
Giriş
Kapsam
1.
Bu
Bağımsız Denetim Standardı (BDS), denetçinin işletmenin iç kontrolü dâhil
işletme ve çevresini tanımak suretiyle, finansal tablolardaki “önemli
yanlışlık” risklerini belirleme ve değerlendirme sorumluluğunu düzenler.
Yürürlük
Tarihi
2.
Bu BDS,
1/1/2017 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde
uygulanmak üzere yayımı tarihinde yürürlüğe girer.
Amaç
3.
Denetçinin
amacı, işletmenin iç kontrolü dâhil işletme ve çevresini tanımak suretiyle,
finansal tablo ve yönetim beyanı düzeylerinde hata veya hile kaynaklı “önemli
yanlışlık” risklerini belirlemek ve değerlendirmek ve böylece “önemli
yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak işlerin
tasarlanması ve uygulanması için bir dayanak oluşturmaktır.
Tanımlar
4.
Aşağıdaki
terimler BDS’lerde, karşılarında belirtilen anlamlarıyla kullanılmıştır:
(a)
Ciddi
risk: Denetçinin, yargısına göre denetimde özellikle dikkat edilmesi gereken
“önemli yanlışlık” riski olarak belirlediği ve değerlendirdiği risklerdir.
(b)
İç
kontrol: Finansal raporlamanın güvenilirliği, faaliyetlerin etkinliği ve
verimliliği ile ilgili mevzuata uygunluk açısından işletmenin amaçlarına
ulaştığına dair makul güvence sağlamak amacıyla üst yönetimden sorumlu olanlar,
yönetim ve diğer personel tarafından tasarlanan, uygulanan ve sürekliliği
sağlanan süreçtir. “Kontroller” terimi bir veya daha fazla iç kontrol
bileşeninin herhangi bir yönünü ifade eder.
(c)
İş
hayatına ilişkin riskler: İşletmenin amaçlarına ulaşma ve stratejilerini
uygulama kabiliyetini olumsuz şekilde etkileyebilecek önemli şart, olay, durum,
eylem veya eylemsizliklerden ya da uygun olmayan amaç ve stratejiler
belirlenmesinden kaynaklanan risktir.
(ç) Risk değerlendirme prosedürleri: Finansal
tablo ve yönetim beyanı düzeylerinde, hata veya hile kaynaklı “önemli
yanlışlık” risklerini belirlemek ve değerlendirmek amacıyla işletmenin iç
kontrolü dâhil işletme ve çevresini tanımak için uygulanan denetim
prosedürleridir.
(d)
Yönetim
beyanları: Açık veya başka bir şekilde finansal tablolara dâhil edilen ve
denetçinin meydana gelebilecek farklı türdeki muhtemel yanlışlıkları mütalaa
etmek için kullandığı, yönetim tarafından sunulan beyanlardır.
Ana Hükümler
Risk
Değerlendirme Prosedürleri ve İlgili Çalışmalar
5.
Denetçi
finansal tablo ve yönetim beyanı düzeylerinde “önemli yanlışlık” risklerinin
belirlenmesi ve değerlendirilmesine bir dayanak oluşturmak amacıyla risk
değerlendirme prosedürlerini uygular. Ancak, risk değerlendirme prosedürleri
tek başına denetim görüşüne dayanak oluşturacak yeterli ve uygun denetim kanıtı
sağlamaz (Bkz.: A1-A5 paragrafları).
6.
Risk
değerlendirme prosedürleri aşağıdakileri içerir:
(a)
Yönetimin,
-varsa- iç denetim fonksiyonundaki uygun kişilerin ve denetçinin muhakemesine
göre hata veya hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesinde
yardımcı olabilecek bilgiye sahip olan işletme içindeki diğer kişilerin
sorgulanması (Bkz.: A6-A13 paragrafları).
(b)
Analitik
prosedürler (Bkz.: A14-A17 paragrafları).
(c)
Gözlem ve
tetkik (Bkz.: A18 paragrafı).
7.
Denetçi,
müşterinin kabulü veya devam ettirilmesi sürecinde elde ettiği bilgilerin
“önemli yanlışlık” risklerinin belirlenmesiyle ilgili olup olmadığını mütalaa
eder.
8.
Sorumlu
denetçi işletme için başka denetimler de yürütmüşse, elde edilen bilgilerin
“önemli yanlışlık” risklerinin belirlenmesiyle ilgili olup olmadığını mütalaa
eder.
9.
İşletmeyle
ilgili önceki deneyimlerinden ve önceki denetimlerde uyguladığı denetim
prosedürlerinden elde ettiği bilgileri kullanmayı düşünmesi durumunda denetçi,
önceki denetimden bu yana, söz konusu bilgilerin cari denetimle olan ilgisini
etkileyebilecek değişikliklerin olup olmadığına karar verir (Bkz.: A19-A20 paragrafları).
10.
Sorumlu
denetçi ve denetim ekibinin diğer kilit üyeleri, işletmenin finansal
tablolarının önemli yanlışlıklara olan açıklığı ve geçerli finansal raporlama
çerçevesinin işletmenin durum ve gerçeklerine uygulanması konularında
müzakerede bulunur. Sorumlu denetçi, bu müzakereye katılmayan denetim ekibi
üyelerine hangi konuların bildirileceğine karar verir (Bkz.: A21-A24
paragrafları).
İşletmenin
İç Kontrolü Dâhil İşletme ve Çevresini Tanıma Yükümlülüğü
İşletme ve
Çevresi
11.
Denetçi,
işletme ve çevresinin tanınmasında aşağıdaki hususlar hakkında kanaat edinir:
(a)
Geçerli
finansal raporlama çerçevesi dâhil, ilgili sektör, mevzuat/düzenlemeler ve
diğer dış etkenler (Bkz.: A25-A30 paragrafları).
(b)
Denetçi,
finansal tablolarda olması beklenen işlem sınıflarını, hesap bakiyelerini ve
açıklamaları anlayabilmek için aşağıdaki hususlar dâhil, işletmenin niteliği
hakkında kanaat edinir:
(i)
İşletmenin
faaliyetleri,
(ii)
İşletmenin
ortaklık ve üst yönetim yapısı,
(iii)
Özel
amaçlı işletmelerdeki yatırımları dâhil, işletmenin yaptığı ve yapmayı
planladığı yatırımların türleri ve
(iv)
İşletmenin
nasıl yapılandırıldığı ve finanse edildiği.
(Bkz.: A31-A35 paragrafları)
(c)
Muhasebe
politikalarında yapılan değişikliklerin sebepleri dâhil, işletmenin muhasebe
politikaları seçimi ve uygulaması. Denetçi, işletmenin muhasebe
politikalarının, işletmenin faaliyetleri için uygun olup olmadığını ve bu
politikaların ilgili sektördeki geçerli finansal raporlama çerçevesi ve
muhasebe politikalarıyla tutarlı olup olmadığını değerlendirir (Bkz.: A36
paragrafı).
(ç) İşletmenin amaç ve stratejileri ile “önemli
yanlışlık” riskine sebep olabilecek iş hayatına ilişkin riskler (Bkz.: A37-A43
paragrafları).
(d)
İşletmenin
finansal performansının ölçümü ve gözden geçirilmesi (Bkz.: A44-A49
paragrafları).
İşletmenin
İç Kontrolü
12.
Denetçi,
denetimle ilgili iç kontrol hakkında kanaat edinir. Denetimle ilgili
kontrollerin çoğunun finansal raporlamayla ilişkili olması muhtemeldir ancak
finansal raporlamayla ilişkili kontrollerin hepsi denetimle ilgili değildir. Bir
kontrolün tek başına veya diğer kontrollerle birlikte denetimle ilgili olup
olmadığı, denetçinin mesleki muhakemesinin konusudur (Bkz.: A50-A73
paragrafları).
İlgili Kontrollerin Anlaşılmasının Niteliği
ve Kapsamı
13.
Denetçi,
denetimle ilgili kontroller hakkında kanaat edinirken bu kontrollerin
tasarımını değerlendirir ve işletme personelinin sorgulanmasına ek prosedürler
uygulayarak bu kontrollerin uygulanıp uygulanmadığına karar verir (Bkz.:
A74-A76 paragrafları).
İç Kontrol Bileşenleri
Kontrol çevresi
14.
Denetçi
kontrol çevresi hakkında kanaat edinir. Kontrol çevresi hakkında kanaat
edinmenin bir parçası olarak denetçi:
(a)
Üst
yönetimden sorumlu olanların gözetiminde yönetimin, dürüstlük ve etik davranış
kültürü oluşturarak bu kültürü devam ettirip ettirmediğini ve
(b)
Kontrol
çevresi unsurlarının güçlü yönlerinin bir bütün olarak iç kontrolün diğer
bileşenleri için uygun bir zemin oluşturup oluşturmadığını ve kontrol
çevresindeki eksikliklerin söz konusu diğer bileşenleri zayıflatıp
zayıflatmadığını,
değerlendirir
(Bkz.: A77-A87 paragrafları).
İşletmenin
risk değerlendirme süreci
15.
Denetçi,
işletmenin;
(a)
Finansal
raporlama amaçlarıyla ilgili iş hayatına ilişkin risklerin belirlenmesine,
(b)
Risklerin ciddiyetinin
tahmin edilmesine,
(c)
Bu
risklerin gerçekleşme ihtimâllerinin değerlendirilmesine ve
(ç) Bu risklere karşı atılacak adımlara karar
verilmesine,
ilişkin bir
sürecinin bulunup bulunmadığı hakkında kanaat edinir (Bkz.: A88 paragrafı).
16.
İşletmenin
bu tür bir süreç oluşturmuş olması hâlinde (bundan sonra “işletmenin risk
değerlendirme süreci” olarak anılacaktır) denetçi, bu süreç ve sürecin
sonuçları hakkında kanaat edinir. Yönetimin belirleyemediği “önemli yanlışlık”
risklerini belirlemesi hâlinde denetçi, bunun altında, işletmenin risk
değerlendirme süreci tarafından belirlenmesini beklediği türden bir riskin
bulunup bulunmadığını değerlendirir. Böyle bir risk varsa denetçi, söz konusu
sürecin bu riski neden belirleyemediğine ilişkin kanaat edinir ve sürecin
işletmenin içinde bulunduğu duruma uygun olup olmadığını değerlendirir veya
işletmenin risk değerlendirme sürecinde önemli bir iç kontrol eksikliğinin
bulunup bulunmadığına karar verir.
17.
İşletmenin
böyle bir süreç oluşturmaması veya anlık (plansız) bir sürecinin bulunması
hâlinde denetçi, finansal raporlama amaçlarıyla ilgili iş hayatına ilişkin
risklerin belirlenip belirlenmediği ve bu risklerin nasıl ele alındığı hakkında
yönetimle müzakerede bulunur. Denetçi belgelendirilmiş bir risk değerlendirme
sürecinin bulunmamasının, içinde bulunulan şartlar altında uygun olup
olmadığını değerlendirir veya bu durumun önemli bir iç kontrol eksikliği
anlamına gelip gelmediğine karar verir (Bkz.: A89 paragrafı).
İlgili iş süreçleri dâhil finansal
raporlamayla ilgili bilgi sistemi ve iletişim
18.
Denetçi,
ilgili iş süreçleri dâhil finansal raporlamayla ilgili bilgi sistemi hakkında
aşağıdakileri de içerecek şekilde kanaat edinir (Bkz.: A90-A92 paragrafları ve
A95-A96 paragrafları):
(a)
İşletmenin
faaliyetlerindeki, finansal tablolar için önemli olan, işlem sınıfları,
(b)
İşlemlerin
başlatılması, kaydedilmesi, işlenmesi, gerektiğinde düzeltilmesi, defteri
kebire aktarılması ve finansal tablolarda raporlanmasında kullanılan bilgi
teknolojileri (BT) ve manuel sistemlerdeki prosedürler,
(c)
Yanlış
bilgilerin düzeltilmesini ve bilginin defteri kebire nasıl aktarıldığını da
içerecek şekilde; işlemleri başlatmak, kaydetmek, işlemek ve raporlamak için
kullanılan finansal tablolardaki belirli hesaplar, destekleyici bilgiler ve
ilgili muhasebe kayıtları. Bu kayıtlar manuel veya elektronik şekilde olabilir.
(ç) Bilgi sisteminin, finansal tablolar
açısından önemli olan işlemler dışındaki, olay ve şartları nasıl kayıt altına
aldığı,
(d)
Önemli
muhasebe tahminleri ve açıklamalar dâhil, finansal tabloların hazırlanmasında
kullanılan finansal raporlama süreci,
(e)
Tekrar
etmeyen, olağan dışı işlem veya düzeltmeleri kaydetmek için kullanılan standart
olmayan yevmiye kayıtları da dâhil olmak üzere yevmiye kayıtlarını kapsayan
(kontrol eden) kontroller (Bkz.: A93-A94 paragrafları).
Finansal raporlamayla ilgili bilgi sistemi
hakkında edinilen bu kanaat; bu sistemin finansal tablolarda açıklanan bilgilerle
-defteri kebir ve yardımcı defterler ya da bunlar dışındaki kaynaklardan elde
edilen bilgiler- ilişkili yönlerini içerir.
19.
Denetçi,
(a)
Yönetim ve
üst yönetimden sorumlu olanlar arasındaki iletişimler ve
(b)
Düzenleyici
kurumlarla kurulan iletişimler gibi işletme dışındakilerle kurulan iletişimler,
dâhil olmak üzere, finansal raporlamaya
ilişkin görev ve sorumluluklar ile finansal raporlamaya dair önemli hususlarda
işletmenin nasıl iletişim kurduğu hakkında bilgi edinir (Bkz.: A97-A98
paragrafları).
Denetimle ilgili kontrol
faaliyetleri
20.
Denetçi,
yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini değerlendirmek için hakkında
kanaat edinilmesinin gerekli olduğuna karar verdiği denetimle ilgili kontrol
faaliyetleri hakkında kanaat edinir ve “önemli yanlışlık” riski olarak
değerlendirilen risklere karşılık veren müteakip denetim prosedürlerini
tasarlar. Bir denetim, finansal tablolardaki her bir önemli işlem sınıfı, hesap
bakiyesi ve açıklamaya veya bunlarla ilgili olan her yönetim beyanına ilişkin
kontrol faaliyetlerinin hakkında kanaat edinilmesini gerektirmez (Bkz.:
A99-A106 paragrafları).
21.
Denetçi,
işletmenin kontrol faaliyetleri hakkında kanaat edinirken, işletmenin BT’den
kaynaklanan risklere nasıl karşılık verdiği hakkında kanaat edinir (Bkz.:
A107-A109 paragrafları).
Kontrollerin izlenmesi
22.
Denetçi,
denetimle ilgili kontrol faaliyetlerine ilişkin olanlar dâhil, finansal
raporlamaya ilişkin iç kontrolü izlemek amacıyla işletmenin kullandığı temel
faaliyetleri ve işletmenin kontrol eksikliklerine yönelik iyileştirici adımları
nasıl başlattığı hakkında kanaat edinir (Bkz.: A110-A112 paragrafları).
23.
İşletmenin
bir iç denetim fonksiyonunun bulunması hâlinde denetçi, bu fonksiyonun
sorumluluklarının niteliği, kurumsal statüsü ve fonksiyon tarafından
gerçekleştirilen veya gerçekleştirilecek olan faaliyetler hakkında kanaat edinir
(Bkz.: A113-A120 paragrafları).
24.
Denetçi,
işletmenin izleme faaliyetlerinde kullanılan bilginin kaynakları ve yönetimin, amaçları
açısından bu bilginin yeterince güvenilir olduğunu düşünmesinin dayanağı
hakkında kanaat edinir (Bkz.: A121 paragrafı).
“Önemli Yanlışlık” Risklerinin Belirlenmesi ve
Değerlendirilmesi
25.
Denetçi,
müteakip denetim prosedürlerinin tasarlanması ve uygulanmasına dayanak teşkil
etmesi amacıyla:
(a)
Finansal
tablo düzeyinde (Bkz.: A122-A125 paragrafları) ve
(b)
İşlem
sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde (Bkz.:
A126-A131 paragrafları),
“önemli
yanlışlık” risklerini belirler ve değerlendirir.
26.
Bu amaçla
denetçi;
(a)
Risklerle
ilgili kontroller hakkında kanaat edinilmesi dâhil, işletme ve çevresini tanıma
süreci boyunca finansal tablolardaki işlem sınıflarını, hesap bakiyelerini ve
açıklamaları (bu tür açıklamaların nicel veya nitel yönleri dâhil) dikkate
alarak riskleri belirler (Bkz.: A132-A136 paragrafları),
(b)
Belirlenen
riskleri değerlendirir; bu risklerin, bir bütün olarak finansal tablolarla daha
yaygın bir şekilde ilgili olup olmadığını ve potansiyel olarak birçok yönetim
beyanını etkileyip etkilemediğini değerlendirir,
(c)
Test etmek
istediği ilgili kontrolleri dikkate alarak, belirlenen riskleri yönetim beyanı
düzeyinde yanlışlığa sebep olabilecek hususlarla ilişkilendirir (Bkz.:
A137-A139 paragrafları) ve
(ç) Birden fazla yanlışlık bulunması ihtimâli
dâhil yanlışlık ihtimâlini ve potansiyel bir yanlışlığın önemli bir yanlışlık
olarak sonuçlanıp sonuçlanmayacağını mütalaa eder (Bkz.: A140 paragrafı).
Denetimde Özel
Dikkat Gerektiren Riskler
27.
25 inci
paragrafta açıklanan risk değerlendirmesinin bir parçası olarak denetçi, kendi
yargısına dayanarak belirlediği risklerden herhangi birinin ciddi bir risk olup
olmadığına karar verir. Denetçi bu yargıda bulunurken, söz konusu riskle ilgili
belirlenen kontrollerin etkilerini dikkate almaz.
28.
Denetçi,
hangi risklerin ciddi risk olduğu konusunda yargıda bulunurken, asgari olarak
aşağıdaki hususları mütalaa eder:
(a)
Riskin
hile kaynaklı bir risk olup olmadığı,
(b)
Riskin,
ekonomi, muhasebe ve diğer alanlardaki önemli güncel gelişmelerle ilgisinin
bulunup bulunmadığı ve dolayısıyla özel bir dikkat gerektirip gerektirmediği,
(c)
İşlemlerin
karmaşıklığı,
(ç)
Riskin ilişkili
taraflarla yapılan önemli işlemleri içerip içermediği,
(d)
Riskle
ilgili finansal bilgilerin ölçümündeki -özellikle geniş bir aralıkta ölçüm
belirsizliği içeren ölçümlerdeki- subjektiflik derecesi ve
(e)
Riskin,
işletmenin olağan faaliyetlerinin dışında kalan veya olağan dışı görünen önemli
işlemler içerip içermediği.
(Bkz.:
A141-A145 paragrafları)
29.
Ciddi bir riskin
bulunduğuna karar vermesi durumunda denetçi, kontrol faaliyetleri dâhil riskle
ilgili işletmenin söz konusu riskle ilgili kontrolleri hakkında kanaat edinir (Bkz.:
A146-A148 paragrafları).
Maddi
Doğrulama Prosedürlerinin Tek Başına Yeterli ve Uygun Denetim Kanıtı
Sağlamadığı Riskler
30.
Bazı
risklere ilişkin olarak denetçi, sadece maddi doğrulama prosedürleri
uygulayarak yeterli ve uygun denetim kanıtı elde etmenin mümkün veya
uygulanabilir olmadığına karar verebilir. Bu tür riskler, özellikleri bakımından
hiçbir manuel müdahale içermeyen veya az bir müdahale içeren otomatik işlem
süreçlerinin yoğun kullanımına izin veren rutin ve önemli işlem sınıfları veya
hesap bakiyelerinin yanlış veya eksik kaydedilmesiyle ilgili olabilir. Bu tür
durumlarda, işletmenin söz konusu risklere ilişkin kontrolleri denetimle ilgilidir
ve denetçi bu kontroller hakkında kanaat edinir (Bkz.: A149-A151 paragrafları).
Risk
Değerlendirmesinin Revize Edilmesi
31.
Denetimin
yürütülmesi sırasında ilâve denetim kanıtı elde edildikçe denetçinin yönetim
beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesi
değişebilir. Denetçi, yeni bir bilgi edindiğinde veya müteakip denetim
prosedürlerini uygulayarak denetim kanıtı elde ettiğinde, bu bilgi veya
kanıtların denetçinin ilk değerlendirmesini dayandırdığı denetim kanıtlarıyla
tutarsız olması hâlinde değerlendirmesini revize eder ve planlanmış müteakip
denetim prosedürlerini buna göre uyarlar (Bkz.: A152 paragrafı).
Belgelendirme
32.
Denetçi,
çalışma kâğıtlarına aşağıdaki hususları dâhil eder:
(a)
10 uncu
paragraf uyarınca denetim ekibi içinde yapılan müzakereler ve bu müzakerelerde
alınan önemli kararlar,
(b)
İşletme ve
çevresiyle ilgili olarak 11 inci paragrafta belirtilen her bir husus ile 14-24
üncü paragraflarda belirtilen iç kontrol bileşenlerinin her biri hakkında edinilen
kanaate ilişkin temel unsurlar; bu kanaatin elde edildiği bilgi kaynakları ve
uygulanan risk değerlendirme prosedürleri,
(c)
25 inci
paragraf uyarınca finansal tablo ve yönetim beyanı düzeylerinde, belirlenen ve
“önemli yanlışlık” riski olarak değerlendirilen riskleri,
(ç)
27-30 uncu paragraflardaki hükümler sonucunda
belirlenen riskler ve bu risklerle ilişkili olarak denetçinin hakkında kanaat edindiği
kontroller.
(Bkz.: A153-A156
paragrafları)
***
Açıklayıcı
Hükümler ve Uygulama
Risk
Değerlendirme Prosedürleri ve İlgili Çalışmalar (Bkz.: 5
inci paragraf)
A1.
İşletmenin
iç kontrolü dâhil, işletme ve çevresinin tanınması (bundan sonra “işletmenin
tanınması” veya “işletmeyi tanıma” olarak ifade edilecektir) denetim boyunca
bilgilerin toplanmasını, güncellenmesini ve analizini içeren ve süreklilik arz
eden dinamik bir süreçtir. Bu tanıma süreci, denetimi planlarken ve denetim
boyunca mesleki muhakemede bulunurken denetçiye, örneğin:
·
Finansal
tablolara ilişkin “önemli yanlışlık” risklerinin değerlendirilmesinde,
·
BDS 320
uyarınca önemliliğin belirlenmesinde,
·
Muhasebe
politikalarının seçimi ve uygulamasının uygunluğu ile finansal tablo
açıklamalarının yeterli olup olmadığının değerlendirilmesinde,
·
Finansal
tablolardaki tutar veya açıklamalarla ilgili olarak özellikle dikkat edilmesi
gerekebilecek alanların belirlenmesinde örneğin ilişkili taraf işlemlerinde,
yönetimin işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin yaptığı
değerlendirmede veya işlemlerin ticari amacının değerlendirilmesinde,
·
Analitik
prosedürlerin uygulanmasında kullanılmak üzere beklentilerin geliştirilmesinde,
·
Yeterli ve
uygun denetim kanıtının elde edilmesi için müteakip denetim prosedürlerinin tasarlanması
ve uygulanması dâhil, “önemli yanlışlık” riski olarak değerlendirilen risklere
karşılık verilmesinde,
·
Elde
edilen denetim kanıtlarının yeterli ve uygun olup olmadığının
değerlendirilmesinde (varsayımların ve yönetimin sözlü ve yazılı beyanlarının
uygunluğu gibi),
bir referans
çerçevesi oluşturur.
A2.
Risk
değerlendirme prosedürlerinin ve ilgili çalışmaların uygulanmasıyla elde edilen
bilgiler, “önemli yanlışlık” risklerinin değerlendirilmesine destek olması
amacıyla denetçi tarafından denetim kanıtı olarak kullanılabilir. Ayrıca bu
prosedürler, özellikle maddi doğrulama prosedürü veya kontrol testleri olarak
planlanmamış olsalar bile, işlem sınıfları, hesap bakiyeleri veya açıklamalar
ile ilgili yönetim beyanları ve kontrollerin işleyiş etkinliği hakkında denetim
kanıtı sağlayabilir. Denetçi ayrıca, daha etkin olduğunu düşünmesi hâlinde
maddi doğrulama prosedürlerini veya kontrol testlerini, risk değerlendirme
prosedürleriyle aynı zamanda uygulamayı tercih edebilir.
A3.
Denetçi,
işletmeyi tanımak için gerekli olan bilginin kapsamını belirlerken mesleki
muhakemesini kullanır. Denetçinin göz önünde bulunduracağı temel husus, elde
edilen bilgilerin bu BDS’de belirtilen amaca ulaşmak için yeterli olup
olmadığıdır. Denetçinin işletmeyi ve çevresini tanımak için ihtiyaç duyduğu
bilginin kapsamı, yönetimin işletmeyi yönetirken sahip olduğu bilginin
kapsamından daha dardır.
A4.
Değerlendirilecek
olan riskler, hata ve hile kaynaklı riskleri içerir ve bu iki risk türü de bu
BDS kapsamındadır. Ancak, hile özel önem arz ettiğinden, hile kaynaklı “önemli
yanlışlık” risklerinin belirlenmesi için kullanılan bilgileri sağlayan risk
değerlendirme prosedürleri ve ilgili çalışmalara ilişkin ilâve hüküm ve
açıklamalar BDS 240’ta yer almaktadır.
A5.
İşletmeyi
tanıma yükümlülüğü (Bkz.: 11-24 üncü paragraflar) kapsamında bilgi edinirken
denetçi 6 ncı paragrafta açıklanan risk değerlendirme prosedürlerinin tamamını
uygulamak zorunda olmakla birlikte, hakkında kanaat edindiği her bir unsur için
prosedürlerin tamamını uygulamak zorunda değildir. Diğer prosedürlerden elde
edilecek bilgilerin “önemli yanlışlık” risklerinin belirlenmesine yardımcı
olabileceği durumlarda bu prosedürler uygulanabilir. Bu prosedürlere örnek
olarak aşağıdakiler verilebilir:
·
Ticaret ve
ekonomi dergileri, analistler, bankalar veya derecelendirme kuruluşları
tarafından hazırlanan raporlar ya da resmi veya finansal yayınlar gibi dış
kaynaklardan elde edilen bilgilerin gözden geçirilmesi.
·
İşletmenin
dış hukuk müşavirlerinin veya kullandığı değerleme uzmanlarının sorgulanması.
Yönetimin,
İç Denetim Fonksiyonunun ve İşletmedeki Diğer Kişilerin Sorgulanması (Bkz.: 6(a)
paragrafı)
A6.
Denetçinin
sorgulamalar yoluyla elde ettiği bilgilerin büyük bir bölümü, yönetimden ve
finansal raporlamadan sorumlu olanlardan elde edilir. Denetçi, -varsa- iç
denetim fonksiyonunun ve işletmedeki diğer kişilerin sorgulanması yoluyla da
bilgi elde edebilir.
A7.
Denetçi
ayrıca işletmedeki diğer kişileri ve farklı yetki seviyesindeki diğer
çalışanları sorgulamak suretiyle “önemli yanlışlık” risklerinin belirlenmesinde
kullanabileceği bilgileri elde edebilir veya farklı bir bakış açısı
yakalayabilir. Örneğin:
·
Üst
yönetimden sorumlu olanların sorgulanması, denetçinin finansal tabloların
hazırlandığı çevreyi tanımasına yardımcı olabilir. BDS 260, denetçinin üst
yönetimden sorumlu olanlardan bu bağlamda bilgi almasına yardımcı olması
açısından, etkin ve karşılıklı bir iletişimin önemini vurgular.
·
Karmaşık
veya olağandışı işlemlerin başlatılması, işlenmesi ve kaydedilmesiyle ilgili
personelin sorgulanması, belirli muhasebe politikalarının seçiminin ve uygulanmasının
uygunluğunu değerlendirmesinde denetçiye yardımcı olabilir.
·
İşletmenin
iç hukuk müşavirinin sorgulanması; davalar, mevzuata uygunluk sağlanması,
işletmeyi etkileyen hile veya hile şüphesi hakkındaki bilgisi, teminatlar,
satış sonrası sorumluluklar, iş ortaklarıyla yapılan anlaşmalar (iş
ortaklıkları gibi) ve sözleşme şartlarının yorumlanması gibi konular hakkında
bilgi sağlayabilir.
·
Pazarlama
veya satış personelinin sorgulanması, işletmenin satış stratejilerindeki
değişiklikler, satış eğilimleri veya müşterileriyle yapılmış olan sözleşmeye
bağlı düzenlemeler hakkında bilgi sağlayabilir.
·
Risk
yönetimi biriminin (veya bu tür görevleri yerine getirenlerin) sorgulanması,
finansal raporlamaya etki edebilecek faaliyet riskleri ve mevzuat riskleri
hakkında bilgi sağlayabilir.
·
Bilgi
sistemleri personelinin sorgulanması; sistem değişiklikleri, sistem veya
kontroldeki aksaklıklar veya bilgi sistemiyle ilgili diğer riskler hakkında
bilgi sağlayabilir.
A8.
İşletme ve
çevresini tanımak süreklilik arz eden ve dinamik bir süreç olduğundan denetçi,
sorgulamalarını denetim boyunca gerçekleştirebilir.
İç Denetim Fonksiyonunun
Sorgulanması
A9.
İşletmenin
iç denetim fonksiyonunun bulunması hâlinde fonksiyon içindeki uygun kişilerin
sorgulanması, işletme ve çevresini tanımasında, finansal tablo ve yönetim
beyanı düzeylerinde “önemli yanlışlık” risklerini belirlemesinde ve
değerlendirmesinde denetçiye yararlı bilgiler sağlayabilir. İç denetim
fonksiyonu, çalışmalarını yürütürken işletmenin faaliyetleri ve iş hayatına
ilişkin riskler hakkında bir fikir edinmiş olabilir ve çalışmaları sonucunda,
belirlenmiş kontrol eksiklikleri veya riskleri gibi bulgular elde edebilir.
Edinilen bu fikir ve bulgular, denetçinin işletmeyi tanıması, risk
değerlendirmesi veya denetimin diğer yönleri açısından değerli girdiler
sağlayabilir. Bu sebeple, uygulanacak denetim prosedürlerinin niteliğini veya
zamanlamasını değiştirmek veya kapsamını daraltmak için denetçi tarafından iç
denetim fonksiyonunun çalışmalarının kullanılıp kullanılmayacağına
bakılmaksızın sorgulama yapılır. Bu sorgulamalar özellikle, iç denetim
fonksiyonunun üst yönetimden sorumlu olanlara ilettiği konularla ve fonksiyonun
kendi risk değerlendirme sürecinin sonuçlarıyla ilgili olabilir.
A10.
Sorgulamalarına
verilen yanıtlara dayanarak, finansal raporlama ve denetimle ilgili bulguların
olabileceği sonucuna varması hâlinde denetçi, iç denetim fonksiyonunun ilgili
raporlarını okumayı uygun bulabilir. İç denetim fonksiyonunun ilgili olabilecek
rapor örnekleri, fonksiyonun strateji ve planlama belgelerini ve iç denetim
fonksiyonunun incelemelerine ait bulguları tanımlayan ve yönetim veya üst
yönetimden sorumlu olanlar için hazırlanmış raporları içerir.
A11.
Bununla
birlikte BDS 240 tarafından zorunlu kılındığı üzere, iç denetim fonksiyonunun
denetçiye gerçekleşmiş, şüphelenilen veya iddia edilen herhangi bir hile
hakkında bilgi sağlaması hâlinde denetçi, hile kaynaklı “önemli yanlışlık”
riskini belirlerken bu bilgiyi dikkate alır.
A12.
İç denetim
fonksiyonu içinde sorgulanacak uygun kişiler, iç denetim birimi başkanı gibi
veya şartlara bağlı olarak fonksiyonun diğer personeli gibi denetçinin
yargısına göre uygun bilgi, deneyim ve yetkiye sahip kişilerdir. Ayrıca
denetçi, bu kişilerle düzenli toplantılar yapmayı uygun görebilir.
Kamu sektörü işletmelerine özgü
hususlar (Bkz.: 6(a) paragrafı)
A13.
Kamu sektöründe
görev yapan denetçilerin genellikle, iç kontrole ve mevzuata uygunluğa ilişkin
ilâve sorumlulukları bulunur. İç denetim fonksiyonundaki uygun kişilerin
sorgulanması, mevzuata önemli aykırılık riskinin ve finansal raporlamaya
yönelik iç kontrol eksikliklerine ilişkin riskin belirlenmesinde denetçilere
yardımcı olabilir.
Analitik
Prosedürler (Bkz.: 6(b) paragrafı)
A14.
Risk
değerlendirme prosedürleri kapsamında uygulanan analitik prosedürler
işletmenin, denetçinin farkında olmadığı farklı yönlerini ortaya çıkarabilir ve
risk olarak değerlendirilen hususlara karşı yapılacak işlerin tasarlanması ve
uygulanmasına dayanak sağlamak amacıyla “önemli yanlışlık” risklerinin
değerlendirilmesine yardımcı olabilir. Risk değerlendirme prosedürleri olarak
uygulanan analitik prosedürler, satış alanının büyüklüğü veya satılan malların
miktarı ile satışlar arasındaki ilişki gibi finansal ve finansal olmayan
bilgiler içerebilir.
A15.
Analitik
prosedürler, denetime etkisi olan hususlara işaret edebilecek olağan dışı işlem
veya olay, tutar, oran ve eğilimlerin belirlenmesine yardımcı olabilir. Tespit
edilen olağan dışı veya beklenmedik ilişkiler, “önemli yanlışlık” risklerinin,
özellikle hile kaynaklı “önemli yanlışlık” risklerinin, belirlenmesinde
denetçiye yardımcı olabilir.
A16.
Ancak bu
tür analitik prosedürlerde bir araya getirilmiş veriler kullanıldığında
(analitik prosedürler risk değerlendirme prosedürleri olarak uygulandığında bu
durum söz konusu olabilir), söz konusu prosedürlerin sonuçları önemli bir
yanlışlığın var olup olmadığı hakkında sadece genel bir ön gösterge sağlar. Bu
sebeple bu tür durumlarda, analitik prosedürlerin sonuçlarıyla birlikte “önemli
yanlışlık” risklerinin belirlenmesinde elde edilen diğer bilgilerin de dikkate
alınması, denetçinin analitik prosedürlerin sonuçlarını anlamasına ve değerlendirmesine
yardımcı olabilir.
Küçük İşletmelere Özgü Hususlar
A17.
Bazı küçük
işletmelerin, analitik prosedürlerin amaçları doğrultusunda kullanılabilecek
ara dönem veya aylık finansal bilgileri bulunmayabilir. Bu tür durumlarda,
denetimin planlanma amaçları doğrultusunda sınırlı analitik prosedürler
uygulayabilmesine veya sorgulama yoluyla bazı bilgileri elde edebilmesine
rağmen denetçi, işletmenin finansal tablolarının ilk taslağı hazır olduğunda,
“önemli yanlışlık” risklerini belirlemek ve değerlendirmek amacıyla analitik
prosedürleri uygulamak için plan yapma ihtiyacı duyabilir.
Gözlem ve
Tetkik (Bkz.: 6(c) paragrafı)
A18.
Gözlem ve
tetkik, yönetimle ve diğerleriyle yapılan sorgulamaları destekleyebilir, ayrıca
işletme ve çevresi hakkında bilgi sağlayabilir. Bu tür denetim prosedürleri,
aşağıdaki hususların gözlem veya tetkikini içerir:
·
İşletme
faaliyetleri.
·
Belgeler
(iş planı ve stratejileri gibi), kayıtlar ve iç kontrol rehberleri.
·
Yönetim
tarafından hazırlanmış raporlar (üç aylık yönetim raporları ve ara dönem
finansal tablolar gibi) ve üst yönetimden sorumlu olanlar tarafından
hazırlanmış raporlar (yönetim kurulu toplantı tutanakları gibi).
·
İşletmenin
tesisleri ve üretim yerleri.
Önceki
Dönemlerde Elde Edilen Bilgiler (Bkz.: 9 uncu paragraf)
A19.
Denetçinin
işletmeyle ilgili önceki deneyimleri ve önceki denetimlerde uygulanan denetim
prosedürleri, denetçiye aşağıdaki gibi hususlar hakkında bilgi sağlayabilir:
·
Geçmişte
tespit edilen yanlışlıklar ve bunların zamanında düzeltilip düzeltilmediği.
·
İşletme ve
çevresinin niteliği ile işletmenin iç kontrolü (iç kontrol eksiklikleri dâhil).
·
İşletme
veya faaliyetlerinde önceki finansal dönemden itibaren gerçekleşmiş olabilecek
ve “önemli yanlışlık” risklerini belirlemek ve değerlendirmek için işletmeyi
yeterince tanımasında denetçiye yardımcı olabilecek önemli değişiklikler.
·
Denetçinin gerekli denetim prosedürlerini uygularken -karmaşık
olmaları gibi sebeplerle- zorluk yaşadığı belirli türdeki işlemler ve diğer
olaylar ya da hesap bakiyeleri (ve ilgili açıklamalar).
A20.
Önceki
dönemlerde elde edilen bilgileri cari denetimde kullanmayı düşünmesi hâlinde
denetçinin, önceki dönemlerde elde edilen bilgilerin ilgisinin devam edip
etmediğini değerlendirmesi gerekir. Çünkü kontrol çevresindeki değişiklikler
gibi değişiklikler, önceki yılda elde edilen bilgilerin ilgisini etkileyebilir.
Bu tür bilgilerin ilgisine etki edebilecek değişikliklerin olup olmadığına
karar vermek amacıyla denetçi, sorgulamalar yapabilir ve ilgili sistemlerin
anlaşılmasına ilişkin süreç takipleri gibi diğer uygun denetim prosedürlerini
uygulayabilir.
Denetim
Ekibi İçinde Yapılan Müzakereler (Bkz.: 10 uncu paragraf)
A21.
İşletmenin
finansal tablolarının “önemli yanlışlık” risklerine açıklığının denetim ekibi
içinde müzakere edilmesi:
·
Sorumlu
denetçi dâhil daha deneyimli denetim ekibi üyelerine, işletme hakkındaki
bilgilerine dayanan görüşlerini paylaşma fırsatı sağlar.
·
Denetim
ekibi üyelerinin, işletme için tehdit oluşturan iş hayatına ilişkin riskler ile
finansal tabloların nasıl ve nerede hata veya hile kaynaklı önemli yanlışlığa
açık olabileceği hakkında bilgi alışverişinde bulunmalarına imkân verir.
·
Denetim
ekibi üyelerinin görevlendirildikleri belirli alanlarda, finansal tablolardaki
muhtemel yanlışlıkları daha iyi anlamalarına ve uyguladıkları denetim
prosedürlerinin sonuçlarının müteakip denetim prosedürlerinin niteliği,
zamanlaması ve kapsamına ilişkin kararlar dâhil, denetimin diğer yönlerini
nasıl etkileyebileceğini anlamalarına yardımcı olur.
·
Denetim
ekibi üyelerinin denetim boyunca elde ettiği, “önemli yanlışlık” risklerinin
değerlendirilmesini veya bu risklere karşı uygulanan denetim prosedürlerini
etkileyebilecek yeni bilgileri iletebilecekleri ve paylaşabilecekleri bir zemin
oluşturur.
BDS 240’ta
hile riskleri hakkında denetim ekibi içinde yapılan müzakerelere ilişkin ilâve
hükümler ve açıklamalar yer almaktadır.
A22.
10 uncu
paragrafta zorunlu kılınan müzakereler kapsamında denetim ekibi tarafından
geçerli finansal raporlama çerçevesindeki açıklama hükümlerinin dikkate
alınması, açıklamalarla bağlantılı “önemli yanlışlık” riski içerebilecek
alanların denetimin başlangıç aşamasında belirlenmesine yardımcı olur. Denetim
ekibinin müzakere edebileceği hususlara ilişkin örnekler aşağıdakileri içerir:
·
Finansal
raporlama hükümlerindeki değişikliklerin, yeni ve önemli açıklamaların
yapılması veya önemli açıklamaların revize edilmesiyle sonuçlanması,
·
İşletmenin
çevresindeki, finansal durumundaki veya faaliyetlerindeki değişikliklerin yeni
ve önemli açıklamaların yapılması veya önemli açıklamaların revize edilmesiyle
sonuçlanması. Örneğin; denetlenen dönemde gerçekleşen önemli bir iş birleşmesi.
·
Önceki
dönemlerde hakkında yeterli ve uygun denetim kanıtının elde edilmesinde zorluk
yaşanan açıklamalar ve
·
Hangi bilgilerin
açıklanacağı hakkında yönetim tarafından önemli muhakemeler yapılanlar dâhil, karmaşık
konulara ilişkin yapılan açıklamalar.
A23.
Denetim
ekibi üyelerinin tamamının tek bir müzakerede hazır bulunması her zaman gerekli
veya pratik olmadığı gibi (örneğin, birden fazla yerde yürütülen denetimlerde
olduğu gibi), üyelerin tamamına müzakerelerde ulaşılan sonuçların tümü hakkında
bilgi verilmesi de gerekli değildir. Sorumlu denetçi, denetim ekibi içinde
gerekli görülen iletişimin kapsamını dikkate alarak, diğer kişilerle yapılacak
müzakereleri başkalarına devredebilir ve konuları -uygun hâllerde- topluluğa
bağlı birimlerin denetiminden sorumlu olanlarla ve özel beceri veya bilgi
sahibi olanlar da dâhil denetim ekibinin kilit üyeleriyle müzakere edebilir.
Sorumlu denetçi tarafından onaylanan bir iletişim planının oluşturulması
faydalı olabilir.
Küçük İşletmelere Özgü Hususlar
A24.
Küçük
hacimli denetimlerin çoğu tamamen sorumlu denetçi (bu kişi denetim üstlenen
bağımsız denetçi olabilir) tarafından yürütülür. Bu tür durumlarda, işletmenin
finansal tablolarının hata veya hile kaynaklı önemli yanlışlığa açık olmasını
dikkate alma sorumluluğu, denetimin planlamasını da şahsen yapmış olan sorumlu
denetçiye aittir.
İşletmenin
İç Kontrolü Dâhil İşletme ve Çevresini Tanıma Yükümlülüğü
İşletme ve
Çevresi
Sektör,
Mevzuat/Düzenlemeler ve Diğer Dış Etkenler (Bkz.: 11(a) paragrafı)
Sektöre İlişkin Etkenler
A25.
Sektöre
ilişkin ilgili etkenler, rekabetçi çevre, müşteri ve tedarikçi ilişkileri ile
teknolojik gelişmeler gibi sektör şartlarını içerir. Aşağıdakiler, denetçinin
dikkate alabileceği hususlara örnek olarak verilebilir:
·
Talep,
kapasite ve fiyat rekabeti dâhil, piyasa ve rekabet.
·
Konjonktürel
veya sezonluk faaliyetler.
·
İşletmenin
ürünlerine ilişkin ürün teknolojisi.
·
Enerji
arzı ve maliyeti.
A26.
İşletmenin
faaliyet gösterdiği sektör, işin niteliğinden veya mevzuattan kaynaklanan
“önemli yanlışlık” risklerine sebep olabilir. Örneğin, uzun vadeli sözleşmeler,
“önemli yanlışlık” risklerine sebep olan önemli hâsılat ve gider tahminleri
içerebilir. Bu tür durumlarda, denetim ekibinde yeterli bilgi ve deneyime sahip
kişilerin yer alması önemlidir.
Mevzuata İlişkin Etkenler
A27.
Mevzuata ilişkin
etkenler düzenleyici çevreyi içerir. Düzenleyici çevre, diğer hususların yanı
sıra geçerli finansal raporlama çerçevesini ve yasal ve siyasi ortamı kapsar.
Aşağıdakiler, denetçinin dikkate alabileceği hususlara örnek olarak
verilebilir:
·
Muhasebe
ilkeleri ve sektöre özgü uygulamalar.
·
Açıklamalara
yönelik hükümler dâhil, belirli düzenlemelere tabi bir endüstriye ilişkin
mevzuat.
·
Doğrudan yönlendirme
ve gözetim faaliyetleri dâhil, işletmenin faaliyetlerini önemli ölçüde
etkileyen mevzuat.
·
Vergilendirme
(kurumlar vergisi ve diğerleri).
·
Kambiyo
kontrolleri, mali ve finansal teşvikler (örneğin, devlet desteği programları)
dâhil para politikaları, gümrük vergileri veya ticareti sınırlandıran
politikalar gibi işletmenin faaliyetlerini etkileyen cari hükümet politikaları.
·
Sektörü ve
işletmenin faaliyetlerini etkileyen çevresel yükümlülükler.
A28.
BDS 250,
işletme ve işletmenin faaliyet gösterdiği endüstri veya sektör için geçerli
olan mevzuata ilişkin bazı özel hükümler içerir.
Kamu sektörü işletmelerine özgü
hususlar
A29.
Kamu
sektörü işletmelerinin denetimlerinde, mevzuat veya yetkili başka bir kurum
işletmenin faaliyetlerini etkileyebilir. İşletme ve çevresi tanınırken bu
hususların dikkate alınması gereklidir.
Diğer Dış Etkenler
A30.
Genel
ekonomik şartlar, faiz oranları, finansman kaynaklarına erişebilirlik,
enflasyon veya para biriminin değerinin değişmesi, işletmeyi etkileyen ve
denetçinin dikkate alabileceği diğer dış etkenlere örnek olarak verilebilir.
İşletmenin
Niteliği (Bkz.: 11(b) paragrafı)
A31.
İşletmenin
niteliği hakkında kanaat sahibi olunması, denetçinin aşağıdaki gibi hususlar hakkında
kanaat edinmesine imkân sağlar:
·
İşletmenin
karmaşık bir yapısının (örneğin, birden fazla yerde bağlı ortaklığının veya
topluluğa bağlı biriminin) olup olmadığı. Karmaşık yapılar genellikle “önemli
yanlışlık” risklerine sebep olabilecek sorunları ortaya çıkarır. Bu sorunlar
şerefiye, iş ortaklıkları, yatırımlar veya özel amaçlı işletmelerin uygun bir
şekilde muhasebeleştirilip muhasebeleştirilmediği ve bu konulara ilişkin
finansal tablolarda yeterli açıklama yapılıp yapılmadığı hususlarını
içerebilir.
·
Ortaklık
yapısı ve ortaklar ile diğer kişiler veya işletmeler arasındaki ilişkiler. Bu
hususların hakkında kanaat edinilmesi, ilişkili taraf işlemlerinin uygun bir
şekilde belirlenip belirlenmediğine, muhasebeleştirilip
muhasebeleştirilmediğine ve finansal tablolarda yeterli bir şekilde açıklanıp
açıklanmadığına karar verilmesinde yardımcı olur. BDS 550, denetçinin ilişkili
taraflara ilişkin dikkate alması gereken hükümler içerir ve bu konuda rehberlik
sağlar.
A32.
Aşağıdakiler,
işletmenin niteliği hakkında kanaat edinirken denetçinin dikkate alabileceği
hususlara örnek olarak verilebilir:
·
İşletme
faaliyetleri, örneğin:
o
İnternet
satışları ve pazarlama faaliyetleri gibi elektronik ticaret dâhil, hâsılat kaynaklarının,
ürünlerin (veya hizmetlerin) ve pazarların niteliği.
o
Faaliyetlerin
yürütülmesi (örneğin, üretim aşamaları ve yöntemleri veya çevresel risk
oluşturan faaliyetler).
o
İş
birliktelikleri, iş ortaklıkları ve dışarıdan hizmet alımı faaliyetleri.
o
Coğrafi
dağılım ve endüstri bölümleri.
o
Üretim
tesisleri, depo ve ofislerin yerleri ile stokların yer ve miktarları.
o
Kilit
müşteriler ve önemli mal ve hizmet tedarikçileri, istihdama yönelik
düzenlemeler (toplu sözleşme, emeklilik ve emeklilik sonrası sağlanan diğer
faydalar, pay opsiyonu veya teşvik primi düzenlemeleri ve istihdama ilişkin
hükümet düzenlemeleri dâhil).
o
Araştırma
ve geliştirme faaliyetleri ve harcamaları.
o
İlişkili
taraflarla yapılan işlemler.
·
Yatırımlar
ve yatırım faaliyetleri, örneğin;
o
Planlanmış
veya yakın bir geçmişte gerçekleştirilen işletme satın alımları veya elden
çıkarmaları.
o
Menkul
kıymet alım-satımı ve kredi alımı ve geri ödemeleri.
o
Sermaye
yatırımı faaliyetleri.
o
Ortaklıklar,
iş ortaklıkları ve özel amaçlı işletmeler dâhil, konsolide edilmeyen
işletmelerdeki yatırımlar.
·
Finansman
ve finansman faaliyetleri, örneğin:
o Konsolide ve konsolide edilmeyen yapılar
dâhil, önemli bağlı ortaklık ve iştirakler.
o Bilânço dışı finansman anlaşmaları ve
finansal kiralama sözleşmeleri dâhil, borç yapısı ve bu borçların şartları.
o Menfaat sahiplerinin yerli ve/veya
yabancı olup olmadığı, ticari itibar ve deneyimleri ve ilişkili taraflar.
o Türev finansal araçların kullanımı.
·
Finansal
raporlama, örneğin;
o
Finansal tablolardaki endüstriye özgü önemli işlem sınıfları, hesap
bakiyeleri ve ilgili açıklamalar için (örneğin, bankalar için krediler ve
yatırımlar veya tıbbi ürünler için araştırma ve geliştirme) endüstriye özgü
muhasebe ilkeleri ve endüstriye özgü uygulamalar.
o
Hâsılatın
finansal tablolara alınması.
o
Gerçeğe
uygun değerin muhasebeleştirilmesi.
o
Yabancı
para cinsinden varlık, yükümlülük ve işlemler.
o
İhtilaflı veya
yeni ortaya çıkmakta olan alanlar (örneğin, hisse bazlı ödemelerin
muhasebeleştirilmesi) dâhil, olağandışı veya karmaşık işlemlerin
muhasebeleştirilmesi.
A33.
İşletmede
önceki dönemlerden bu yana meydana gelen önemli değişiklikler, “önemli
yanlışlık” risklerine sebep olabilir veya bu riskleri değiştirebilir.
Özel Amaçlı İşletmelerin Niteliği
A34.
Özel amaçlı
bir işletme (bazen özel amaçlı araç olarak da ifade edilir) genellikle finansal
kiralama işlemi veya varlığa dayalı menkul kıymet ihracı gerçekleştirmek veya
araştırma ve geliştirme faaliyetleri yürütmek gibi dar kapsamlı ve iyi
tanımlanmış bir amaç için kurulan işletmedir. Bu işletme bir anonim şirket,
yatırım fonu, ortaklık veya adi ortaklık şeklinde olabilir. Diğer taraflar özel
amaçlı işletmenin finansmanını sağlarken, adına özel amaçlı bir işletme kurulan
işletme genellikle:
Özel
amaçlı işletmeye (örneğin, finansal varlıkların finansal tablo dışı bırakılması
işleminin bir parçası olarak) bazı varlıkları devredebilir,
Özel
amaçlı işletmenin varlıklarının kullanım hakkına sahip olabilir veya
Söz konusu
işletmeye hizmet sunabilir.
BDS 550’de
belirtildiği gibi bazı durumlarda özel amaçlı işletme, işletmenin ilişkili bir
tarafı olabilir.
A35.
Finansal
raporlama çerçeveleri genellikle kontrolün belirlenmesiyle ilgili olan ayrıntılı
şartları veya özel amaçlı işletmenin konsolidasyona dâhil edilmesi gereken
durumları belirler. Bu tür çerçevelerin hükümlerinin yorumlanması, genellikle
özel amaçlı işletmenin yer aldığı ilgili sözleşmeler hakkında ayrıntılı bilgi
sahibi olunmasını gerektirir.
İşletmenin
Muhasebe Politikaları Seçimi ve Uygulaması (Bkz.: 11(c) paragrafı)
A36.
İşletmenin
muhasebe politikaları seçimi ve uygulaması hakkında kanaat edinilmesi,
aşağıdaki gibi hususları kapsayabilir:
·
İşletmenin
önemli ve olağandışı işlemleri muhasebeleştirmek için kullandığı yöntemler.
·
Resmi bir
düzenlemenin veya görüş birliğinin bulunmadığı ihtilaflı veya yeni ortaya
çıkmakta olan alanlardaki önemli muhasebe politikalarının etkisi.
·
İşletmenin
muhasebe politikalarındaki değişiklikler.
·
İşletme
için yeni olan finansal raporlama standartları ve mevzuat ile işletmenin bu tür
yükümlülüklere ne zaman ve nasıl uygunluk sağlayacağı.
Amaçlar,
Stratejiler ve İş Hayatına İlişkin Riskler (Bkz.: 11(ç) paragrafı)
A37.
İşletme,
faaliyetlerini, içinde bulunduğu sektörü, mevzuatı ve diğer iç ve dış etkenleri
dikkate alarak yürütür. İşletme yönetimi veya üst yönetimden sorumlu olanlar bu
etkenlere karşılık vermek için işletmenin genel planı niteliğindeki amaçlarını
belirler. Stratejiler, yönetimin amaçlarına ulaşmak için kullanacağı
yaklaşımlardır. İşletmenin amaç ve stratejileri zaman içinde değişebilir.
A38.
İş
hayatına ilişkin riskler, “önemli yanlışlık” riskini de içermekle birlikte,
finansal tablolardaki “önemli yanlışlık” riskinden daha kapsamlıdır. İş
hayatına ilişkin riskler, değişimden veya karmaşıklıktan kaynaklanabilir.
Değişim ihtiyacının dikkate alınamaması da iş hayatına ilişkin risklere sebep
olabilir. Aşağıdakiler, iş hayatına ilişkin risklerin kaynaklarına örnek olarak
verilebilir:
·
Başarısızlıkla
sonuçlanabilecek yeni ürün veya hizmetlerin geliştirilmesi,
·
Başarılı
biçimde geliştirilse bile bir ürün veya hizmet için yetersiz piyasanın
bulunması veya
·
Bir yükümlülük
veya ticari itibar riski doğurabilecek ürün veya hizmet hataları.
A39.
İş hayatına
ilişkin çoğu riskin finansal sonuçları olduğundan ve dolayısıyla bu riskler finansal
tabloları etkilediğinden, işletmenin karşılaştığı iş hayatına ilişkin riskler hakkında
kanaat edinilmesi, “önemli yanlışlık” risklerini belirleme ihtimalini artırır.
Ancak, iş hayatına ilişkin risklerin tamamı “önemli yanlışlık” risklerine sebep
olmadığından, denetçinin iş hayatına ilişkin tüm riskleri belirleme ve
değerlendirme sorumluluğu yoktur.
A40.
Aşağıdakiler
işletmenin amaçları, stratejileri ve finansal tablolarda “önemli yanlışlık”
riskine sebep olabilecek iş hayatına ilişkin riskler hakkında kanaat edinirken denetçinin
dikkate alabileceği hususlara örnek olarak verilebilir:
·
Endüstrideki
gelişmeler (iş hayatına ilişkin potansiyel risklere örnek olarak, işletmenin endüstrideki
değişimleri takip edecek personele veya uzmanlığa sahip olmaması verilebilir).
·
Yeni ürün
ve hizmetler (iş hayatına ilişkin potansiyel risklere örnek olarak, ürünle
ilgili yükümlülüklerin artması verilebilir).
·
İşin
genişlemesi (iş hayatına ilişkin potansiyel risklere örnek olarak, talebin
doğru biçimde tahmin edilememesi verilebilir).
·
Yeni
muhasebe yükümlülükleri (iş hayatına ilişkin potansiyel risklere örnek olarak,
artan maliyetler ile eksik veya yanlış uygulamalar verilebilir).
·
Mevzuattan
kaynaklanan yükümlülükler (iş hayatına ilişkin potansiyel risklere örnek
olarak, yasal zorunlulukların artması verilebilir).
·
Cari ve
tahmini finansman ihtiyaçları (iş hayatına ilişkin potansiyel risklere örnek
olarak, işletmenin yükümlülükleri karşılayamaması sebebiyle ortaya çıkan
finansman kaybı verilebilir).
·
BT’nin
kullanımı (iş hayatına ilişkin potansiyel risklere örnek olarak, sistem ve
süreçlerin birbirleriyle uyumlu olmaması verilebilir).
·
Bir
stratejiyi uygulamanın etkileri, özellikle de yeni muhasebe yükümlülüklerine
yol açacak her türlü etki (iş hayatına ilişkin potansiyel risklere örnek
olarak, eksik veya yanlış uygulama verilebilir).
A41.
İş
hayatına ilişkin bir risk; işlem sınıfları, hesap bakiyeleri ve açıklamalara
ilişkin yönetim beyanı düzeyindeki veya finansal tablo düzeyindeki “önemli
yanlışlık” riski açısından doğrudan bir etkiye sahip olabilir. Örneğin, daralan
müşteri tabanından kaynaklanan iş hayatına ilişkin risk, alacakların
değerlemesine ilişkin “önemli yanlışlık” risklerini artırabilir. Bununla
birlikte aynı riskin, özellikle daralan bir ekonomide işletmenin sürekliliği
varsayımının uygunluğuna ilişkin denetçinin yaptığı değerlendirmede dikkate
alacağı daha uzun dönemli sonuçları olabilir. Dolayısıyla iş hayatına ilişkin
bir riskin “önemli yanlışlık” riskiyle sonuçlanıp sonuçlanmayacağı hususu,
işletmenin içinde bulunduğu şartlar dikkate alınarak değerlendirilir. “Önemli
yanlışlık” risklerine işaret edebilecek durum ve olaylara ilişkin örnekler Ek
2’de yer almaktadır.
A42.
İş
hayatına ilişkin riskleri genellikle yönetim belirler ve bunları ele alan
yaklaşımlar geliştirir. Bu tür bir risk değerlendirme süreci, iç kontrolün bir
parçasıdır ve 15 inci paragraf ile A88-A89 paragraflarında ele alınmaktadır.
Kamu Sektörü İşletmelerine Özgü
Hususlar
A43.
Kamu
sektörü işletmelerinin denetiminde “yönetimin amaçları”, kamusal hesap
verilebilirliğe ilişkin hususlardan etkilenebilir ve mevzuattan kaynaklanan
amaçları içerebilir.
İşletmenin
Finansal Performansının Ölçümü ve Gözden Geçirilmesi (Bkz.:
11(d) paragrafı)
A44.
Yönetim ve
işletmedeki diğer kişiler, önemli olduğunu düşündükleri hususları ölçer ve
gözden geçirir. Dış veya iç performans ölçümleri işletme üzerinde baskı
yaratır. Bu baskılar yönetimi, iş performansını artırmaya yönelik harekete
geçmeye veya finansal tablolarda yanlışlık yapmaya sevk edebilir. Bu sebeple,
işletmenin performans ölçümleri hakkında kanaat edinilmesi; performans
hedeflerine ulaşma baskılarının, hile kaynaklı olanlar dâhil “önemli yanlışlık”
risklerini artıran yönetim faaliyetleriyle sonuçlanıp sonuçlanmayacağını
değerlendirmesinde denetçiye yardımcı olabilir. Hile kaynaklı risklere ilişkin
hüküm ve açıklamalar için BDS 240’a bakınız.
A45.
Amaçları
birbiriyle örtüşebilir olsa bile, finansal performansın ölçümü ve gözden
geçirilmesi, kontrollerin izlenmesiyle aynı anlama gelmemektedir (kontrollerin
izlenmesi, A110-A121 paragraflarında iç kontrolün bir bileşeni olarak ele
alınmıştır):
·
Performansın
ölçümü ve gözden geçirilmesi, iş performansının yönetim tarafından (veya üçüncü
taraflarca) belirlenen hedefleri karşılayıp karşılamadığını tespit etmeye
yöneliktir.
·
Kontrollerin
izlenmesi ise özellikle iç kontrolün etkin biçimde işlemesiyle ilgilidir.
Bununla birlikte,
bazı durumlarda performans göstergeleri de yönetimin iç kontrol eksikliklerini
belirlemesine yardımcı olacak bilgiler sağlar.
A46.
Finansal
performansı ölçerken ve gözden geçirirken yönetimin kullandığı ve denetçinin
dikkate alabileceği, işletmede oluşturulan bilgilere örnek olarak aşağıdakiler
verilebilir:
·
Temel
performans göstergeleri (finansal ve finansal olmayan) ile temel finansal
oranlar, eğilimler ve faaliyet istatistikleri.
·
Dönem
bazlı finansal performans analizleri.
·
Bütçeler,
tahminler, varyans analizleri, bölüm bilgileri ile işletme içindeki birimler ve
diğer seviyelerdeki performans raporları.
·
Çalışanlara
ilişkin performans ölçümleri ve teşvik primi politikaları.
·
İşletmenin
performansının rakipleriyle karşılaştırılması.
A47.
İşletmenin
finansal performansı, işletme dışındaki taraflarca da ölçülebilir ve gözden
geçirilebilir. Örneğin, analist raporları ve kredi derecelendirme kuruluşu
raporları gibi dış kaynaklı bilgiler, denetçiye yararlı bilgiler sağlayabilir.
Bu tür raporlar genellikle denetlenen işletmeden elde edilebilir.
A48.
İşletme
içi ölçümler, beklenmeyen sonuç veya eğilimler ortaya çıkarabilir ve yönetimin
bunların sebebini belirlemesi ve düzeltmeye yönelik adımlar atması (bazı
durumlarda yanlışlıkların zamanında tespit edilmesi ve düzeltilmesi de dâhil)
gerekebilir. Performans ölçümleri
denetçiye, ilgili finansal tablo bilgilerinde yanlışlık bulunabileceği riskine
de işaret edebilir. Örneğin performans ölçümleri, aynı endüstrideki diğer
işletmelerle karşılaştırıldığında, işletme büyüklüğünün veya kârlılığının
olağan dışı ve hızlı bir şekilde arttığını gösterebilir. Bu tür bilgiler,
özellikle performansa dayalı ikramiye veya teşvik ödemesiyle birlikte dikkate
alındığında, finansal tabloların hazırlanmasında yönetimin taraflılığına
ilişkin potansiyel bir riske işaret edebilir.
Küçük
İşletmelere Özgü Hususlar
A49.
Küçük
işletmelerde genellikle finansal performansın ölçümü veya gözden geçirilmesine
ilişkin süreçler bulunmaz. Yönetimin sorgulanması, finansal performansın
değerlendirilmesinde ve uygun adımların atılmasında yönetimin bazı kilit
göstergeleri esas aldığını ortaya koyabilir. Bu tür bir sorgulama performans
ölçümü veya gözden geçirmesinin olmadığına işaret ediyorsa, yanlışlıkların tespit
edilmeyerek düzeltilmeme riski yüksek olabilir.
İşletmenin
İç Kontrolü (Bkz.: 12 nci paragraf)
A50.
İç
kontrolün hakkında kanaat edinilmesi, muhtemel yanlışlık türlerini ve “önemli
yanlışlık” risklerini etkileyen etkenleri belirlemesinde ve müteakip denetim
prosedürlerinin niteliği, zamanlaması ve kapsamını tasarlamasında denetçiye
yardımcı olur.
A51.
İç
kontrole ilişkin açıklayıcı hükümler, aşağıda belirtilen dört başlık altında
ele alınmıştır:
·
İç
Kontrolün Genel Nitelik ve Özellikleri.
·
Denetimle
İlgili Kontroller.
·
İlgili
Kontrollerin Anlaşılmasının Niteliği ve Kapsamı.
·
İç Kontrol
Bileşenleri.
İç Kontrolün
Genel Nitelik ve Özellikleri
İç Kontrolün Amacı
A52.
İç
kontrol, işletmenin aşağıdaki hususlarla ilgili amaçlarına ulaşmasını tehdit
eden iş hayatına ilişkin belirlenmiş risklere karşılık verecek şekilde
tasarlanır, uygulanır ve sürdürülür:
·
İşletmenin
finansal raporlamasının güvenilirliği,
·
Faaliyetlerinin
etkinlik ve verimliliği ve
·
İşletmenin
mevzuata uygunluğu.
İç kontrol sistemini tasarlama,
uygulama ve sürdürme şekli işletmenin büyüklük ve karmaşıklığına göre farklılık
gösterir.
Küçük işletmelere özgü hususlar
A53.
Küçük
işletmeler amaçlarına ulaşmak için daha basit yöntem, süreç ve prosedürler
kullanabilir.
İç Kontrolün Kısıtlamaları
A54.
Ne kadar
etkin olursa olsun iç kontrol; işletmeye, finansal raporlama amaçlarına
ulaşılması konusunda sadece makul bir güvence sağlayabilir. Söz konusu amaçlara
ulaşma ihtimali iç kontrolün yapısal kısıtlamalarından etkilenir. Bu
kısıtlamalar, insanların karar verirken yargılarının hatalı olabileceği ve iç
kontrolün insan hatasından dolayı etkisiz kalabileceği gerçeğini içerir.
Örneğin, bir kontrolün tasarlanması veya değiştirilmesi sırasında bir hata
oluşabilir. Aynı şekilde, iç kontrolün amaçları için oluşturulan bilgileri
(örneğin, bir sapma raporunu) gözden geçirmekten sorumlu kişilerin (bilgilerin
amacını anlamaması veya uygun adımı atmaması sebebiyle) bu bilgileri verimli
şekilde kullanamaması nedeniyle bir kontrolün işleyişi etkin olmayabilir.
A55.
Ayrıca, iki
veya daha fazla kişi tarafından yapılan muvazaalı işlem veya yönetimin iç
kontrolleri ihlâl etmesi sebebiyle kontroller atlatılabilir. Örneğin yönetim,
müşterilerle, işletmenin standart satış sözleşmelerinin şart ve hükümlerini
değiştiren ve hâsılatın uygun olmayan şekilde finansal tablolara alınmasıyla sonuçlanabilecek
yan sözleşmeler yapabilir. Ayrıca, belirli tutarların üzerindeki işlemleri
belirlemek ve raporlamak için tasarlanmış yazılım programlarındaki düzeltme
kontrolleri ihlâl edilebilir veya geçersiz hâle getirebilir.
A56.
Ayrıca
yönetim, kontrolleri tasarlar ve uygularken uygulamayı seçeceği kontrollerin
nitelik ve kapsamı ile üstlenmeyi seçeceği risklerin nitelik ve kapsamı
hakkında muhakemede bulunabilir.
Küçük işletmelere özgü hususlar
A57.
Küçük işletmeler
genellikle az sayıda çalışana sahip olduğundan görevler ayrılığı ilkesinin
uygulanabilmesi zordur. Ancak, sahibi tarafından yönetilen küçük bir işletmede,
işletmenin sahibi olan yönetici, büyük bir işletmeye kıyasla daha etkin bir
gözetim yapabilir. Bu gözetim genellikle, görevler ayrılığı ilkesinin uygulanma
zorluğundan kaynaklanan olumsuz etkileri telafi edebilir.
A58.
Diğer
taraftan, iç kontrol daha basit bir yapıya sahip olduğundan işletmenin sahibi olan
yöneticinin kontrolleri ihlâl etme imkânı daha fazladır. Bu durum, hile
kaynaklı “önemli yanlışlık” riskleri belirlenirken denetçi tarafından dikkate
alınır.
İç Kontrolün Bileşenlere Ayrılması
A59.
BDS’lerin
amaçları doğrultusunda iç kontrolün aşağıda belirtilen beş bileşene ayrılması,
iç kontrolün farklı yönlerinin denetimi nasıl etkileyebileceğini dikkate
almaları açısından denetçilere faydalı bir çerçeve sağlar:
(a)
Kontrol
çevresi,
(b)
İşletmenin
risk değerlendirme süreci,
(c)
Finansal
raporlamaya ilişkin ilgili iş süreçleri dâhil, bilgi sistemi ve iletişim,
(ç) Kontrol faaliyetleri,
(d)
Kontrollerin
izlenmesi.
Yapılan bu
ayrım, bir işletmenin iç kontrolü nasıl tasarladığını, uyguladığını,
sürdürdüğünü veya belirli bir bileşeni nasıl sınıflandırdığını yansıtmayabilir.
Bu BDS’de belirtilen tüm bileşenleri ele almak kaydıyla denetçiler, iç
kontrolün farklı yönlerini ve denetim üzerindeki etkisini açıklamak için bu
BDS’de kullanılanlardan farklı terminoloji veya çerçeveler kullanabilir.
A60.
İç
kontrolün finansal tablo denetimiyle ilgili beş bileşenine ilişkin açıklayıcı hükümler,
aşağıdaki A77-A121 paragraflarında yer almaktadır. Ek 1’de iç kontrolün bu
bileşenlerine ilişkin ilâve açıklamalar yer almaktadır.
Denetçinin Risk Değerlendirmesiyle
İlgili İç Kontrolün Manuel ve Otomatik Unsurlarının Özellikleri
A61.
Bir
işletmenin iç kontrol sistemi manuel unsurlar içermekle birlikte genellikle
otomatik unsurlar da içerir. Manuel veya otomatik unsurların özellikleri,
denetçinin risk değerlendirmesiyle ve bu değerlendirmeye dayanan müteakip
denetim prosedürleriyle ilgilidir.
A62.
İç
kontrolde manuel veya otomatik unsurların kullanılması işlemlerin başlatılma,
kaydedilme, işlenme ve raporlanma biçimlerini de etkiler:
·
Manuel bir
sistemdeki kontroller, işlemlerin onaylanması ve incelenmesi gibi prosedürleri,
mutabakatları ve mutabakata konu olan kalemlerin takibini içerebilir.
Alternatif olarak bir işletme, işlemlerin başlatılması, kaydedilmesi, işlenmesi
ve raporlanması için otomatik prosedürler kullanabilir; bu durumda elektronik
ortamdaki kayıtlar, kâğıt belgelerin yerini alır.
·
BT
sistemlerindeki kontroller, otomatik kontrollerin (örneğin, bilgisayar
programlarına yerleştirilen kontroller) ve manuel kontrollerin bileşiminden
oluşur. Ayrıca, manuel kontroller BT’den bağımsız olabilir, BT’nin ürettiği
bilgileri kullanabilir veya BT’nin ve otomatik kontrollerin etkin şekilde
işlemesini izlemekle ve sapmaları ele almakla sınırlı olabilir. Finansal
tablolarda yer alacak işlem veya diğer finansal verilerin başlatılmasında,
kaydedilmesinde, işlenmesinde veya raporlanmasında BT’nin kullanılması
durumunda, BT sistem ve programları, önemli hesaplara karşılık gelen yönetim
beyanlarına ilişkin kontrolleri içerebilir veya BT’ye dayanan manuel
kontrollerin etkin şekilde işlemesi açısından kritik önem taşıyabilir.
Bir işletmenin iç kontrolündeki manuel ve otomatik unsurların
bileşimi, söz konusu işletmenin BT’yi kullanım niteliğine ve karmaşıklığına
göre farklılık gösterir.
A63.
Genel
olarak BT, işletmenin:
·
Önceden
tanımlanmış iş kurallarını tutarlı biçimde uygulamasına ve büyük hacimli işlem
veya verileri işlerken karmaşık hesaplamaları yapmasına,
·
Bilgilerin
güncelliğini, erişilebilirliğini ve doğruluğunu artırmasına,
·
Bilgilere
ilişkin ek analizler yapmasını kolaylaştırmasına,
·
İşletmenin
politikalarını, prosedürlerini ve performansını izleme kabiliyetini
geliştirmesine,
·
Kontrollerin
atlatılması riskini azaltmasına,
·
Uygulamalara,
veri tabanlarına ve işletim sistemlerine güvenlik kontrolleri yerleştirerek
görevler ayrılığı ilkesini etkin bir şekilde uygulama kabiliyetini artırmasına,
imkân sağlayarak
işletmenin iç kontrolüne katkıda bulunur.
A64.
Bununla
birlikte BT, işletmenin iç kontrolü açısından belirli riskler de barındırır. Bu
risklere örnek olarak aşağıdakiler verilebilir:
·
Verileri
hatalı işleyen, hatalı verileri işleyen veya her ikisini de yapan sistem veya
programlara güvenilmesi.
·
Verilerin
zarar görmesine veya veriler üzerinde uygun olmayan değişikliklerin yapılmasına
yol açabilecek şekilde verilere yetkisiz erişilmesi (yetkisiz veya var olmayan
işlemlerin kaydedilmesi veya işlemlerin hatalı kaydedilmesi dâhil). Birden
fazla kullanıcının ortak bir veri tabanına eriştiği durumlarda belirli riskler
ortaya çıkabilir.
·
BT
personelinin, görevler ayrılığı ilkesinin bozulmasına sebep olacak şekilde,
görev alanları çerçevesinde ihtiyaç duyduklarının ötesinde erişim ayrıcalıkları
elde etme ihtimâli.
·
Ana
dosyalardaki verilerde yetkisiz değişiklikler.
·
Sistem
veya programlarda yetkisiz değişiklikler.
·
Sistem
veya programlarda yapılması gereken değişikliklerin yapılmaması.
·
Uygun
olmayan manuel müdahaleler.
·
Veri kaybı
ihtimali veya gerektiğinde verilere erişilememesi.
A65.
Muhakeme
yapılmasının ve takdir yetkisi kullanımının gerektiği aşağıdaki gibi
durumlarda, iç kontroldeki manuel unsurların kullanılması daha uygun olabilir:
·
Büyük,
olağandışı veya tekrar etmeyen işlemler.
·
Hataların
tanımlanmasının, tahmin edilmesinin veya öngörülmesinin zor olduğu durumlar.
·
Değişen
şartların, mevcut bir otomatik kontrolün kapsamı dışındaki bir kontrolle
karşılık verilmesini gerektirmesi.
·
Otomatik
kontrollerin etkinliğinin izlenmesi.
A66.
Daha kolay
devre dışı bırakılabilmeleri, göz ardı edilebilmeleri, ihlâl edilebilmeleri ve
basit hata ve yanlışlıklara daha açık olmaları sebebiyle iç kontroldeki manuel
unsurlar otomatik unsurlara kıyasla daha az güvenilir olabilir. Bu sebeple,
manuel bir kontrol unsurunun tutarlı bir şekilde uygulandığı varsayımı
yapılamaz. Aşağıdaki durumlarda manuel kontrol unsurlarının kullanımı daha az
uygun olabilir:
·
Yüksek
hacimli veya yinelenen işlemlerin söz konusu olduğu ya da öngörülebilen veya tahmin
edilebilen hataların otomatik kontrol parametreleri sayesinde önlenebileceği
veya tespit edilip düzeltilebileceği durumlar.
·
Kontrolün
uygulanması için belirli yolların yeterli bir şekilde tasarlanıp otomatik hâle
getirilebileceği yerlerdeki kontrol faaliyetleri.
A67.
İç
kontrole yönelik risklerin kapsam ve niteliği, işletmenin bilgi sisteminin
nitelik ve özelliklerine bağlı olarak farklılıklar gösterir. İşletme, iç
kontrolde BT kullanımından veya manuel unsurların kullanımından kaynaklanan
risklere, bilgi sisteminin özellikleri ışığında etkin kontroller oluşturmak
suretiyle karşılık verir.
Denetimle
İlgili Kontroller
A68.
İşletmenin
amaçları ile bu amaçlara ulaşıldığına dair makul bir güvence sağlamak için
uyguladığı kontroller arasında doğrudan bir ilişki vardır. İşletmenin amaçları
ve dolayısıyla kontrolleri; finansal raporlama, faaliyetler ve mevzuata
uygunlukla ilgilidir. Ancak, bu amaç ve kontrollerin tümü denetçinin risk
değerlendirmesiyle ilgili değildir.
A69.
Denetçinin,
bir kontrolün tek başına veya diğer kontrollerle birlikte denetimle ilgili olup
olmadığı konusunda muhakemede bulunurken dikkate alabileceği etkenler,
aşağıdaki gibi hususları içerebilir:
·
Önemlilik.
·
İlgili
risklerin önemi.
·
İşletmenin
büyüklüğü.
·
Organizasyon
ve ortaklık yapısı dâhil işletmenin yürüttüğü işin niteliği.
·
İşletme
faaliyetlerinin çeşitliliği ve karmaşıklığı.
·
Mevzuattan
kaynaklanan yükümlülükler.
·
Şartlar ve
iç kontrolün geçerli bileşeni.
·
Hizmet
kuruluşlarının kullanımı dâhil, işletmenin iç kontrolünün parçası olan
sistemlerin niteliği ve karmaşıklığı.
·
Belirli
bir kontrolün tek başına ve diğer kontrollerle birlikte; önemli bir yanlışlığı,
Önleyip
önlemediği veya tespit ederek düzeltip düzeltmediği ve
Nasıl
önlediği veya tespit ederek düzelttiği.
A70.
İşletme
tarafından üretilen bilgilerin tamlığı ve doğruluğuyla ilgili kontroller,
denetçinin müteakip denetim prosedürlerini tasarlarken ve uygularken bu
bilgileri kullanmayı düşünmesi hâlinde denetimle ilgili olabilir. Denetçinin
denetim prosedürlerini uygularken değerlendirdiği veya kullandığı verilerle
ilgili olmaları hâlinde, faaliyetlere ve uygunluk hedeflerine ilişkin
kontroller de denetimle ilgili olabilir.
A71.
Varlıkların
yetkisiz olarak edinimini, kullanılmasını veya elden çıkarılmasını önlemeye
yönelik iç kontrol, finansal raporlama ve faaliyet amaçlarıyla ilgili
kontrolleri içerebilir. Böyle bir durumda denetçinin dikkate alacağı kontroller
genellikle, finansal raporlamanın güvenilirliğiyle ilgili olanlarla sınırlıdır.
A72.
Genellikle
bir işletmede denetimle ilgisi olmayan amaçlarla ilgili olan ve bu sebeple
dikkate alınması gerekmeyen kontroller de bulunur. Örneğin bir işletme, etkin
ve verimli faaliyetler gerçekleştirmek için gelişmiş ve çok yönlü bir otomatik
kontrol sistemine güveniyor olabilir (örneğin bir hava yolunun uçuş
tarifelerini yürütmeye yönelik otomatik kontrol sistemi gibi); ancak bu
kontroller normalde denetimle ilgili değildir. Ayrıca iç kontrol, işletmenin
tamamına veya faaliyet birimleri ya da iş süreçlerinin herhangi birine
uygulansa bile işletmenin her bir faaliyet birimine ve iş sürecine ilişkin iç
kontrolün anlaşılması denetimle ilgili olmayabilir.
Kamu Sektörü İşletmelerine Özgü
Hususlar
A73.
Kamu
sektörü denetçilerinin genellikle iç kontrole ilişkin (belirlenmiş uygulama
kurallarına uygunluğun raporlanması gibi) ilâve sorumlulukları bulunur. Ayrıca
kamu sektörü denetçilerinin, mevzuata uygunluk hakkında raporlama yapma
sorumluluğu da bulunabilir. Sonuç olarak, kamu sektörü denetçilerinin iç kontrolü
gözden geçirmesi daha kapsamlı ve ayrıntılı olabilir.
İlgili
Kontrollerin Anlaşılmasının Niteliği ve Kapsamı (Bkz.: 13
üncü paragraf)
A74.
Bir
kontrolün tasarımının değerlendirilmesi, kontrolün tek başına veya diğer
kontrollerle birlikte önemli yanlışlıkları etkin bir şekilde önleme veya tespit
edip düzeltme kapasitesinin olup olmadığının dikkate alınmasını içerir. Bir
kontrolün uygulanması, kontrolün mevcut olduğu ve işletmenin bu kontrolü
kullanıyor olduğu anlamına gelir. Etkin olmayan bir kontrolün uygulamasını
değerlendirmenin bir anlamı yoktur. Bu sebeple, öncelikli olarak kontrolün
tasarımı dikkate alınır. Uygun olmayan şekilde tasarlanan bir kontrol, ciddi
bir iç kontrol eksikliğini gösterebilir.
A75.
İlgili
kontrollerin tasarım ve uygulanması hakkında denetim kanıtı elde etmeye yönelik
risk değerlendirme prosedürleri aşağıdakileri içerebilir:
·
İşletme
personelinin sorgulanması.
·
Belirli
kontrollerin uygulanmasının gözlemlenmesi.
·
Belge ve
raporların tetkik edilmesi.
·
Finansal
raporlamaya ilişkin bilgi sistemi üzerinden işlemlerin takip edilmesi.
Ancak
sorgulama, bu tür amaçlar için tek başına yeterli değildir.
A76.
Kontrollerin
tutarlı biçimde işlemesini sağlayan bir otomasyon bulunmadığı sürece,
kontrollerin işleyiş etkinliğini test etmek için işletme kontrollerinin
anlaşılması yeterli olmaz. Örneğin, manuel bir kontrolün belirli bir anda
uygulanması hakkında denetim kanıtı elde edilmesi, bu kontrolün denetlenen
dönem boyunca diğer zamanlardaki işleyiş etkinliği hakkında bir denetim kanıtı
sağlamaz. Ancak, BT’nin işleyişinin yapısal tutarlılığı sebebiyle (Bkz.: A63 paragrafı),
otomatik bir kontrolün uygulanıp uygulanmadığını belirlemek için denetim
prosedürlerinin uygulanması, denetçinin değerlendirmesine ve -program
değişiklikleri üzerindeki kontroller gibi- kontrollerin test edilmesine bağlı
olarak, söz konusu kontrolün işleyiş etkinliğini test etme işlevi görebilir.
Kontrollerin işleyiş etkinliğine ilişkin testler, BDS 330’da daha detaylı
olarak açıklanmaktadır.
İç Kontrol
Bileşenleri – Kontrol Çevresi (Bkz.: 14 üncü paragraf)
A77.
Kontrol
çevresi, işletmenin üst yönetim ve yönetim fonksiyonları ile üst yönetimden
sorumlu olanların ve yönetimin, işletmenin iç kontrolü ve iç kontrolün
işletmedeki önemine ilişkin farkındalık, tutum ve faaliyetlerini içerir. Kontrol
çevresi, çalışanların kontrol bilincini etkileyerek, organizasyonun genel
tutumunu belirler.
A78.
Kontrol
çevresinin anlaşılmasında ilgili olabilecek kontrol çevresi unsurları
aşağıdakileri içerir:
(a)
Dürüstlük ve etik değerlere ilişkin kuralları
bildirme ve uygulatma: Bu
unsurlar, kontrollerin tasarım, yönetim ve izlenme etkinliğini etkileyen temel
unsurlardır.
(b)
Yetkinliğe bağlılık: Belirli işler için gerekli olan yetkinlik
düzeyinin yönetim tarafından değerlendirilmesi ve bu düzey için gereken bilgi
ve becerilerin neler olduğunun belirlenmesi gibi hususları içerir.
(c)
Üst yönetimden sorumlu olanların katılımı: Üst yönetimden sorumlu olanların
özelliklerine örnek olarak aşağıdakiler verilebilir:
·
Yönetimden
bağımsız olmaları.
·
Deneyim ve
itibarları.
·
Katılımlarının
ve kendilerine ulaşan bilgilerin kapsamı ile faaliyetleri dikkatle
incelemeleri.
·
Yönetime
yöneltilen soruların zorluk derecesi ve bu sorulara verilecek cevapların takibi
dâhil olmak üzere eylemlerinin uygunluğu ile iç ve dış denetçilerle olan
etkileşimleri.
(ç) Yönetimin
felsefesi ve çalışma şekli: Yönetimin ayırt edici özelliklerine örnek
olarak aşağıdakiler verilebilir:
·
İş
hayatına ilişkin riskleri üstlenmeye ve yönetmeye ilişkin yaklaşımları.
·
Finansal
raporlamaya ilişkin tutum ve eylemleri.
·
Bilgi
işleme, muhasebe fonksiyonları ve personele yönelik tutumları.
(d)
Organizasyon yapısı: İşletmenin amaçlarını gerçekleştirmeye yönelik
faaliyetlerinin planlandığı, yürütüldüğü, kontrol edildiği ve gözden
geçirildiği çerçevedir.
(e)
Yetki ve sorumlulukların belirlenmesi: İşletme faaliyetlerinin yürütülmesine ilişkin
yetki ve sorumlulukların nasıl belirlendiği ve raporlama ilişkileri ile yetki
hiyerarşilerinin nasıl kurulduğu gibi konulardır.
(f)
İnsan kaynakları politika ve uygulamaları: İşe alma, oryantasyon, eğitim, değerlendirme,
danışmanlık, terfi, ücret ve iyileştirici adımlara ilişkin politika ve
uygulamalar örnek olarak verilebilir.
Kontrol Çevresi Unsurlarına İlişkin
Denetim Kanıtları
A79.
İlgili
denetim kanıtları; sorgulamalar ve (gözlem veya belgelerin tetkik edilmesiyle yapılan
destekleyici sorgulamalar gibi) diğer risk değerlendirme prosedürlerinin
birlikte uygulanması yoluyla elde edilebilir. Örneğin, yönetimin ve
çalışanların sorgulanması suretiyle denetçi, yönetimin, iş uygulamaları ve etik
davranışa ilişkin görüşlerini çalışanlarına nasıl ilettiği hakkında bilgi
edinebilir. Daha sonra denetçi, örneğin yönetimin yazılı iş ahlâkı kurallarını
oluşturup oluşturmadığını ve oluşturulan bu kuralları destekler biçimde hareket
edip etmediğini dikkate alarak, ilgili kontrollerin uygulanıp uygulanmadığına
karar verebilir.
A80.
Denetçi
ayrıca yönetimin, aşağıdaki hususlar dâhil olmak üzere iç denetim
fonksiyonunun, denetimle ilgili iç kontrole ilişkin belirlenen eksiklikler
hakkındaki bulgu ve önerilerine nasıl karşılık verdiğini dikkate alabilir:
Söz konusu
karşılıkların uygulanıp uygulanmadığı ve nasıl uygulandığı,
Sonrasında, verilen bu karşılıkların iç
denetim fonksiyonu tarafından değerlendirilip değerlendirilmediği.
“Önemli Yanlışlık” Risklerinin
Değerlendirilmesinde Kontrol Çevresinin Etkisi
A81.
“Önemli
yanlışlık” risklerinin değerlendirilmesinde, işletmenin kontrol çevresindeki
bazı unsurların yaygın bir etkisi vardır. Örneğin, işletmenin kontrol bilinci,
üst yönetimden sorumlu olanlar tarafından önemli ölçüde etkilenir. Çünkü üst
yönetimden sorumlu olanların görevlerinden biri, yönetim üstündeki finansal
raporlamaya ilişkin piyasa taleplerinden veya ücret rejiminden
kaynaklanabilecek baskıyı dengelemektir.
Bu sebeple, üst yönetimden sorumlu olanların katılımıyla ilgili olarak
kontrol çevresi tasarımının etkinliği, aşağıdaki gibi hususlardan etkilenir:
·
Üst
yönetimden sorumlu olanların yönetimden bağımsız olmaları ve yönetimin
eylemlerini değerlendirebilme kabiliyetleri.
·
İşletmenin
işleriyle ilgili işlemlerini anlayıp anlamadıkları.
·
Finansal
tabloların, yeterli açıklamaları içerip içermediği dâhil, geçerli finansal
raporlama çerçevesine uygun olarak hazırlanıp hazırlanmadığını ne ölçüde
değerlendirdikleri.
A82.
Aktif ve
bağımsız bir yönetim kurulu, kıdemli yöneticilerin yönetim felsefesini ve
çalışma şeklini etkileyebilir. Bununla birlikte, diğer unsurların etkisi daha
sınırlı olabilir. Örneğin, finans, muhasebe ve BT alanlarında yetkin personelin
istihdamına yönelik insan kaynakları politika ve uygulamaları, finansal
bilgilerin işlenmesindeki hata riskini azaltabilir ancak üst düzey
yöneticilerin kazançları olduğundan fazla göstermeye yönelik eğilimini
azaltamayabilir.
A83.
Tatmin
edici bir kontrol çevresinin mevcudiyeti, denetçinin “önemli yanlışlık”
risklerini değerlendirmesinde olumlu bir etken olabilir. Ancak, tatmin edici
bir kontrol çevresinin mevcudiyeti, hile riskini azaltmaya yardımcı olabilmekle
birlikte, hileye karşı mutlak caydırıcı bir unsur değildir. Aksine, kontrol çevresindeki
eksiklikler, kontrollerin özellikle hileye ilişkin etkinliğini azaltabilir.
Örneğin, yönetimin BT’ye ilişkin güvenlik risklerine karşı yeterli kaynak
ayırmaması, bilgisayar programlarında veya verilerinde uygun olmayan
değişikliklerin yapılmasına veya yetkisiz işlemlerin gerçekleştirilmesine yol
açarak iç kontrolü olumsuz biçimde etkileyebilir. BDS 330’da açıklandığı üzere,
kontrol çevresi ayrıca, denetçinin daha sonra uygulayacağı prosedürlerin
niteliğini, zamanlamasını ve kapsamını da etkiler.
A84.
Kontrol
çevresi tek başına önemli bir yanlışlığı önlemez, tespit etmez ve düzeltmez.
Ancak kontrol çevresi, denetçinin diğer kontrollerin etkinliğine (örneğin,
kontrollerin izlenmesi ve belirli kontrol faaliyetlerinin uygulanması) ilişkin
değerlendirmesini ve dolayısıyla “önemli yanlışlık” risklerini
değerlendirmesini etkileyebilir.
Küçük İşletmelere Özgü Hususlar
A85.
Küçük
işletmelerdeki kontrol çevresi, büyük işletmelerdekinden farklı olabilir.
Örneğin, küçük işletmelerde, üst yönetimden sorumlu olanlar arasında bağımsız
veya işletme dışından bir üye bulunmayabilir. Ayrıca, başka ortakların
bulunmadığı ve sahibi tarafından yönetilen işletmelerde, üst yönetim görevi
doğrudan işletmenin sahibi olan yönetici
tarafından üstlenilmiş olabilir. Kontrol çevresinin niteliği, diğer
kontrollerin önemini veya diğer kontrollerin bulunmama durumunu da
etkileyebilir. Örneğin, işletmenin sahibi olan yöneticinin aktif katılımı,
küçük bir işletmede görevler ayrılığı ilkesinin eksikliğinden kaynaklanan
belirli riskleri azaltabilir. Ancak bu katılım, örneğin kontrollerin ihlâl
edilmesi gibi diğer riskleri artırabilir.
A86.
Ayrıca,
küçük işletmelerde kontrol çevresi unsurlarına ilişkin denetim kanıtları,
özellikle yönetim ile diğer personel arasındaki iletişimin gayri resmi ama
etkin olduğu durumlarda, yazılı biçimde bulunmayabilir. Örneğin, küçük
işletmelerde yazılı iş ahlâkı kuralları bulunmayabilir. Bunun yerine söz konusu
işletmelerde, sözlü iletişim ve yönetimin örnek teşkil etmesi yoluyla dürüstlük
ve etik davranışın önemini vurgulayan bir kültür geliştirilmiş olabilir.
A87.
Sonuç
olarak, denetçinin daha küçük işletmelerin kontrol çevresi hakkında kanaat
edinilmesi açısından, yönetimin veya işletmenin sahibi olan yöneticinin tutumu,
farkındalığı ve eylemleri özel bir öneme sahiptir.
İç Kontrol
Bileşenleri – İşletmenin Risk Değerlendirme Süreci (Bkz.: 15
inci paragraf)
A88.
İşletmenin
risk değerlendirme süreci, yönetilecek risklere ilişkin olarak yönetimin
alacağı kararlara dayanak teşkil eder. İşletmenin niteliği, büyüklüğü ve
karmaşıklığı dâhil olmak üzere işletmenin şartlarına uygun olması hâlinde bu
süreç, “önemli yanlışlık” risklerinin belirlenmesinde denetçiye yardımcı olur.
İşletmenin risk değerlendirme sürecinin şartlara uygun olup olmadığı muhakeme
gerektiren bir konudur.
Küçük İşletmelere Özgü Hususlar (Bkz.:
17 nci paragraf)
A89.
Küçük bir
işletmede, oluşturulmuş bir risk değerlendirme sürecinin bulunması muhtemel
değildir. Bu gibi durumlarda, yönetimin işletme faaliyetlerine doğrudan ve
şahsen katılmak suretiyle riskleri belirlemesi muhtemeldir. Ancak içinde
bulunulan şartlara bakılmaksızın, belirlenen risklere ve bu risklerin yönetim
tarafından nasıl ele alındığına ilişkin sorgulamaların yapılması yine de
gereklidir.
İç Kontrol
Bileşenleri – İlgili İş Süreçleri Dâhil Finansal Raporlamayla İlgili Bilgi
Sistemi ve İletişim
İlgili İş Süreçleri Dâhil Finansal
Raporlamayla İlgili Bilgi Sistemi (Bkz.: 18 inci paragraf)
A90.
Muhasebe
sistemini de içeren finansal raporlama amaçlarına yönelik bilgi sistemi,
·
İşletmenin
işlemlerini (olay ve şartların yanı sıra) başlatmak, kaydetmek, işlemek ve
raporlamak ile ilgili varlık, yükümlülük ve özkaynaklara ilişkin hesap
verebilirliği sürdürmek,
·
İşlemlerin
yanlış bir şekilde işlenmesini (örneğin, geçici kalemlerin zamanında silinmesi
için takip edilen prosedürlerde ve otomatik geçici dosyalardaki gibi) önlemek,
·
Kontrollerin
devre dışı bırakılması veya sistemin ihlâl edilmesini hesaba katmak ve işlem
yapmak,
·
Bilgileri,
kayıt işleme sisteminden defteri kebire aktarmak,
·
Finansal
raporlamaya ilişkin işlemler dışındaki olay ve şartlar hakkındaki bilgileri
almak (varlıkların itfası ve amortismanı ile alacakların geri kazanılabilirliğindeki
değişikliklere ilişkin bilgiler gibi),
·
Geçerli
finansal raporlama çerçevesine göre açıklanması gereken bilgilerin
toplanmasını, kaydedilmesini, işlenmesini, özetlenmesini ve finansal tablolarda
uygun şekilde raporlanmasını sağlamak,
üzere
tasarlanan ve oluşturulan prosedür ve kayıtlardan oluşur.
A91.
Finansal
tablolarda; defteri kebir ve yardımcı defterler dışındaki kaynaklardan elde
edilen bilgiler de yer alabilir. Bu tür bilgilere örnek olarak aşağıdakiler
verilebilir:
·
Bilgilerin,
finansal tablolarda açıklanan kira sözleşmelerinden -yenileme opsiyonları veya
gelecekteki kira ödemeleri gibi- elde edilmesi.
·
İşletmenin
risk yönetim sistemi tarafından oluşturulan ve finansal tablolarda açıklanan
bilgi.
·
Yönetimin
faydalandığı uzmanlar tarafından oluşturulan ve finansal tablolarda açıklanan
gerçeğe uygun değer bilgisi.
·
Finansal
tablolara alınan veya finansal tablolarda açıklanan tahminlerin
geliştirilmesinde kullanılan modellerden veya diğer hesaplamalardan elde edilen
ve finansal tablolarda açıklanan bilgi (söz konusu modellerde kullanılan
dayanak (temel) veriler ve varsayımlarla ilgili bilgiler). Örneğin;
o
İşletme
içinde geliştirilen ve varlıkların yararlı ömrünü etkileyebilecek varsayımlar.
o
Faiz
oranları gibi, işletmenin kontrolü dışındaki etkenlerden etkilenen veriler.
·
Yönetimin farklı
varsayımları dikkate aldığını gösteren -finansal modellerden türetilen-
duyarlılık analizleri hakkında finansal tablolarda açıklanan bilgi.
·
İşletmenin
vergi beyannamelerinden ve kayıtlarından elde edilen ve finansal tablolarına
alınan veya finansal tablolarda açıklanan bilgi.
·
Yönetimin
işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin yaptığı
değerlendirmeyi desteklemek için hazırlanan analizlerden elde edilen ve finansal
tablolarda açıklanan bilgi (varsa, işletmenin sürekliliğini devam ettirme
kabiliyetine ilişkin ciddi şüphe oluşturabilecek olay veya şartlarla ilgili
açıklamalar gibi).
A92.
Bu BDS’nin
18 inci paragrafı uyarınca finansal raporlamayla ilgili bilgi sistemi hakkında
kanaat edinilmesi (bu sistemin, finansal tablolarda açıklanan bilgilerle
-defteri kebir ve yardımcı defterler ya da bunlar dışındaki kaynaklardan elde
edilen bilgiler- ilişkili yönleri hakkında kanaat edinilmesi dâhil) denetçinin mesleki muhakemede bulunmasını
gerektiren bir konudur. Örneğin; işletmenin finansal tablolarındaki belirli
tutarlar veya açıklamalar (kredi riski, likidite riski ve piyasa riski hakkında
yapılan açıklamalar gibi); işletmenin risk yönetim sisteminden elde edilen
bilgilere dayanıyor olabilir. Bununla birlikte, denetçinin risk yönetim
sisteminin tüm yönlerini anlaması zorunlu değildir ve denetçi, sistemi ne kadar
tanıması gerektiğini belirlerken mesleki muhakemesini kullanır.
Yevmiye kayıtları (Bkz.: 18(e)
paragrafı)
A93.
Bir
işletmenin bilgi sistemi genellikle, tekrarlayan işlemleri kaydetmeyi
gerektiren standart yevmiye kayıtlarının kullanımını içerir. Bu tip kayıtlara
satışların, satın almaların ve kasa ödemelerinin defteri kebire kaydedilmesi
veya yönetimin dönemsel olarak yaptığı muhasebe tahminlerinin (örneğin, şüpheli
alacaklara ilişkin tahminlerdeki değişikliklerin) kaydedilmesi örnek olarak
verilebilir.
A94.
Bir işletmenin
finansal raporlama süreci; tekrar etmeyen ve olağandışı işlem veya
düzeltmelerin kaydedilmesi için standart olmayan yevmiye kayıtlarının
kullanılmasını da içerir. Bu tür yevmiye kayıtlarına, işletme birleşmesi veya
elden çıkarmalarına ilişkin konsolidasyon düzeltmeleri ve kayıtları ile
varlıklardaki değer düşüklüğü gibi tekrar etmeyen tahminler örnek olarak
verilebilir. Muhasebenin elle tutulduğu sistemlerde, standart olmayan yevmiye
kayıtları; defterlerin, yevmiye kayıtlarının ve destekleyici belgelerin tetkik
edilmesi suretiyle belirlenebilir. Defteri kebir kayıtlarını tutmak ve finansal
tabloları hazırlamak için bilgisayar programlarının kullanılması hâlinde bu tür
kayıtlar sadece elektronik ortamda mevcut olduğundan, söz konusu kayıtlar,
bilgisayar destekli denetim teknikleri kullanılmak suretiyle kolayca
belirlenebilir.
İlgili iş süreçleri (Bkz.: 18 inci
paragraf)
A95.
Bir
işletmenin iş süreçleri, aşağıdakileri gerçekleştirmek üzere tasarlanmış
faaliyetlerden oluşur:
·
Bir
işletmenin ürün ve hizmetlerini geliştirmek, satın almak, üretmek, satmak ve
dağıtmak,
·
Mevzuata uymak
ve
·
Muhasebe
ve finansal raporlama bilgileri dâhil, bilgileri kaydetmek.
İş
süreçleri, bilgi sistemi tarafından kaydedilen, işlenen ve raporlanan işlemlerle
sonuçlanır. İşlemlerin kaynağında nasıl başlatıldığı da dâhil olmak üzere iş
süreçleri hakkında kanaat edinilmesi, işletmenin finansal raporlamaya ilişkin
bilgi sistemini (işletmenin durumuna uygun bir şekilde) anlamasında denetçiye
yardımcı olur.
Küçük İşletmelere Özgü Hususlar
(Bkz.: 18 inci paragraf)
A96.
Küçük
işletmelerde finansal raporlamaya ilişkin bilgi sisteminin -bu sistemin;
finansal tablolarda açıklanan bilgilerle -defteri kebir ve yardımcı defterler
ya da bunlar dışındaki kaynaklardan elde edilen- ilişkili yönleri dâhil- ve ilgili
iş süreçlerinin büyük işletmelere kıyasla genellikle daha basit olması
muhtemeldir; ancak işlevleri büyük işletmedekiler kadar önemlidir. Yönetimin
aktif katılımının olduğu küçük işletmeler, muhasebe prosedürlerine ilişkin
ayrıntılı açıklamalara, gelişmiş ve çok yönlü muhasebe kayıtlarına veya yazılı
politikalara ihtiyaç duymayabilir. Bu sebeple daha küçük işletmelerin
denetiminde, işletmenin finansal raporlamayla ilgili bilgi sistemini anlamak
daha kolaydır ve belgelerin gözden geçirilmesinden ziyade yapılacak
sorgulamalara bağlıdır. Ancak söz konusu sistem ve süreçleri anlama ihtiyacı
yine de önemini korumaya devam eder.
İletişim (Bkz.: 19 uncu paragraf)
A97.
İşletme
tarafından finansal raporlamayla ilgili görev ve sorumluluklar ile finansal
raporlamaya ilişkin önemli konuların bildirilmesi, finansal raporlamaya yönelik
iç kontrol konusundaki bireysel görev ve sorumluluklara ilişkin bilgilerin
sağlanmasını da içerir. Bu bildirim personelin, finansal raporlama bilgi
sistemindeki faaliyetlerinin diğerlerinin çalışmalarıyla ilişkisini ne ölçüde
anladığı ve sapmaların işletmedeki uygun bir üst kademeye raporlanma şekilleri
gibi hususları da kapsar. Söz konusu bildirim, politika rehberleri ve finansal
raporlama rehberleri şeklinde olabilir. Açık bildirim kanalları, sapmaların raporlanmasına
ve sonrasında gerekli adımların atılmasına yardımcı olur.
Küçük İşletmelere Özgü Hususlar
A98.
Küçük
işletmelerde, daha az sorumluluk seviyesinin bulunması ve yönetimin daha görünür
ve ulaşılabilir olması sebebiyle, büyük işletmelere kıyasla iletişim daha basit
ve daha kolaydır.
İç Kontrol
Bileşenleri – Denetimle İlgili Kontrol Faaliyetleri (Bkz.: 20
nci paragraf)
A99.
Kontrol
faaliyetleri, yönetim talimatlarının uygulanmasını sağlamaya yardımcı olan
politika ve prosedürlerdir. BT veya manuel sistemlerde olup olmadığına
bakılmaksızın, kontrol faaliyetlerinin çeşitli amaçları bulunur ve farklı
kurumsal ve fonksiyonel düzeylerde uygulanır. Aşağıda sıralanan hususlar,
belirli kontrol faaliyetlerine örnek olarak verilebilir:
·
Yetkilendirme.
·
Performans
gözden geçirmeleri.
·
Bilgi
işleme.
·
Fiziki
kontroller.
·
Görevler
ayrılığı.
A100.
Aşağıdakiler,
denetimle ilgili kontrol faaliyetleridir:
·
Ciddi
risklerle ilgili kontrol faaliyetleri gibi ele alınması gerekenler ile
sırasıyla 29 ve 30 uncu paragraflar uyarınca maddi doğrulama prosedürlerinin
tek başına yeterli ve uygun denetim kanıtı sağlayamadığı risklerle ilgili
kontrol faaliyetleri veya
·
Denetçinin
yargısına göre ilgili olduğu değerlendirilen kontrol faaliyetleri.
A101.
Denetçinin
kontrol faaliyetinin denetimle ilgili olup olmadığı hakkındaki yargısı,
Denetçinin
belirlediği ve önemli bir yanlışlığa yol açabilecek riskten ve
Maddi
doğrulama testinin kapsamını belirlerken kontrolün işleyiş etkinliğini test etmenin
uygun olabileceğini düşünüp düşünmemesinden,
etkilenir.
A102.
Denetçi,
“önemli yanlışlık” risklerinin daha yüksek olabileceğini düşündüğü alanlara
yönelik kontrol faaliyetlerinin belirlenmesine ve bu faaliyetler hakkında kanaat
edinilmesine yoğunlaşabilir. Birden fazla kontrol faaliyetinin her birinin aynı
amacı yerine getirmesi durumunda, söz konusu amaca ilişkin kontrol
faaliyetlerinin her birini anlamak gereksizdir.
A103.
Denetimle
ilgili kontrol faaliyetleri; yönetim tarafından oluşturulan çeşitli kontrolleri
içerir. Söz konusu faaliyetler; hesap bakiyeleri ve işlemlerle ilgili risklerin
ele alınması amacıyla oluşturulan kontrolleri içerebileceği gibi, geçerli
finansal raporlama çerçevesine uygun olarak hazırlanmayan açıklamalardaki
“önemli yanlışlık” risklerini ele almak için oluşturulan kontrolleri de
içerebilir. Bu tür kontrol faaliyetleri ayrıca defteri kebir ve yardımcı
defterler dışındaki kaynaklardan elde edilmek suretiyle finansal tablolara
dâhil edilen bilgilerle de ilgili olabilir.
A104.
İç
kontrolün diğer bileşenlerini anlamaya çalışırken kontrol faaliyetlerinin
bulunup bulunmadığına ilişkin elde ettiği bilgiler denetçinin, kontrol
faaliyetlerini anlamak için daha fazla çaba harcamasının gerekli olup olmadığı
konusunda karar vermesine yardımcı olur.
Küçük İşletmelere Özgü Hususlar
A105.
Küçük
işletmelerde kontrol faaliyetlerinin temelini oluşturan anlayış büyük
işletmedekilerle benzer olabilmekle birlikte, işleyiş şekilleri farklılık
gösterebilir. Ayrıca küçük işletmeler, yönetim tarafından uygulandıkları için
belirli türdeki kontrol faaliyetlerini kendileri için uygun bulmayabilir.
Örneğin, müşterilere kredi açılmasının ve önemli satın alımların onaylanmasının
sadece yönetimin yetkisinde olması, önemli hesap bakiyeleri ve işlemleri
üzerinde güçlü bir kontrol sağlayabilir ve daha ayrıntılı kontrol faaliyetleri
ihtiyacını azaltabilir veya ortadan kaldırabilir.
A106.
Küçük bir
işletmenin denetimiyle ilgili kontrol faaliyetlerinin; hâsılat, satın alma ve
personel giderleri gibi ana işlem döngüleriyle ilgili olması muhtemeldir.
BT’den Kaynaklanan Riskler (Bkz.: 21
inci paragraf)
A107.
BT
kullanımı, kontrol faaliyetlerinin uygulanma şeklini etkiler. Denetçi açısından
BT sistemleri üzerindeki kontroller; bu tür sistemlerin işlediği bilgilerin
doğruluğu ve bütünlüğü ile verilerin güvenliğini sağlayabildiği ve etkin genel
BT kontrolleri ile uygulama kontrollerini içerdiği durumlarda etkindir.
A108.
Genel BT
kontrolleri, çok sayıda uygulamayla ilgili olan ve uygulama kontrollerinin
etkin işleyişini destekleyen politika ve prosedürlerdir. Bunlar ana bilgisayar,
mini bilgisayar sistemi ve son kullanıcı ortamları için geçerlidir. Bilgilerin
doğruluğu ve bütünlüğü ile verilerin güvenliğini sağlayan genel BT kontrolleri,
çoğunlukla aşağıdakiler üzerindeki kontrolleri içerir:
·
Veri
merkezi ve veri ağı faaliyetleri.
·
Sistem
yazılımı alımı, değişikliği ve bakımı.
·
Program
değişikliği.
·
Erişim
güvenliği.
·
Uygulama
sistemi alımı, bu sistemin geliştirilmesi ve bakımı.
Bu
kontroller genellikle, yukarıda A64 paragrafında belirtilen risklere yönelik
olarak uygulanır.
A109.
Uygulama
kontrolleri genellikle bir iş süreci seviyesinde işleyen ve işlemlerin münferit
uygulamalar tarafından işlenmesine uygulanan manuel veya otomatik
prosedürlerdir. Uygulama kontrolleri nitelik olarak önleyici veya tespit edici
olabilir ve muhasebe kayıtlarının doğruluk ve bütünlüğünü sağlamak üzere
tasarlanır. Bu sebeple uygulama kontrolleri, işlemleri veya diğer finansal
verileri başlatmak, kaydetmek, işlemek veya raporlamak için kullanılan
prosedürlerle ilgilidir. Bu kontroller, gerçekleşen işlemlerin onaylanmış
olmasını, eksiksiz ve doğru şekilde kaydedilmesini ve işlenmesini sağlamaya
yardımcı olur. Bunlara, girdi verilerinin düzeltme kontrolü, sayısal sıra
kontrolleri ile sapma raporlarının manuel takibi veya veri girişi noktasında
yapılan düzeltmeler örnek olarak gösterebilir.
İç Kontrol
Bileşenleri – Kontrollerin İzlenmesi (Bkz.: 22 nci paragraf)
A110.
Kontrollerin
izlenmesi, iç kontrol performansının zaman içindeki etkinliğinin
değerlendirilmesi sürecidir. Bu süreç, kontrollerin etkinliğinin zamanında
değerlendirilmesini ve gerekli iyileştirici adımların atılmasını içerir.
Yönetim; sürekli faaliyetler, ayrı değerlendirmeler veya bu ikisinin bileşimi
yoluyla kontrolleri izler. Sürekli izleme faaliyetleri genellikle, işletmenin
normal tekrarlanan faaliyetlerine dâhil edilir ve düzenli yönetim, yönlendirme
ve gözetim faaliyetlerini içerir.
A111.
Yönetimin
izleme faaliyetleri, sorunlu veya iyileştirilmesi gereken alanlara işaret eden
müşteri şikâyetleri ve düzenleyici kurum yorumları gibi dış taraflarca iletilen
hususlardan elde edilen bilgilerin kullanılmasını da içerebilir.
Küçük İşletmelere Özgü Hususlar
A112.
Yönetimin
kontrolleri izlemesi genellikle, yönetimin veya işletmenin sahibi olan yöneticinin
faaliyetlere yakından katılımıyla gerçekleştirilir. Bu katılım çoğu zaman,
kontrole ilişkin iyileştirici adım atılmasını gerektiren, beklentilerden önemli
sapmaları ve finansal verilerdeki yanlışlıkları belirleyecektir.
İşletmenin İç Denetim Fonksiyonu (Bkz.:
23 üncü paragraf)
A113.
İşletmenin
iç denetim fonksiyonu varsa, denetçinin bu fonksiyon hakkında kanaat edinmesi;
iç kontrol dâhil olmak üzere işletme ve çevresini, özellikle finansal
raporlamaya yönelik iç kontrolün işletme tarafından izlenmesine ilişkin iç
denetim fonksiyonun rolünü anlamasına katkıda bulunur. Bu kanaat, denetçinin bu
BDS’nin 6(a) paragrafı uyarınca yaptığı sorgulamalardan elde ettiği bilgilerle
birlikte, doğrudan denetçinin “önemli yanlışlık” risklerini belirlemesi ve
değerlendirmesiyle ilgili de bilgi sağlar.
A114.
İç denetim
fonksiyonunun amaçları ve kapsamı, sorumluluklarının niteliği ve fonksiyonun
yetkileri ve hesap verebilirliği dâhil kurumsal yapı içindeki statüsü, geniş
ölçüde farklılık gösterir ve işletmenin büyüklüğü ve yapısı ile yönetimin ve
-uygun hâllerde- üst yönetimden sorumlu olanların gereksinimlerine bağlıdır. Bu
hususlar iç denetim yönergesinde veya iş tanımlarında belirtilebilir.
A115.
İç denetim
fonksiyonunun sorumlulukları,
Risk
yönetimi,
İç kontrol
ve
Kurumsal
yönetim,
süreçlerinin
tasarımına ve etkinliğine ilişkin yönetime ve üst yönetimden sorumlu olanlara
güvence sağlamak amacıyla prosedürler uygulanmasını ve sonuçlarının
değerlendirilmesini içerebilir. Bu şekilde olması hâlinde, iç denetim fonksiyonu,
işletmenin finansal raporlamaya yönelik iç kontrolünün izlenmesinde önemli bir
rol oynayabilir. Ancak, iç denetim fonksiyonunun sorumlulukları faaliyetlerin
ekonomikliği, verimliliği ve etkinliğinin değerlendirilmesine odaklanabilir; bu
durumda, bu fonksiyonun çalışmaları işletmenin finansal raporlamasıyla doğrudan
ilgili olmayabilir.
A116.
Bu BDS’nin
6(a) paragrafı uyarınca denetçinin iç denetim fonksiyonundaki uygun kişileri
sorgulaması, denetçinin iç denetim fonksiyonunun sorumluluklarının niteliğini
anlamasına yardımcı olur. İç denetim fonksiyonunun sorumluluklarının,
işletmenin finansal raporlamasıyla ilgili olduğuna karar vermesi durumunda
denetçi, iç denetim fonksiyonunun denetlenen döneme ilişkin -varsa- denetim
planını inceleyerek ve fonksiyon içindeki uygun kişilerle söz konusu denetim
planını müzakere ederek, iç denetim fonksiyonunun yürüttüğü veya yürüteceği
çalışmalar hakkında daha fazla bilgi elde edebilir.
A117.
İç denetim
fonksiyonunun sorumlulukları ve güvence faaliyetlerinin niteliğinin işletmenin
finansal raporlama sistemiyle ilgili olması hâlinde denetçi, denetim kanıtı
elde etmek için doğrudan uygulayacağı denetim prosedürlerinin nitelik ve
zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim
fonksiyonunun çalışmalarını da kullanabilir. Önceki denetimlerden elde edilen
deneyimlere veya risk değerlendirme prosedürlerine dayanarak, işletmenin
büyüklüğüne ve faaliyetlerinin niteliğine kıyasla, işletmenin yeterli ve uygun
kaynaklara sahip bir iç denetim fonksiyonu olduğunun ve bu fonksiyonun üst
yönetimden sorumlu olanlarla doğrudan raporlama ilişkisinin bulunduğunun
anlaşılması hâlinde, denetçilerin iç denetim fonksiyonunun çalışmalarını
kullanabilme ihtimali daha fazladır.
A118.
İç denetim
fonksiyonu hakkında elde ettiği ön bilgilere dayanarak, uygulanacak denetim
prosedürlerinin nitelik veya zamanlamasını değiştirmek veya kapsamını daraltmak
amacıyla iç denetim fonksiyonunun çalışmalarını kullanmayı düşünmesi hâlinde
denetçi, BDS 610’u uygular.
A119.
BDS 610’da
ayrıntılı olarak açıklandığı üzere, iç denetim fonksiyonunun faaliyetleri,
işletmenin yanlışlıkları önlemesine veya tespit etmesine katkı sağlamak
amacıyla geliştirilen, yönetimin kullandığı muhasebe bilgilerinin gözden
geçirilmesi gibi finansal raporlamayla ilgili olabilecek diğer izleme
kontrollerinden farklıdır.
A120.
İşletmenin
iç denetim fonksiyonunda görev yapan uygun kişilerle denetimin başlangıcında
iletişim kurulması ve iletişimin denetim süresince devam ettirilmesi, etkin
bilgi paylaşımı sağlayabilir. Bu şekilde, denetçinin çalışmasını
etkileyebilecek önemli hususlar, iç denetim fonksiyonunun dikkatini çektiğinde,
bu hususların denetçiye aktarıldığı bir ortam oluşturulmuş olur. BDS 200,
denetim kanıtı olarak kullanılacak belgelerin ve sorgulamalarda alınan
cevapların güvenilirliği hakkında soru işaretleri oluşturacak bilgilere karşı
dikkatli olunması dâhil, denetçinin, denetimi mesleki şüphecilik içinde
planlaması ve yürütmesinin önemini açıklar. Bu sebeple, iç denetim
fonksiyonuyla denetim boyunca kurulan iletişim, bu tür bilgileri denetçinin
dikkatine sunmaları açısından iç denetçilere fırsat sağlayabilir. Böylece
denetçi, “önemli yanlışlık” risklerini belirler ve değerlendirirken bu tür
bilgileri dikkate alabilir.
Bilgi Kaynakları (Bkz.: 24 üncü
paragraf)
A121.
İzleme
faaliyetlerinde kullanılan bilgilerin büyük bir bölümü, işletmenin bilgi
sistemi tarafından üretilebilir. İzlemede kullanılan verilerin, sağlam bir
dayanağı olmaksızın, doğru olduğunun yönetim tarafından kabul edilmesi
durumunda, bilgide mevcut olabilecek hatalar, yönetimin izleme faaliyetlerinden
yanlış sonuçlar çıkarmasına yol açabilir. Bu sebeple;
·
İşletmenin
izleme faaliyetlerine ilişkin bilgi kaynaklarını ve
·
Yönetimin
bu amaçla kullanılan bilgilerin yeterince güvenilir olduğunu düşünmesinin
dayanağını,
denetçinin
anlaması, iç kontrolün bir bileşeni olan izleme faaliyetlerini anlamasının bir
parçası olarak zorunludur.
“Önemli
Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi
Finansal
Tablo Düzeyinde “Önemli Yanlışlık” Risklerinin Değerlendirilmesi (Bkz.:
25(a) paragrafı)
A122.
Finansal
tablo düzeyinde “önemli yanlışlık” riskleri, bir bütün olarak finansal
tablolarla yaygın bir şekilde ilgili olan ve çok sayıda yönetim beyanını
etkileme potansiyeli bulunan riskleri ifade eder. Bu nitelikteki riskler; işlem
sınıfları, hesap bakiyeleri veya açıklamalar düzeyinde belirli yönetim
beyanlarıyla ilişkilendirilebilir riskler olmak zorunda değildir. Bu tür
riskler daha ziyade, örneğin yönetimin iç kontrolü ihlâl etmesindeki gibi,
yönetim beyanı düzeyinde “önemli yanlışlık” risklerini artırabilen durumları
yansıtır. Finansal tablo düzeyinde riskler özellikle, denetçinin hile kaynaklı
“önemli yanlışlık” risklerine ilişkin değerlendirmesiyle ilgili olabilir.
A123.
Finansal
tablo düzeyinde riskler, bozulan ekonomik şartlar gibi başka etkenlerle de
ilgili olabilmekle birlikte, özelikle eksik (yetersiz) bir kontrol çevresinden
kaynaklanabilir. Örneğin, yönetimin yetkin olmaması veya finansal tabloların
hazırlanmasına ilişkin yeterli bir gözetimin yapılmaması gibi eksikliklerin
finansal tablolar üzerinde daha yaygın bir etkisi olabilir ve bu eksiklikler
denetçinin bu risklere yönelik genel işler yapmasını (genel bir karşılık
vermesini) gerektirebilir.
A124.
Denetçinin
iç kontrol hakkında edindiği kanaat, işletmenin finansal tablolarının denetlenebilirliğine
ilişkin şüpheler doğurabilir. Örneğin:
·
İşletme
yönetiminin dürüstlüğüyle ilgili endişeler; denetçinin, finansal tablolarda
yönetimin yanlış açıklamalarda bulunma riskinin denetimin yürütülmesini
engelleyebilecek düzeyde olduğu sonucuna varmasına sebep olacak kadar ciddi
olabilir.
·
İşletme
kayıtlarının durumu ve güvenilirliğiyle ilgili endişeler; denetçinin, finansal
tablolara ilişkin olumlu görüş vermesini destekleyebilecek yeterli ve uygun
denetim kanıtı elde edilmesinin muhtemel olmadığı sonucuna varmasına sebep
olabilir.
A125.
BDS 705
denetçinin sınırlı olumlu görüş (şartlı görüş) vermesine veya görüş vermekten
kaçınmasına veya bazı durumlarda gerekli olabileceği gibi -mevzuatla izin
verilmesi hâlinde- denetimden çekilmesine ihtiyaç olup olmadığını belirlemeye
yönelik hükümler ve açıklamalar içerir.
Yönetim Beyanı Düzeyinde “Önemli Yanlışlık”
Risklerinin Değerlendirilmesi (Bkz.: 25(b) paragrafı)
A126.
İşlem
sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde
“önemli yanlışlık” risklerinin değerlendirilmesi gerekir; çünkü bu tür bir
değerlendirme, yeterli ve uygun denetim kanıtı elde etmek için gerekli olan
yönetim beyanı düzeyindeki müteakip denetim prosedürlerinin niteliği,
zamanlaması ve kapsamının belirlenmesine doğrudan yardımcı olur. Denetçi,
yönetim beyanı düzeyinde “önemli yanlışlık” risklerini belirler ve
değerlendirirken, belirlenen risklerin bir bütün olarak finansal tablolarla
yaygın bir şekilde ilgili olduğu ve potansiyel olarak çok sayıda yönetim
beyanını etkilediği sonucuna varabilir.
Yönetim Beyanlarının Kullanılması
A127.
Finansal
tabloların geçerli finansal raporlama çerçevesine uygun olarak sunumunda
yönetim, alenen veya zımnen işlem sınıfları ve olayların, hesap bakiyelerinin
ve açıklamaların finansal tablolara alınmasına, ölçülmesine ve sunulmasına ilişkin
beyanlarda bulunur.
A128.
Denetçi,
A129 (a)-(b) paragraflarında tanımlanan yönetim beyanlarını kullanabilir veya
bunları söz konusu paragraflarda tanımlanan tüm yönleri kapsaması şartıyla
farklı bir biçimde ifade edebilir. Örneğin, denetçi, işlem sınıfları ve olaylar
ile ilgili açıklamalar hakkındaki yönetim beyanlarını hesap bakiyeleri ve
ilgili açıklamalar hakkındaki yönetim beyanlarıyla birleştirmeyi seçebilir.
İşlem Sınıfları, Hesap Bakiyeleri ve İlgili Açıklamalar
Hakkındaki Yönetim Beyanları
A129.
Gerçekleşebilecek
farklı potansiyel yanlışlık türlerini dikkate alırken denetçi tarafından
kullanılan yönetim beyanları aşağıdaki gruplardan birine girer ve aşağıdaki
şekilleri alabilir:
(a)
Denetlenen
döneme ilişkin işlem sınıfları ve olaylar ile ilgili açıklamalar hakkındaki
yönetim beyanları:
(i)
Gerçekleşme:
Kaydedilmiş veya açıklanmış işlem ve olaylar gerçekleşmiştir ve bu işlem ve
olaylar işletmeye aittir.
(ii)
Tamlık: Kaydedilmiş olması gereken tüm işlem ve
olaylar kaydedilmiş ve
finansal tablolarda bulunması gereken tüm açıklamalara finansal tablolarda yer
verilmiştir.
(iii)
Doğruluk:
Kaydedilmiş işlem ve olaylara ilişkin tutarlar ve diğer veriler uygun bir
şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve ifade
edilmiştir.
(iv)
Hesap
kesimi: İşlem ve olaylar doğru hesap döneminde kaydedilmiştir.
(v)
Sınıflandırma:
İşlem ve olaylar uygun hesaplara kaydedilmiştir.
(vi)
Sunum:
İşlem ve olaylar uygun bir şekilde bir araya getirilmiş veya parçalara (alt
bölümlere) ayrılmış ve açık bir şekilde ifade edilmiştir. İlgili açıklamalar
geçerli finansal raporlama çerçevesi hükümleri bağlamında ihtiyaca uygun ve
anlaşılabilirdir.
(b)
Dönem
sonundaki hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanları aşağıdaki
gibidir:
(i)
Var olma
(mevcut olma): Varlıklar, yükümlülükler ve özkaynak payları mevcuttur.
(ii)
Hak ve
yükümlülükler: İşletme, varlıkların tasarruf ve kontrol hakkına sahiptir ve
borçlar işletmenin yükümlülüğüdür.
(iii)
Tamlık:
Kaydedilmiş olması gereken tüm varlıklar, borçlar ve özkaynak payları
kaydedilmiş ve finansal tablolarda bulunması gereken tüm açıklamalara finansal
tablolarda yer verilmiştir.
(iv)
Doğruluk, değerleme ve dağıtım: Varlıklar, yükümlülükler ve özkaynak payları uygun
tutarlarda finansal tablolarda yer almaktadır ve her türlü değerleme ve dağıtım
düzeltmeleri uygun şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve
ifade edilmiştir.
(v)
Sınıflandırma:
Varlıklar, yükümlülükler ve özkaynak payları uygun hesaplara kaydedilmiştir.
(vi)
Sunum:
Varlıklar, yükümlülükler ve özkaynak payları uygun bir şekilde bir araya
getirilmiş veya parçalara (alt bölümlere) ayrılmış ve açık bir şekilde ifade
edilmiştir. İlgili açıklamalar geçerli finansal raporlama çerçevesi hükümleri
bağlamında ihtiyaca uygun ve anlaşılabilirdir.
Diğer açıklamalar hakkındaki yönetim beyanları
A130.
A129 (a)-(b) paragraflarında açıklanan yönetim beyanları -duruma uygun
bir şekilde uyarlanabildiği sürece- işlem sınıfları, olaylar ve hesap
bakiyeleriyle doğrudan ilgili olmayan açıklamalarda gerçekleşebilecek farklı
türdeki potansiyel yanlışlıkların dikkate alınmasında da kullanılabilir. İşlem
sınıfları, olaylar ve hesap bakiyeleriyle doğrudan ilgili olmayan açıklamalara
ise işletmenin finansal araçları sebebiyle maruz kaldığı riskleri, söz konusu
risklerin nasıl meydana geldiğini, bu risklerin yönetilmesine ilişkin amaçları,
politikaları ve süreçleri ile riskleri ölçmek için kullanılan yöntemleri
açıklama yükümlülüğü örnek olarak verilebilir.
Kamu sektörü işletmelerine özgü
hususlar
A131.
Yönetim, kamu
sektörü işletmelerinin finansal tabloları hakkında beyanda bulunurken A129(a)-(b)
paragraflarında belirtilenlere ek olarak; genellikle işlem ve olayların
mevzuata uygun olarak gerçekleştirildiği konusunda da beyanda bulunabilir. Bu
tür yönetim beyanları finansal tablo denetiminin kapsamına girebilir.
“Önemli
Yanlışlık” Risklerinin Belirlenmesi Süreci (Bkz.: 26(a) paragrafı)
A132.
Kontrollerin
tasarımının değerlendirilmesi ve bu kontrollerin uygulanıp uygulanmadığının
belirlenmesi sırasında elde edilen denetim kanıtları dâhil, risk değerlendirme
prosedürlerinin uygulanmasıyla elde edilen bilgiler, risk değerlendirmesini
destekleyecek denetim kanıtı olarak kullanılır. Risk değerlendirmesi, müteakip
denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirler. Finansal
tablolardaki “önemli yanlışlık” risklerini belirlerken denetçi, BDS 200
uyarınca mesleki şüpheciliğini kullanır.
A133.
Ek 2’de
açıklamalarla ilgili olanlar dâhil, “önemli yanlışlık” risklerine işaret
edebilecek durum ve olaylara ilişkin örnekler yer almaktadır.
A134.
BDS
320’de açıklandığı üzere, işlem sınıfları, hesap bakiyeleri ve
açıklamalara ilişkin “önemli yanlışlık” riskleri belirlenirken ve
değerlendirilirken önemlilik ve denetim riski göz önünde bulundurulur.
Denetçinin önemliliği belirlemesi mesleki muhakemesini kullanmasını gerektiren
bir konudur ve bu muhakeme denetçinin finansal tablo kullanıcılarının finansal
bilgiye olan ihtiyaçlarını algılayışından etkilenir.
A135.
Riskleri
belirlerken denetçinin finansal tablolardaki açıklamaları dikkate alması,
sayısal ve sayısal olmayan açıklamalar ile bu açıklamalardaki önemli olabilecek
yanlışlığın (diğer bir deyişle, genel olarak, finansal tablo kullanıcılarının,
bir bütün olarak, bu tablolara dayanarak alacakları ekonomik kararları
etkilemesi makul ölçüde bekleniyorsa, söz konusu yanlışlıklar önemli olarak
değerlendirilir) dikkate alınmasını içerir. İşletmenin ve söz konusu denetimin
şartlarına bağlı olarak, “önemli yanlışlık” riskleri değerlendirilirken ilgili
olabilecek sayısal olmayan açıklama örnekleri, aşağıdakileri içerir:
·
Finansal sıkıntı yaşayan bir işletmenin likidite durumu ve borç
sözleşmeleri.
·
Değer düşüklüğü zararının finansal tablolara alınmasına neden olan olay
veya şartlar.
·
Gelecek hakkında yapılan varsayımlar dâhil, tahmin belirsizliğinin kilit
kaynakları.
·
Muhasebe politikasındaki değişikliğin niteliği ve geçerli finansal
raporlama çerçevesi tarafından zorunlu kılınan diğer ilgili açıklamalar.
Örneğin; yeni finansal raporlama hükümlerinin işletmenin finansal durumu ve
finansal performansı üzerinde önemli bir etkiye sahip olmasının beklenmesi.
·
Finansal tablolara alınan tüm tutarların nasıl belirlendiğine ilişkin
bilgiler dâhil, hisse bazlı ödeme anlaşmaları ve diğer ilgili açıklamalar.
·
İlişkili taraflar ve ilişkili taraf işlemleri.
·
Kaydedilen veya açıklanan bir tutara ilişkin ölçüm belirsizliğinin
dayanağının kullanıcılar tarafından anlaşılmasını sağlamak amacıyla, duyarlılık
analizleri ve işletmenin değerleme tekniklerinde kullanılan varsayımlarda
meydana gelen değişiklikler.
Küçük İşletmelere Özgü Hususlar
A136. Küçük işletmeler,
finansal tablolarında yer alan açıklamaları daha az ayrıntı içerecek şekilde
veya daha basit şekilde hazırlayabilir (örneğin, bazı finansal raporlama
çerçeveleri tarafından küçük işletmelerin finansal tablolarında daha az sayıda
açıklama sunmasına izin verilmektedir). Ancak bu husus, denetçinin, işletmenin
iç kontrolü dâhil -açıklamalarla ilgili olması sebebiyle- işletme ve çevresini
tanıma yükümlülüğünü ortadan kaldırmaz.
Yönetim
Beyanlarına İlişkin Kontroller (Bkz.: 26(c) paragrafı)
A137.
Denetçi
risk değerlendirmesi yaparken, belirli yönetim beyanlarındaki önemli
yanlışlıkları önleme veya tespit edip düzeltme ihtimâli olan kontrolleri
belirleyebilir. Kontrol faaliyetleri tek başına genellikle bir riski ele
almadığı için kontrollerin, içinde bulunduğu süreç ve sistemlerle birlikte
anlaşılması ve yönetim beyanlarıyla ilişkilendirilmesi daha uygundur.
Genellikle bir riski ele almak için, diğer iç kontrol bileşenleriyle birlikte,
birden fazla kontrol faaliyeti ancak yeterli olacaktır.
A138.
Aksine,
bazı kontrol faaliyetleri; özel bir işlem sınıfı veya hesap bakiyesiyle
ilişkisi olan münferit bir yönetim beyanı üzerinde belirli bir etkiye sahip
olabilir. Örneğin, işletme personelinin yıllık fiziki stok sayımını uygun bir
şekilde yapmasını ve kaydetmesini sağlamak için işletmenin oluşturmuş olduğu
kontrol faaliyetleri, stok hesap bakiyesiyle ilgili var olma ve tamlığa yönelik
yönetim beyanlarıyla doğrudan ilişkilidir.
A139.
Kontroller,
bir yönetim beyanıyla doğrudan veya dolaylı olarak ilgili olabilir. Bu ilgi ne
kadar dolaylı ise, kontrolün ilgili olduğu yönetim beyanındaki yanlışlıkları
önleme veya tespit edip düzeltme etkinliği de o kadar az olacaktır. Örneğin bir
satış yöneticisinin bölgeler bazında belirli mağazalara ait satış faaliyeti
özetini gözden geçirmesi, genellikle satış hâsılatına yönelik tamlık beyanıyla
sadece dolaylı olarak ilgilidir. Dolayısıyla bu kontrol, sevk irsaliyeleri ile
faturaların eşleştirilmesi örneğinde olduğu gibi söz konusu yönetim beyanıyla
daha doğrudan ilgili kontrollere kıyasla, yönetim beyanına yönelik riskin
azaltılması konusunda daha az etkin olabilir.
Önemli Yanlışlıklar
A140.
Büyüklüklerine,
niteliklerine veya şartlarına bağlı olarak, münferit finansal tablolardaki ve
açıklamalardaki potansiyel yanlışlıkların önemli olduğu yargısına varılabilir
(Bkz.: 26(ç) paragrafı).
Ciddi Riskler
Ciddi Risklerin Belirlenmesi (Bkz.:
28 inci paragraf)
A141.
Ciddi
riskler, genellikle rutin olmayan önemli işlemler veya muhakeme gerektiren
hususlarla ilgilidir. Rutin olmayan işlemler, büyüklüğü veya niteliği sebebiyle
olağan olmayan ve bu sebeple istisnai olarak gerçekleşen olaylardır. Muhakeme
gerektiren hususlar, önemli ölçüm belirsizliğinin bulunduğu muhasebe
tahminlerinin geliştirilmesini içerebilir. Sistematik olarak gerçekleştirilen
ve karmaşık olmayan rutin işlemlerin ciddi risklere sebep olma ihtimâli daha
azdır.
A142.
Aşağıdakiler
gibi hususlardan kaynaklanan, rutin olmayan önemli işlemler için “önemli
yanlışlık” riskleri daha yüksek olabilir:
·
Muhasebe
uygulamasının belirlenmesinde yönetimin çok fazla müdahalesinin bulunması.
·
Verilerin
toplanması ve işlenmesi sırasında daha fazla manuel müdahale.
·
Karmaşık
hesaplamalar ve muhasebe ilkeleri.
·
Rutin
olmayan işlemlerin, işletmenin risklere yönelik etkin kontrolleri uygulamasını
zorlaştırabilen, niteliği.
A143.
Aşağıdaki
gibi hususlardan kaynaklanan ve muhasebe tahminlerinin geliştirilmesini gerektiren
önemli muhakeme gerektiren hususlarda “önemli yanlışlık” riskleri daha yüksek
olabilir:
·
Muhasebe
tahminlerine ve hâsılatın finansal tablolara alınmasına ilişkin muhasebe
ilkeleri farklı yorumlanabilir.
·
Gerekli
muhakeme subjektif veya karmaşık olabilir ya da gerçeğe uygun değer hakkında
muhakemede bulunulması örneğinde olduğu gibi gelecekteki olayların etkileri
hakkında varsayımlar gerektirebilir.
A144.
BDS 330,
bir riskin ciddi risk olarak belirlenmesinin müteakip denetim prosedürleri
açısından sonuçlarını açıklar.
Hile kaynaklı “önemli yanlışlık”
riskleriyle ilişkili olan ciddi riskler
A145.
BDS 240,
hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesine ve
değerlendirilmesine ilişkin ilâve hükümler içerir ve bu konuda rehberlik
sağlar.
Ciddi Risklere İlişkin Kontrollerin
Anlaşılması (Bkz.: 29 uncu paragraf)
A146.
Rutin
olmayan veya muhakeme gerektiren önemli hususların rutin kontrollere tabi
tutulma ihtimali genelde daha az olmakla birlikte, yönetimin bu tür risklere
karşılık veren başka seçenekleri olabilir. Bu sebeple, işletmenin rutin olmayan
veya muhakeme gerektiren hususlardan kaynaklanan ciddi risklere yönelik
kontroller tasarlayıp tasarlamadığı ve bunları uygulayıp uygulamadığı hakkında
denetçinin elde edeceği bilgiler, yönetimin risklere karşılık verip vermediğini
ve nasıl karşılık verdiğini kapsar. Bu tür karşılıklar, aşağıdakileri
içerebilir:
·
Kıdemli
yöneticiler veya uzmanlar tarafından varsayımların gözden geçirilmesi gibi
kontrol faaliyetleri.
·
Belgelendirilen
tahmin süreçleri.
·
Üst yönetimden
sorumlu olanların onayı.
A147.
Örneğin,
önemli bir davanın tebliği gibi münferit bir olayın söz konusu olduğu
durumlarda, işletmenin bu riske yönelik olarak yapacağı işlemlerin
değerlendirilmesi; konunun uygun uzmanlara yönlendirilip yönlendirilmediği
(işletmenin iç veya dış hukuk müşavirleri gibi), bu riskin potansiyel etkisine
dair bir değerlendirme yapılıp yapılmadığı ve durumun finansal tablolarda nasıl
açıklanmasının önerildiği gibi konuların irdelenmesini içerebilir.
A148.
Bazı
durumlarda yönetim, gerekli kontroller uygulayarak ciddi “önemli yanlışlık”
risklerine uygun biçimde karşılık verememiş olabilir. Yönetimin bu tür
kontrolleri uygulayamaması, iç kontrolde önemli bir eksiklik bulunduğunun bir
göstergesidir.
Maddi Doğrulama Prosedürlerinin Tek Başına Yeterli ve
Uygun Denetim Kanıtı Sağlamadığı Riskler (Bkz.: 30 uncu paragraf)
A149.
“Önemli yanlışlık” riskleri rutin işlem
sınıflarının veya hesap bakiyelerinin kaydedilmesiyle ve güvenilir finansal
tabloların hazırlanmasıyla doğrudan ilgili olabilir. Bu tür riskler işletmenin
hâsılat, satın alma, nakit giriş ve çıkışları gibi rutin ve önemli işlem
sınıflarına ilişkin işlemlerin yanlış veya eksik yapılması risklerini
içerebilir.
A150.
Bu tür
rutin işlemlerin, manuel müdahalenin çok az olduğu veya hiç olmadığı yüksek otomasyon
ortamında yapıldığı durumlarda, riskle ilgili olarak yalnızca maddi doğrulama
prosedürlerinin uygulanması mümkün olmayabilir. Örneğin denetçi, entegre bir
sistemde olduğu gibi, işletme bilgilerinin önemli bir bölümünün sadece
elektronik ortamda başlatıldığı, kaydedildiği, işlendiği ve raporlandığı
hâllerde bu tür bir durumun söz konusu olabileceğini düşünebilir. Bu tür
durumlarda;
·
Denetim
kanıtı sadece elektronik ortamda olabilir ve bu kanıtın yeterliliği ve
uygunluğu genellikle bilgilerin doğruluk ve tamlığı üzerindeki kontrollerin
etkinliğine bağlıdır.
·
Uygun
kontrollerin etkin şekilde çalışmaması hâlinde bilgilerin uygun olmayan şekilde
başlatılması veya değiştirilmesi ve bunun tespit edilememesi ihtimâli daha
yüksek olabilir.
A151.
BDS 330,
bu tür risklerin belirlenmesinin müteakip denetim prosedürleri açısından,
sonuçlarını açıklar.
Risk
Değerlendirmesinin Revize Edilmesi (Bkz.: 31 inci paragraf)
A152.
Denetim
sırasında, risk değerlendirmesine dayanak oluşturan bilgilerden önemli biçimde
farklılıklar gösteren yeni bilgiler denetçinin dikkatini çekebilir. Örneğin,
risk değerlendirmesi belirli kontrollerin etkin bir şekilde işlediği beklentisine
dayanabilir. Bu kontrol testlerini uygularken denetçi, kontrollerin denetim
sırasında ilgili zamanlarda etkin bir şekilde işlemediğine ilişkin denetim
kanıtı elde edebilir. Benzer şekilde maddi doğrulama prosedürlerini uygularken
denetçi, yaptığı risk değerlendirmesiyle tutarlı olandan daha yüksek tutar veya
sıklıkta gerçekleşen yanlışlıkları tespit edebilir. Bu tür durumlarda risk
değerlendirmesi, işletmenin gerçek durumunu uygun şekilde yansıtmayabilir ve
planlanan müteakip denetim prosedürleri önemli yanlışlıkların tespit
edilmesinde etkin olmayabilir. Bu konudaki açıklamalar için BDS 330’a bakınız.
Belgelendirme
(Bkz.: 32
nci paragraf)
A153.
32 nci
paragrafta belirtilen hususların belgelendirilme şekline denetçi mesleki
muhakemesini kullanarak karar verir. Örneğin, küçük işletmelerin denetimlerinde
bu belgelendirme, genel stratejiye ve denetim planına ilişkin çalışma
kâğıtlarına dâhil edilebilir. Benzer şekilde, örneğin risk değerlendirmesinin
sonuçları ayrı olarak belgelendirilebilir veya müteakip denetim prosedürlerine
ilişkin çalışma kâğıtlarının bir parçası olarak belgelendirilebilir. Belgelendirmenin
şekli ve kapsamı; işletmenin niteliği, büyüklüğü ve karmaşıklığı, iç kontrolü,
işletmeden bilgilerin elde edilebilirliği ve denetim sürecinde kullanılan
denetim metodolojisi ve teknolojisinden etkilenir.
A154.
Finansal
raporlamayla ilgili karmaşık olmayan faaliyet ve süreçleri bulunan işletmeler
için belgelendirme basit ve nispeten özet bir şekilde yapılabilir. Denetçinin
işletmeyi tanırken elde ettiği bilgi ve ilgili hususların tamamını
belgelendirmesine gerek yoktur. Söz konusu bilgilerden denetçi tarafından
belgelendirilenlerin ana unsurları, denetçinin “önemli yanlışlık” risklerine
ilişkin yaptığı değerlendirmeye dayanak teşkil eden bilgileri içerir.
A155.
Belgelendirmenin
kapsamı ayrıca denetim ekibi üyelerinin deneyim ve kabiliyetlerini de
yansıtabilir. BDS 230 hükümlerinin her zaman yerine getirilmesi şartıyla daha
az deneyimli kişilerden oluşan denetim ekibi tarafından yürütülen bir denetim;
söz konusu kişilerin işletmeyi uygun bir şekilde tanımasına yardımcı olması
amacıyla daha deneyimli kişileri içeren bir ekip tarafından yürütülen bir
denetime kıyasla daha ayrıntılı bir belgelendirme yapılmasını gerektirebilir.
A156.
Müteakip
(birbirini takip eden) denetimlerde, belirli çalışma kâğıtları gerekli hâllerde
işletmenin faaliyet veya süreçlerindeki değişiklikleri yansıtmak amacıyla
güncellenerek gelecekte de kullanılabilir.
Ek 1
(Bkz.: 4(c), 14-24, A77-A121 paragrafları)
İç Kontrol
Bileşenleri
1.
Bu Ek 4(c),
14-24 ve A77-A121 paragraflarında açıklanan iç kontrol bileşenlerine ilişkin
olarak, finansal tabloların denetimiyle ilgili oldukları ölçüde ilâve
açıklamalar sağlar.
Kontrol
Çevresi
2.
Kontrol
çevresi aşağıdaki unsurları içerir:
(a)
Dürüstlük ve etik değerlere ilişkin kuralları
bildirme ve uygulatma:
Kontrollerin etkinliği, bu kontrolleri oluşturan, yöneten ve izleyenlerin
dürüstlük ve etik değerlerinin üstüne çıkamaz. Dürüstlük ve etik davranış,
işletmenin etik ve davranış standartlarının, bu standartların ne şekilde
bildirildiğinin ve uygulamada bu standartların nasıl uygulandığının bir
ürünüdür. Dürüstlük ve etik değerlerin uygulanması, örneğin, personeli; dürüst
olmayan, hukuka aykırı veya etik olmayan eylemlere yönlendirebilecek istek veya
teşvikleri ortadan kaldıran veya en aza indiren yönetim faaliyetlerini içerir.
Dürüstlük ve etik değerlere ilişkin işletme politikalarının bildirilmesi;
politika belgeleri, iş ahlâkı kuralları ve örnek davranışlar aracılığıyla
davranış standartlarının personele bildirilmesini içerebilir.
(b)
Yetkinliğe bağlılık: Yetkinlik; kişilerin, mesleklerini tanımlayan
görevleri yerine getirebilmesi için gereken bilgi ve becerilerdir.
(c)
Üst yönetimden sorumlu olanların katılımı: İşletmenin kontrol bilinci, üst yönetimden
sorumlu olanlardan önemli ölçüde etkilenir. Üst yönetimden sorumlu olanların
sorumluluklarının önemi; uygulama kurallarında, diğer mevzuatta ve üst
yönetimden sorumlu olanların kullanması amacıyla hazırlanan rehberlerde yer
alır. Üst yönetimden sorumlu olanların diğer sorumlulukları; iç kontrol
sisteminin işleyiş etkinliğinin gözden geçirilme sürecinin ve ihbar
prosedürlerinin tasarımının ve işleyiş etkinliğinin gözetimini içerir.
(ç) Yönetimin
felsefesi ve çalışma şekli: Yönetimin felsefesi ve çalışma şekli birçok
farklı özellik gösterir. Örneğin, yönetimin finansal raporlamaya ilişkin tutum
ve eylemleri, mevcut alternatif muhasebe ilkeleri arasından ihtiyatlı veya
iddialı olanların seçimi veya muhasebe tahminlerinin oluşturulması sürecinde
dürüst ve ihtiyatlı davranılması şeklinde kendini gösterir.
(d)
Organizasyon yapısı: Uygun bir organizasyon yapısının
oluşturulması, esas yetki ve sorumluluk alanlarının ve uygun raporlama
kanallarının dikkate alınmasını içerir. İşletmenin organizasyon yapısının
uygunluğu, kısmen işletmenin büyüklüğüne ve faaliyetlerinin niteliğine bağlıdır.
(e)
Yetki ve sorumlulukların belirlenmesi: Yetki ve sorumlulukların belirlenmesi; uygun
iş uygulamalarına ilişkin politikaları, kilit personelin bilgi ve deneyimi ile
görevlerin yerine getirilmesi için sağlanan kaynakları içerebilir. Yetki ve
sorumlulukların belirlenmesi ayrıca, tüm personelin işletme amaçlarını
anlamasını, kendi eylemlerinin bu amaçlarla olan ilgisini ve bu amaçlara nasıl
katkıda bulunduğunun farkında olmasını ve nasıl ve neden sorumlu
tutulacaklarını bilmelerini sağlayan politika ve bildirimleri içerebilir.
(f)
İnsan kaynakları politika ve uygulamaları: İnsan kaynakları politika ve uygulamaları
genellikle bir işletmenin kontrol bilincine ilişkin önemli hususları ortaya
koyar. Örneğin, en nitelikli kişilerin işe alınmasına yönelik standartlar -adayların
eğitim geçmişine, daha önceki iş deneyimine, geçmiş başarılarına, dürüstlük ve
etik davranışlarına ilişkin kanıtlara dikkat çekilerek- işletmenin uygun yetkinliğe
sahip güvenilir kişilerle çalışmaya olan bağlılığını ortaya koyar. Personele gelecekteki
görev ve sorumluluklarını bildiren ve kurs ve seminerler gibi uygulamaları
içeren eğitim politikaları, beklenen performans ve davranış düzeylerini
gösterir. Düzenli aralıklarla yapılan performans değerlendirmelerine göre
gerçekleştirilen terfiler, işletmenin nitelikli personelinin daha yüksek
sorumluluk seviyelerine ilerlemesi yönündeki iradesini ortaya koyar.
İşletmenin
Risk Değerlendirme Süreci
3.
Finansal
raporlama amaçları açısından işletmenin risk değerlendirme süreci:
Yönetimin,
finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak
hazırlanmasıyla ilgili iş hayatına ilişkin riskleri nasıl belirlediğini,
Bu
risklerin ciddiyetini nasıl tahmin ettiğini,
Risklerin
gerçekleşme olasılıklarını nasıl değerlendirdiğini ve
Risklere karşılık
vermek ve riskleri yönetmek için atacağı adımlara nasıl karar verdiğini ve
bunların sonuçlarını,
içerir.
Örneğin,
işletmenin risk değerlendirme süreci, işletmenin kayda geçirilmemiş işlemlerin
bulunma ihtimalini nasıl dikkate aldığını veya finansal tablolarda yer alan
önemli tahminleri nasıl belirlediğini ve analiz ettiğini ele alabilir.
4.
Güvenilir
finansal raporlamaya ilişkin riskler, işletmenin; yönetimin finansal
tablolardaki beyanlarıyla tutarlı olarak finansal verileri başlatma, kaydetme,
işleme ve raporlama kabiliyetini olumsuz biçimde etkileyebilecek ve
gerçekleşmesi muhtemel iç ve dış olayları, işlemleri veya durumları içerir.
Yönetim belirli riskleri ele almak için plan, program veya eylemler
başlatabilir ya da maliyet veya diğer hususlardan dolayı bir riski üstlenmeye
karar verebilir. Riskler, aşağıdaki gibi durumlar sebebiyle ortaya çıkabilir
veya değişebilir:
·
Faaliyet çevresindeki değişiklikler: Düzenleyici çevredeki veya faaliyet
çevresindeki değişiklikler, rekabet baskısının değişmesine ve önemli derecede
farklı risklere sebep olabilir.
·
Yeni personel: Yeni personelin iç kontrole ilişkin farklı
bir bakış açısı veya anlayışı olabilir.
·
Yeni veya yenilenmiş bilgi sistemleri: Bilgi sistemlerindeki önemli ve hızlı
değişiklikler, iç kontrole ilişkin riskleri değiştirebilir.
·
Hızlı büyüme: Faaliyetlerin ciddi ve hızlı biçimde
genişlemesi kontrolleri zorlayabilir ve kontrollerin aksama/çökme riskini
artırabilir.
·
Yeni teknoloji: Üretim süreçlerine veya bilgi sistemlerine
yeni teknolojilerin dâhil edilmesi, iç kontrole ilişkin riski değiştirebilir.
·
Yeni iş modelleri, ürünler veya faaliyetler: İşletmenin deneyiminin az olduğu iş
alanlarına veya işlemlere girilmesi, iç kontrolle ilgili yeni riskler ortaya
çıkarabilir.
·
Kurumsal yeniden yapılanma: Yeniden yapılanmalar beraberinde, iç kontrole
ilişkin riski değiştirebilecek nitelikte; çalışan sayısının azaltılmasını,
yönlendirme, gözetim ve görevler ayrılığında değişiklikleri getirebilir.
·
Genişleyen yurt dışı faaliyetler: Yurt dışı faaliyetlerinin genişlemesi veya
yurt dışında yeni işletmelerin satın alınması, döviz işlemlerinden kaynaklanan
ilâve veya değişen riskler gibi, iç kontrolü etkileyebilecek yeni ve genellikle
kendine özgü riskler taşır.
·
Yeni muhasebe düzenlemeleri: Yeni muhasebe ilkelerinin kabulü veya
muhasebe ilkelerinin değiştirilmesi, finansal tabloların hazırlanmasına ilişkin
riskleri etkileyebilir.
İlgili İş
Süreçleri Dâhil, Finansal Raporlamayla İlgili Bilgi Sistemi ve İletişim
5.
Bir bilgi
sistemi; altyapı (fiziki parçalar ile donanım bileşenleri), yazılım, kişiler,
prosedürler ve verilerden oluşur. Bilgi sistemlerinin büyük bir kısmı bilgi
teknolojilerini (BT’yi) yaygın olarak kullanır.
6.
Finansal
raporlama sisteminin dâhil olduğu, finansal raporlama amaçlarına ilişkin bilgi
sistemi aşağıdakilere yönelik yöntem ve kayıtları kapsar:
·
Tüm
geçerli işlemlerin belirlenmesi ve kaydedilmesi.
·
Finansal
raporlama açısından uygun biçimde sınıflandırılmasını sağlamak üzere işlemlerin
zamanında ve yeterince ayrıntılı biçimde açıklanması.
·
Uygun
parasal tutar üzerinden finansal tablolara kaydedilmesini sağlamak için işlemlerin
değerinin ölçülmesi.
·
Doğru
döneme kaydedilmesini sağlamak için işlemlerin gerçekleştiği uygun hesap
döneminin belirlenmesi.
·
İşlem ve
ilgili açıklamaların uygun bir şekilde finansal tablolarda sunulması.
7.
Sistem
tarafından üretilen bilgilerin kalitesi, yönetimin işletme faaliyetlerini
yönetmeye ve kontrol etmeye yönelik uygun kararlar alma ve güvenilir finansal
raporlar hazırlama kabiliyetini etkiler.
8.
Finansal
raporlamaya yönelik iç kontrolle ilgili bireysel görev ve sorumlulukların
anlaşılmasını da içeren iletişim; politika rehberleri, muhasebe ve finansal
raporlama rehberleri ve bilgi notu gibi şekillerde olabilir. İletişim ayrıca
elektronik ortamda, sözlü şekilde veya yönetimin eylemleriyle
gerçekleştirilebilir.
Kontrol
Faaliyetleri
9.
Genel
olarak denetimle ilgili olabilecek kontrol faaliyetleri, aşağıdakilere ilişkin
politika ve prosedürler olarak sınıflandırılabilir:
·
Performans gözden geçirmeleri: Bu kontrol faaliyetleri,
Gerçekleşen
performansın; bütçelerle, tahminlerle ve önceki dönem performansıyla
karşılaştırılarak gözden geçirilmesini ve analizini,
Farklı
veri setlerinin (faaliyet veya finansal), ilişkilerin analizi ve araştırıcı ve
düzeltici eylemlerin analiziyle birlikte, bir diğeriyle ilişkilendirilmesini,
İşletme
içi verilerin dış bilgi kaynaklarıyla karşılaştırılmasını ve
Fonksiyon
veya faaliyet performansının gözden geçirilmesini,
içerir.
·
Bilgi işleme: Bilgi sistemleri kontrol faaliyetleri iki ana
gruptan oluşmaktadır: uygulama kontrolleri ve genel BT kontrolleri. Uygulama kontrolleri,
münferit uygulamaların işlemesinde kullanılan kontrol faaliyetleridir. Genel BT
kontrolleri ise, çok sayıda uygulamayla ilgili olan ve bilgi sistemlerinin
sürekli doğru biçimde çalışmasını sağlamaya yardımcı olarak, uygulama
kontrollerinin etkin işleyişine destek olan politika ve prosedürlerdir.
Uygulama kontrollerine örnek olarak aşağıdakiler verilebilir:
Kayıtların
aritmetik doğruluğunun kontrol edilmesi,
Hesapların
ve geçici mizanların muhafazası ve gözden geçirilmesi,
Girdi
verilerinin düzeltme kontrolü ve sayısal sıra kontrolleri gibi otomatik
kontroller ve
Sapma raporlarının
manuel olarak takibi.
Genel BT kontrollerine ise örnek
olarak aşağıdakiler verilebilir:
Program
değişikliği kontrolleri,
Programlara
veya verilere erişimi sınırlayan kontroller,
Paket
yazılım uygulamalarının yeni sürümlerinin uygulanması üzerindeki kontroller ve
Bir
denetim izi bırakmadan finansal verileri veya kayıtları değiştirebilecek sistem
araçlarına erişimi sınırlandıran veya bunların kullanımını izleyen sistem
yazılımı üzerindeki kontroller.
·
Fiziki kontroller: Fiziki kontroller aşağıdakileri kapsar:
o
Varlık ve
kayıtlara erişimin koruma altına alınması gibi yeterli koruma tedbirleri dâhil,
varlıkların fiziki güvenliği.
o
Bilgisayar
programlarına ve veri dosyalarına erişim yetkisi.
o
Periyodik
sayım ve bunun kontrol kayıtlarında görünen tutarlarla karşılaştırılması
(örneğin, kasa, teminat ve stok sayım sonuçlarının muhasebe kayıtlarıyla
karşılaştırılması).
Varlıkların kötüye kullanılmaya daha
açık olması gibi çeşitli durumlara bağlı olarak; varlıkların çalınmasını
önlemeye yönelik fiziki kontrollerin düzeyi, finansal tabloların
hazırlanmasının güvenilirliğiyle ve dolayısıyla denetimle ilgilidir.
·
Görevler ayrılığı: İşlemlerin yetkilendirilmesi, kaydedilmesi ve
varlıkların korunmasına ilişkin sorumlulukların farklı kişilere verilmesi.
Görevler ayrılığı, bir kişinin görevini ifa etmesi sırasında hem hata veya hile
yapacak hem de bunları saklayacak bir pozisyonda olmasına imkân veren
fırsatları azaltmayı amaçlar.
10.
Belirli
kontrol faaliyetleri, yönetim veya üst yönetimden sorumlu olanlar tarafından
oluşturulmuş uygun üst düzey politikaların varlığına bağlı olabilir. Örneğin
yetkilendirme kontrolleri, üst yönetimden sorumlu olanların belirlediği yatırım
kıstasları gibi oluşturulan yönergelerle devredilebilir veya alternatif olarak,
büyük satın almalar veya elden çıkarmalar gibi rutin olmayan işlemler, bazı
durumlarda, hissedarların onayı dâhil belirli üst düzey bir onay
gerektirebilir.
Kontrollerin
İzlenmesi
11.
Yönetimin
önemli sorumluluklarından biri, devamlılık esasına göre bir iç kontrol
oluşturmak ve sürdürmektedir. Yönetimin kontrolleri izlemesi; bu kontrollerin
amaçlandığı gibi işleyip işlemediğinin ve şartlardaki değişikliklere göre uygun
bir şekilde değiştirilip değiştirilmediğinin dikkate alınmasını içerir.
Aşağıdakiler gibi faaliyetler kontrollerin izlenmesi kapsamında yer alabilir:
Banka
mutabakatlarının zamanında hazırlanıp hazırlanmadığının yönetim tarafından
gözden geçirilmesi,
Satış personelinin,
satış sözleşmelerinin şartlarına ilişkin işletme politikalarına uygun hareket
edip etmediklerinin iç denetçiler tarafından değerlendirilmesi ve
İşletmenin
etik veya iş uygulama politikalarına uygunluğunun hukuk departmanı tarafından
gözetimi.
İzleme
ayrıca, kontrollerin zaman içinde etkin şekilde işlemeye devam etmesini
sağlamak amacıyla da yapılır. Örneğin, banka mutabakatlarının doğruluğu ve
zamanında yapılıp yapılmadığı izlenmezse, personel bu mutabakatları hazırlamayı
bırakabilir.
12.
İç denetçiler
veya benzer görevlere sahip personel, ayrı değerlendirmeler yapmak suretiyle
işletme kontrollerinin izlenmesine katkıda bulunabilirler. Bunlar genel olarak,
iç kontrolün etkinliğinin değerlendirilmesine odaklanarak, iç kontrolün
işleyişi hakkında düzenli olarak bilgi sağlar ve iç kontroldeki güçlü ve zayıf
(eksik) yönlere ilişkin bilgiler verir ve iç kontrolün iyileştirilmesine
yönelik tavsiyelerde bulunurlar.
13.
İzleme
faaliyetleri, dış tarafların bildirimlerinden elde edilen ve sorunlu veya
iyileştirilmesi gereken alanları gösteren bilgilerin kullanılmasını içerebilir.
Müşteriler, faturalarını ödemek veya fatura tutarlarına ilişkin şikâyette
bulunmak suretiyle dolaylı olarak fatura verilerini doğrularlar. Buna ek olarak
düzenleyici kurumlar, iç kontrolün işleyişine etki eden konularda (örneğin,
bankacılık alanındaki düzenleyici kurumlar tarafından yapılan incelemelere
ilişkin bildirimler gibi) işletmeyle iletişime geçebilir. Ayrıca, izleme
faaliyetlerini gerçekleştirirken yönetim, dış denetçiler tarafından iç kontrole
ilişkin olarak yapılan bildirimleri dikkate alabilir.
Ek 2
(Bkz.: A41
ve A133 paragrafları)
“Önemli
Yanlışlık” Risklerine İşaret Edebilecek Durum ve Olaylar
Aşağıda, finansal tablolardaki “önemli
yanlışlık” risklerine işaret edebilecek durum ve olaylara örnekler verilmiştir.
Verilen örnekler, birçok farklı durumu ve olayı kapsamaktadır. Ancak, bu durum
ve olayların tamamı denetimlerin tümüyle ilgili değildir ve örneklere ilişkin
liste tüm durumları kapsamaz.
·
Ekonomik
olarak istikrarsız bölgelerdeki faaliyetler, örneğin ciddi devalüasyonun veya
yüksek enflasyonun bulunduğu ülkelerdeki faaliyetler.
·
Vadeli
işlemler piyasası gibi oynak piyasalara maruz kalan faaliyetler.
·
Yüksek
düzeyde karmaşık düzenlemelere tabi olan faaliyetler.
·
Önemli müşterilerin
kaybı dâhil, işletmenin sürekliliği ve likidite sorunları.
·
Sermaye ve
kredilere erişim üzerindeki kısıtlamalar.
·
İşletmenin
faaliyet gösterdiği sektördeki değişiklikler.
·
Tedarik
zincirindeki değişikler.
·
Yeni ürün
veya hizmet geliştirmek veya sunmak ya da yeni iş alanlarına girmek.
·
Faaliyetlerini
yeni yerlere doğru genişletmek.
·
Büyük
işletme satın alımları, yeniden yapılanmalar ve diğer olağandışı olaylar gibi
işletmedeki değişiklikler.
·
Satılması
muhtemel işletmeler veya faaliyet bölümleri.
·
Karmaşık
iş birlikteliklerinin ve iş ortaklıklarının bulunması.
·
Bilânço
dışı finansmanın, özel amaçlı işletmelerin ve diğer karmaşık finansman
yöntemlerinin kullanılması.
·
İlişkili
taraflarla yapılan önemli işlemler.
·
Uygun
düzeyde muhasebe ve finansal raporlama becerilerine sahip personelin
bulunmaması.
·
Kilit
yöneticilerin ayrılması dâhil, kilit personeldeki değişiklikler.
·
Özellikle
yönetim tarafından ele alınmayanlar olmak üzere, iç kontrol eksiklikleri.
·
Hileli
finansal raporlama yapmaları konusunda yönetim ve çalışanlara sağlanan
teşvikler.
·
İşletmenin
BT stratejisi ile iş stratejileri arasındaki tutarsızlıklar.
·
BT
ortamındaki değişikler.
·
Finansal
raporlamaya ilişkin önemli ve yeni BT sistemlerinin kurulması.
·
Düzenleyici
kurumlar veya diğer kamu kurumları tarafından işletmenin faaliyetlerinin veya
finansal sonuçlarının sorgulanması.
·
Geçmiş
dönemlerdeki yanlışlık ve hatalar veya dönem sonunda yapılan önemli
büyüklükteki düzeltmeler.
·
Dönem
sonunda yapılan şirketler arası işlemler ve yüksek tutarlı hâsılat işlemleri dâhil,
önemli tutarlardaki rutin olmayan veya sistematik olmayan işlemler.
·
Borcun
yeniden yapılandırılması, satışa hazır menkul kıymetlerin sınıflandırılması ve
satılabilir varlıklar gibi yönetimin niyetine bağlı olarak kaydedilen işlemler.
·
Yeni
muhasebe düzenlemelerinin uygulanması.
·
Karmaşık
süreçler içeren muhasebe ölçümleri.
·
Muhasebe
tahminleri dâhil, önemli ölçüm belirsizliği içeren işlem veya olaylar ve ilgili
açıklamalar.
·
Açıklamalarda,
önemli bilgilerin ihmal edilmesi veya anlaşılmasının zorlaştırılması.
·
Satış
garantileri, finansal garantiler ve çevresel iyileştirmelere ilişkin
yükümlülükler gibi devam etmekte olan dava ve şarta bağlı yükümlülükler.
Yorum Yap