

A21. Gözlem, başkaları tarafından uygulanan bir süreç veya prosedürün izlenmesidir (örneğin, işletme personeli tarafından yapılan stok sayımının veya kontrollerin uygulanmasının kontrol faaliyetlerinin denetçi tarafından gözlemlenmesi). Gözlem, bir süreç veya prosedürün işleyişiyle ilgili denetim kanıtı sağlar fakat yapıldığı zamanla sınırlıdır. Süreç veya prosedürün gözlemleniyor olması, bunların uygulanma şeklini etkileyebilir. Stok sayımının gözlemiyle ilgili daha fazla açıklama için BDS 501’e bakınız.

BDS 501 BAĞIMSIZ DENETİM KANITLARI - BELİRLİ KALEMLER İÇİN DİKKATE ALINMASI GEREKEN ÖZEL HUSUSLAR

...

Açıklayıcı Hükümler ve Uygulama

...

Yönetimin Talimat ve Prosedürlerinin Değerlendirilmesi (Bakınız: 4(a)(i) paragrafı)

A4. Fiziki stok sayımının kayıt ve kontrol edilmesine yönelik yönetimin talimat ve prosedürlerinin değerlendirilmesiyle ilgili olan hususlar, bu talimat ve prosedürlerin örneğin aşağıdakileri ele alıp almadığını içerir:

• Uygun kontrollerin kontrol faaliyetlerinin uygulanması; örneğin kullanılmış fiziki stok sayım kayıtlarının bir araya getirilmesi, kullanılmamış fiziki stok sayım kayıtlarının hesaba katılması ile sayım ve yeniden sayım prosedürlerinin uygulanması.

...

BDS 530 BAĞIMSIZ DENETİMDE ÖRNEKLEME

...

Açıklayıcı Hükümler ve Uygulama

...

A7. Denetçi, kontrol testleri açısından anakitlenin özelliklerini değerlendirirken, ilgili kontroller hakkında elde ettiği bilgilere veya anakitledeki az sayıda kaleme ilişkin yaptığı incelenmeye dayanarak, beklenen sapma oram hakkında bir değerlendirme yapar. Bu değerlendirme, bir denetim örneklemi tasarlamak ve örneklem büyüklüğüne karar vermek amacıyla yapılır. Örneğin, beklenen sapma oranının kabul edilemeyecek derecede yüksek olması durumunda denetçi, genellikle kontrol testlerini uygulamamaya karar verecektir. Benzer şekilde denetçi, detay testleri açısından, anakitledeki beklenen yanlışlığa ilişkin bir değerlendirme yapar. Beklenen yanlışlık oranının yüksek olması durumunda, detay testlerinin uygulanmasında %100 inceleme yapılması veya geniş bir örneklem büyüklüğünün kullanılması uygun olabilir.

...

Ek 2

...

Faktör 1 Denetçinin risk değerlendirmesinin; değerlendirmesinde dikkate aldığı ilgili kontrollerin işleyiş etkinliğini test etme planlarını dikkate alma kapsamındaki artış (Denetçinin kontrollerin işleyiş etkinliğine daha fazla dayanması)

...

BDS 540 MUHASEBE TAHMİNLERİNİN VE İLGİLİ AÇIKLAMALARIN BAĞIMSIZ DENETİMİ

Giriş

Kapsam

1. Bu Bağımsız Denetim Standardı (BDS), denetçinin, finansal tabloların denetiminde muhasebe tahminleri ve ilgili açıklamalara yönelik sorumluluklarını düzenler. Bu BDS özellikle, BDS 315¹⁰⁰, BDS 330, BDS 450 ve BDS 500 ile diğer ilgili BDS’lerin muhasebe tahminleri ve ilgili açıklamalara ilişkin olarak nasıl uygulanacağı konusunda yükümlülükler içermekte ve rehberlik sağlamaktadır. Bu BDS’de ayrıca, muhasebe tahminleri ve ilgili açıklamalara ilişkin yanlışlıkların değerlendirilmesine yönelik hüküm ve açıklamalar ile yönetimin muhtemel taraflılığına ilişkin göstergeler yer almaktadır.

Temel Kavramlar

4. Bu BDS, muhasebe tahminlerine ilişkin yönetim beyanı düzeyindeki önemli- yanlışlık” risklerinin değerlendirilmesi amacıyla yapısal riskin ayrı bir değerlendirmeye tabi tutulmasını gerektirir. Belirli BDS 315, yönetim beyanı düzeyinde belirlenen “önemli yanlışlık” riskleri için yapısal riskin ayrı bir değerlendirmeye tabi tutulmasını gerektirir¹⁰¹. BDS 540 bağlamında ve belirli bir muhasebe tahmininin niteliğine bağlı olarak, bir yönetim beyanının önemli olabilecek bir yanlışlığa açıklığı; tahmin belirsizliğine, karmaşıklığa, subjektifliğe veya diğer yapısal risk faktörlerine ve bunlar arasındaki karşılıklı ilişkilere bağlı olabilir veya bunlardan etkilenebilir. BDS 2005’de açıklandığı üzere, bazı yönetim beyanı ve ilgili işlem sınıfları, hesap bakiyeleri ve açıklamalarda yapısal risk diğerlerine göre daha yüksektir. Buna göre, yapısal riskin değerlendirilmesi; yapısal risk faktörlerinin yanlışlık ihtimalini veya yanlışlığın büyüklüğünü ne derecede etkilediğine bağlıdır ve bu BDS’de yapısal risk aralığı olarak adlandırılan bir ölçek kapsamında değişir (Bkz.: A8-A9, A65-A66 paragrafları, Ek 1).

5. Bu BDS, BDS 315 ve BDS 330’un ilgili hükümlerine atıfta bulunur ve muhasebe tahminlerine ilişkin kontroller hakkında denetçinin kararlarının -aşağıdakilere ilişkin kararları dâhil- önemini vurgulamak için rehberlik sağlar:

• Denetçinin uygulanıp uygulanmadığını belirlemesi ve tasarımını değerlendirmesi gereken, belirlenmesi BDS 315 tarafından zorunlu kılınan denetimle ilgili kontrollerin mevcut olup olmadığı.

• Kontrollerin İlgili kontrollerin işleyiş etkinliğinin test edilip edilmediği.

6. Bu BDS 315, muhasebe tahminlerine ilişkin yönetim beyanı düzeyindeki “önemli yanlışlık” riskleri değerlendirilirken, kontrol riskine ilişkin ayrı bir değerlendirme yapılmasını da gerektirir. Kontrol riskini değerlendirirken denetçi, müteakip denetim prosedürlerinin, kontrollerin işleyiş etkinliğine dair planlı bir güven sağlayıp sağlamadığını dikkate alır. Denetçinin kontrollerin işleyiş etkinliğini test etmeyi planlamaması veya kontrollerin işleyiş etkinliğine güvenmeyi düşünmemesi kontrol testlerini uygulamaması durumunda, denetçinin kontrol riskine ilişkin değerlendirmesi; yönetim beyanı düzeyindeki “önemli yanlışlık” riskine risklerine ilişkin yapacağı değerlendirme, belirli bir yönetim beyanına ilişkin değerlendirmenin, yapısal riske ilişkin değerlendirmeyle aynı olduğu şeklinde olur kontrollerin etkin şekilde islemesine bağlı olarak azaltılamaz¹⁰² (Bkz.: A10 paragrafı).

8. Muhasebe tahminlerine ilişkin olarak mesleki şüpheciliğin kullanılması, denetçinin yapısal risk faktörlerine ilişkin değerlendirmesinden etkilenir ve muhasebe tahminleri daha yüksek derecede bir tahmin belirsizliğine maruz kaldığında veya yüksek derecede karmaşıklık, subjektiflik ve diğer yapısal risk faktörlerinden etkilendiğinde daha önemli hâle gelir. Benzer şekilde, yönetimin taraflılığı veya yapısal riski etkiledikleri ölçüde diğer hile riski faktörleri hile nedeniyle yanlışlığa daha fazla açıklık olduğu durumlarda mesleki şüpheciliğin kullanılması önemlidir (Bkz.: A11 paragrafı).

13. Denetçi, BDS 315’in¹⁰³ zorunlu kıldığı üzere, işletmenin iç kontrolü dâhil; işletme ve çevresini, geçerli finansal raporlama çerçevesini ve işletmenin iç kontrol sistemini tanırken, işletmenin muhasebe tahminleriyle ilgili olarak aşağıdaki hususlar hakkında kanaat edinir. Denetçinin kanaat edinmek amacıyla uygulayacağı prosedürler, finansal tablo ve yönetim beyanı düzeylerindeki “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesine uygun bir dayanak oluşturan denetim kanıtlarının elde edilmesi oluşturması için gereken ölçüde uygulanır (Bkz.: A19-A22 paragrafları).

İşletme ve Çevresi ile Geçerli Finansal Raporlama Çerçevesi Hakkında Kanaat Edinilmesi

(a) Finansal tablolara alınması veya finansal tablolarda açıklanması gereken muhasebe tahminlerine sebep olabilecek veya söz konusu tahminlerin değiştirilmesini gerektirebilecek, işletmenin işlemleri ile diğer olay veya şartlar (Bkz.: A23 paragrafı).

(b) Geçerli finansal raporlama çerçevesinin muhasebe tahminleriyle ilgili hükümleri (finansal tablolara alma kıstasları, ölçüm esasları ve ilgili sunum ve açıklama hükümleri dâhil) ile bu hükümlerin işletme ve çevresinin niteliği ve şartları bağlamında nasıl uygulandığı (işlemler ile diğer olay veya şartların yapısal risk faktörlerinin yönetim beyanlarının yanlışlığa açıklığını faktörlerine nasıl etkilediği maruz kaldığı veya bunlardan nasıl etkilendiği dâhil) (Bkz.: A24-A25 paragrafları).

(c) -Uygun hâllerde- ihtiyati gözetime ilişkin düzenleyici çerçeveler dâhil, işletmenin muhasebe tahminleriyle ilgili düzenleyici etkenler (Bkz.: A26 paragrafı).

(ç) Denetçinin işletmenin finansal tablolarına dâhil olmasını beklediği ve denetçinin 13(a)-(c) paragraflarında belirtilen hususlarla ilgili kanaatine dayanan muhasebe tahminleri ve ilgili açıklamaların niteliği (Bkz.: A27 paragrafı).

İşletmenin İç Kontrol Sistemi Hakkında Kanaat Edinilmesi Kontrolü

(d) İşletmenin; yönetimin muhasebe tahminleriyle ilgili finansal raporlama süreci üzerinde uyguladığı gözetim ve yönetişimin niteliği ve kapsamı (Bkz.: A28-A30 paragrafları).

(e) Yönetimin faydalandığı bir uzmanın kullanılmasıyla ilgili olanlar dâhil, yönetimin muhasebe tahminlerine ilişkin uzmanlık gerektiren bilgi ve becerilere olan ihtiyacı nasıl belirlediği ve söz konusu bilgi ve becerileri nasıl uyguladığı (Bkz.: A31 paragrafı).

(f) İşletmenin risk değerlendirme sürecinin muhasebe tahminlerine ilişkin riskleri nasıl belirlediği ve bunları nasıl ele aldığı (Bkz.: A32-A33 paragrafları).

(g) Aşağıdakiler dâhil, muhasebe tahminleriyle ilgili olduğu ölçüde, işletmenin bilgi sistemi:

(i) Önemli işlem sınıfları, hesap bakiyeleri veya açıklamalara ilişkin muhasebe tahminleriyle ve ilgili açıklamalarla ilgili bilgilerin işletmenin bilgi sisteminde nasıl bir yol izlediği Finansal tablolar için önemli olan ve muhasebe tahminlerine ve ilgili açıklamalara sebep olabilecek veya bunların değiştirilmesini gerektirebilecek işlem sınıfları; olay ve şartlar (Bkz.: A34-A35 paragrafları) ve

(ii) ...

(ğ) 13(g)(ii) paragrafında açıklandığı üzere yönetimin muhasebe tahminleri oluşturma sürecine ilişkin denetimle ilgili kontrol faaliyetleri bileşenindeki belirlenen kontroller¹⁰⁴ (Bkz.: A50-A54 paragrafları),

(h) ...

16. BDS 315’te¹⁰⁵ zorunlu kılındığı üzere, yapısal riskin ve kontrol riskinin yönetim beyanı düzeyinde ayrı ayrı değerlendirilmesi dâhil bir muhasebe tahminine ve ilgili açıklamalara ilişkin olarak yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini belirlerken ve değerlendirirken denetçi, yapısal riskli ve kontrol riskini ayrı ayrı değerlendirir. Denetçi, “önemli yanlışlık” risklerinin belirlenmesinde ve yapısal riskin değerlendirilmesinde aşağıdakileri dikkate alır (Bkz.: A64-A71 paragrafları):

(a) ...

17. Denetçi, kendi yargısına göre, 16 ncı paragrafa uygun olarak belirlenen ve değerlendirilen “önemli yanlışlık” risklerinin ciddi risk olup olmadığına karar verir.¹⁰⁶ Ciddi bir riskin mevcut olduğuna karar vermesi durumunda denetçi, kontrol faaliyetleri dâhil, söz konusu riskle ilgili olan işletme kontrolleri hakkında kanaat edinir Ciddi bir riskin mevcut olduğuna karar vermesi durumunda denetçi, söz konusu riski ele alan kontrolleri belirler¹⁰⁷ ve bu tür kontrollerin etkin bir biçimde tasarlanıp tasarlanmadığını değerlendirir ve uygulanıp uygulanmadığına karar verir¹⁰⁸ (Bkz.: A80 paragrafı).

19. BDS 330 uyarınca denetçi aşağıdaki durumlarda, ilgili kontrollerin işleyiş etkinliğine ilişkin yeterli ve uygun denetim kanıtı elde etmek amacıyla kontrol testlerini tasarlar ve uygular:

(a) ...

Açıklayıcı Hükümler ve Uygulama

A8. Yapısal risk faktörleri, kontroller dikkate alınmadan önce, bir işlem sınıfı, hesap bakiyesi veya açıklamaya ilişkin bir yönetim beyanının hata veya hile kaynaklı beyanın yanlışlığa olan açıklığını etkileyen etkileyebilecek olay veya şartların özellikleridir.¹⁰⁹ Ek 1, söz konusu yapısal risk faktörlerinin ve aralarındaki karşılıklı ilişkilerin niteliğini; muhasebe tahminlerinin oluşturulması ve bunların finansal tablolarda sunulması bağlamında daha fazla açıklar.

A9. Tahmin belirsizliğine, karmaşıklığına ya da subjektifliğine ilişkin yapısal risk faktörlerine ek olarak, “önemli yanlışlık” risklerini belirlerken ve değerlendirirken denetçinin dikkate alabileceği diğer risk faktörleri, muhasebe tahmininin hangi ölçüde aşağıdakilere maruz kaldığını ya da bunlardan etkilendiğini içerebilir. Yönetim düzeyinde “önemli yanlışlık” risklerini değerlendirirken¹¹⁰, tahmin belirsizliği, karmaşıklık ve subjektifliğe ek olarak denetçi, BDS 315’te ver alan yapısal risk faktörlerinin yönetim beyanlarının muhasebe tahminleriyle ilgili yanlışlığa olan açıklığını ne derece etkilediğini de değerlendirir. Bu tür ilave yapısal risk faktörleri aşağıdakileri içerir:

• Muhasebe tahmini oluşturulurken kullanılan yöntem, varsayım veya verilerdeki değişikliklere yol açabilen; ilgili finansal tablo kalemlerinin niteliğindeki veya şartlarındaki ya da geçerli finansal raporlama çerçevesinin hükümlerindeki değişiklikler.

• Muhasebe tahmininin oluşturulmasında, hile veya yönetimin taraflılığı veya yapısal riski etkiledikleri ölçüde diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklık.

• Tahmin belirsizliği dışındaki belirsizlik.

Kontrol Riski (Bkz.: 6 ncı paragraf)

A10. Denetçinin, yönetim beyanı düzeyindeki kontrol risklerini değerlendirirken göz önünde bulundurması gereken önemli bir husus; güvenmeyi düşündüğü kontrollerin tasarımının etkinliği ve kontrollerin yönetim beyanı düzeyindeki yapısal risk olarak değerlendirilen riskleri ne ölçüde ele aldığıdır. BDS 315’e uygun olarak yönetim beyanı düzeyindeki kontrol riskini değerlendirirken denetçi, kontrollerin işleyiş etkinliğini test etmeyi planlayıp planlamadığını dikkate alır. Denetçinin, kontrollerin işleyiş etkinliğini test edip etmemeyi değerlendirirken, kontrollerin etkin bir şekilde tasarlandığına ve uygulandığına ilişkin değerlendirmesi, denetçinin kontrolleri test etme planını oluşturmasında bu kontrollerin test edilip edilmeyeceğine karar verilmesinde, kontrollerin işleyiş etkinliğine dair beklentisini beklentiyi destekler.

İşletme ve Çevresi, Geçerli Finansal Raporlama Çerçevesi ve İşletmenin İç Kontrol Sistemi

Hakkında Kanaat Edinilmesi (Bkz.: 13 üncü paragraf)

A19. BDS 315’in 19-27 nci 11-24 üncü paragrafları denetçinin, işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi ile kontrolü dâhil, işletme ve çevresiyle ilgili belirli hususlar hakkında kanaat edinmesini gerektirir. Bu BDS’nin 13 üncü paragrafı, özellikle muhasebe tahminlerine ilişkindir ve BDS 315’in hükümlerinden daha kapsamlı hükümler içerir.

Ölçeklenebilirlik

A20. İşletmenin, ilgili muhasebe tahminlerine ilişkin olarak, iç kontrol dâhil işletme ve çevresi, geçerli finansal raporlama çerçevesi ve isletmenin iç kontrol sistemine çevresine ilişkin kanaat edinmek amacıyla denetçinin uyguladığı prosedürlerin niteliği, zamanlaması ve kapsamı, münferit hususun/hususların içinde bulunulan şartlar altında, ne ölçüde uygulanacağına -daha yüksek veya düşük bir düzeyde- bağlı olabilir. Örneğin, işletmede, muhasebe tahminlerine ihtiyaç duyulmasına yol açan az sayıda işlem veya diğer olay veya şartlar mevcut olabilir, geçerli finansal raporlama hükümleri kolayca uygulanabilir olabilir ve ilgili düzenleyici etkenler mevcut olmayabilir. Ayrıca, muhasebe tahminleri, önemli muhakemeler gerektirmeyebilir veya muhasebe tahmini oluşturma süreci daha az karmaşık olabilir. Bu durumlarda, muhasebe tahminleri; tahmin belirsizliği, karmaşıklık, subjektiflik veya diğer yapısal risk faktörlerine daha az derecede maruz kalabilir veya bunlardan etkilenebilir ve kontrol faaliyetleri bileşeninde denetimle ilgili daha az belirlenen kontrol mevcut olabilir. Bu tür durumlarda, denetçinin risk belirleme ve değerlendirme prosedürlerinin kapsamı daha dar olabilir ve -yönetimin muhasebe tahminini oluşturma sürecinin basit bir şekilde gözden geçirilmesi gibi- öncelikli olarak öncelikle finansal tablolara ilişkin uygun sorumlulukları bulunan yönetimin sorgulanması ve yönetimin muhasebe tahminini oluşturma sürecinin basit bir şekildede gözden geçirilmesi suretiyle yerine getirilebilir (söz konusu süreçte belirlenen kontrollerin etkin bir biçimde tasalanıp tasarlanmadığının değerlendirilmesi ve kontrolün uygulanıp uygulanmadığına karar verilmesi durumları dâhil).

İşletme ve Çevresi

İşletmenin işlemleri ile diğer olay veya şartlar (Bkz.: 13(a) paragrafı)

A23. Muhasebe tahminlerine ihtiyaç duyulmasına veya bunlarda değişiklik meydana gelmesine neden olabilecek durumlardaki değişiklikler örneğin aşağıdakileri içerebilir:

Geçerli finansal raporlama çerçevesinin hükümleri (Bkz.: 13(b) paragrafı)

A24. Geçerli finansal raporlama çerçevesinin hükümlerine ilişkin kanaat edinmek, denetçiye; yönetimin geçerli finansal raporlama çerçevesinin muhasebe tahminleriyle ilgili hükümlerini nasıl uyguladığına ve denetçinin bu hükümlerin gerektiği gibi uygulanıp uygulanmadığına ilişkin karara varması konusunda yönetimle ve -varsa- üst yönetimden sorumlu olanlarla yapılan müzakere için dayanak sağlar. Bu kanaat ayrıca, denetçi; önemli bir muhasebe politikası uygulamasına ilişkin olarak işletmeye özgü şartlar altında en uygun olanı değil de geçerli finansal raporlama çerçevesi uyarınca kabul edilebilir olanı dikkate aldığında, denetçiye üst yönetimden sorumlu olanlarla iletişim konusunda rehberlik sağlayabilir.

İşletmenin Denetimle İlgili İç Kontrolü İç Kontrol Sistemi

Gözetim ve yönetişimin niteliği ve kapsamı (Bkz.: 13(d) paragrafı)

A28. BDS 315’i¹¹¹ uygularken, denetçinin; yönetimin muhasebe tahminlerini oluşturma sürecine ilişkin olarak işletmenin yürüttüğü gözetim ve yönetişimin niteliği ve kapsamı hakkındaki anlayışı, denetçinin aşağıdakilerle ilgili olduğunda, denetçinin yapması gereken değerlendirme açısından önemli olabilir:

• Üst yönetimden sorumlu olanların gözetiminde yönetimin, dürüstlük ve etik davranış kültürü oluşturarak bu kültürü devam ettirip ettirmediği, ve

• İşletmenin niteliği ve büyüklüğü göz önüne alındığında, kontrol çevresinin Kontrol çevresi unsurlarının güçlü yönlerinin bir bütün olarak iç kontrol sisteminin kontrolün diğer bileşenleri için uygun bir zemin oluşturup oluşturmadığı ve

• Kontrol çevresinde belirlenen kontrol eksikliklerinin iç kontrol sisteminin kontrol çevresindeki eksikliklerin söz konusu diğer bileşenlerini zayıflatıp zayıflatmadığı.

İşletmenin, muhasebe tahminleriyle ilgili bilgi sistemi (Bkz.: 13 (g)(i) paragrafı)

A34. 13(g) paragrafı kapsamındaki önemli işlem sınıfları, olay ve şartlar; BDS 315’in 2518(a) paragrafına ve(ç) paragraflarına konu olan muhasebe tahminleri ve ilgili açıklamalarla ilgili önemli işlem sınıfları, olay ve şartlarla aynıdır. Muhasebe tahminleriyle ilgili olduğu ölçüde işletmenin bilgi sistemi hakkında kanaat edinirken denetçi aşağıdakileri dikkate alabilir:

• ...

A35. Denetim esnasında denetçi, yönetimin belirleyemediği muhasebe tahminleri ve ilgili açıklamalara ihtiyaç doğuran işlem sınıfları, olay veya şartları belirleyebilir. BDS 315, denetçinin işletmenin risk değerlendirme sürecine ilişkin değerlendirmesine olan etkilerin göz önünde bulundurulması sürecinde önemli bir iç kontrol eksikliğinin olup olmadığının belirlenmesi dâhil, denetçinin yönetimin belirleyemediği “önemli yanlışlık” risklerini tespit ettiği durumları ele alır.¹¹²

Modeller

A39. Yönetim, kendi modeli veya bir dış model olup olmadığına bakmaksızın, muhasebe tahminlerini oluşturmak için kullanılan modellere ilişkin belirli kontroller tasarlayabilir ve uygulayabilir. Modelin kendisi, beklenen kredi zararı modeli veya 3. Seviye girdiler kullanan bir gerçeğe uygun değer modeli gibi, yüksek seviyede bir karmaşıklık veya subjektiflik içerdiğinde, bu karmaşıklığı veya subjektifliği ele alan kontrollerin, denetimle ilgili olarak tanımlanması daha muhtemel olabilir. Modellerle ilgili karmaşıklık mevcut olduğunda, veri bütünlüğü üzerindeki kontrollerin BDS 315’e uygun olarak belirlenen kontroller de denetimle ilgili olma olasılığı daha fazladır. Denetçinin, modele ve belirlenen denetimle ilgili kontrollere kontrol faaliyetlerine ilişkin bir kanaat edinirken dikkate almasının uygun olabileceği etkenler aşağıdakileri içerir:

Veriler (Bkz.: 13(g)(ii)(a)(iii) paragrafı)

A44. Yönetimin muhasebe tahminlerinin dayanağı olan verileri nasıl seçtiği hakkında kanaat edinirken denetçinin değerlendireceği hususlar aşağıdakileri içerir:

• Dış bilgi kaynağından elde edilen bilgiler dâhil, verilerin niteliği ve kaynağı.

• Yönetimin verilerin uygun olup olmadığını nasıl değerlendirdiği.

• Verilerin doğruluğu ve tamlığı.

• Verilerin, önceki dönemlerde kullanılan verilerle tutarlılığı.

• Büyük hacimli verileri ele alma dâhil, verilerin elde edilmesi ve işlenmesi için kullanılan BT uygulamalarının veya işletmenin BT çevresinin diğer yönlerinin bilgi teknolojisi sistemlerinin karmaşıklığı.

• Verilerin nasıl elde edildiği, iletildiği ve işlendiği ile bütünlüğünün nasıl korunduğu.

Yönetimin Muhasebe Tahminleri Oluşturma Sürecine İlişkin Belirlenen Kontroller Denetimle İlgili Kontrol Faaliyetleri (Bkz.:13(ğ) paragrafı)

A50. Denetçinin denetimle ilgili kontrol faaliyetleri bileşenindeki kontrollerin faaliyetlerinin belirlenmesine ilişkin muhakemesi ve buna bağlı olarak söz konusu kontrollerin tasarımını değerlendirme ve bunların uygulanıp uygulanmadığını belirleme gereksinimi, paragraf 13(g)(ii)’de açıklanan yönetim süreciyle ilgilidir. Denetçi, muhasebe tahminleriyle ilişkili karmaşıklığa bağlı olarak, 13(g)(ii) paragrafının paragrafında yer alan tüm yönleriyle ilişkili kontrolleri unsurlarla ilgili kontrol faaliyetlerini belirleyemeyebilir.

A51. Denetçi, kontrolleri belirlemenin ve bunların tasarımlarının değerlendirilmesi ile uygulanıp uygulanmadıklarının belirlenmesinin denetimle ilgili kontrol faaliyetlerine ilişkin kanaat edinmenin bir parçası olarak aşağıdakileri değerlendirebilir:

• ...

• Kontrollerin Kontrol faaliyetlerinin tasarımının etkinliği. Genellikle,...

A52. Yönetimin bir muhasebe tahmininin oluşturulmasında bilgi teknolojisinden yoğun bir şekilde yararlanması durumunda, kontrol faaliyetleri bileşenindeki belirlenen denetimle ilgili kontrollerin genel BT kontrollerini ve bilgi işleme uygulama kontrollerini içermesi muhtemeldir. Bu tür kontroller aşağıdakilerle ilgili riskleri ele alabilir:

• BT uygulamalarının veya BT çevresinin diğer yönlerinin Bilgi teknolojisi sisteminin, yeterli kapasiteye sahip olup olmadığı ve büyük hacimli verileri işlemek için uygun şekilde yapılandırılmış olup olmadığı,

• Yöntemin uygulamasındaki karmaşık hesaplamalar. Karmaşık işlemleri yapabilmek için çeşitli BT uygulamalarının sistemlerin gerektiği durumlarda, özellikle BT uygulamaları sistemler otomatik ara yüzlere sahip olmadığında veya manuel müdahaleye maruz kalabildiğinde, BT uygulamaları sistemler arasında düzenli mutabakatlar yapılır,

• ...

A53. Bankacılık veya sigortacılık gibi bazı sektörlerde, yönetişim terimi, BDS 315^113,te açıklandığı üzere, kontrol çevresindeki faaliyetlerin, işletmenin iç kontrol sistemini izleme sürecinin kontrolllerin izlenmesinin ve iç kontrol sisteminin kontrolün diğer bileşenlerinin tanımlanması için kullanılabilir.

A54. İç denetim fonksiyonuna sahip işletmelerde, bu fonksiyon tarafından yapılan çalışmalar aşağıdakilere ilişkin kanaat edinirken denetçiye özellikle yardımcı olabilir:

• Yönetimin muhasebe tahminleri kullanımının niteliği ve kapsamı,

• Muhasebe tahminlerini oluşturmak için kullanılan veri, varsayım ve modellerle ilgili riskleri ele alan kontrollerin kontrol faaliyetlerinin tasarımı ve uygulaması,

• İşletmenin muhasebe tahminlerinin dayandığı verileri üreten bilgi sisteminin yönleri ve

• Muhasebe tahminlerine ilişkin yeni risklerin nasıl belirlendiği, değerlendirildiği ve yönetildiği.

A59. Gerçeğe uygun değere ilişkin muhasebe tahminleri ve ölçüm tarihinde geçerli olan şartlara dayanan diğer muhasebe tahminlerinin ölçüm amaçları, belirli bir tarihteki (andaki) değere ilişkin -işletmenin faaliyette bulunduğu çevre değiştikçe önemli ölçüde ve hızla değişebilen- algıları ele alır. Dolayısıyla, denetçi “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesiyle ilgili olabilecek bilgilerin elde edilmesi amacıyla gözden geçirmeye odaklanabilir. Örneğin, bazı durumlarda, önceki döneme ait bir gerçeğe uygun değere ilişkin muhasebe tahmininin sonucunu etkileyen piyasa katılımcısı varsayımlarında meydana gelen değişikliklerle ilgili bilgi edinilmesinin, ihtiyaca uygun denetim kanıtı sağlama olasılığı düşüktür. Böyle bir durumda, varsayımların sonuçlarına ilişkin kanaat edinmek (nakit akışı projeksiyonları gibi) ve cari dönemde “önemli yanlışlık” risklerini belirlemeyi ve değerlendirmeyi destekleyen yönetimin önceki tahmin sürecinin etkinliğini anlamak suretiyle denetim kanıtı elde edilebilir.

A60. Bir muhasebe tahmininin sonucu ile önceki döneme ait finansal tablolara alınan tutar arasında farklılık olması, mutlaka önceki döneme ait finansal tablolarda yanlışlık olduğu anlamına gelmez. Ancak söz konusu farklılığın, önceki döneme ait finansal tablolar tamamlandığında yönetimin sahip olduğu bilgilerden veya geçerli finansal raporlama çerçevesi bağlamında elde edilmiş ve dikkate alınmış olması makul olarak beklenen bilgilerden kaynaklanması hâlinde, bu tür bir fark yanlışlık olduğu anlamına gelebilir.¹¹⁴ Bu tarz bir fark, yönetimin muhasebe tahmini oluştururken bilgiyi dikkate alma sürecine ilişkin şüphe oluşturabilir. Sonuç olarak, denetçi ilgili kontrollerin test edilmesine ilişkin herhangi bir planı ve kontrol riskine ilişkin ilgili değerlendirmeyi riskini yeniden değerlendirebilir veya bu konuya ilişkin daha fazla ikna edici denetim kanıtı elde edilmesi gerektiğini belirleyebilir. Finansal raporlama çerçevelerinin çoğu, muhasebe tahminlerinde yanlışlık oluşturan değişiklikler ile oluşturmayan değişiklikler arasındaki farkın ayırt edilmesine ve söz konusu duruma göre izlenmesi gereken muhasebe yöntemine ilişkin rehberlik sağlamaktadır.

A65. BDS 200’ün A42 paragrafı uyarınca BDS’ler, genel olarak BDS’lerin genellikle yapısal riske ve kontrol riskine ayrı ayrı atıfta bulunmak verine, ““önemli yanlışlık” risklerine” atıfta bulunur. bulunmadığını belirtir. Ancak bu BDS 315; BDS 330’a⁴⁴⁵ uygun olarak muhasebe tahminlerine ilişkin -ciddi riskler dâhil- yönetim beyanı düzeyindeki¹¹⁶ “önemli yanlışlık” risklerine karşılık vermek için müteakip denetim prosedürlerinin tasarlanması ve uygulanmasına bir dayanak sağlamak amacıyla yapısal riskin ve kontrol riskinin ayrı bir şekilde değerlendirilmesini gerektirir.

A66. BDS 315¹¹⁷ uyarınca muhasebe tahminleriyle ilgili “önemli “Önemli yanlışlık” risklerini belirlerken ve yapısal riski değerlendirirken denetçi, yönetim beyanlarının yanlışlığa olan açıklığını etkileyen yapısal risk faktörlerini ve bu etkiyi nasıl oluşturduklarını muhasebe tahmininin; tahmin belirsizliği, karmaşıklık, subjektiflik etkilendiğini dikkate alır. Denetçinin yapısal risk faktörlerine ilişkin değerlendirmesi;

• Yanlışlık ihtimalinin ve yanlışlığın büyüklüğünün değerlendirilmesinde (diğer bir ifadeyle; yapısal Yapısal riskin, yapısal risk aralığında değerlendirildiği durumlarda) ve

• Yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmenin nedenleri ile 18 inci paragrafa uygun olarak; bu nedenlere karşılık veren müteakip denetim prosedürleri belirlenirken, prosedürlerine,

karar verirken kullanılacak bilgileri de sağlayabilir. Yapısal risk faktörleri arasındaki karşılıklı ilişkiler Ek 1’de daha detaylı şekilde açıklanmaktadır.

A68. Yapısal risk faktörlerinin ihtiyaca uygunluğu ve önemi bir tahminden diğerine değişebilir. Buna göre, yapısal risk faktörleri, tek başına veya birlikte, basit muhasebe tahminlerini daha az derecede etkileyebilir ve denetçi, daha az risk belirleyebilir veya yapısal riski, yapısal risk aralığının en alt ucuna yakın şekilde ucunda değerlendirebilir.

A70. Finansal tabloların tarihinden sonra meydana gelen olaylar, denetçinin, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesiyle ilgili ek bilgi sağlayabilir. Örneğin, bir muhasebe tahmininin sonucundan denetim sürecinde haberdar olunabilir. Bu tür durumlarda, muhasebe tahmininin; tahmin belirsizliği, karmaşıklık, subjektiflik veya diğer yapısal risk faktörlerine ne derece maruz kaldığına veya bunlardan ne derece etkilendiğine bakılmaksızın yapısal risk faktörlerinin muhasebe tahminine ilişkin yönetim beyanlarının yanlışlığa olan açıklığını nasıl etkilediğine bakılmaksızın denetçi, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerinin¹¹⁸ değerlendirmesini yeniden değerlendirebilir veya revize edebilir. Finansal tabloların tarihinden sonra meydana gelen olaylar, 18 inci paragrafa uygun olarak muhasebe tahminini test etme yaklaşımına ilişkin denetçinin seçimini ayrıca etkileyebilir. Örneğin, seçilen çalışanların maaşlarının belirli bir yüzdesine dayanan basit bir prim tahakkuku için denetçi, muhasebe tahmini oluşturulmasında görece daha az karmaşıklık veya subjektiflik olduğu sonucuna varabilir ve bu nedenle yönetim beyanı düzeyindeki yapısal riski, yapısal risk aralığının en alt ucuna yakın şekilde ucunda değerlendirebilir. Dönem sonundan sonraki prim ödemeleri, yönetim beyanı düzeyindeki “önemli yanlışlık” riski olarak değerlendirilen risklere ilişkin yeterli ve uygun denetim kanıtı sağlayabilir.

Diğer Yapısal Risk Faktörleri (Bkz.: 16(b) paragrafı)

A79. Bir muhasebe tahminiyle ilişkilendirilen subjektiflik derecesi, muhasebe tahmininin yönetimin taraflılığı veya hile yapısal riski etkiledikleri ölçüde diğer hile riski faktörleri nedeniyle yanlışlığa olan açıklığını etkiler. Örneğin, bir muhasebe tahmini yüksek derecede bir tahmin belirsizliğine maruz kaldığında, muhasebe tahmininin, yönetim taraflılığı veya hile nedeniyle yanlışlığa daha fazla açık olması muhtemeldir ve bu durum çok çeşitli muhtemel ölçüm sonuçlarına neden olabilir. Yönetim, içinde bulunulan şartlar altında uygun olmayan ya da kasıtlı veya kasıtlı olmayan yönetim taraflılığından uygun olmayan şekilde etkilenen ve bu nedenle yanlışlık içeren bir aralıktan nokta tahmini seçebilir. Devam eden denetimler açısından; önceki dönemlerdeki denetimler sırasında tespit edilen yönetimin muhtemel taraflılığına ilişkin göstergeler, cari dönemdeki planlamayı ve risk değerlendirme prosedürlerini etkileyebilir.

Denetçinin İlgili Kontrollerin İşleyiş Etkinliğine Güvenmek İstediği Durumlar (Bkz.: 19 uncu paragraf)

A85. Kontrollerin İlgili kontrollerin işleyiş etkinliğinin test edilmesi, ciddi riskler dâhil, yapısal risklerin, yapısal risk aralığının daha üst kısmında değerlendirildiği durumlarda, uygun olabilir. Bu durum, muhasebe tahmini yüksek derecede bir karmaşıklığa maruz kaldığında veya karmaşıklıktan etkilendiğinde söz konusu olabilir. Muhasebe tahmininin subjektiflikten yüksek derecede etkilendiği ve bu nedenle yönetim tarafından önemli bir muhakemede bulunulmasının gerektiği durumlarda, kontrollerin tasarımının etkinliğindeki yapısal kısıtlamalar, denetçinin kontrollerin işleyiş etkinliğini test etmekten ziyade maddi doğrulama prosedürlerini uygulamaya daha fazla odaklanmasına neden olabilir.

BDS 550 İLİŞKİLİ TARAFLAR

...

Açıklayıcı Hükümler ve Uygulama

...

A9. Denetim ekibi içinde yapılan müzakerelerde ele alınan hususlar aşağıdakileri içerir:

• ...

...

• Yönetimin ve üst yönetimden sorumlu olanların ilişkili taraf ilişkileri ve işlemlerinin belirlenmesine, uygun şekilde muhasebeleştirilmesine (geçerli finansal raporlama çerçevesinde ilişkili taraf hükümleri bulunuyorsa) ve açıklanmasına verdiği önem ve yönetimin ilgili kontrolleri ihlal etme riski.

...

A12. Ancak geçerli finansal raporlama çerçevesinde ilişkili taraf hükümlerinin bulunmaması durumunda, işletme böyle bilgi sistemlerine sahip olmayabilir. Bu tür durumlarda, yönetimin ilişkili tarafların hepsinin varlığından haberdar olamama ihtimali bulunur. Buna rağmen, 13 üncü paragrafta öngörülen konularda sorgulama yapılır, çünkü yönetim bu BDS’de belirlenen ilişkili taraf tanımına uyan tarafların varlığından haberdar olabilir. Ancak bu durumda, ilişkili tarafların kimliğine ilişkin denetçinin yapacağı sorgulamaların, BDS 315’e uygun olarak işletmenin organizasyon yapısı, ortaklık ve üst yönetim yapısı ile iş modeli hakkında aşağıdaki konularda bilgi elde etmek için gerçekleştirilen risk değerlendirme prosedürlerinin ve ilgili faaliyetlerin bir parçasını oluşturması muhtemeldir.:

• İşletmenin ortaklık ve üst yönetim yapısı,

• İşletmenin yaptığı ve yapmayı planladığı yatırım türleri,

• İşletmenin yapılanma biçimi ve nasıl finanse edildiği.

Ortak kontrol ilişkilerinin bulunması durumunda, bu ilişkiler işletme açısından ekonomik bir öneme sahipse, yönetimin bu ilişkilerden haberdar olması daha muhtemeldir. Bu durumda denetçinin yapacağı sorgulamalar, işletmenin önemli işlemler gerçekleştirdiği veya önemli ölçüde kaynak paylaşımı yaptığı tarafların ilişkili taraf olup olmadığı konusuna odaklanırsa, sorgulamaların etkin olma ihtimali artar.

...

Küçük işletmelere özgü hususlar

A20. Küçük işletmelerdeki kontroller kontrol faaliyetleri genellikle daha basittir ve bu işletmelerde ilişkili taraf ilişkileri ve işlemlerine yönelik belgelendirilmiş süreçlerin bulunmama ihtimali yüksektir. İşletme sahibi-yöneticiler, ilişkili taraf ilişkilerinden kaynaklanan bazı riskleri ortadan kaldırabilir veya işlemlerin tüm yönlerine aktif katılımda bulunarak bu riskleri potansiyel olarak artırabilir. Bu tür işletmelerde denetçi, diğer prosedürlerle (örneğin yönetimin gözetim ve gözden geçirme faaliyetlerinin gözlemlenmesi ve ilgili mevcut belgelerin tetkik edilmesiyle) birlikte yapılan sorgulamalar yoluyla, ilişkili taraf ilişkileri ve işlemleri ve bunlar üzerindeki kontroller hakkında bilgi elde edebilir.

...

A28. Aşağıdakiler, denetim ekibi üyeleri arasında paylaşılabilen ve ihtiyaca uygun olan ilişkili taraf bilgilerine örnek olarak verilebilir:

• İşletmenin ilişkili taraflarının kimliği.

• İlişkili taraf ilişkilerinin ve işlemlerinin niteliği.

• Denetimde özel olarak dikkate alınması gerekebilen Ciddi risk olarak belirlenebilen önemli veya karmaşık ilişkili taraf ilişkileri veya işlemleri (özellikle yönetim veya üst yönetimden sorumlu olanların finansal olarak dâhil olduğu işlemler).

...

A34. Risk değerlendirme prosedürlerinin sonuçlarına bağlı olarak denetçi, işletmenin ilişkili taraf ilişkileri ve işlemlerine ilişkin kontrollerini test etmeden denetim kanıtı elde etmenin uygun olduğunu düşünebilir. Ancak bazı durumlarda, sadece ilişkili taraf ilişkileri ve işlemleriyle bağlantılı “önemli yanlışlık” risklerine yönelik uygulanan maddi doğrulama prosedürlerinden yeterli ve uygun denetim kanıtı elde etmek mümkün olmayabilir. Örneğin, işletme ile bağlı birimleri arasında oldukça fazla sayıda topluluk içi işlem gerçekleşmesi ve bu işlemlerle ilgili çok sayıda bilginin entegre bir sistem içerisinde elektronik olarak girilmesi, kaydedilmesi, işlenmesi veya raporlanması durumunda denetçi, bu işlemlerle bağlantılı “önemli yanlışlık” risklerini kabul edilebilir bir seviyeye indirebilecek etkin maddi doğrulama prosedürlerinin tasarlanmasının mümkün olmadığına karar verebilir. Böyle bir durumda denetçi, ilgili kontrollerin işleyiş etkinliğiyle ilgili yeterli ve uygun denetim kanıtı elde edilmesine ilişkin BDS 330’da yer alan hükmü yerine getirirken, ilişkili taraf ilişkileri ve işlemlerinin kaydedilmesinin tamlığı ve doğruluğuna ilişkin işletmenin yaptığı kontrolleri de test eder.

BDS 600 ÖZEL HUSUSLAR-TOPLULUK FİNANSAL TABLOLARININ BAĞIMSIZ DENETİMİ (TOPLULUĞA BAĞLI BİRİM DENETÇİLERİNİN ÇALIŞMALARI DÂHİL)

...

Topluluğun, Topluluğa Bağlı Birimlerin ve Çevrelerinin Tanınması

17. Denetçinin, işletme ve çevresi, geçerli finansal raporlama çerçevesi ve iç kontrol sistemi hakkında kanaat edinmek çevresini tanımak suretiyle, “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesi gerekir.¹¹⁹ Topluluk denetim ekibi:

(a) ...

¹¹⁹ BDS 315, ““İşletme ve Çevresini Tanımak Suretiyle ‘Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”

...

Açıklayıcı Hükümler ve Uygulama

...

A6. Topluluk denetim ekibi, bir birimi belirli nitelik veya durumlarından dolayı topluluk finansal tablolarında ciddi “önemli yanlışlık” risklerine yol açma ihtimaline sahip bir birim olarak belirleyebilir. (yani, denetimde özel dikkat gerektiren riskler¹²⁰) Örneğin, bir birim döviz alım satımından sorumlu olabilir ve bu sebeple, topluluk açısından münferit olarak finansal öneme sahip olmasa dâhi, topluluğu ciddi bir “önemli yanlışlık” riskine maruz bırakabilir.

¹²⁰ BDS 315, 27-29 uncu paragraflar.

...

Topluluk Denetim Ekibinin Hakkında Kanaat Edineceği Hususlar (Bkz.: 17 nci paragraf)

A23. BDS 315; geçerli finansal raporlama çerçevesi, işletmenin niteliği, amaçları ve stratejileri, iş hayatına ilişkin riskler ve işletmenin finansal performansının ölçülmesi ve gözden geçirilmesi dâhil, işletmeyi etkileyen sektör, mevzuat ve diğer dış etkenler hakkında kanaat edinirken denetçinin göz önünde bulundurması gereken hususlara ilişkin rehberlik sağlamaktadır.¹²¹ Bu BDS’de yer alan Ek 2, konsolidasyon süreci dâhil, topluluğa özgü hususlara ilişkin rehberlik sağlar.

¹²¹ BDS 315, A62-A64 A25-A49 paragrafları ve Ek 1

...

Ek 2

...

Topluluk Genelindeki Kontroller

1. Topluluk genelindeki kontroller aşağıdaki hususların bir bileşimini içerebilir:

• Faaliyetlere ilişkin gelişmelerin müzakere edilmesi ve performansın gözden geçirilmesi amacıyla topluluk ve birim yönetimi arasında yapılan düzenli toplantılar.

• ...

• Birimlerin tümü veya bazıları için ortak olan bir BT sistemi içerisindeki kontroller. kontrol faaliyetleri.

• İç denetim fonksiyonunun faaliyetleri ve öz değerlendirme programları dâhil, topluluğun iç kontrol sistemini izleme süreci içerisindeki kontroller kontrollerin izlenmesi.

• ...

Ek 5

...

Birim denetçisinin çalışmasının yürütülmesiyle ilgili hususlar:

• Topluluk denetim ekibinin, birimlerin tamamı veya bazıları için ortak olan bir işleme sisteminin kontrol testlerinden faaliyetlerine dair yaptığı testlerden elde ettiği bulgular ve birim denetçisi tarafından yapılacak olan kontrol testleri.

...

BDS 610 İÇ DENETÇİ ÇALIŞMALARININ KULLANILMASI

...

7. BDS 315, iç denetim fonksiyonunun bilgi ve tecrübesinin; dış denetçinin işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinmesinde çevresini tanımasında, “önemli yanlışlık” risklerini belirlemesinde ve değerlendirmesinde dış denetçiyi nasıl bilgilendirebileceğini ele alır. Ayrıca BDS 315, iç denetçiler ve dış denetçiler arasındaki etkin bir iletişimin dış denetçinin çalışmasını etkileyebilecek önemli hususlardan haberdar olabileceği bir çevrenin oluşturulmasındaki rolünü açıklar.

...

Açıklayıcı Hükümler ve Uygulama

...

A3. Ayrıca, işletmede iç denetim fonksiyonu dışında yer alan operasyonel ve idari görevleri ve sorumlulukları bulunanlar genellikle tarafsızlıklarına yönelik tehditlerle muhatap olurlar. Bu da, BDS 330’a uygun olarak test edilebilir nitelikte kontroller kontrol faaliyetleri gerçekleştiriyor olmalarına rağmen, bu kişilerin, bu BDS’nin amacı açısından iç denetim fonksiyonunun bir parçası olarak değerlendirilmelerini engelleyecektir. Bu nedenle, işletme sahibi-yönetici tarafından gerçekleştirilen izleme kontrolleri iç denetim fonksiyonuna eşdeğer olarak değerlendirilemez.

...

Sistematik ve Disiplinli Yaklaşımın Uygulanması (Bakınız: 15 (c) paragrafı)

A10. İç denetim fonksiyonunun faaliyetlerinin planlanması, yürütülmesi, gözetimi, gözden geçirilmesi ve belgelendirilmesinde sistematik ve disiplinli bir yaklaşım uygulaması, bu faaliyetleri işletme içerisinde gerçekleştirilen diğer izleme kontrollerinden kontrolleri faaliyetlerinden ayırır.

...

A21. BDS 315¹²²’de açıklandığı üzere ciddi riskler, yapısal risk aralığının üst sınırına yakın olarak değerlendirilmiş risklerdir risklere özellikle dikkat edilmesi gerekir ve bu nedenle ciddi risklere ilişkin olarak dış denetçinin iç denetim fonksiyonunun çalışmasını kullanma imkânı sınırlı muhakeme gerektiren prosedürlerle sınırlandırılmıştır. Ayrıca, “önemli yanlışlık” risklerinin düşük olmadığı durumlarda, iç denetim fonksiyonun çalışmasının kullanılmasının denetim riskini kabul edilebilir bir düzeye indirmesi ve dış denetçinin bazı testleri kendisinin doğrudan uygulaması zorunluluğunu kaldırması ihtimali düşüktür.

¹²² BDS 315, 12 nci 4 üncü paragrafta yer alan “ciddi risk” tanımı

...

BDS 620 UZMAN ÇALIŞMALARININ KULLANILMASI

Açıklayıcı Hükümler ve Uygulama

A4. Aşağıda yer alan bir veya daha fazla hususta denetçiye yardımcı olması amacıyla, bir uzmana ihtiyaç duyulabilir:

İç kontrol dahil olmak üzere, işletme ve çevresinin tanınması İşletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında kanaat edinilmesi,

BDS 701 KİLİT DENETİM KONULARININ BAĞIMSIZ DENETÇİ RAPORUNDA BİLDİRİLMESİ

Açıklayıcı Hükümler ve Uygulama

A20. BDS 315’e göre, ciddi risk denetçinin, yargısına göre denetimde özellikle dikkat edilmesi gereken “önemli yanlışlık” riski olarak belirlediği ve değerlendirdiği risklerdir. BDS 315’e göre, ciddi risk; yapısal risk faktörlerinin bir yanlışlığın oluşma ihtimali ile yanlışlığın oluşması durumunda muhtemel yanlışlığın büyüklüğünün bileşimini etkileme derecesi nedeniyle yapısal risk değerlendirmesinin yapısal risk aralığının üst sınırına yakın olduğu belirlenmiş ve değerlendirilmiş “önemli yanlışlık” riskidir.¹²³ Yönetimin önemli yargılarda bulunduğu alanlar ve önemli olağan dışı işlemler, genellikle ciddi risk olarak belirlenebilir. Ciddi riskler, bu sebeple denetçinin azami düzeyde dikkat etmesini gerektiren alanlardır.

¹²³ BDS 315, 12 nci paragrafta yer alan “ciddi risk” tanımı

BDS 720 BAĞIMSIZ DENETÇİNİN DİĞER BİLGİLERE İLİŞKİN SORUMLULUKLARI

Açıklayıcı Hükümler ve Uygulama

A31. Denetçinin denetim sırasında elde ettiği bilgiler, işletmenin iç kontrolü dâhil olmak üzere, denetçinin işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmeniniç kontrol sistemi hakkında BDS 315 uyarınca edindiği kanaati de içerir.¹²⁴ BDS 315 uyarınca denetçinin işletme ve çevresini tanıma yükümlülüğü, aşağıda yer alan hususlar hakkında kanaat edinilmesini içerir:

(a) İşletmenin organizasyon yapısı, ortaklık ve üst yönetim yapısı ile is modeli (iş modelinin BT kullanımını ne derece entegre ettiği dâhil),

(a) (b) İlgili sektör, mevzuat /düzenlemeler ve diğer dış faktörler,

(b) İşletmenin niteliği,

(c) İşletmenin muhasebe politikaları seçimi ve uygulaması,

(ç) İşletmenin amaç ve stratejileri,

(d)(c) İşletmenin finansal performansının değerlendirilmesi için kullanılan ihtiyaca uygun iç ve dış ölçümler ölçümü ve gözden geçirilmesi ve

(e) (ç) İşletmenin iç kontrolü.

¹²⁴ BDS 315, “İşletme ve Çevresini Tanımak Suretiyle ‘Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”, 11-12 nci 19-27 nci paragraflar

A51. Diğer bilgilerin incelenmesi sırasında denetçi, aşağıdaki hususlara etkisi olan yeni bilgilerin farkına varabilir:

• Denetçinin işletme ve çevresi, geçerli finansal raporlama çerçevesi ve işletmenin iç kontrol sistemi hakkında edindiği kanaate işletme ve çevresini tanımasına bağlı olarak denetçinin risk değerlendirmesinin revize edilmesi ihtiyacının ortaya çıkması.

YÜRÜRLÜK TARİHİ

Standartlarda yer alan değişiklikler, 1/1/2022 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde uygulanmak üzere yayımı tarihinde yürürlüğe girer.

³⁷ BDS 610, “İç Denetçi Çalışmalarının Kullanılması”

³⁸ BDS 570, 19-20 nci paragraflar

³⁹ BDS 240, A28 paragrafı

⁴⁰ BDS 330, 21 inci paragrafragraf

⁴¹ BDS 240, 28 ve A33 paragrafları

⁴² BDS 330, 8(b) paragrafı

⁴³ BDS 330, 8(a) paragrafıgraf

⁴⁴ BDS 402, “Hizmet Kuruluşu Kullanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar”

⁴⁵ BDS 330, 8-11 inci paragraflar

⁴⁶ 21(b), 22(b), 24(c), 25(c) ve 26(ç) paragrafları

⁴⁷ BDS 265, “İç Kontrol Eksikliklerinin Üst Yönetimden Sorumlu Olanlara ve Yönetime Bildirilmesi”, 8 inci paragraf

⁴⁸ BDS 265’in A6 ve A7 paragrafları, ciddi eksikliklerin göstergelerini; iç kontroldeki bir eksikliğin veya birkaç eksikliğin bir arada ciddi bir eksiklik oluşturup oluşturmayacağını değerlendirirken dikkate alınacak konuları da ortaya koymaktadır.

⁴⁹ BDS 200, A16 paragrafı

⁵⁰ BDS 330, 5 inci paragraf

⁵¹ BDS 705, “Bağımsız Denetçi Raporunda Olumlu Görüş Dışında Bir Görüş Verilmesi”

⁵² BDS 330, 15 ve 21 inci paragraflar

⁵³ BDS 330, 7(b) paragrafı

⁵⁴ BDS 260, 15 inci paragraf

⁵⁵ BDS 701, “Kilit Denetim Konularının Bağımsız Denetçi Raporunda Bildirilmesi”, 9 uncu paragraf

⁵⁶ BDS 220, 17 ve A19 paragrafları

⁵⁷ BDS 600, 30 ve 31 inci paragraflar

⁵⁸ BDS 240, 26-28 inci paragraflar

⁵⁹ BDS 330, 8 inci paragraf

⁶⁰ BDS 540, A87-A89 paragrafları

⁶¹ BDS 330, A29-A32 paragrafları

⁶² BDS 500, A1 paragrafı

⁶³ BDS 320, A1 paragrafı

⁶⁴ BDS 320, 4 üncü paragraf

⁶⁵ BDS 330, 18 inci paragraf

⁶⁶ BDS 230, A7 paragrafı

⁶⁷ BDS 230, 8 inci paragraf

⁶⁸ BDS 300, “Finalisal Tabloların Bağımsız Denetiminin Planlanması”, 7, 9 ve A11 paragrafları

⁶⁹ BDS 330, 28 inci paragraf

⁷⁰ BDS 550, A7 paragrafı

⁷¹ BDS 240, A24-A27 paragrafları

⁷² BDS 610 ve bu BDS’nin Ek 4 bölümünde, iç denetime ilişkin detaylı rehberlik sunulmaktadır.

⁷³ İlgili hükümler BDS 610’da yer almaktadır.

⁷⁴ BDS 240, 19 uncu paragraf

⁷⁵ BDS 200, 7 nci paragraf

⁷⁶ Bir veri ambarı genellikle, raporların oluşturulabileceği veya işletme tarafından diğer veri analizi faaliyetleri için kullanılabilecek bir veya daha fazla farklı kaynaktan (birden fazla veri tabanı gibi) gelen entegre verilerin merkezi deposu olarak tanımlanır. Rapor yazıcı, bir veya daha fazla kaynaktan (veri ambarı, veri tabanı veya BT uygulaması gibi) veri ayıklamak ve verileri belirtilen biçimde sunmak için kullanılan bir BT uygulamasıdır.

⁷⁷ BDS 250

⁷⁸ BDS 330, “Bağımsız Denetçinin Risk Olarak Değerlendirilmiş Hususlara Karşı Yapacağı İşler”, 7-17 nci paragraflar

⁷⁹ BDS 315, ‘“Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi” BDS 540, “Muhasebe Tahminlerinin ve İlgili Açıklamaların Bağımsız Denetimi”, 15 inci paragraf

⁸⁰ BDS 330, 7(b) paragrafı

^{81 BDS 330, 6 ncı paragraf}

⁸² BDS 315, A59 paragrafı ve Ek 1 A91 paragrafı ve Ek 3

⁸³ BDS 315, 5-24 üncü paragraflar

^{86 BDS} _{315, 12}^{(i) paragrafı}

^{87 BDS} _{315, 21} ^{inci paragraf}

^{88 BDS} _{315, 26}^{(a)(ii) paragrafı}

^{90 BDS} _{315, 31 ve 34} ^{üncü paragraflar}

⁹¹ BDS 315, 33 üncü30 uncu paragraf

⁹² BDS 315, 26(c)(i) paragrafı

⁹³ BDS 315, 36 ncı paragraf

⁹⁴ BDS 315, 53 üncü 31 inci paragraf

¹⁰⁰ BDS 315, ““İşletme ve Çevresini Tanımak Suretiyle ‘Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”

¹⁰¹ BDS 315, 31 inci paragraf

¹⁰² BDS 530, “Bağımsız Denetimde Örnekleme”, Ek 3

¹⁰³ BDS 315, 19-27 nci 3, 5-6, 9, 11-12, 15-17 ve-20-21 inci paragraflar

^{104 BDS 315, 26(a)(i)-(iv) paragrafları}

¹⁰⁵ BDS 315, 25 ve 26 ncı 31 ve 34 üncü paragraflar

¹⁰⁶ BDS 315, 3227 nci paragraf

¹⁰⁷ BDS 315, 29 uncu 26(a)(i) paragraf paragrafı

¹⁰⁸ _{BDS 315, 26(a) paragrafı}

¹⁰⁹ BDS 315, 12(i) paragrafı

^{110 BDS} _{315, 31} ^{inci paragraf}

¹¹¹ BDS 315, 21 (a) paragrafı 14 üncü paragraf

¹¹² BDS 315, 22(b) paragrafı 17 nci paragraf

¹¹³ BDS 315, Ek 3 A77 paragrafı

¹¹⁴ BDS 560, Bilanço Tarihinden Sonraki Olaylar, 14 üncü paragraf

¹¹⁵ BDS 330, 7(b) paragrafı

¹¹⁶ BDS 315, 31 ve 34 üncü paragraflar

¹¹⁷ BDS 315, 31(a) paragrafı

¹¹⁸ BDS 315, 37 nci 31 inci paragraf