Giriş

Kapsam

1.                  Bu Bağımsız Denetim Standardı (BDS), denetçinin işletmenin iç kontrolü dâhil işletme ve çevresini tanımak suretiyle, finansal tablolardaki “önemli yanlışlık” risklerini belirleme ve değerlendirme sorumluluğunu düzenler.

Yürürlük Tarihi

2.                 Bu BDS, 1/1/2017 tarihinde ve sonrasında başlayacak hesap dönemlerinin denetiminde uygulanmak üzere yayımı tarihinde yürürlüğe girer.

Amaç

3.                  Denetçinin amacı, işletmenin iç kontrolü dâhil işletme ve çevresini tanımak suretiyle, finansal tablo ve yönetim beyanı düzeylerinde hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemek ve değerlendirmek ve böylece “önemli yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak işlerin tasarlanması ve uygulanması için bir dayanak oluşturmaktır.

Tanımlar

4.                  Aşağıdaki terimler BDS’lerde, karşılarında belirtilen anlamlarıyla kullanılmıştır:

(a)           Ciddi risk: Denetçinin, yargısına göre denetimde özellikle dikkat edilmesi gereken “önemli yanlışlık” riski olarak belirlediği ve değerlendirdiği risklerdir.

(b)          İç kontrol: Finansal raporlamanın güvenilirliği, faaliyetlerin etkinliği ve verimliliği ile ilgili mevzuata uygunluk açısından işletmenin amaçlarına ulaştığına dair makul güvence sağlamak amacıyla üst yönetimden sorumlu olanlar, yönetim ve diğer personel tarafından tasarlanan, uygulanan ve sürekliliği sağlanan süreçtir. “Kontroller” terimi bir veya daha fazla iç kontrol bileşeninin herhangi bir yönünü ifade eder.

(c)           İş hayatına ilişkin riskler: İşletmenin amaçlarına ulaşma ve stratejilerini uygulama kabiliyetini olumsuz şekilde etkileyebilecek önemli şart, olay, durum, eylem veya eylemsizliklerden ya da uygun olmayan amaç ve stratejiler belirlenmesinden kaynaklanan risktir.

(ç)     Risk değerlendirme prosedürleri: Finansal tablo ve yönetim beyanı düzeylerinde, hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemek ve değerlendirmek amacıyla işletmenin iç kontrolü dâhil işletme ve çevresini tanımak için uygulanan denetim prosedürleridir.

(d)          Yönetim beyanları: Açık veya başka bir şekilde finansal tablolara dâhil edilen ve denetçinin meydana gelebilecek farklı türdeki muhtemel yanlışlıkları mütalaa etmek için kullandığı, yönetim tarafından sunulan beyanlardır.

 

Ana Hükümler

Risk Değerlendirme Prosedürleri ve İlgili Çalışmalar

5.                  Denetçi finansal tablo ve yönetim beyanı düzeylerinde “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesine bir dayanak oluşturmak amacıyla risk değerlendirme prosedürlerini uygular. Ancak, risk değerlendirme prosedürleri tek başına denetim görüşüne dayanak oluşturacak yeterli ve uygun denetim kanıtı sağlamaz (Bkz.: A1-A5 paragrafları).

6.                  Risk değerlendirme prosedürleri aşağıdakileri içerir:

(a)           Yönetimin, -varsa- iç denetim fonksiyonundaki uygun kişilerin ve denetçinin muhakemesine göre hata veya hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesinde yardımcı olabilecek bilgiye sahip olan işletme içindeki diğer kişilerin sorgulanması (Bkz.: A6-A13 paragrafları).

(b)          Analitik prosedürler (Bkz.: A14-A17 paragrafları).

(c)           Gözlem ve tetkik (Bkz.: A18 paragrafı).

7.                  Denetçi, müşterinin kabulü veya devam ettirilmesi sürecinde elde ettiği bilgilerin “önemli yanlışlık” risklerinin belirlenmesiyle ilgili olup olmadığını mütalaa eder.

8.                  Sorumlu denetçi işletme için başka denetimler de yürütmüşse, elde edilen bilgilerin “önemli yanlışlık” risklerinin belirlenmesiyle ilgili olup olmadığını mütalaa eder.

9.                  İşletmeyle ilgili önceki deneyimlerinden ve önceki denetimlerde uyguladığı denetim prosedürlerinden elde ettiği bilgileri kullanmayı düşünmesi durumunda denetçi, önceki denetimden bu yana, söz konusu bilgilerin cari denetimle olan ilgisini etkileyebilecek değişikliklerin olup olmadığına karar verir (Bkz.: A19-A20 paragrafları).

10.              Sorumlu denetçi ve denetim ekibinin diğer kilit üyeleri, işletmenin finansal tablolarının önemli yanlışlıklara olan açıklığı ve geçerli finansal raporlama çerçevesinin işletmenin durum ve gerçeklerine uygulanması konularında müzakerede bulunur. Sorumlu denetçi, bu müzakereye katılmayan denetim ekibi üyelerine hangi konuların bildirileceğine karar verir (Bkz.: A21-A24 paragrafları).

İşletmenin İç Kontrolü Dâhil İşletme ve Çevresini Tanıma Yükümlülüğü

İşletme ve Çevresi

11.              Denetçi, işletme ve çevresinin tanınmasında aşağıdaki hususlar hakkında kanaat edinir:

(a)           Geçerli finansal raporlama çerçevesi dâhil, ilgili sektör, mevzuat/düzenlemeler ve diğer dış etkenler (Bkz.: A25-A30 paragrafları).

(b)          Denetçi, finansal tablolarda olması beklenen işlem sınıflarını, hesap bakiyelerini ve açıklamaları anlayabilmek için aşağıdaki hususlar dâhil, işletmenin niteliği hakkında kanaat edinir:

(i)            İşletmenin faaliyetleri,

(ii)          İşletmenin ortaklık ve üst yönetim yapısı,

(iii)        Özel amaçlı işletmelerdeki yatırımları dâhil, işletmenin yaptığı ve yapmayı planladığı yatırımların türleri ve

(iv)        İşletmenin nasıl yapılandırıldığı ve finanse edildiği.

(Bkz.: A31-A35 paragrafları)

(c)           Muhasebe politikalarında yapılan değişikliklerin sebepleri dâhil, işletmenin muhasebe politikaları seçimi ve uygulaması. Denetçi, işletmenin muhasebe politikalarının, işletmenin faaliyetleri için uygun olup olmadığını ve bu politikaların ilgili sektördeki geçerli finansal raporlama çerçevesi ve muhasebe politikalarıyla tutarlı olup olmadığını değerlendirir (Bkz.: A36 paragrafı).

(ç)     İşletmenin amaç ve stratejileri ile “önemli yanlışlık” riskine sebep olabilecek iş hayatına ilişkin riskler (Bkz.: A37-A43 paragrafları).

(d)          İşletmenin finansal performansının ölçümü ve gözden geçirilmesi (Bkz.: A44-A49 paragrafları).

İşletmenin İç Kontrolü

12.              Denetçi, denetimle ilgili iç kontrol hakkında kanaat edinir. Denetimle ilgili kontrollerin çoğunun finansal raporlamayla ilişkili olması muhtemeldir ancak finansal raporlamayla ilişkili kontrollerin hepsi denetimle ilgili değildir. Bir kontrolün tek başına veya diğer kontrollerle birlikte denetimle ilgili olup olmadığı, denetçinin mesleki muhakemesinin konusudur (Bkz.: A50-A73 paragrafları).   

İlgili Kontrollerin Anlaşılmasının Niteliği ve Kapsamı

13.              Denetçi, denetimle ilgili kontroller hakkında kanaat edinirken bu kontrollerin tasarımını değerlendirir ve işletme personelinin sorgulanmasına ek prosedürler uygulayarak bu kontrollerin uygulanıp uygulanmadığına karar verir (Bkz.: A74-A76 paragrafları).

İç Kontrol Bileşenleri

Kontrol çevresi

14.              Denetçi kontrol çevresi hakkında kanaat edinir. Kontrol çevresi hakkında kanaat edinmenin bir parçası olarak denetçi:

(a)           Üst yönetimden sorumlu olanların gözetiminde yönetimin, dürüstlük ve etik davranış kültürü oluşturarak bu kültürü devam ettirip ettirmediğini ve

(b)          Kontrol çevresi unsurlarının güçlü yönlerinin bir bütün olarak iç kontrolün diğer bileşenleri için uygun bir zemin oluşturup oluşturmadığını ve kontrol çevresindeki eksikliklerin söz konusu diğer bileşenleri zayıflatıp zayıflatmadığını,

değerlendirir (Bkz.: A77-A87 paragrafları).

İşletmenin risk değerlendirme süreci

15.              Denetçi, işletmenin;

(a)           Finansal raporlama amaçlarıyla ilgili iş hayatına ilişkin risklerin belirlenmesine,

(b)          Risklerin ciddiyetinin tahmin edilmesine,

(c)           Bu risklerin gerçekleşme ihtimâllerinin değerlendirilmesine ve

(ç)     Bu risklere karşı atılacak adımlara karar verilmesine,

ilişkin bir sürecinin bulunup bulunmadığı hakkında kanaat edinir (Bkz.: A88 paragrafı).

16.              İşletmenin bu tür bir süreç oluşturmuş olması hâlinde (bundan sonra “işletmenin risk değerlendirme süreci” olarak anılacaktır) denetçi, bu süreç ve sürecin sonuçları hakkında kanaat edinir. Yönetimin belirleyemediği “önemli yanlışlık” risklerini belirlemesi hâlinde denetçi, bunun altında, işletmenin risk değerlendirme süreci tarafından belirlenmesini beklediği türden bir riskin bulunup bulunmadığını değerlendirir. Böyle bir risk varsa denetçi, söz konusu sürecin bu riski neden belirleyemediğine ilişkin kanaat edinir ve sürecin işletmenin içinde bulunduğu duruma uygun olup olmadığını değerlendirir veya işletmenin risk değerlendirme sürecinde önemli bir iç kontrol eksikliğinin bulunup bulunmadığına karar verir.

17.              İşletmenin böyle bir süreç oluşturmaması veya anlık (plansız) bir sürecinin bulunması hâlinde denetçi, finansal raporlama amaçlarıyla ilgili iş hayatına ilişkin risklerin belirlenip belirlenmediği ve bu risklerin nasıl ele alındığı hakkında yönetimle müzakerede bulunur. Denetçi belgelendirilmiş bir risk değerlendirme sürecinin bulunmamasının, içinde bulunulan şartlar altında uygun olup olmadığını değerlendirir veya bu durumun önemli bir iç kontrol eksikliği anlamına gelip gelmediğine karar verir (Bkz.: A89 paragrafı).

İlgili iş süreçleri dâhil finansal raporlamayla ilgili bilgi sistemi ve iletişim

18.              Denetçi, ilgili iş süreçleri dâhil finansal raporlamayla ilgili bilgi sistemi hakkında aşağıdakileri de içerecek şekilde kanaat edinir (Bkz.: A90-A92 paragrafları ve A95-A96 paragrafları):

(a)           İşletmenin faaliyetlerindeki, finansal tablolar için önemli olan, işlem sınıfları,

(b)          İşlemlerin başlatılması, kaydedilmesi, işlenmesi, gerektiğinde düzeltilmesi, defteri kebire aktarılması ve finansal tablolarda raporlanmasında kullanılan bilgi teknolojileri (BT) ve manuel sistemlerdeki prosedürler,

(c)           Yanlış bilgilerin düzeltilmesini ve bilginin defteri kebire nasıl aktarıldığını da içerecek şekilde; işlemleri başlatmak, kaydetmek, işlemek ve raporlamak için kullanılan finansal tablolardaki belirli hesaplar, destekleyici bilgiler ve ilgili muhasebe kayıtları. Bu kayıtlar manuel veya elektronik şekilde olabilir.

(ç)     Bilgi sisteminin, finansal tablolar açısından önemli olan işlemler dışındaki, olay ve şartları nasıl kayıt altına aldığı,

(d)          Önemli muhasebe tahminleri ve açıklamalar dâhil, finansal tabloların hazırlanmasında kullanılan finansal raporlama süreci,

(e)           Tekrar etmeyen, olağan dışı işlem veya düzeltmeleri kaydetmek için kullanılan standart olmayan yevmiye kayıtları da dâhil olmak üzere yevmiye kayıtlarını kapsayan (kontrol eden) kontroller (Bkz.: A93-A94 paragrafları).

Finansal raporlamayla ilgili bilgi sistemi hakkında edinilen bu kanaat; bu sistemin finansal tablolarda açıklanan bilgilerle -defteri kebir ve yardımcı defterler ya da bunlar dışındaki kaynaklardan elde edilen bilgiler- ilişkili yönlerini içerir.

19.              Denetçi,

(a)           Yönetim ve üst yönetimden sorumlu olanlar arasındaki iletişimler ve

(b)          Düzenleyici kurumlarla kurulan iletişimler gibi işletme dışındakilerle kurulan iletişimler,

dâhil olmak üzere, finansal raporlamaya ilişkin görev ve sorumluluklar ile finansal raporlamaya dair önemli hususlarda işletmenin nasıl iletişim kurduğu hakkında bilgi edinir (Bkz.: A97-A98 paragrafları).

Denetimle ilgili kontrol faaliyetleri

20.              Denetçi, yönetim beyanı düzeyindeki “önemli yanlışlık” risklerini değerlendirmek için hakkında kanaat edinilmesinin gerekli olduğuna karar verdiği denetimle ilgili kontrol faaliyetleri hakkında kanaat edinir ve “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık veren müteakip denetim prosedürlerini tasarlar. Bir denetim, finansal tablolardaki her bir önemli işlem sınıfı, hesap bakiyesi ve açıklamaya veya bunlarla ilgili olan her yönetim beyanına ilişkin kontrol faaliyetlerinin hakkında kanaat edinilmesini gerektirmez (Bkz.: A99-A106 paragrafları).

21.              Denetçi, işletmenin kontrol faaliyetleri hakkında kanaat edinirken, işletmenin BT’den kaynaklanan risklere nasıl karşılık verdiği hakkında kanaat edinir (Bkz.: A107-A109 paragrafları).

Kontrollerin izlenmesi

22.              Denetçi, denetimle ilgili kontrol faaliyetlerine ilişkin olanlar dâhil, finansal raporlamaya ilişkin iç kontrolü izlemek amacıyla işletmenin kullandığı temel faaliyetleri ve işletmenin kontrol eksikliklerine yönelik iyileştirici adımları nasıl başlattığı hakkında kanaat edinir (Bkz.: A110-A112 paragrafları).

23.              İşletmenin bir iç denetim fonksiyonunun bulunması hâlinde denetçi, bu fonksiyonun sorumluluklarının niteliği, kurumsal statüsü ve fonksiyon tarafından gerçekleştirilen veya gerçekleştirilecek olan faaliyetler hakkında kanaat edinir (Bkz.: A113-A120 paragrafları).

24.              Denetçi, işletmenin izleme faaliyetlerinde kullanılan bilginin kaynakları ve yönetimin, amaçları açısından bu bilginin yeterince güvenilir olduğunu düşünmesinin dayanağı hakkında kanaat edinir (Bkz.: A121 paragrafı).

“Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi

25.              Denetçi, müteakip denetim prosedürlerinin tasarlanması ve uygulanmasına dayanak teşkil etmesi amacıyla:

(a)           Finansal tablo düzeyinde (Bkz.: A122-A125 paragrafları) ve

(b)          İşlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde (Bkz.: A126-A131 paragrafları),

“önemli yanlışlık” risklerini belirler ve değerlendirir.

26.              Bu amaçla denetçi;

(a)               Risklerle ilgili kontroller hakkında kanaat edinilmesi dâhil, işletme ve çevresini tanıma süreci boyunca finansal tablolardaki işlem sınıflarını, hesap bakiyelerini ve açıklamaları (bu tür açıklamaların nicel veya nitel yönleri dâhil) dikkate alarak riskleri belirler (Bkz.: A132-A136 paragrafları),

(b)               Belirlenen riskleri değerlendirir; bu risklerin, bir bütün olarak finansal tablolarla daha yaygın bir şekilde ilgili olup olmadığını ve potansiyel olarak birçok yönetim beyanını etkileyip etkilemediğini değerlendirir,

(c)               Test etmek istediği ilgili kontrolleri dikkate alarak, belirlenen riskleri yönetim beyanı düzeyinde yanlışlığa sebep olabilecek hususlarla ilişkilendirir (Bkz.: A137-A139 paragrafları) ve

(ç)        Birden fazla yanlışlık bulunması ihtimâli dâhil yanlışlık ihtimâlini ve potansiyel bir yanlışlığın önemli bir yanlışlık olarak sonuçlanıp sonuçlanmayacağını mütalaa eder (Bkz.: A140 paragrafı).

Denetimde Özel Dikkat Gerektiren Riskler

27.              25 inci paragrafta açıklanan risk değerlendirmesinin bir parçası olarak denetçi, kendi yargısına dayanarak belirlediği risklerden herhangi birinin ciddi bir risk olup olmadığına karar verir. Denetçi bu yargıda bulunurken, söz konusu riskle ilgili belirlenen kontrollerin etkilerini dikkate almaz.

28.              Denetçi, hangi risklerin ciddi risk olduğu konusunda yargıda bulunurken, asgari olarak aşağıdaki hususları mütalaa eder:

(a)           Riskin hile kaynaklı bir risk olup olmadığı,

(b)          Riskin, ekonomi, muhasebe ve diğer alanlardaki önemli güncel gelişmelerle ilgisinin bulunup bulunmadığı ve dolayısıyla özel bir dikkat gerektirip gerektirmediği,

(c)           İşlemlerin karmaşıklığı,

(ç)           Riskin ilişkili taraflarla yapılan önemli işlemleri içerip içermediği,

(d)          Riskle ilgili finansal bilgilerin ölçümündeki -özellikle geniş bir aralıkta ölçüm belirsizliği içeren ölçümlerdeki- subjektiflik derecesi ve

(e)           Riskin, işletmenin olağan faaliyetlerinin dışında kalan veya olağan dışı görünen önemli işlemler içerip içermediği.

 (Bkz.: A141-A145 paragrafları)

29.              Ciddi bir riskin bulunduğuna karar vermesi durumunda denetçi, kontrol faaliyetleri dâhil riskle ilgili işletmenin söz konusu riskle ilgili kontrolleri hakkında kanaat edinir (Bkz.: A146-A148 paragrafları).

Maddi Doğrulama Prosedürlerinin Tek Başına Yeterli ve Uygun Denetim Kanıtı Sağlamadığı Riskler

30.              Bazı risklere ilişkin olarak denetçi, sadece maddi doğrulama prosedürleri uygulayarak yeterli ve uygun denetim kanıtı elde etmenin mümkün veya uygulanabilir olmadığına karar verebilir. Bu tür riskler, özellikleri bakımından hiçbir manuel müdahale içermeyen veya az bir müdahale içeren otomatik işlem süreçlerinin yoğun kullanımına izin veren rutin ve önemli işlem sınıfları veya hesap bakiyelerinin yanlış veya eksik kaydedilmesiyle ilgili olabilir. Bu tür durumlarda, işletmenin söz konusu risklere ilişkin kontrolleri denetimle ilgilidir ve denetçi bu kontroller hakkında kanaat edinir (Bkz.: A149-A151 paragrafları).

Risk Değerlendirmesinin Revize Edilmesi

31.              Denetimin yürütülmesi sırasında ilâve denetim kanıtı elde edildikçe denetçinin yönetim beyanı düzeyindeki “önemli yanlışlık” risklerine ilişkin değerlendirmesi değişebilir. Denetçi, yeni bir bilgi edindiğinde veya müteakip denetim prosedürlerini uygulayarak denetim kanıtı elde ettiğinde, bu bilgi veya kanıtların denetçinin ilk değerlendirmesini dayandırdığı denetim kanıtlarıyla tutarsız olması hâlinde değerlendirmesini revize eder ve planlanmış müteakip denetim prosedürlerini buna göre uyarlar (Bkz.: A152 paragrafı).

Belgelendirme

32.              Denetçi, çalışma kâğıtlarına aşağıdaki hususları dâhil eder:

(a)           10 uncu paragraf uyarınca denetim ekibi içinde yapılan müzakereler ve bu müzakerelerde alınan önemli kararlar,

(b)          İşletme ve çevresiyle ilgili olarak 11 inci paragrafta belirtilen her bir husus ile 14-24 üncü paragraflarda belirtilen iç kontrol bileşenlerinin her biri hakkında edinilen kanaate ilişkin temel unsurlar; bu kanaatin elde edildiği bilgi kaynakları ve uygulanan risk değerlendirme prosedürleri,

(c)           25 inci paragraf uyarınca finansal tablo ve yönetim beyanı düzeylerinde, belirlenen ve “önemli yanlışlık” riski olarak değerlendirilen riskleri,

(ç)           27-30 uncu paragraflardaki hükümler sonucunda belirlenen riskler ve bu risklerle ilişkili olarak denetçinin hakkında kanaat edindiği kontroller.

(Bkz.: A153-A156 paragrafları)


***

Açıklayıcı Hükümler ve Uygulama

Risk Değerlendirme Prosedürleri ve İlgili Çalışmalar (Bkz.: 5 inci paragraf)

A1.            İşletmenin iç kontrolü dâhil, işletme ve çevresinin tanınması (bundan sonra “işletmenin tanınması” veya “işletmeyi tanıma” olarak ifade edilecektir) denetim boyunca bilgilerin toplanmasını, güncellenmesini ve analizini içeren ve süreklilik arz eden dinamik bir süreçtir. Bu tanıma süreci, denetimi planlarken ve denetim boyunca mesleki muhakemede bulunurken denetçiye, örneğin:

·                Finansal tablolara ilişkin “önemli yanlışlık” risklerinin değerlendirilmesinde,

·                BDS 320 uyarınca önemliliğin belirlenmesinde,

·                Muhasebe politikalarının seçimi ve uygulamasının uygunluğu ile finansal tablo açıklamalarının yeterli olup olmadığının değerlendirilmesinde,

·                Finansal tablolardaki tutar veya açıklamalarla ilgili olarak özellikle dikkat edilmesi gerekebilecek alanların belirlenmesinde örneğin ilişkili taraf işlemlerinde, yönetimin işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin yaptığı değerlendirmede veya işlemlerin ticari amacının değerlendirilmesinde,

·                Analitik prosedürlerin uygulanmasında kullanılmak üzere beklentilerin geliştirilmesinde,

·                Yeterli ve uygun denetim kanıtının elde edilmesi için müteakip denetim prosedürlerinin tasarlanması ve uygulanması dâhil, “önemli yanlışlık” riski olarak değerlendirilen risklere karşılık verilmesinde,

·                Elde edilen denetim kanıtlarının yeterli ve uygun olup olmadığının değerlendirilmesinde (varsayımların ve yönetimin sözlü ve yazılı beyanlarının uygunluğu gibi),

bir referans çerçevesi oluşturur.

A2.            Risk değerlendirme prosedürlerinin ve ilgili çalışmaların uygulanmasıyla elde edilen bilgiler, “önemli yanlışlık” risklerinin değerlendirilmesine destek olması amacıyla denetçi tarafından denetim kanıtı olarak kullanılabilir. Ayrıca bu prosedürler, özellikle maddi doğrulama prosedürü veya kontrol testleri olarak planlanmamış olsalar bile, işlem sınıfları, hesap bakiyeleri veya açıklamalar ile ilgili yönetim beyanları ve kontrollerin işleyiş etkinliği hakkında denetim kanıtı sağlayabilir. Denetçi ayrıca, daha etkin olduğunu düşünmesi hâlinde maddi doğrulama prosedürlerini veya kontrol testlerini, risk değerlendirme prosedürleriyle aynı zamanda uygulamayı tercih edebilir.

A3.            Denetçi, işletmeyi tanımak için gerekli olan bilginin kapsamını belirlerken mesleki muhakemesini kullanır. Denetçinin göz önünde bulunduracağı temel husus, elde edilen bilgilerin bu BDS’de belirtilen amaca ulaşmak için yeterli olup olmadığıdır. Denetçinin işletmeyi ve çevresini tanımak için ihtiyaç duyduğu bilginin kapsamı, yönetimin işletmeyi yönetirken sahip olduğu bilginin kapsamından daha dardır.

A4.            Değerlendirilecek olan riskler, hata ve hile kaynaklı riskleri içerir ve bu iki risk türü de bu BDS kapsamındadır. Ancak, hile özel önem arz ettiğinden, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesi için kullanılan bilgileri sağlayan risk değerlendirme prosedürleri ve ilgili çalışmalara ilişkin ilâve hüküm ve açıklamalar BDS 240’ta yer almaktadır.

A5.            İşletmeyi tanıma yükümlülüğü (Bkz.: 11-24 üncü paragraflar) kapsamında bilgi edinirken denetçi 6 ncı paragrafta açıklanan risk değerlendirme prosedürlerinin tamamını uygulamak zorunda olmakla birlikte, hakkında kanaat edindiği her bir unsur için prosedürlerin tamamını uygulamak zorunda değildir. Diğer prosedürlerden elde edilecek bilgilerin “önemli yanlışlık” risklerinin belirlenmesine yardımcı olabileceği durumlarda bu prosedürler uygulanabilir. Bu prosedürlere örnek olarak aşağıdakiler verilebilir:

·                Ticaret ve ekonomi dergileri, analistler, bankalar veya derecelendirme kuruluşları tarafından hazırlanan raporlar ya da resmi veya finansal yayınlar gibi dış kaynaklardan elde edilen bilgilerin gözden geçirilmesi.

·                İşletmenin dış hukuk müşavirlerinin veya kullandığı değerleme uzmanlarının sorgulanması.

Yönetimin, İç Denetim Fonksiyonunun ve İşletmedeki Diğer Kişilerin Sorgulanması (Bkz.: 6(a) paragrafı)

A6.            Denetçinin sorgulamalar yoluyla elde ettiği bilgilerin büyük bir bölümü, yönetimden ve finansal raporlamadan sorumlu olanlardan elde edilir. Denetçi, -varsa- iç denetim fonksiyonunun ve işletmedeki diğer kişilerin sorgulanması yoluyla da bilgi elde edebilir.

A7.            Denetçi ayrıca işletmedeki diğer kişileri ve farklı yetki seviyesindeki diğer çalışanları sorgulamak suretiyle “önemli yanlışlık” risklerinin belirlenmesinde kullanabileceği bilgileri elde edebilir veya farklı bir bakış açısı yakalayabilir. Örneğin:

·                Üst yönetimden sorumlu olanların sorgulanması, denetçinin finansal tabloların hazırlandığı çevreyi tanımasına yardımcı olabilir. BDS 260, denetçinin üst yönetimden sorumlu olanlardan bu bağlamda bilgi almasına yardımcı olması açısından, etkin ve karşılıklı bir iletişimin önemini vurgular.

·                Karmaşık veya olağandışı işlemlerin başlatılması, işlenmesi ve kaydedilmesiyle ilgili personelin sorgulanması, belirli muhasebe politikalarının seçiminin ve uygulanmasının uygunluğunu değerlendirmesinde denetçiye yardımcı olabilir.

·                İşletmenin iç hukuk müşavirinin sorgulanması; davalar, mevzuata uygunluk sağlanması, işletmeyi etkileyen hile veya hile şüphesi hakkındaki bilgisi, teminatlar, satış sonrası sorumluluklar, iş ortaklarıyla yapılan anlaşmalar (iş ortaklıkları gibi) ve sözleşme şartlarının yorumlanması gibi konular hakkında bilgi sağlayabilir.

·                Pazarlama veya satış personelinin sorgulanması, işletmenin satış stratejilerindeki değişiklikler, satış eğilimleri veya müşterileriyle yapılmış olan sözleşmeye bağlı düzenlemeler hakkında bilgi sağlayabilir.

·                Risk yönetimi biriminin (veya bu tür görevleri yerine getirenlerin) sorgulanması, finansal raporlamaya etki edebilecek faaliyet riskleri ve mevzuat riskleri hakkında bilgi sağlayabilir.

·                Bilgi sistemleri personelinin sorgulanması; sistem değişiklikleri, sistem veya kontroldeki aksaklıklar veya bilgi sistemiyle ilgili diğer riskler hakkında bilgi sağlayabilir.

A8.            İşletme ve çevresini tanımak süreklilik arz eden ve dinamik bir süreç olduğundan denetçi, sorgulamalarını denetim boyunca gerçekleştirebilir.

İç Denetim Fonksiyonunun Sorgulanması

A9.            İşletmenin iç denetim fonksiyonunun bulunması hâlinde fonksiyon içindeki uygun kişilerin sorgulanması, işletme ve çevresini tanımasında, finansal tablo ve yönetim beyanı düzeylerinde “önemli yanlışlık” risklerini belirlemesinde ve değerlendirmesinde denetçiye yararlı bilgiler sağlayabilir. İç denetim fonksiyonu, çalışmalarını yürütürken işletmenin faaliyetleri ve iş hayatına ilişkin riskler hakkında bir fikir edinmiş olabilir ve çalışmaları sonucunda, belirlenmiş kontrol eksiklikleri veya riskleri gibi bulgular elde edebilir. Edinilen bu fikir ve bulgular, denetçinin işletmeyi tanıması, risk değerlendirmesi veya denetimin diğer yönleri açısından değerli girdiler sağlayabilir. Bu sebeple, uygulanacak denetim prosedürlerinin niteliğini veya zamanlamasını değiştirmek veya kapsamını daraltmak için denetçi tarafından iç denetim fonksiyonunun çalışmalarının kullanılıp kullanılmayacağına bakılmaksızın sorgulama yapılır. Bu sorgulamalar özellikle, iç denetim fonksiyonunun üst yönetimden sorumlu olanlara ilettiği konularla ve fonksiyonun kendi risk değerlendirme sürecinin sonuçlarıyla ilgili olabilir.

A10.        Sorgulamalarına verilen yanıtlara dayanarak, finansal raporlama ve denetimle ilgili bulguların olabileceği sonucuna varması hâlinde denetçi, iç denetim fonksiyonunun ilgili raporlarını okumayı uygun bulabilir. İç denetim fonksiyonunun ilgili olabilecek rapor örnekleri, fonksiyonun strateji ve planlama belgelerini ve iç denetim fonksiyonunun incelemelerine ait bulguları tanımlayan ve yönetim veya üst yönetimden sorumlu olanlar için hazırlanmış raporları içerir. 

A11.        Bununla birlikte BDS 240 tarafından zorunlu kılındığı üzere, iç denetim fonksiyonunun denetçiye gerçekleşmiş, şüphelenilen veya iddia edilen herhangi bir hile hakkında bilgi sağlaması hâlinde denetçi, hile kaynaklı “önemli yanlışlık” riskini belirlerken bu bilgiyi dikkate alır.

A12.        İç denetim fonksiyonu içinde sorgulanacak uygun kişiler, iç denetim birimi başkanı gibi veya şartlara bağlı olarak fonksiyonun diğer personeli gibi denetçinin yargısına göre uygun bilgi, deneyim ve yetkiye sahip kişilerdir. Ayrıca denetçi, bu kişilerle düzenli toplantılar yapmayı uygun görebilir.

Kamu sektörü işletmelerine özgü hususlar (Bkz.: 6(a) paragrafı)

A13.        Kamu sektöründe görev yapan denetçilerin genellikle, iç kontrole ve mevzuata uygunluğa ilişkin ilâve sorumlulukları bulunur. İç denetim fonksiyonundaki uygun kişilerin sorgulanması, mevzuata önemli aykırılık riskinin ve finansal raporlamaya yönelik iç kontrol eksikliklerine ilişkin riskin belirlenmesinde denetçilere yardımcı olabilir.

Analitik Prosedürler (Bkz.: 6(b) paragrafı)

A14.        Risk değerlendirme prosedürleri kapsamında uygulanan analitik prosedürler işletmenin, denetçinin farkında olmadığı farklı yönlerini ortaya çıkarabilir ve risk olarak değerlendirilen hususlara karşı yapılacak işlerin tasarlanması ve uygulanmasına dayanak sağlamak amacıyla “önemli yanlışlık” risklerinin değerlendirilmesine yardımcı olabilir. Risk değerlendirme prosedürleri olarak uygulanan analitik prosedürler, satış alanının büyüklüğü veya satılan malların miktarı ile satışlar arasındaki ilişki gibi finansal ve finansal olmayan bilgiler içerebilir.

A15.        Analitik prosedürler, denetime etkisi olan hususlara işaret edebilecek olağan dışı işlem veya olay, tutar, oran ve eğilimlerin belirlenmesine yardımcı olabilir. Tespit edilen olağan dışı veya beklenmedik ilişkiler, “önemli yanlışlık” risklerinin, özellikle hile kaynaklı “önemli yanlışlık” risklerinin, belirlenmesinde denetçiye yardımcı olabilir.

A16.        Ancak bu tür analitik prosedürlerde bir araya getirilmiş veriler kullanıldığında (analitik prosedürler risk değerlendirme prosedürleri olarak uygulandığında bu durum söz konusu olabilir), söz konusu prosedürlerin sonuçları önemli bir yanlışlığın var olup olmadığı hakkında sadece genel bir ön gösterge sağlar. Bu sebeple bu tür durumlarda, analitik prosedürlerin sonuçlarıyla birlikte “önemli yanlışlık” risklerinin belirlenmesinde elde edilen diğer bilgilerin de dikkate alınması, denetçinin analitik prosedürlerin sonuçlarını anlamasına ve değerlendirmesine yardımcı olabilir. 

Küçük İşletmelere Özgü Hususlar

A17.        Bazı küçük işletmelerin, analitik prosedürlerin amaçları doğrultusunda kullanılabilecek ara dönem veya aylık finansal bilgileri bulunmayabilir. Bu tür durumlarda, denetimin planlanma amaçları doğrultusunda sınırlı analitik prosedürler uygulayabilmesine veya sorgulama yoluyla bazı bilgileri elde edebilmesine rağmen denetçi, işletmenin finansal tablolarının ilk taslağı hazır olduğunda, “önemli yanlışlık” risklerini belirlemek ve değerlendirmek amacıyla analitik prosedürleri uygulamak için plan yapma ihtiyacı duyabilir.

Gözlem ve Tetkik (Bkz.: 6(c) paragrafı)

A18.        Gözlem ve tetkik, yönetimle ve diğerleriyle yapılan sorgulamaları destekleyebilir, ayrıca işletme ve çevresi hakkında bilgi sağlayabilir. Bu tür denetim prosedürleri, aşağıdaki hususların gözlem veya tetkikini içerir:

·                İşletme faaliyetleri.

·                Belgeler (iş planı ve stratejileri gibi), kayıtlar ve iç kontrol rehberleri.

·                Yönetim tarafından hazırlanmış raporlar (üç aylık yönetim raporları ve ara dönem finansal tablolar gibi) ve üst yönetimden sorumlu olanlar tarafından hazırlanmış raporlar (yönetim kurulu toplantı tutanakları gibi).

·                İşletmenin tesisleri ve üretim yerleri.

Önceki Dönemlerde Elde Edilen Bilgiler (Bkz.: 9 uncu paragraf) 

A19.        Denetçinin işletmeyle ilgili önceki deneyimleri ve önceki denetimlerde uygulanan denetim prosedürleri, denetçiye aşağıdaki gibi hususlar hakkında bilgi sağlayabilir:

·                Geçmişte tespit edilen yanlışlıklar ve bunların zamanında düzeltilip düzeltilmediği.

·                İşletme ve çevresinin niteliği ile işletmenin iç kontrolü (iç kontrol eksiklikleri dâhil).

·                İşletme veya faaliyetlerinde önceki finansal dönemden itibaren gerçekleşmiş olabilecek ve “önemli yanlışlık” risklerini belirlemek ve değerlendirmek için işletmeyi yeterince tanımasında denetçiye yardımcı olabilecek önemli değişiklikler.

·                Denetçinin gerekli denetim prosedürlerini uygularken -karmaşık olmaları gibi sebeplerle- zorluk yaşadığı belirli türdeki işlemler ve diğer olaylar ya da hesap bakiyeleri (ve ilgili açıklamalar).

A20.        Önceki dönemlerde elde edilen bilgileri cari denetimde kullanmayı düşünmesi hâlinde denetçinin, önceki dönemlerde elde edilen bilgilerin ilgisinin devam edip etmediğini değerlendirmesi gerekir. Çünkü kontrol çevresindeki değişiklikler gibi değişiklikler, önceki yılda elde edilen bilgilerin ilgisini etkileyebilir. Bu tür bilgilerin ilgisine etki edebilecek değişikliklerin olup olmadığına karar vermek amacıyla denetçi, sorgulamalar yapabilir ve ilgili sistemlerin anlaşılmasına ilişkin süreç takipleri gibi diğer uygun denetim prosedürlerini uygulayabilir.

Denetim Ekibi İçinde Yapılan Müzakereler (Bkz.: 10 uncu paragraf) 

A21.        İşletmenin finansal tablolarının “önemli yanlışlık” risklerine açıklığının denetim ekibi içinde müzakere edilmesi:

·                Sorumlu denetçi dâhil daha deneyimli denetim ekibi üyelerine, işletme hakkındaki bilgilerine dayanan görüşlerini paylaşma fırsatı sağlar.

·                Denetim ekibi üyelerinin, işletme için tehdit oluşturan iş hayatına ilişkin riskler ile finansal tabloların nasıl ve nerede hata veya hile kaynaklı önemli yanlışlığa açık olabileceği hakkında bilgi alışverişinde bulunmalarına imkân verir. 

·                Denetim ekibi üyelerinin görevlendirildikleri belirli alanlarda, finansal tablolardaki muhtemel yanlışlıkları daha iyi anlamalarına ve uyguladıkları denetim prosedürlerinin sonuçlarının müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamına ilişkin kararlar dâhil, denetimin diğer yönlerini nasıl etkileyebileceğini anlamalarına yardımcı olur.

·                Denetim ekibi üyelerinin denetim boyunca elde ettiği, “önemli yanlışlık” risklerinin değerlendirilmesini veya bu risklere karşı uygulanan denetim prosedürlerini etkileyebilecek yeni bilgileri iletebilecekleri ve paylaşabilecekleri bir zemin oluşturur.

BDS 240’ta hile riskleri hakkında denetim ekibi içinde yapılan müzakerelere ilişkin ilâve hükümler ve açıklamalar yer almaktadır.

A22.        10 uncu paragrafta zorunlu kılınan müzakereler kapsamında denetim ekibi tarafından geçerli finansal raporlama çerçevesindeki açıklama hükümlerinin dikkate alınması, açıklamalarla bağlantılı “önemli yanlışlık” riski içerebilecek alanların denetimin başlangıç aşamasında belirlenmesine yardımcı olur. Denetim ekibinin müzakere edebileceği hususlara ilişkin örnekler aşağıdakileri içerir:

·                    Finansal raporlama hükümlerindeki değişikliklerin, yeni ve önemli açıklamaların yapılması veya önemli açıklamaların revize edilmesiyle sonuçlanması,

·                    İşletmenin çevresindeki, finansal durumundaki veya faaliyetlerindeki değişikliklerin yeni ve önemli açıklamaların yapılması veya önemli açıklamaların revize edilmesiyle sonuçlanması. Örneğin; denetlenen dönemde gerçekleşen önemli bir iş birleşmesi.

·                    Önceki dönemlerde hakkında yeterli ve uygun denetim kanıtının elde edilmesinde zorluk yaşanan açıklamalar ve

·                    Hangi bilgilerin açıklanacağı hakkında yönetim tarafından önemli muhakemeler yapılanlar dâhil, karmaşık konulara ilişkin yapılan açıklamalar.

A23.        Denetim ekibi üyelerinin tamamının tek bir müzakerede hazır bulunması her zaman gerekli veya pratik olmadığı gibi (örneğin, birden fazla yerde yürütülen denetimlerde olduğu gibi), üyelerin tamamına müzakerelerde ulaşılan sonuçların tümü hakkında bilgi verilmesi de gerekli değildir. Sorumlu denetçi, denetim ekibi içinde gerekli görülen iletişimin kapsamını dikkate alarak, diğer kişilerle yapılacak müzakereleri başkalarına devredebilir ve konuları -uygun hâllerde- topluluğa bağlı birimlerin denetiminden sorumlu olanlarla ve özel beceri veya bilgi sahibi olanlar da dâhil denetim ekibinin kilit üyeleriyle müzakere edebilir. Sorumlu denetçi tarafından onaylanan bir iletişim planının oluşturulması faydalı olabilir.

Küçük İşletmelere Özgü Hususlar

A24.        Küçük hacimli denetimlerin çoğu tamamen sorumlu denetçi (bu kişi denetim üstlenen bağımsız denetçi olabilir) tarafından yürütülür. Bu tür durumlarda, işletmenin finansal tablolarının hata veya hile kaynaklı önemli yanlışlığa açık olmasını dikkate alma sorumluluğu, denetimin planlamasını da şahsen yapmış olan sorumlu denetçiye aittir.

İşletmenin İç Kontrolü Dâhil İşletme ve Çevresini Tanıma Yükümlülüğü

İşletme ve Çevresi

Sektör, Mevzuat/Düzenlemeler ve Diğer Dış Etkenler (Bkz.: 11(a) paragrafı) 

Sektöre İlişkin Etkenler

A25.        Sektöre ilişkin ilgili etkenler, rekabetçi çevre, müşteri ve tedarikçi ilişkileri ile teknolojik gelişmeler gibi sektör şartlarını içerir. Aşağıdakiler, denetçinin dikkate alabileceği hususlara örnek olarak verilebilir:

·                Talep, kapasite ve fiyat rekabeti dâhil, piyasa ve rekabet.

·                Konjonktürel veya sezonluk faaliyetler.

·                İşletmenin ürünlerine ilişkin ürün teknolojisi.

·                Enerji arzı ve maliyeti.

A26.        İşletmenin faaliyet gösterdiği sektör, işin niteliğinden veya mevzuattan kaynaklanan “önemli yanlışlık” risklerine sebep olabilir. Örneğin, uzun vadeli sözleşmeler, “önemli yanlışlık” risklerine sebep olan önemli hâsılat ve gider tahminleri içerebilir. Bu tür durumlarda, denetim ekibinde yeterli bilgi ve deneyime sahip kişilerin yer alması önemlidir.

Mevzuata İlişkin Etkenler

A27.        Mevzuata ilişkin etkenler düzenleyici çevreyi içerir. Düzenleyici çevre, diğer hususların yanı sıra geçerli finansal raporlama çerçevesini ve yasal ve siyasi ortamı kapsar. Aşağıdakiler, denetçinin dikkate alabileceği hususlara örnek olarak verilebilir:

·                Muhasebe ilkeleri ve sektöre özgü uygulamalar.

·                Açıklamalara yönelik hükümler dâhil, belirli düzenlemelere tabi bir endüstriye ilişkin mevzuat.

·                Doğrudan yönlendirme ve gözetim faaliyetleri dâhil, işletmenin faaliyetlerini önemli ölçüde etkileyen mevzuat.

·                Vergilendirme (kurumlar vergisi ve diğerleri).

·                Kambiyo kontrolleri, mali ve finansal teşvikler (örneğin, devlet desteği programları) dâhil para politikaları, gümrük vergileri veya ticareti sınırlandıran politikalar gibi işletmenin faaliyetlerini etkileyen cari hükümet politikaları.

·                Sektörü ve işletmenin faaliyetlerini etkileyen çevresel yükümlülükler.

A28.        BDS 250, işletme ve işletmenin faaliyet gösterdiği endüstri veya sektör için geçerli olan mevzuata ilişkin bazı özel hükümler içerir.

Kamu sektörü işletmelerine özgü hususlar

A29.        Kamu sektörü işletmelerinin denetimlerinde, mevzuat veya yetkili başka bir kurum işletmenin faaliyetlerini etkileyebilir. İşletme ve çevresi tanınırken bu hususların dikkate alınması gereklidir.

Diğer Dış Etkenler

A30.        Genel ekonomik şartlar, faiz oranları, finansman kaynaklarına erişebilirlik, enflasyon veya para biriminin değerinin değişmesi, işletmeyi etkileyen ve denetçinin dikkate alabileceği diğer dış etkenlere örnek olarak verilebilir.

İşletmenin Niteliği (Bkz.: 11(b) paragrafı)

A31.        İşletmenin niteliği hakkında kanaat sahibi olunması, denetçinin aşağıdaki gibi hususlar hakkında kanaat edinmesine imkân sağlar:

·                İşletmenin karmaşık bir yapısının (örneğin, birden fazla yerde bağlı ortaklığının veya topluluğa bağlı biriminin) olup olmadığı. Karmaşık yapılar genellikle “önemli yanlışlık” risklerine sebep olabilecek sorunları ortaya çıkarır. Bu sorunlar şerefiye, iş ortaklıkları, yatırımlar veya özel amaçlı işletmelerin uygun bir şekilde muhasebeleştirilip muhasebeleştirilmediği ve bu konulara ilişkin finansal tablolarda yeterli açıklama yapılıp yapılmadığı hususlarını içerebilir.

·                Ortaklık yapısı ve ortaklar ile diğer kişiler veya işletmeler arasındaki ilişkiler. Bu hususların hakkında kanaat edinilmesi, ilişkili taraf işlemlerinin uygun bir şekilde belirlenip belirlenmediğine, muhasebeleştirilip muhasebeleştirilmediğine ve finansal tablolarda yeterli bir şekilde açıklanıp açıklanmadığına karar verilmesinde yardımcı olur. BDS 550, denetçinin ilişkili taraflara ilişkin dikkate alması gereken hükümler içerir ve bu konuda rehberlik sağlar.

A32.        Aşağıdakiler, işletmenin niteliği hakkında kanaat edinirken denetçinin dikkate alabileceği hususlara örnek olarak verilebilir:

·                İşletme faaliyetleri, örneğin:

o      İnternet satışları ve pazarlama faaliyetleri gibi elektronik ticaret dâhil, hâsılat kaynaklarının, ürünlerin (veya hizmetlerin) ve pazarların niteliği.

o      Faaliyetlerin yürütülmesi (örneğin, üretim aşamaları ve yöntemleri veya çevresel risk oluşturan faaliyetler).

o      İş birliktelikleri, iş ortaklıkları ve dışarıdan hizmet alımı faaliyetleri.

o      Coğrafi dağılım ve endüstri bölümleri.

o      Üretim tesisleri, depo ve ofislerin yerleri ile stokların yer ve miktarları.

o      Kilit müşteriler ve önemli mal ve hizmet tedarikçileri, istihdama yönelik düzenlemeler (toplu sözleşme, emeklilik ve emeklilik sonrası sağlanan diğer faydalar, pay opsiyonu veya teşvik primi düzenlemeleri ve istihdama ilişkin hükümet düzenlemeleri dâhil).

o      Araştırma ve geliştirme faaliyetleri ve harcamaları.

o      İlişkili taraflarla yapılan işlemler.

·                Yatırımlar ve yatırım faaliyetleri, örneğin;

o      Planlanmış veya yakın bir geçmişte gerçekleştirilen işletme satın alımları veya elden çıkarmaları.

o      Menkul kıymet alım-satımı ve kredi alımı ve geri ödemeleri.

o      Sermaye yatırımı faaliyetleri.

o      Ortaklıklar, iş ortaklıkları ve özel amaçlı işletmeler dâhil, konsolide edilmeyen işletmelerdeki yatırımlar.

·                Finansman ve finansman faaliyetleri, örneğin:

o        Konsolide ve konsolide edilmeyen yapılar dâhil, önemli bağlı ortaklık ve iştirakler.

o        Bilânço dışı finansman anlaşmaları ve finansal kiralama sözleşmeleri dâhil, borç yapısı ve bu borçların şartları.

o        Menfaat sahiplerinin yerli ve/veya yabancı olup olmadığı, ticari itibar ve deneyimleri ve ilişkili taraflar.

o        Türev finansal araçların kullanımı.

·                Finansal raporlama, örneğin;

o      Finansal tablolardaki endüstriye özgü önemli işlem sınıfları, hesap bakiyeleri ve ilgili açıklamalar için (örneğin, bankalar için krediler ve yatırımlar veya tıbbi ürünler için araştırma ve geliştirme) endüstriye özgü muhasebe ilkeleri ve endüstriye özgü uygulamalar.

o      Hâsılatın finansal tablolara alınması.

o      Gerçeğe uygun değerin muhasebeleştirilmesi.

o      Yabancı para cinsinden varlık, yükümlülük ve işlemler.

o      İhtilaflı veya yeni ortaya çıkmakta olan alanlar (örneğin, hisse bazlı ödemelerin muhasebeleştirilmesi) dâhil, olağandışı veya karmaşık işlemlerin muhasebeleştirilmesi.

A33.        İşletmede önceki dönemlerden bu yana meydana gelen önemli değişiklikler, “önemli yanlışlık” risklerine sebep olabilir veya bu riskleri değiştirebilir.

Özel Amaçlı İşletmelerin Niteliği

A34.        Özel amaçlı bir işletme (bazen özel amaçlı araç olarak da ifade edilir) genellikle finansal kiralama işlemi veya varlığa dayalı menkul kıymet ihracı gerçekleştirmek veya araştırma ve geliştirme faaliyetleri yürütmek gibi dar kapsamlı ve iyi tanımlanmış bir amaç için kurulan işletmedir. Bu işletme bir anonim şirket, yatırım fonu, ortaklık veya adi ortaklık şeklinde olabilir. Diğer taraflar özel amaçlı işletmenin finansmanını sağlarken, adına özel amaçlı bir işletme kurulan işletme genellikle:

­      Özel amaçlı işletmeye (örneğin, finansal varlıkların finansal tablo dışı bırakılması işleminin bir parçası olarak) bazı varlıkları devredebilir,

­      Özel amaçlı işletmenin varlıklarının kullanım hakkına sahip olabilir veya

­      Söz konusu işletmeye hizmet sunabilir.

BDS 550’de belirtildiği gibi bazı durumlarda özel amaçlı işletme, işletmenin ilişkili bir tarafı olabilir.

A35.        Finansal raporlama çerçeveleri genellikle kontrolün belirlenmesiyle ilgili olan ayrıntılı şartları veya özel amaçlı işletmenin konsolidasyona dâhil edilmesi gereken durumları belirler. Bu tür çerçevelerin hükümlerinin yorumlanması, genellikle özel amaçlı işletmenin yer aldığı ilgili sözleşmeler hakkında ayrıntılı bilgi sahibi olunmasını gerektirir.

İşletmenin Muhasebe Politikaları Seçimi ve Uygulaması (Bkz.: 11(c) paragrafı) 

A36.        İşletmenin muhasebe politikaları seçimi ve uygulaması hakkında kanaat edinilmesi, aşağıdaki gibi hususları kapsayabilir:

·                İşletmenin önemli ve olağandışı işlemleri muhasebeleştirmek için kullandığı yöntemler.

·                Resmi bir düzenlemenin veya görüş birliğinin bulunmadığı ihtilaflı veya yeni ortaya çıkmakta olan alanlardaki önemli muhasebe politikalarının etkisi.

·                İşletmenin muhasebe politikalarındaki değişiklikler.

·                İşletme için yeni olan finansal raporlama standartları ve mevzuat ile işletmenin bu tür yükümlülüklere ne zaman ve nasıl uygunluk sağlayacağı.

Amaçlar, Stratejiler ve İş Hayatına İlişkin Riskler (Bkz.: 11(ç) paragrafı) 

A37.        İşletme, faaliyetlerini, içinde bulunduğu sektörü, mevzuatı ve diğer iç ve dış etkenleri dikkate alarak yürütür. İşletme yönetimi veya üst yönetimden sorumlu olanlar bu etkenlere karşılık vermek için işletmenin genel planı niteliğindeki amaçlarını belirler. Stratejiler, yönetimin amaçlarına ulaşmak için kullanacağı yaklaşımlardır. İşletmenin amaç ve stratejileri zaman içinde değişebilir.

A38.        İş hayatına ilişkin riskler, “önemli yanlışlık” riskini de içermekle birlikte, finansal tablolardaki “önemli yanlışlık” riskinden daha kapsamlıdır. İş hayatına ilişkin riskler, değişimden veya karmaşıklıktan kaynaklanabilir. Değişim ihtiyacının dikkate alınamaması da iş hayatına ilişkin risklere sebep olabilir. Aşağıdakiler, iş hayatına ilişkin risklerin kaynaklarına örnek olarak verilebilir:

·                Başarısızlıkla sonuçlanabilecek yeni ürün veya hizmetlerin geliştirilmesi,

·                Başarılı biçimde geliştirilse bile bir ürün veya hizmet için yetersiz piyasanın bulunması veya

·                Bir yükümlülük veya ticari itibar riski doğurabilecek ürün veya hizmet hataları.

A39.        İş hayatına ilişkin çoğu riskin finansal sonuçları olduğundan ve dolayısıyla bu riskler finansal tabloları etkilediğinden, işletmenin karşılaştığı iş hayatına ilişkin riskler hakkında kanaat edinilmesi, “önemli yanlışlık” risklerini belirleme ihtimalini artırır. Ancak, iş hayatına ilişkin risklerin tamamı “önemli yanlışlık” risklerine sebep olmadığından, denetçinin iş hayatına ilişkin tüm riskleri belirleme ve değerlendirme sorumluluğu yoktur.

A40.        Aşağıdakiler işletmenin amaçları, stratejileri ve finansal tablolarda “önemli yanlışlık” riskine sebep olabilecek iş hayatına ilişkin riskler hakkında kanaat edinirken denetçinin dikkate alabileceği hususlara örnek olarak verilebilir:

·                Endüstrideki gelişmeler (iş hayatına ilişkin potansiyel risklere örnek olarak, işletmenin endüstrideki değişimleri takip edecek personele veya uzmanlığa sahip olmaması verilebilir).

·                Yeni ürün ve hizmetler (iş hayatına ilişkin potansiyel risklere örnek olarak, ürünle ilgili yükümlülüklerin artması verilebilir).

·                İşin genişlemesi (iş hayatına ilişkin potansiyel risklere örnek olarak, talebin doğru biçimde tahmin edilememesi verilebilir).

·                Yeni muhasebe yükümlülükleri (iş hayatına ilişkin potansiyel risklere örnek olarak, artan maliyetler ile eksik veya yanlış uygulamalar verilebilir).

·                Mevzuattan kaynaklanan yükümlülükler (iş hayatına ilişkin potansiyel risklere örnek olarak, yasal zorunlulukların artması verilebilir).

·                Cari ve tahmini finansman ihtiyaçları (iş hayatına ilişkin potansiyel risklere örnek olarak, işletmenin yükümlülükleri karşılayamaması sebebiyle ortaya çıkan finansman kaybı verilebilir).

·                BT’nin kullanımı (iş hayatına ilişkin potansiyel risklere örnek olarak, sistem ve süreçlerin birbirleriyle uyumlu olmaması verilebilir).

·                Bir stratejiyi uygulamanın etkileri, özellikle de yeni muhasebe yükümlülüklerine yol açacak her türlü etki (iş hayatına ilişkin potansiyel risklere örnek olarak, eksik veya yanlış uygulama verilebilir).

A41.        İş hayatına ilişkin bir risk; işlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyindeki veya finansal tablo düzeyindeki “önemli yanlışlık” riski açısından doğrudan bir etkiye sahip olabilir. Örneğin, daralan müşteri tabanından kaynaklanan iş hayatına ilişkin risk, alacakların değerlemesine ilişkin “önemli yanlışlık” risklerini artırabilir. Bununla birlikte aynı riskin, özellikle daralan bir ekonomide işletmenin sürekliliği varsayımının uygunluğuna ilişkin denetçinin yaptığı değerlendirmede dikkate alacağı daha uzun dönemli sonuçları olabilir. Dolayısıyla iş hayatına ilişkin bir riskin “önemli yanlışlık” riskiyle sonuçlanıp sonuçlanmayacağı hususu, işletmenin içinde bulunduğu şartlar dikkate alınarak değerlendirilir. “Önemli yanlışlık” risklerine işaret edebilecek durum ve olaylara ilişkin örnekler Ek 2’de yer almaktadır.

A42.        İş hayatına ilişkin riskleri genellikle yönetim belirler ve bunları ele alan yaklaşımlar geliştirir. Bu tür bir risk değerlendirme süreci, iç kontrolün bir parçasıdır ve 15 inci paragraf ile A88-A89 paragraflarında ele alınmaktadır.

Kamu Sektörü İşletmelerine Özgü Hususlar

A43.        Kamu sektörü işletmelerinin denetiminde “yönetimin amaçları”, kamusal hesap verilebilirliğe ilişkin hususlardan etkilenebilir ve mevzuattan kaynaklanan amaçları içerebilir.

İşletmenin Finansal Performansının Ölçümü ve Gözden Geçirilmesi (Bkz.: 11(d) paragrafı) 

A44.        Yönetim ve işletmedeki diğer kişiler, önemli olduğunu düşündükleri hususları ölçer ve gözden geçirir. Dış veya iç performans ölçümleri işletme üzerinde baskı yaratır. Bu baskılar yönetimi, iş performansını artırmaya yönelik harekete geçmeye veya finansal tablolarda yanlışlık yapmaya sevk edebilir. Bu sebeple, işletmenin performans ölçümleri hakkında kanaat edinilmesi; performans hedeflerine ulaşma baskılarının, hile kaynaklı olanlar dâhil “önemli yanlışlık” risklerini artıran yönetim faaliyetleriyle sonuçlanıp sonuçlanmayacağını değerlendirmesinde denetçiye yardımcı olabilir. Hile kaynaklı risklere ilişkin hüküm ve açıklamalar için BDS 240’a bakınız.

A45.        Amaçları birbiriyle örtüşebilir olsa bile, finansal performansın ölçümü ve gözden geçirilmesi, kontrollerin izlenmesiyle aynı anlama gelmemektedir (kontrollerin izlenmesi, A110-A121 paragraflarında iç kontrolün bir bileşeni olarak ele alınmıştır):

·                Performansın ölçümü ve gözden geçirilmesi, iş performansının yönetim tarafından (veya üçüncü taraflarca) belirlenen hedefleri karşılayıp karşılamadığını tespit etmeye yöneliktir.

·                Kontrollerin izlenmesi ise özellikle iç kontrolün etkin biçimde işlemesiyle ilgilidir.

Bununla birlikte, bazı durumlarda performans göstergeleri de yönetimin iç kontrol eksikliklerini belirlemesine yardımcı olacak bilgiler sağlar. 

A46.        Finansal performansı ölçerken ve gözden geçirirken yönetimin kullandığı ve denetçinin dikkate alabileceği, işletmede oluşturulan bilgilere örnek olarak aşağıdakiler verilebilir:

·                Temel performans göstergeleri (finansal ve finansal olmayan) ile temel finansal oranlar, eğilimler ve faaliyet istatistikleri.

·                Dönem bazlı finansal performans analizleri.

·                Bütçeler, tahminler, varyans analizleri, bölüm bilgileri ile işletme içindeki birimler ve diğer seviyelerdeki performans raporları.

·                Çalışanlara ilişkin performans ölçümleri ve teşvik primi politikaları.

·                İşletmenin performansının rakipleriyle karşılaştırılması.

A47.        İşletmenin finansal performansı, işletme dışındaki taraflarca da ölçülebilir ve gözden geçirilebilir. Örneğin, analist raporları ve kredi derecelendirme kuruluşu raporları gibi dış kaynaklı bilgiler, denetçiye yararlı bilgiler sağlayabilir. Bu tür raporlar genellikle denetlenen işletmeden elde edilebilir.

A48.        İşletme içi ölçümler, beklenmeyen sonuç veya eğilimler ortaya çıkarabilir ve yönetimin bunların sebebini belirlemesi ve düzeltmeye yönelik adımlar atması (bazı durumlarda yanlışlıkların zamanında tespit edilmesi ve düzeltilmesi de dâhil) gerekebilir.  Performans ölçümleri denetçiye, ilgili finansal tablo bilgilerinde yanlışlık bulunabileceği riskine de işaret edebilir. Örneğin performans ölçümleri, aynı endüstrideki diğer işletmelerle karşılaştırıldığında, işletme büyüklüğünün veya kârlılığının olağan dışı ve hızlı bir şekilde arttığını gösterebilir. Bu tür bilgiler, özellikle performansa dayalı ikramiye veya teşvik ödemesiyle birlikte dikkate alındığında, finansal tabloların hazırlanmasında yönetimin taraflılığına ilişkin potansiyel bir riske işaret edebilir.

Küçük İşletmelere Özgü Hususlar

A49.        Küçük işletmelerde genellikle finansal performansın ölçümü veya gözden geçirilmesine ilişkin süreçler bulunmaz. Yönetimin sorgulanması, finansal performansın değerlendirilmesinde ve uygun adımların atılmasında yönetimin bazı kilit göstergeleri esas aldığını ortaya koyabilir. Bu tür bir sorgulama performans ölçümü veya gözden geçirmesinin olmadığına işaret ediyorsa, yanlışlıkların tespit edilmeyerek düzeltilmeme riski yüksek olabilir.

İşletmenin İç Kontrolü (Bkz.: 12 nci paragraf)

A50.        İç kontrolün hakkında kanaat edinilmesi, muhtemel yanlışlık türlerini ve “önemli yanlışlık” risklerini etkileyen etkenleri belirlemesinde ve müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamını tasarlamasında denetçiye yardımcı olur.

A51.        İç kontrole ilişkin açıklayıcı hükümler, aşağıda belirtilen dört başlık altında ele alınmıştır:

·                İç Kontrolün Genel Nitelik ve Özellikleri.

·                Denetimle İlgili Kontroller.

·                İlgili Kontrollerin Anlaşılmasının Niteliği ve Kapsamı.

·                İç Kontrol Bileşenleri.

İç Kontrolün Genel Nitelik ve Özellikleri

İç Kontrolün Amacı

A52.        İç kontrol, işletmenin aşağıdaki hususlarla ilgili amaçlarına ulaşmasını tehdit eden iş hayatına ilişkin belirlenmiş risklere karşılık verecek şekilde tasarlanır, uygulanır ve sürdürülür:

·                İşletmenin finansal raporlamasının güvenilirliği,

·                Faaliyetlerinin etkinlik ve verimliliği ve

·                İşletmenin mevzuata uygunluğu.

            İç kontrol sistemini tasarlama, uygulama ve sürdürme şekli işletmenin büyüklük ve karmaşıklığına göre farklılık gösterir.

Küçük işletmelere özgü hususlar

A53.        Küçük işletmeler amaçlarına ulaşmak için daha basit yöntem, süreç ve prosedürler kullanabilir.

İç Kontrolün Kısıtlamaları

A54.        Ne kadar etkin olursa olsun iç kontrol; işletmeye, finansal raporlama amaçlarına ulaşılması konusunda sadece makul bir güvence sağlayabilir. Söz konusu amaçlara ulaşma ihtimali iç kontrolün yapısal kısıtlamalarından etkilenir. Bu kısıtlamalar, insanların karar verirken yargılarının hatalı olabileceği ve iç kontrolün insan hatasından dolayı etkisiz kalabileceği gerçeğini içerir. Örneğin, bir kontrolün tasarlanması veya değiştirilmesi sırasında bir hata oluşabilir. Aynı şekilde, iç kontrolün amaçları için oluşturulan bilgileri (örneğin, bir sapma raporunu) gözden geçirmekten sorumlu kişilerin (bilgilerin amacını anlamaması veya uygun adımı atmaması sebebiyle) bu bilgileri verimli şekilde kullanamaması nedeniyle bir kontrolün işleyişi etkin olmayabilir.

A55.        Ayrıca, iki veya daha fazla kişi tarafından yapılan muvazaalı işlem veya yönetimin iç kontrolleri ihlâl etmesi sebebiyle kontroller atlatılabilir. Örneğin yönetim, müşterilerle, işletmenin standart satış sözleşmelerinin şart ve hükümlerini değiştiren ve hâsılatın uygun olmayan şekilde finansal tablolara alınmasıyla sonuçlanabilecek yan sözleşmeler yapabilir. Ayrıca, belirli tutarların üzerindeki işlemleri belirlemek ve raporlamak için tasarlanmış yazılım programlarındaki düzeltme kontrolleri ihlâl edilebilir veya geçersiz hâle getirebilir.

A56.        Ayrıca yönetim, kontrolleri tasarlar ve uygularken uygulamayı seçeceği kontrollerin nitelik ve kapsamı ile üstlenmeyi seçeceği risklerin nitelik ve kapsamı hakkında muhakemede bulunabilir.

Küçük işletmelere özgü hususlar

A57.        Küçük işletmeler genellikle az sayıda çalışana sahip olduğundan görevler ayrılığı ilkesinin uygulanabilmesi zordur. Ancak, sahibi tarafından yönetilen küçük bir işletmede, işletmenin sahibi olan yönetici, büyük bir işletmeye kıyasla daha etkin bir gözetim yapabilir. Bu gözetim genellikle, görevler ayrılığı ilkesinin uygulanma zorluğundan kaynaklanan olumsuz etkileri telafi edebilir.

A58.        Diğer taraftan, iç kontrol daha basit bir yapıya sahip olduğundan işletmenin sahibi olan yöneticinin kontrolleri ihlâl etme imkânı daha fazladır. Bu durum, hile kaynaklı “önemli yanlışlık” riskleri belirlenirken denetçi tarafından dikkate alınır.

İç Kontrolün Bileşenlere Ayrılması

A59.        BDS’lerin amaçları doğrultusunda iç kontrolün aşağıda belirtilen beş bileşene ayrılması, iç kontrolün farklı yönlerinin denetimi nasıl etkileyebileceğini dikkate almaları açısından denetçilere faydalı bir çerçeve sağlar:

(a)           Kontrol çevresi,

(b)          İşletmenin risk değerlendirme süreci,

(c)           Finansal raporlamaya ilişkin ilgili iş süreçleri dâhil, bilgi sistemi ve iletişim,

(ç)     Kontrol faaliyetleri,

(d)          Kontrollerin izlenmesi.

Yapılan bu ayrım, bir işletmenin iç kontrolü nasıl tasarladığını, uyguladığını, sürdürdüğünü veya belirli bir bileşeni nasıl sınıflandırdığını yansıtmayabilir. Bu BDS’de belirtilen tüm bileşenleri ele almak kaydıyla denetçiler, iç kontrolün farklı yönlerini ve denetim üzerindeki etkisini açıklamak için bu BDS’de kullanılanlardan farklı terminoloji veya çerçeveler kullanabilir.

A60.        İç kontrolün finansal tablo denetimiyle ilgili beş bileşenine ilişkin açıklayıcı hükümler, aşağıdaki A77-A121 paragraflarında yer almaktadır. Ek 1’de iç kontrolün bu bileşenlerine ilişkin ilâve açıklamalar yer almaktadır.

Denetçinin Risk Değerlendirmesiyle İlgili İç Kontrolün Manuel ve Otomatik Unsurlarının Özellikleri

A61.        Bir işletmenin iç kontrol sistemi manuel unsurlar içermekle birlikte genellikle otomatik unsurlar da içerir. Manuel veya otomatik unsurların özellikleri, denetçinin risk değerlendirmesiyle ve bu değerlendirmeye dayanan müteakip denetim prosedürleriyle ilgilidir.

A62.        İç kontrolde manuel veya otomatik unsurların kullanılması işlemlerin başlatılma, kaydedilme, işlenme ve raporlanma biçimlerini de etkiler:

·                Manuel bir sistemdeki kontroller, işlemlerin onaylanması ve incelenmesi gibi prosedürleri, mutabakatları ve mutabakata konu olan kalemlerin takibini içerebilir. Alternatif olarak bir işletme, işlemlerin başlatılması, kaydedilmesi, işlenmesi ve raporlanması için otomatik prosedürler kullanabilir; bu durumda elektronik ortamdaki kayıtlar, kâğıt belgelerin yerini alır.

·                BT sistemlerindeki kontroller, otomatik kontrollerin (örneğin, bilgisayar programlarına yerleştirilen kontroller) ve manuel kontrollerin bileşiminden oluşur. Ayrıca, manuel kontroller BT’den bağımsız olabilir, BT’nin ürettiği bilgileri kullanabilir veya BT’nin ve otomatik kontrollerin etkin şekilde işlemesini izlemekle ve sapmaları ele almakla sınırlı olabilir. Finansal tablolarda yer alacak işlem veya diğer finansal verilerin başlatılmasında, kaydedilmesinde, işlenmesinde veya raporlanmasında BT’nin kullanılması durumunda, BT sistem ve programları, önemli hesaplara karşılık gelen yönetim beyanlarına ilişkin kontrolleri içerebilir veya BT’ye dayanan manuel kontrollerin etkin şekilde işlemesi açısından kritik önem taşıyabilir. 

Bir işletmenin iç kontrolündeki manuel ve otomatik unsurların bileşimi, söz konusu işletmenin BT’yi kullanım niteliğine ve karmaşıklığına göre farklılık gösterir.

A63.        Genel olarak BT, işletmenin:

·                Önceden tanımlanmış iş kurallarını tutarlı biçimde uygulamasına ve büyük hacimli işlem veya verileri işlerken karmaşık hesaplamaları yapmasına,

·                Bilgilerin güncelliğini, erişilebilirliğini ve doğruluğunu artırmasına,

·                Bilgilere ilişkin ek analizler yapmasını kolaylaştırmasına,

·                İşletmenin politikalarını, prosedürlerini ve performansını izleme kabiliyetini geliştirmesine,

·                Kontrollerin atlatılması riskini azaltmasına,

·                Uygulamalara, veri tabanlarına ve işletim sistemlerine güvenlik kontrolleri yerleştirerek görevler ayrılığı ilkesini etkin bir şekilde uygulama kabiliyetini artırmasına,

imkân sağlayarak işletmenin iç kontrolüne katkıda bulunur.

A64.        Bununla birlikte BT, işletmenin iç kontrolü açısından belirli riskler de barındırır. Bu risklere örnek olarak aşağıdakiler verilebilir:

·                Verileri hatalı işleyen, hatalı verileri işleyen veya her ikisini de yapan sistem veya programlara güvenilmesi.

·                Verilerin zarar görmesine veya veriler üzerinde uygun olmayan değişikliklerin yapılmasına yol açabilecek şekilde verilere yetkisiz erişilmesi (yetkisiz veya var olmayan işlemlerin kaydedilmesi veya işlemlerin hatalı kaydedilmesi dâhil). Birden fazla kullanıcının ortak bir veri tabanına eriştiği durumlarda belirli riskler ortaya çıkabilir.

·                BT personelinin, görevler ayrılığı ilkesinin bozulmasına sebep olacak şekilde, görev alanları çerçevesinde ihtiyaç duyduklarının ötesinde erişim ayrıcalıkları elde etme ihtimâli.

·                Ana dosyalardaki verilerde yetkisiz değişiklikler.

·                Sistem veya programlarda yetkisiz değişiklikler.

·                Sistem veya programlarda yapılması gereken değişikliklerin yapılmaması.

·                Uygun olmayan manuel müdahaleler.

·                Veri kaybı ihtimali veya gerektiğinde verilere erişilememesi.

A65.        Muhakeme yapılmasının ve takdir yetkisi kullanımının gerektiği aşağıdaki gibi durumlarda, iç kontroldeki manuel unsurların kullanılması daha uygun olabilir:

·                Büyük, olağandışı veya tekrar etmeyen işlemler.

·                Hataların tanımlanmasının, tahmin edilmesinin veya öngörülmesinin zor olduğu durumlar.

·                Değişen şartların, mevcut bir otomatik kontrolün kapsamı dışındaki bir kontrolle karşılık verilmesini gerektirmesi.

·                Otomatik kontrollerin etkinliğinin izlenmesi.

A66.        Daha kolay devre dışı bırakılabilmeleri, göz ardı edilebilmeleri, ihlâl edilebilmeleri ve basit hata ve yanlışlıklara daha açık olmaları sebebiyle iç kontroldeki manuel unsurlar otomatik unsurlara kıyasla daha az güvenilir olabilir. Bu sebeple, manuel bir kontrol unsurunun tutarlı bir şekilde uygulandığı varsayımı yapılamaz. Aşağıdaki durumlarda manuel kontrol unsurlarının kullanımı daha az uygun olabilir:

·                Yüksek hacimli veya yinelenen işlemlerin söz konusu olduğu ya da öngörülebilen veya tahmin edilebilen hataların otomatik kontrol parametreleri sayesinde önlenebileceği veya tespit edilip düzeltilebileceği durumlar.

·                Kontrolün uygulanması için belirli yolların yeterli bir şekilde tasarlanıp otomatik hâle getirilebileceği yerlerdeki kontrol faaliyetleri.

A67.        İç kontrole yönelik risklerin kapsam ve niteliği, işletmenin bilgi sisteminin nitelik ve özelliklerine bağlı olarak farklılıklar gösterir. İşletme, iç kontrolde BT kullanımından veya manuel unsurların kullanımından kaynaklanan risklere, bilgi sisteminin özellikleri ışığında etkin kontroller oluşturmak suretiyle karşılık verir.

Denetimle İlgili Kontroller

A68.        İşletmenin amaçları ile bu amaçlara ulaşıldığına dair makul bir güvence sağlamak için uyguladığı kontroller arasında doğrudan bir ilişki vardır. İşletmenin amaçları ve dolayısıyla kontrolleri; finansal raporlama, faaliyetler ve mevzuata uygunlukla ilgilidir. Ancak, bu amaç ve kontrollerin tümü denetçinin risk değerlendirmesiyle ilgili değildir.

A69.        Denetçinin, bir kontrolün tek başına veya diğer kontrollerle birlikte denetimle ilgili olup olmadığı konusunda muhakemede bulunurken dikkate alabileceği etkenler, aşağıdaki gibi hususları içerebilir:

·                Önemlilik.

·                İlgili risklerin önemi.

·                İşletmenin büyüklüğü.

·                Organizasyon ve ortaklık yapısı dâhil işletmenin yürüttüğü işin niteliği.

·                İşletme faaliyetlerinin çeşitliliği ve karmaşıklığı.

·                Mevzuattan kaynaklanan yükümlülükler.

·                Şartlar ve iç kontrolün geçerli bileşeni.

·                Hizmet kuruluşlarının kullanımı dâhil, işletmenin iç kontrolünün parçası olan sistemlerin niteliği ve karmaşıklığı.

·                Belirli bir kontrolün tek başına ve diğer kontrollerle birlikte; önemli bir yanlışlığı,

­    Önleyip önlemediği veya tespit ederek düzeltip düzeltmediği ve

­    Nasıl önlediği veya tespit ederek düzelttiği.

A70.        İşletme tarafından üretilen bilgilerin tamlığı ve doğruluğuyla ilgili kontroller, denetçinin müteakip denetim prosedürlerini tasarlarken ve uygularken bu bilgileri kullanmayı düşünmesi hâlinde denetimle ilgili olabilir. Denetçinin denetim prosedürlerini uygularken değerlendirdiği veya kullandığı verilerle ilgili olmaları hâlinde, faaliyetlere ve uygunluk hedeflerine ilişkin kontroller de denetimle ilgili olabilir.

A71.        Varlıkların yetkisiz olarak edinimini, kullanılmasını veya elden çıkarılmasını önlemeye yönelik iç kontrol, finansal raporlama ve faaliyet amaçlarıyla ilgili kontrolleri içerebilir. Böyle bir durumda denetçinin dikkate alacağı kontroller genellikle, finansal raporlamanın güvenilirliğiyle ilgili olanlarla sınırlıdır.

A72.        Genellikle bir işletmede denetimle ilgisi olmayan amaçlarla ilgili olan ve bu sebeple dikkate alınması gerekmeyen kontroller de bulunur. Örneğin bir işletme, etkin ve verimli faaliyetler gerçekleştirmek için gelişmiş ve çok yönlü bir otomatik kontrol sistemine güveniyor olabilir (örneğin bir hava yolunun uçuş tarifelerini yürütmeye yönelik otomatik kontrol sistemi gibi); ancak bu kontroller normalde denetimle ilgili değildir. Ayrıca iç kontrol, işletmenin tamamına veya faaliyet birimleri ya da iş süreçlerinin herhangi birine uygulansa bile işletmenin her bir faaliyet birimine ve iş sürecine ilişkin iç kontrolün anlaşılması denetimle ilgili olmayabilir.

Kamu Sektörü İşletmelerine Özgü Hususlar

A73.        Kamu sektörü denetçilerinin genellikle iç kontrole ilişkin (belirlenmiş uygulama kurallarına uygunluğun raporlanması gibi) ilâve sorumlulukları bulunur. Ayrıca kamu sektörü denetçilerinin, mevzuata uygunluk hakkında raporlama yapma sorumluluğu da bulunabilir. Sonuç olarak, kamu sektörü denetçilerinin iç kontrolü gözden geçirmesi daha kapsamlı ve ayrıntılı olabilir.

İlgili Kontrollerin Anlaşılmasının Niteliği ve Kapsamı (Bkz.: 13 üncü paragraf)

A74.        Bir kontrolün tasarımının değerlendirilmesi, kontrolün tek başına veya diğer kontrollerle birlikte önemli yanlışlıkları etkin bir şekilde önleme veya tespit edip düzeltme kapasitesinin olup olmadığının dikkate alınmasını içerir. Bir kontrolün uygulanması, kontrolün mevcut olduğu ve işletmenin bu kontrolü kullanıyor olduğu anlamına gelir. Etkin olmayan bir kontrolün uygulamasını değerlendirmenin bir anlamı yoktur. Bu sebeple, öncelikli olarak kontrolün tasarımı dikkate alınır. Uygun olmayan şekilde tasarlanan bir kontrol, ciddi bir iç kontrol eksikliğini gösterebilir.

A75.        İlgili kontrollerin tasarım ve uygulanması hakkında denetim kanıtı elde etmeye yönelik risk değerlendirme prosedürleri aşağıdakileri içerebilir:

·                İşletme personelinin sorgulanması.

·                Belirli kontrollerin uygulanmasının gözlemlenmesi.

·                Belge ve raporların tetkik edilmesi.

·                Finansal raporlamaya ilişkin bilgi sistemi üzerinden işlemlerin takip edilmesi.

Ancak sorgulama, bu tür amaçlar için tek başına yeterli değildir.

A76.        Kontrollerin tutarlı biçimde işlemesini sağlayan bir otomasyon bulunmadığı sürece, kontrollerin işleyiş etkinliğini test etmek için işletme kontrollerinin anlaşılması yeterli olmaz. Örneğin, manuel bir kontrolün belirli bir anda uygulanması hakkında denetim kanıtı elde edilmesi, bu kontrolün denetlenen dönem boyunca diğer zamanlardaki işleyiş etkinliği hakkında bir denetim kanıtı sağlamaz. Ancak, BT’nin işleyişinin yapısal tutarlılığı sebebiyle (Bkz.: A63 paragrafı), otomatik bir kontrolün uygulanıp uygulanmadığını belirlemek için denetim prosedürlerinin uygulanması, denetçinin değerlendirmesine ve -program değişiklikleri üzerindeki kontroller gibi- kontrollerin test edilmesine bağlı olarak, söz konusu kontrolün işleyiş etkinliğini test etme işlevi görebilir. Kontrollerin işleyiş etkinliğine ilişkin testler, BDS 330’da daha detaylı olarak açıklanmaktadır.

İç Kontrol Bileşenleri – Kontrol Çevresi (Bkz.: 14 üncü paragraf) 

A77.        Kontrol çevresi, işletmenin üst yönetim ve yönetim fonksiyonları ile üst yönetimden sorumlu olanların ve yönetimin, işletmenin iç kontrolü ve iç kontrolün işletmedeki önemine ilişkin farkındalık, tutum ve faaliyetlerini içerir. Kontrol çevresi, çalışanların kontrol bilincini etkileyerek, organizasyonun genel tutumunu belirler.

A78.        Kontrol çevresinin anlaşılmasında ilgili olabilecek kontrol çevresi unsurları aşağıdakileri içerir:

(a)           Dürüstlük ve etik değerlere ilişkin kuralları bildirme ve uygulatma: Bu unsurlar, kontrollerin tasarım, yönetim ve izlenme etkinliğini etkileyen temel unsurlardır.

(b)          Yetkinliğe bağlılık: Belirli işler için gerekli olan yetkinlik düzeyinin yönetim tarafından değerlendirilmesi ve bu düzey için gereken bilgi ve becerilerin neler olduğunun belirlenmesi gibi hususları içerir.

(c)           Üst yönetimden sorumlu olanların katılımı: Üst yönetimden sorumlu olanların özelliklerine örnek olarak aşağıdakiler verilebilir:

·                Yönetimden bağımsız olmaları.

·                Deneyim ve itibarları.

·                Katılımlarının ve kendilerine ulaşan bilgilerin kapsamı ile faaliyetleri dikkatle incelemeleri.

·                Yönetime yöneltilen soruların zorluk derecesi ve bu sorulara verilecek cevapların takibi dâhil olmak üzere eylemlerinin uygunluğu ile iç ve dış denetçilerle olan etkileşimleri.

(ç)     Yönetimin felsefesi ve çalışma şekli: Yönetimin ayırt edici özelliklerine örnek olarak aşağıdakiler verilebilir:

·                İş hayatına ilişkin riskleri üstlenmeye ve yönetmeye ilişkin yaklaşımları.

·                Finansal raporlamaya ilişkin tutum ve eylemleri.

·                Bilgi işleme, muhasebe fonksiyonları ve personele yönelik tutumları.

(d)          Organizasyon yapısı: İşletmenin amaçlarını gerçekleştirmeye yönelik faaliyetlerinin planlandığı, yürütüldüğü, kontrol edildiği ve gözden geçirildiği çerçevedir.

(e)           Yetki ve sorumlulukların belirlenmesi: İşletme faaliyetlerinin yürütülmesine ilişkin yetki ve sorumlulukların nasıl belirlendiği ve raporlama ilişkileri ile yetki hiyerarşilerinin nasıl kurulduğu gibi konulardır.

(f)           İnsan kaynakları politika ve uygulamaları: İşe alma, oryantasyon, eğitim, değerlendirme, danışmanlık, terfi, ücret ve iyileştirici adımlara ilişkin politika ve uygulamalar örnek olarak verilebilir.

Kontrol Çevresi Unsurlarına İlişkin Denetim Kanıtları

A79.        İlgili denetim kanıtları; sorgulamalar ve (gözlem veya belgelerin tetkik edilmesiyle yapılan destekleyici sorgulamalar gibi) diğer risk değerlendirme prosedürlerinin birlikte uygulanması yoluyla elde edilebilir. Örneğin, yönetimin ve çalışanların sorgulanması suretiyle denetçi, yönetimin, iş uygulamaları ve etik davranışa ilişkin görüşlerini çalışanlarına nasıl ilettiği hakkında bilgi edinebilir. Daha sonra denetçi, örneğin yönetimin yazılı iş ahlâkı kurallarını oluşturup oluşturmadığını ve oluşturulan bu kuralları destekler biçimde hareket edip etmediğini dikkate alarak, ilgili kontrollerin uygulanıp uygulanmadığına karar verebilir.

A80.        Denetçi ayrıca yönetimin, aşağıdaki hususlar dâhil olmak üzere iç denetim fonksiyonunun, denetimle ilgili iç kontrole ilişkin belirlenen eksiklikler hakkındaki bulgu ve önerilerine nasıl karşılık verdiğini dikkate alabilir:  

­      Söz konusu karşılıkların uygulanıp uygulanmadığı ve nasıl uygulandığı,

­      Sonrasında, verilen bu karşılıkların iç denetim fonksiyonu tarafından değerlendirilip değerlendirilmediği.

 “Önemli Yanlışlık” Risklerinin Değerlendirilmesinde Kontrol Çevresinin Etkisi

A81.        “Önemli yanlışlık” risklerinin değerlendirilmesinde, işletmenin kontrol çevresindeki bazı unsurların yaygın bir etkisi vardır. Örneğin, işletmenin kontrol bilinci, üst yönetimden sorumlu olanlar tarafından önemli ölçüde etkilenir. Çünkü üst yönetimden sorumlu olanların görevlerinden biri, yönetim üstündeki finansal raporlamaya ilişkin piyasa taleplerinden veya ücret rejiminden kaynaklanabilecek baskıyı dengelemektir.  Bu sebeple, üst yönetimden sorumlu olanların katılımıyla ilgili olarak kontrol çevresi tasarımının etkinliği, aşağıdaki gibi hususlardan etkilenir:

·                Üst yönetimden sorumlu olanların yönetimden bağımsız olmaları ve yönetimin eylemlerini değerlendirebilme kabiliyetleri.

·                İşletmenin işleriyle ilgili işlemlerini anlayıp anlamadıkları.

·                Finansal tabloların, yeterli açıklamaları içerip içermediği dâhil, geçerli finansal raporlama çerçevesine uygun olarak hazırlanıp hazırlanmadığını ne ölçüde değerlendirdikleri.

A82.        Aktif ve bağımsız bir yönetim kurulu, kıdemli yöneticilerin yönetim felsefesini ve çalışma şeklini etkileyebilir. Bununla birlikte, diğer unsurların etkisi daha sınırlı olabilir. Örneğin, finans, muhasebe ve BT alanlarında yetkin personelin istihdamına yönelik insan kaynakları politika ve uygulamaları, finansal bilgilerin işlenmesindeki hata riskini azaltabilir ancak üst düzey yöneticilerin kazançları olduğundan fazla göstermeye yönelik eğilimini azaltamayabilir.

A83.        Tatmin edici bir kontrol çevresinin mevcudiyeti, denetçinin “önemli yanlışlık” risklerini değerlendirmesinde olumlu bir etken olabilir. Ancak, tatmin edici bir kontrol çevresinin mevcudiyeti, hile riskini azaltmaya yardımcı olabilmekle birlikte, hileye karşı mutlak caydırıcı bir unsur değildir. Aksine, kontrol çevresindeki eksiklikler, kontrollerin özellikle hileye ilişkin etkinliğini azaltabilir. Örneğin, yönetimin BT’ye ilişkin güvenlik risklerine karşı yeterli kaynak ayırmaması, bilgisayar programlarında veya verilerinde uygun olmayan değişikliklerin yapılmasına veya yetkisiz işlemlerin gerçekleştirilmesine yol açarak iç kontrolü olumsuz biçimde etkileyebilir. BDS 330’da açıklandığı üzere, kontrol çevresi ayrıca, denetçinin daha sonra uygulayacağı prosedürlerin niteliğini, zamanlamasını ve kapsamını da etkiler.

A84.        Kontrol çevresi tek başına önemli bir yanlışlığı önlemez, tespit etmez ve düzeltmez. Ancak kontrol çevresi, denetçinin diğer kontrollerin etkinliğine (örneğin, kontrollerin izlenmesi ve belirli kontrol faaliyetlerinin uygulanması) ilişkin değerlendirmesini ve dolayısıyla “önemli yanlışlık” risklerini değerlendirmesini etkileyebilir.

Küçük İşletmelere Özgü Hususlar

A85.        Küçük işletmelerdeki kontrol çevresi, büyük işletmelerdekinden farklı olabilir. Örneğin, küçük işletmelerde, üst yönetimden sorumlu olanlar arasında bağımsız veya işletme dışından bir üye bulunmayabilir. Ayrıca, başka ortakların bulunmadığı ve sahibi tarafından yönetilen işletmelerde, üst yönetim görevi doğrudan işletmenin sahibi olan yönetici tarafından üstlenilmiş olabilir. Kontrol çevresinin niteliği, diğer kontrollerin önemini veya diğer kontrollerin bulunmama durumunu da etkileyebilir. Örneğin, işletmenin sahibi olan yöneticinin aktif katılımı, küçük bir işletmede görevler ayrılığı ilkesinin eksikliğinden kaynaklanan belirli riskleri azaltabilir. Ancak bu katılım, örneğin kontrollerin ihlâl edilmesi gibi diğer riskleri artırabilir.

A86.        Ayrıca, küçük işletmelerde kontrol çevresi unsurlarına ilişkin denetim kanıtları, özellikle yönetim ile diğer personel arasındaki iletişimin gayri resmi ama etkin olduğu durumlarda, yazılı biçimde bulunmayabilir. Örneğin, küçük işletmelerde yazılı iş ahlâkı kuralları bulunmayabilir. Bunun yerine söz konusu işletmelerde, sözlü iletişim ve yönetimin örnek teşkil etmesi yoluyla dürüstlük ve etik davranışın önemini vurgulayan bir kültür geliştirilmiş olabilir.

A87.        Sonuç olarak, denetçinin daha küçük işletmelerin kontrol çevresi hakkında kanaat edinilmesi açısından, yönetimin veya işletmenin sahibi olan yöneticinin tutumu, farkındalığı ve eylemleri özel bir öneme sahiptir.

İç Kontrol Bileşenleri – İşletmenin Risk Değerlendirme Süreci (Bkz.: 15 inci paragraf) 

A88.        İşletmenin risk değerlendirme süreci, yönetilecek risklere ilişkin olarak yönetimin alacağı kararlara dayanak teşkil eder. İşletmenin niteliği, büyüklüğü ve karmaşıklığı dâhil olmak üzere işletmenin şartlarına uygun olması hâlinde bu süreç, “önemli yanlışlık” risklerinin belirlenmesinde denetçiye yardımcı olur. İşletmenin risk değerlendirme sürecinin şartlara uygun olup olmadığı muhakeme gerektiren bir konudur.

Küçük İşletmelere Özgü Hususlar (Bkz.: 17 nci paragraf)

A89.        Küçük bir işletmede, oluşturulmuş bir risk değerlendirme sürecinin bulunması muhtemel değildir. Bu gibi durumlarda, yönetimin işletme faaliyetlerine doğrudan ve şahsen katılmak suretiyle riskleri belirlemesi muhtemeldir. Ancak içinde bulunulan şartlara bakılmaksızın, belirlenen risklere ve bu risklerin yönetim tarafından nasıl ele alındığına ilişkin sorgulamaların yapılması yine de gereklidir.

İç Kontrol Bileşenleri – İlgili İş Süreçleri Dâhil Finansal Raporlamayla İlgili Bilgi Sistemi ve İletişim

İlgili İş Süreçleri Dâhil Finansal Raporlamayla İlgili Bilgi Sistemi (Bkz.: 18 inci paragraf) 

A90.        Muhasebe sistemini de içeren finansal raporlama amaçlarına yönelik bilgi sistemi, 

·                İşletmenin işlemlerini (olay ve şartların yanı sıra) başlatmak, kaydetmek, işlemek ve raporlamak ile ilgili varlık, yükümlülük ve özkaynaklara ilişkin hesap verebilirliği sürdürmek,

·                İşlemlerin yanlış bir şekilde işlenmesini (örneğin, geçici kalemlerin zamanında silinmesi için takip edilen prosedürlerde ve otomatik geçici dosyalardaki gibi) önlemek,

·                Kontrollerin devre dışı bırakılması veya sistemin ihlâl edilmesini hesaba katmak ve işlem yapmak,

·                Bilgileri, kayıt işleme sisteminden defteri kebire aktarmak,

·                Finansal raporlamaya ilişkin işlemler dışındaki olay ve şartlar hakkındaki bilgileri almak (varlıkların itfası ve amortismanı ile alacakların geri kazanılabilirliğindeki değişikliklere ilişkin bilgiler gibi),

·                Geçerli finansal raporlama çerçevesine göre açıklanması gereken bilgilerin toplanmasını, kaydedilmesini, işlenmesini, özetlenmesini ve finansal tablolarda uygun şekilde raporlanmasını sağlamak,

üzere tasarlanan ve oluşturulan prosedür ve kayıtlardan oluşur.

A91.        Finansal tablolarda; defteri kebir ve yardımcı defterler dışındaki kaynaklardan elde edilen bilgiler de yer alabilir. Bu tür bilgilere örnek olarak aşağıdakiler verilebilir:

·                    Bilgilerin, finansal tablolarda açıklanan kira sözleşmelerinden -yenileme opsiyonları veya gelecekteki kira ödemeleri gibi- elde edilmesi.

·                    İşletmenin risk yönetim sistemi tarafından oluşturulan ve finansal tablolarda açıklanan bilgi.

·                    Yönetimin faydalandığı uzmanlar tarafından oluşturulan ve finansal tablolarda açıklanan gerçeğe uygun değer bilgisi.

·                    Finansal tablolara alınan veya finansal tablolarda açıklanan tahminlerin geliştirilmesinde kullanılan modellerden veya diğer hesaplamalardan elde edilen ve finansal tablolarda açıklanan bilgi (söz konusu modellerde kullanılan dayanak (temel) veriler ve varsayımlarla ilgili bilgiler). Örneğin;

o    İşletme içinde geliştirilen ve varlıkların yararlı ömrünü etkileyebilecek varsayımlar.

o    Faiz oranları gibi, işletmenin kontrolü dışındaki etkenlerden etkilenen veriler.

·                Yönetimin farklı varsayımları dikkate aldığını gösteren -finansal modellerden türetilen- duyarlılık analizleri hakkında finansal tablolarda açıklanan bilgi.

·                İşletmenin vergi beyannamelerinden ve kayıtlarından elde edilen ve finansal tablolarına alınan veya finansal tablolarda açıklanan bilgi.

·                Yönetimin işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin yaptığı değerlendirmeyi desteklemek için hazırlanan analizlerden elde edilen ve finansal tablolarda açıklanan bilgi (varsa, işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin ciddi şüphe oluşturabilecek olay veya şartlarla ilgili açıklamalar gibi).

A92.        Bu BDS’nin 18 inci paragrafı uyarınca finansal raporlamayla ilgili bilgi sistemi hakkında kanaat edinilmesi (bu sistemin, finansal tablolarda açıklanan bilgilerle -defteri kebir ve yardımcı defterler ya da bunlar dışındaki kaynaklardan elde edilen bilgiler- ilişkili yönleri hakkında kanaat edinilmesi dâhil) denetçinin mesleki muhakemede bulunmasını gerektiren bir konudur. Örneğin; işletmenin finansal tablolarındaki belirli tutarlar veya açıklamalar (kredi riski, likidite riski ve piyasa riski hakkında yapılan açıklamalar gibi); işletmenin risk yönetim sisteminden elde edilen bilgilere dayanıyor olabilir. Bununla birlikte, denetçinin risk yönetim sisteminin tüm yönlerini anlaması zorunlu değildir ve denetçi, sistemi ne kadar tanıması gerektiğini belirlerken mesleki muhakemesini kullanır.

Yevmiye kayıtları (Bkz.: 18(e) paragrafı)

A93.        Bir işletmenin bilgi sistemi genellikle, tekrarlayan işlemleri kaydetmeyi gerektiren standart yevmiye kayıtlarının kullanımını içerir. Bu tip kayıtlara satışların, satın almaların ve kasa ödemelerinin defteri kebire kaydedilmesi veya yönetimin dönemsel olarak yaptığı muhasebe tahminlerinin (örneğin, şüpheli alacaklara ilişkin tahminlerdeki değişikliklerin) kaydedilmesi örnek olarak verilebilir.

A94.        Bir işletmenin finansal raporlama süreci; tekrar etmeyen ve olağandışı işlem veya düzeltmelerin kaydedilmesi için standart olmayan yevmiye kayıtlarının kullanılmasını da içerir. Bu tür yevmiye kayıtlarına, işletme birleşmesi veya elden çıkarmalarına ilişkin konsolidasyon düzeltmeleri ve kayıtları ile varlıklardaki değer düşüklüğü gibi tekrar etmeyen tahminler örnek olarak verilebilir. Muhasebenin elle tutulduğu sistemlerde, standart olmayan yevmiye kayıtları; defterlerin, yevmiye kayıtlarının ve destekleyici belgelerin tetkik edilmesi suretiyle belirlenebilir. Defteri kebir kayıtlarını tutmak ve finansal tabloları hazırlamak için bilgisayar programlarının kullanılması hâlinde bu tür kayıtlar sadece elektronik ortamda mevcut olduğundan, söz konusu kayıtlar, bilgisayar destekli denetim teknikleri kullanılmak suretiyle kolayca belirlenebilir.

İlgili iş süreçleri (Bkz.: 18 inci paragraf)

A95.        Bir işletmenin iş süreçleri, aşağıdakileri gerçekleştirmek üzere tasarlanmış faaliyetlerden oluşur:

·                Bir işletmenin ürün ve hizmetlerini geliştirmek, satın almak, üretmek, satmak ve dağıtmak,

·                Mevzuata uymak ve

·                Muhasebe ve finansal raporlama bilgileri dâhil, bilgileri kaydetmek.

İş süreçleri, bilgi sistemi tarafından kaydedilen, işlenen ve raporlanan işlemlerle sonuçlanır. İşlemlerin kaynağında nasıl başlatıldığı da dâhil olmak üzere iş süreçleri hakkında kanaat edinilmesi, işletmenin finansal raporlamaya ilişkin bilgi sistemini (işletmenin durumuna uygun bir şekilde) anlamasında denetçiye yardımcı olur.

Küçük İşletmelere Özgü Hususlar (Bkz.: 18 inci paragraf)

A96.        Küçük işletmelerde finansal raporlamaya ilişkin bilgi sisteminin -bu sistemin; finansal tablolarda açıklanan bilgilerle -defteri kebir ve yardımcı defterler ya da bunlar dışındaki kaynaklardan elde edilen- ilişkili yönleri dâhil- ve ilgili iş süreçlerinin büyük işletmelere kıyasla genellikle daha basit olması muhtemeldir; ancak işlevleri büyük işletmedekiler kadar önemlidir. Yönetimin aktif katılımının olduğu küçük işletmeler, muhasebe prosedürlerine ilişkin ayrıntılı açıklamalara, gelişmiş ve çok yönlü muhasebe kayıtlarına veya yazılı politikalara ihtiyaç duymayabilir. Bu sebeple daha küçük işletmelerin denetiminde, işletmenin finansal raporlamayla ilgili bilgi sistemini anlamak daha kolaydır ve belgelerin gözden geçirilmesinden ziyade yapılacak sorgulamalara bağlıdır. Ancak söz konusu sistem ve süreçleri anlama ihtiyacı yine de önemini korumaya devam eder.

İletişim (Bkz.: 19 uncu paragraf)

A97.        İşletme tarafından finansal raporlamayla ilgili görev ve sorumluluklar ile finansal raporlamaya ilişkin önemli konuların bildirilmesi, finansal raporlamaya yönelik iç kontrol konusundaki bireysel görev ve sorumluluklara ilişkin bilgilerin sağlanmasını da içerir. Bu bildirim personelin, finansal raporlama bilgi sistemindeki faaliyetlerinin diğerlerinin çalışmalarıyla ilişkisini ne ölçüde anladığı ve sapmaların işletmedeki uygun bir üst kademeye raporlanma şekilleri gibi hususları da kapsar. Söz konusu bildirim, politika rehberleri ve finansal raporlama rehberleri şeklinde olabilir. Açık bildirim kanalları, sapmaların raporlanmasına ve sonrasında gerekli adımların atılmasına yardımcı olur.

Küçük İşletmelere Özgü Hususlar

A98.        Küçük işletmelerde, daha az sorumluluk seviyesinin bulunması ve yönetimin daha görünür ve ulaşılabilir olması sebebiyle, büyük işletmelere kıyasla iletişim daha basit ve daha kolaydır.

İç Kontrol Bileşenleri – Denetimle İlgili Kontrol Faaliyetleri (Bkz.: 20 nci paragraf) 

A99.        Kontrol faaliyetleri, yönetim talimatlarının uygulanmasını sağlamaya yardımcı olan politika ve prosedürlerdir. BT veya manuel sistemlerde olup olmadığına bakılmaksızın, kontrol faaliyetlerinin çeşitli amaçları bulunur ve farklı kurumsal ve fonksiyonel düzeylerde uygulanır. Aşağıda sıralanan hususlar, belirli kontrol faaliyetlerine örnek olarak verilebilir:

·                Yetkilendirme.

·                Performans gözden geçirmeleri.

·                Bilgi işleme.

·                Fiziki kontroller.

·                Görevler ayrılığı.

A100.    Aşağıdakiler, denetimle ilgili kontrol faaliyetleridir:

·                Ciddi risklerle ilgili kontrol faaliyetleri gibi ele alınması gerekenler ile sırasıyla 29 ve 30 uncu paragraflar uyarınca maddi doğrulama prosedürlerinin tek başına yeterli ve uygun denetim kanıtı sağlayamadığı risklerle ilgili kontrol faaliyetleri veya

·                Denetçinin yargısına göre ilgili olduğu değerlendirilen kontrol faaliyetleri.

A101.    Denetçinin kontrol faaliyetinin denetimle ilgili olup olmadığı hakkındaki yargısı,

­      Denetçinin belirlediği ve önemli bir yanlışlığa yol açabilecek riskten ve

­      Maddi doğrulama testinin kapsamını belirlerken kontrolün işleyiş etkinliğini test etmenin uygun olabileceğini düşünüp düşünmemesinden,

etkilenir.

A102.    Denetçi, “önemli yanlışlık” risklerinin daha yüksek olabileceğini düşündüğü alanlara yönelik kontrol faaliyetlerinin belirlenmesine ve bu faaliyetler hakkında kanaat edinilmesine yoğunlaşabilir. Birden fazla kontrol faaliyetinin her birinin aynı amacı yerine getirmesi durumunda, söz konusu amaca ilişkin kontrol faaliyetlerinin her birini anlamak gereksizdir.

A103.    Denetimle ilgili kontrol faaliyetleri; yönetim tarafından oluşturulan çeşitli kontrolleri içerir. Söz konusu faaliyetler; hesap bakiyeleri ve işlemlerle ilgili risklerin ele alınması amacıyla oluşturulan kontrolleri içerebileceği gibi, geçerli finansal raporlama çerçevesine uygun olarak hazırlanmayan açıklamalardaki “önemli yanlışlık” risklerini ele almak için oluşturulan kontrolleri de içerebilir. Bu tür kontrol faaliyetleri ayrıca defteri kebir ve yardımcı defterler dışındaki kaynaklardan elde edilmek suretiyle finansal tablolara dâhil edilen bilgilerle de ilgili olabilir.

A104.    İç kontrolün diğer bileşenlerini anlamaya çalışırken kontrol faaliyetlerinin bulunup bulunmadığına ilişkin elde ettiği bilgiler denetçinin, kontrol faaliyetlerini anlamak için daha fazla çaba harcamasının gerekli olup olmadığı konusunda karar vermesine yardımcı olur.

Küçük İşletmelere Özgü Hususlar

A105.    Küçük işletmelerde kontrol faaliyetlerinin temelini oluşturan anlayış büyük işletmedekilerle benzer olabilmekle birlikte, işleyiş şekilleri farklılık gösterebilir. Ayrıca küçük işletmeler, yönetim tarafından uygulandıkları için belirli türdeki kontrol faaliyetlerini kendileri için uygun bulmayabilir. Örneğin, müşterilere kredi açılmasının ve önemli satın alımların onaylanmasının sadece yönetimin yetkisinde olması, önemli hesap bakiyeleri ve işlemleri üzerinde güçlü bir kontrol sağlayabilir ve daha ayrıntılı kontrol faaliyetleri ihtiyacını azaltabilir veya ortadan kaldırabilir.

A106.    Küçük bir işletmenin denetimiyle ilgili kontrol faaliyetlerinin; hâsılat, satın alma ve personel giderleri gibi ana işlem döngüleriyle ilgili olması muhtemeldir.

BT’den Kaynaklanan Riskler (Bkz.: 21 inci paragraf)  

A107.    BT kullanımı, kontrol faaliyetlerinin uygulanma şeklini etkiler. Denetçi açısından BT sistemleri üzerindeki kontroller; bu tür sistemlerin işlediği bilgilerin doğruluğu ve bütünlüğü ile verilerin güvenliğini sağlayabildiği ve etkin genel BT kontrolleri ile uygulama kontrollerini içerdiği durumlarda etkindir.

A108.    Genel BT kontrolleri, çok sayıda uygulamayla ilgili olan ve uygulama kontrollerinin etkin işleyişini destekleyen politika ve prosedürlerdir. Bunlar ana bilgisayar, mini bilgisayar sistemi ve son kullanıcı ortamları için geçerlidir. Bilgilerin doğruluğu ve bütünlüğü ile verilerin güvenliğini sağlayan genel BT kontrolleri, çoğunlukla aşağıdakiler üzerindeki kontrolleri içerir:

·                Veri merkezi ve veri ağı faaliyetleri.

·                Sistem yazılımı alımı, değişikliği ve bakımı.

·                Program değişikliği.

·                Erişim güvenliği.

·                Uygulama sistemi alımı, bu sistemin geliştirilmesi ve bakımı.

Bu kontroller genellikle, yukarıda A64 paragrafında belirtilen risklere yönelik olarak uygulanır.

A109.    Uygulama kontrolleri genellikle bir iş süreci seviyesinde işleyen ve işlemlerin münferit uygulamalar tarafından işlenmesine uygulanan manuel veya otomatik prosedürlerdir. Uygulama kontrolleri nitelik olarak önleyici veya tespit edici olabilir ve muhasebe kayıtlarının doğruluk ve bütünlüğünü sağlamak üzere tasarlanır. Bu sebeple uygulama kontrolleri, işlemleri veya diğer finansal verileri başlatmak, kaydetmek, işlemek veya raporlamak için kullanılan prosedürlerle ilgilidir. Bu kontroller, gerçekleşen işlemlerin onaylanmış olmasını, eksiksiz ve doğru şekilde kaydedilmesini ve işlenmesini sağlamaya yardımcı olur. Bunlara, girdi verilerinin düzeltme kontrolü, sayısal sıra kontrolleri ile sapma raporlarının manuel takibi veya veri girişi noktasında yapılan düzeltmeler örnek olarak gösterebilir.

İç Kontrol Bileşenleri – Kontrollerin İzlenmesi (Bkz.: 22 nci paragraf) 

A110.    Kontrollerin izlenmesi, iç kontrol performansının zaman içindeki etkinliğinin değerlendirilmesi sürecidir. Bu süreç, kontrollerin etkinliğinin zamanında değerlendirilmesini ve gerekli iyileştirici adımların atılmasını içerir. Yönetim; sürekli faaliyetler, ayrı değerlendirmeler veya bu ikisinin bileşimi yoluyla kontrolleri izler. Sürekli izleme faaliyetleri genellikle, işletmenin normal tekrarlanan faaliyetlerine dâhil edilir ve düzenli yönetim, yönlendirme ve gözetim faaliyetlerini içerir.

A111.    Yönetimin izleme faaliyetleri, sorunlu veya iyileştirilmesi gereken alanlara işaret eden müşteri şikâyetleri ve düzenleyici kurum yorumları gibi dış taraflarca iletilen hususlardan elde edilen bilgilerin kullanılmasını da içerebilir.

Küçük İşletmelere Özgü Hususlar

A112.    Yönetimin kontrolleri izlemesi genellikle, yönetimin veya işletmenin sahibi olan yöneticinin faaliyetlere yakından katılımıyla gerçekleştirilir. Bu katılım çoğu zaman, kontrole ilişkin iyileştirici adım atılmasını gerektiren, beklentilerden önemli sapmaları ve finansal verilerdeki yanlışlıkları belirleyecektir.

İşletmenin İç Denetim Fonksiyonu (Bkz.: 23 üncü paragraf) 

A113.    İşletmenin iç denetim fonksiyonu varsa, denetçinin bu fonksiyon hakkında kanaat edinmesi; iç kontrol dâhil olmak üzere işletme ve çevresini, özellikle finansal raporlamaya yönelik iç kontrolün işletme tarafından izlenmesine ilişkin iç denetim fonksiyonun rolünü anlamasına katkıda bulunur. Bu kanaat, denetçinin bu BDS’nin 6(a) paragrafı uyarınca yaptığı sorgulamalardan elde ettiği bilgilerle birlikte, doğrudan denetçinin “önemli yanlışlık” risklerini belirlemesi ve değerlendirmesiyle ilgili de bilgi sağlar.

A114.    İç denetim fonksiyonunun amaçları ve kapsamı, sorumluluklarının niteliği ve fonksiyonun yetkileri ve hesap verebilirliği dâhil kurumsal yapı içindeki statüsü, geniş ölçüde farklılık gösterir ve işletmenin büyüklüğü ve yapısı ile yönetimin ve -uygun hâllerde- üst yönetimden sorumlu olanların gereksinimlerine bağlıdır. Bu hususlar iç denetim yönergesinde veya iş tanımlarında belirtilebilir.

A115.    İç denetim fonksiyonunun sorumlulukları,

­      Risk yönetimi,

­      İç kontrol ve

­      Kurumsal yönetim,

süreçlerinin tasarımına ve etkinliğine ilişkin yönetime ve üst yönetimden sorumlu olanlara güvence sağlamak amacıyla prosedürler uygulanmasını ve sonuçlarının değerlendirilmesini içerebilir. Bu şekilde olması hâlinde, iç denetim fonksiyonu, işletmenin finansal raporlamaya yönelik iç kontrolünün izlenmesinde önemli bir rol oynayabilir. Ancak, iç denetim fonksiyonunun sorumlulukları faaliyetlerin ekonomikliği, verimliliği ve etkinliğinin değerlendirilmesine odaklanabilir; bu durumda, bu fonksiyonun çalışmaları işletmenin finansal raporlamasıyla doğrudan ilgili olmayabilir.

A116.    Bu BDS’nin 6(a) paragrafı uyarınca denetçinin iç denetim fonksiyonundaki uygun kişileri sorgulaması, denetçinin iç denetim fonksiyonunun sorumluluklarının niteliğini anlamasına yardımcı olur. İç denetim fonksiyonunun sorumluluklarının, işletmenin finansal raporlamasıyla ilgili olduğuna karar vermesi durumunda denetçi, iç denetim fonksiyonunun denetlenen döneme ilişkin -varsa- denetim planını inceleyerek ve fonksiyon içindeki uygun kişilerle söz konusu denetim planını müzakere ederek, iç denetim fonksiyonunun yürüttüğü veya yürüteceği çalışmalar hakkında daha fazla bilgi elde edebilir.

A117.    İç denetim fonksiyonunun sorumlulukları ve güvence faaliyetlerinin niteliğinin işletmenin finansal raporlama sistemiyle ilgili olması hâlinde denetçi, denetim kanıtı elde etmek için doğrudan uygulayacağı denetim prosedürlerinin nitelik ve zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim fonksiyonunun çalışmalarını da kullanabilir. Önceki denetimlerden elde edilen deneyimlere veya risk değerlendirme prosedürlerine dayanarak, işletmenin büyüklüğüne ve faaliyetlerinin niteliğine kıyasla, işletmenin yeterli ve uygun kaynaklara sahip bir iç denetim fonksiyonu olduğunun ve bu fonksiyonun üst yönetimden sorumlu olanlarla doğrudan raporlama ilişkisinin bulunduğunun anlaşılması hâlinde, denetçilerin iç denetim fonksiyonunun çalışmalarını kullanabilme ihtimali daha fazladır. 

A118.    İç denetim fonksiyonu hakkında elde ettiği ön bilgilere dayanarak, uygulanacak denetim prosedürlerinin nitelik veya zamanlamasını değiştirmek veya kapsamını daraltmak amacıyla iç denetim fonksiyonunun çalışmalarını kullanmayı düşünmesi hâlinde denetçi, BDS 610’u uygular.

A119.    BDS 610’da ayrıntılı olarak açıklandığı üzere, iç denetim fonksiyonunun faaliyetleri, işletmenin yanlışlıkları önlemesine veya tespit etmesine katkı sağlamak amacıyla geliştirilen, yönetimin kullandığı muhasebe bilgilerinin gözden geçirilmesi gibi finansal raporlamayla ilgili olabilecek diğer izleme kontrollerinden farklıdır.

A120.    İşletmenin iç denetim fonksiyonunda görev yapan uygun kişilerle denetimin başlangıcında iletişim kurulması ve iletişimin denetim süresince devam ettirilmesi, etkin bilgi paylaşımı sağlayabilir. Bu şekilde, denetçinin çalışmasını etkileyebilecek önemli hususlar, iç denetim fonksiyonunun dikkatini çektiğinde, bu hususların denetçiye aktarıldığı bir ortam oluşturulmuş olur. BDS 200, denetim kanıtı olarak kullanılacak belgelerin ve sorgulamalarda alınan cevapların güvenilirliği hakkında soru işaretleri oluşturacak bilgilere karşı dikkatli olunması dâhil, denetçinin, denetimi mesleki şüphecilik içinde planlaması ve yürütmesinin önemini açıklar. Bu sebeple, iç denetim fonksiyonuyla denetim boyunca kurulan iletişim, bu tür bilgileri denetçinin dikkatine sunmaları açısından iç denetçilere fırsat sağlayabilir. Böylece denetçi, “önemli yanlışlık” risklerini belirler ve değerlendirirken bu tür bilgileri dikkate alabilir.

Bilgi Kaynakları (Bkz.: 24 üncü paragraf) 

A121.    İzleme faaliyetlerinde kullanılan bilgilerin büyük bir bölümü, işletmenin bilgi sistemi tarafından üretilebilir. İzlemede kullanılan verilerin, sağlam bir dayanağı olmaksızın, doğru olduğunun yönetim tarafından kabul edilmesi durumunda, bilgide mevcut olabilecek hatalar, yönetimin izleme faaliyetlerinden yanlış sonuçlar çıkarmasına yol açabilir. Bu sebeple;

·                İşletmenin izleme faaliyetlerine ilişkin bilgi kaynaklarını ve

·                Yönetimin bu amaçla kullanılan bilgilerin yeterince güvenilir olduğunu düşünmesinin dayanağını,

denetçinin anlaması, iç kontrolün bir bileşeni olan izleme faaliyetlerini anlamasının bir parçası olarak zorunludur.

“Önemli Yanlışlık” Risklerinin Belirlenmesi ve Değerlendirilmesi

Finansal Tablo Düzeyinde “Önemli Yanlışlık” Risklerinin Değerlendirilmesi (Bkz.: 25(a) paragrafı) 

A122.    Finansal tablo düzeyinde “önemli yanlışlık” riskleri, bir bütün olarak finansal tablolarla yaygın bir şekilde ilgili olan ve çok sayıda yönetim beyanını etkileme potansiyeli bulunan riskleri ifade eder. Bu nitelikteki riskler; işlem sınıfları, hesap bakiyeleri veya açıklamalar düzeyinde belirli yönetim beyanlarıyla ilişkilendirilebilir riskler olmak zorunda değildir. Bu tür riskler daha ziyade, örneğin yönetimin iç kontrolü ihlâl etmesindeki gibi, yönetim beyanı düzeyinde “önemli yanlışlık” risklerini artırabilen durumları yansıtır. Finansal tablo düzeyinde riskler özellikle, denetçinin hile kaynaklı “önemli yanlışlık” risklerine ilişkin değerlendirmesiyle ilgili olabilir.

A123.    Finansal tablo düzeyinde riskler, bozulan ekonomik şartlar gibi başka etkenlerle de ilgili olabilmekle birlikte, özelikle eksik (yetersiz) bir kontrol çevresinden kaynaklanabilir. Örneğin, yönetimin yetkin olmaması veya finansal tabloların hazırlanmasına ilişkin yeterli bir gözetimin yapılmaması gibi eksikliklerin finansal tablolar üzerinde daha yaygın bir etkisi olabilir ve bu eksiklikler denetçinin bu risklere yönelik genel işler yapmasını (genel bir karşılık vermesini) gerektirebilir.

A124.    Denetçinin iç kontrol hakkında edindiği kanaat, işletmenin finansal tablolarının denetlenebilirliğine ilişkin şüpheler doğurabilir. Örneğin:

·                İşletme yönetiminin dürüstlüğüyle ilgili endişeler; denetçinin, finansal tablolarda yönetimin yanlış açıklamalarda bulunma riskinin denetimin yürütülmesini engelleyebilecek düzeyde olduğu sonucuna varmasına sebep olacak kadar ciddi olabilir.

·                İşletme kayıtlarının durumu ve güvenilirliğiyle ilgili endişeler; denetçinin, finansal tablolara ilişkin olumlu görüş vermesini destekleyebilecek yeterli ve uygun denetim kanıtı elde edilmesinin muhtemel olmadığı sonucuna varmasına sebep olabilir.

A125.    BDS 705 denetçinin sınırlı olumlu görüş (şartlı görüş) vermesine veya görüş vermekten kaçınmasına veya bazı durumlarda gerekli olabileceği gibi -mevzuatla izin verilmesi hâlinde- denetimden çekilmesine ihtiyaç olup olmadığını belirlemeye yönelik hükümler ve açıklamalar içerir.

Yönetim Beyanı Düzeyinde “Önemli Yanlışlık” Risklerinin Değerlendirilmesi (Bkz.: 25(b) paragrafı) 

A126.    İşlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde “önemli yanlışlık” risklerinin değerlendirilmesi gerekir; çünkü bu tür bir değerlendirme, yeterli ve uygun denetim kanıtı elde etmek için gerekli olan yönetim beyanı düzeyindeki müteakip denetim prosedürlerinin niteliği, zamanlaması ve kapsamının belirlenmesine doğrudan yardımcı olur. Denetçi, yönetim beyanı düzeyinde “önemli yanlışlık” risklerini belirler ve değerlendirirken, belirlenen risklerin bir bütün olarak finansal tablolarla yaygın bir şekilde ilgili olduğu ve potansiyel olarak çok sayıda yönetim beyanını etkilediği sonucuna varabilir.

Yönetim Beyanlarının Kullanılması

A127.    Finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak sunumunda yönetim, alenen veya zımnen işlem sınıfları ve olayların, hesap bakiyelerinin ve açıklamaların finansal tablolara alınmasına, ölçülmesine ve sunulmasına ilişkin beyanlarda bulunur.

A128.    Denetçi, A129 (a)-(b) paragraflarında tanımlanan yönetim beyanlarını kullanabilir veya bunları söz konusu paragraflarda tanımlanan tüm yönleri kapsaması şartıyla farklı bir biçimde ifade edebilir. Örneğin, denetçi, işlem sınıfları ve olaylar ile ilgili açıklamalar hakkındaki yönetim beyanlarını hesap bakiyeleri ve ilgili açıklamalar hakkındaki yönetim beyanlarıyla birleştirmeyi seçebilir.

İşlem Sınıfları, Hesap Bakiyeleri ve İlgili Açıklamalar Hakkındaki Yönetim Beyanları

A129.    Gerçekleşebilecek farklı potansiyel yanlışlık türlerini dikkate alırken denetçi tarafından kullanılan yönetim beyanları aşağıdaki gruplardan birine girer ve aşağıdaki şekilleri alabilir:

(a)           Denetlenen döneme ilişkin işlem sınıfları ve olaylar ile ilgili açıklamalar hakkındaki yönetim beyanları:

                                             (i)              Gerçekleşme: Kaydedilmiş veya açıklanmış işlem ve olaylar gerçekleşmiştir ve bu işlem ve olaylar işletmeye aittir.

                                           (ii)              Tamlık: Kaydedilmiş olması gereken tüm işlem ve olaylar kaydedilmiş ve finansal tablolarda bulunması gereken tüm açıklamalara finansal tablolarda yer verilmiştir.

                                         (iii)              Doğruluk: Kaydedilmiş işlem ve olaylara ilişkin tutarlar ve diğer veriler uygun bir şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve ifade edilmiştir.

                                         (iv)              Hesap kesimi: İşlem ve olaylar doğru hesap döneminde kaydedilmiştir.

                                           (v)              Sınıflandırma: İşlem ve olaylar uygun hesaplara kaydedilmiştir.

                                         (vi)              Sunum: İşlem ve olaylar uygun bir şekilde bir araya getirilmiş veya parçalara (alt bölümlere) ayrılmış ve açık bir şekilde ifade edilmiştir. İlgili açıklamalar geçerli finansal raporlama çerçevesi hükümleri bağlamında ihtiyaca uygun ve anlaşılabilirdir.

(b)          Dönem sonundaki hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanları aşağıdaki gibidir:

                                              (i)                  Var olma (mevcut olma): Varlıklar, yükümlülükler ve özkaynak payları mevcuttur.

                                            (ii)                  Hak ve yükümlülükler: İşletme, varlıkların tasarruf ve kontrol hakkına sahiptir ve borçlar işletmenin yükümlülüğüdür.

                                          (iii)                  Tamlık: Kaydedilmiş olması gereken tüm varlıklar, borçlar ve özkaynak payları kaydedilmiş ve finansal tablolarda bulunması gereken tüm açıklamalara finansal tablolarda yer verilmiştir.

                                          (iv)                  Doğruluk, değerleme ve dağıtım: Varlıklar, yükümlülükler ve özkaynak payları uygun tutarlarda finansal tablolarda yer almaktadır ve her türlü değerleme ve dağıtım düzeltmeleri uygun şekilde kaydedilmiş ve ilgili açıklamalar uygun bir şekilde ölçülmüş ve ifade edilmiştir.

                                            (v)                  Sınıflandırma: Varlıklar, yükümlülükler ve özkaynak payları uygun hesaplara kaydedilmiştir.

                                          (vi)                  Sunum: Varlıklar, yükümlülükler ve özkaynak payları uygun bir şekilde bir araya getirilmiş veya parçalara (alt bölümlere) ayrılmış ve açık bir şekilde ifade edilmiştir. İlgili açıklamalar geçerli finansal raporlama çerçevesi hükümleri bağlamında ihtiyaca uygun ve anlaşılabilirdir.

Diğer açıklamalar hakkındaki yönetim beyanları

A130.    A129 (a)-(b) paragraflarında açıklanan yönetim beyanları -duruma uygun bir şekilde uyarlanabildiği sürece- işlem sınıfları, olaylar ve hesap bakiyeleriyle doğrudan ilgili olmayan açıklamalarda gerçekleşebilecek farklı türdeki potansiyel yanlışlıkların dikkate alınmasında da kullanılabilir. İşlem sınıfları, olaylar ve hesap bakiyeleriyle doğrudan ilgili olmayan açıklamalara ise işletmenin finansal araçları sebebiyle maruz kaldığı riskleri, söz konusu risklerin nasıl meydana geldiğini, bu risklerin yönetilmesine ilişkin amaçları, politikaları ve süreçleri ile riskleri ölçmek için kullanılan yöntemleri açıklama yükümlülüğü örnek olarak verilebilir.

Kamu sektörü işletmelerine özgü hususlar

A131.    Yönetim, kamu sektörü işletmelerinin finansal tabloları hakkında beyanda bulunurken A129(a)-(b) paragraflarında belirtilenlere ek olarak; genellikle işlem ve olayların mevzuata uygun olarak gerçekleştirildiği konusunda da beyanda bulunabilir. Bu tür yönetim beyanları finansal tablo denetiminin kapsamına girebilir.

“Önemli Yanlışlık” Risklerinin Belirlenmesi Süreci (Bkz.: 26(a) paragrafı)  

A132.    Kontrollerin tasarımının değerlendirilmesi ve bu kontrollerin uygulanıp uygulanmadığının belirlenmesi sırasında elde edilen denetim kanıtları dâhil, risk değerlendirme prosedürlerinin uygulanmasıyla elde edilen bilgiler, risk değerlendirmesini destekleyecek denetim kanıtı olarak kullanılır. Risk değerlendirmesi, müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirler. Finansal tablolardaki “önemli yanlışlık” risklerini belirlerken denetçi, BDS 200 uyarınca mesleki şüpheciliğini kullanır.

A133.    Ek 2’de açıklamalarla ilgili olanlar dâhil, “önemli yanlışlık” risklerine işaret edebilecek durum ve olaylara ilişkin örnekler yer almaktadır.

A134.    BDS 320’de açıklandığı üzere, işlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin “önemli yanlışlık” riskleri belirlenirken ve değerlendirilirken önemlilik ve denetim riski göz önünde bulundurulur. Denetçinin önemliliği belirlemesi mesleki muhakemesini kullanmasını gerektiren bir konudur ve bu muhakeme denetçinin finansal tablo kullanıcılarının finansal bilgiye olan ihtiyaçlarını algılayışından etkilenir.

A135.    Riskleri belirlerken denetçinin finansal tablolardaki açıklamaları dikkate alması, sayısal ve sayısal olmayan açıklamalar ile bu açıklamalardaki önemli olabilecek yanlışlığın (diğer bir deyişle, genel olarak, finansal tablo kullanıcılarının, bir bütün olarak, bu tablolara dayanarak alacakları ekonomik kararları etkilemesi makul ölçüde bekleniyorsa, söz konusu yanlışlıklar önemli olarak değerlendirilir) dikkate alınmasını içerir. İşletmenin ve söz konusu denetimin şartlarına bağlı olarak, “önemli yanlışlık” riskleri değerlendirilirken ilgili olabilecek sayısal olmayan açıklama örnekleri, aşağıdakileri içerir:

·                    Finansal sıkıntı yaşayan bir işletmenin likidite durumu ve borç sözleşmeleri.

·                    Değer düşüklüğü zararının finansal tablolara alınmasına neden olan olay veya şartlar.

·                    Gelecek hakkında yapılan varsayımlar dâhil, tahmin belirsizliğinin kilit kaynakları.

·                    Muhasebe politikasındaki değişikliğin niteliği ve geçerli finansal raporlama çerçevesi tarafından zorunlu kılınan diğer ilgili açıklamalar. Örneğin; yeni finansal raporlama hükümlerinin işletmenin finansal durumu ve finansal performansı üzerinde önemli bir etkiye sahip olmasının beklenmesi.

·                    Finansal tablolara alınan tüm tutarların nasıl belirlendiğine ilişkin bilgiler dâhil, hisse bazlı ödeme anlaşmaları ve diğer ilgili açıklamalar.

·                    İlişkili taraflar ve ilişkili taraf işlemleri.

·                    Kaydedilen veya açıklanan bir tutara ilişkin ölçüm belirsizliğinin dayanağının kullanıcılar tarafından anlaşılmasını sağlamak amacıyla, duyarlılık analizleri ve işletmenin değerleme tekniklerinde kullanılan varsayımlarda meydana gelen değişiklikler.

Küçük İşletmelere Özgü Hususlar

A136.    Küçük işletmeler, finansal tablolarında yer alan açıklamaları daha az ayrıntı içerecek şekilde veya daha basit şekilde hazırlayabilir (örneğin, bazı finansal raporlama çerçeveleri tarafından küçük işletmelerin finansal tablolarında daha az sayıda açıklama sunmasına izin verilmektedir). Ancak bu husus, denetçinin, işletmenin iç kontrolü dâhil -açıklamalarla ilgili olması sebebiyle- işletme ve çevresini tanıma yükümlülüğünü ortadan kaldırmaz. 

Yönetim Beyanlarına İlişkin Kontroller (Bkz.: 26(c) paragrafı)

A137.    Denetçi risk değerlendirmesi yaparken, belirli yönetim beyanlarındaki önemli yanlışlıkları önleme veya tespit edip düzeltme ihtimâli olan kontrolleri belirleyebilir. Kontrol faaliyetleri tek başına genellikle bir riski ele almadığı için kontrollerin, içinde bulunduğu süreç ve sistemlerle birlikte anlaşılması ve yönetim beyanlarıyla ilişkilendirilmesi daha uygundur. Genellikle bir riski ele almak için, diğer iç kontrol bileşenleriyle birlikte, birden fazla kontrol faaliyeti ancak yeterli olacaktır.

A138.    Aksine, bazı kontrol faaliyetleri; özel bir işlem sınıfı veya hesap bakiyesiyle ilişkisi olan münferit bir yönetim beyanı üzerinde belirli bir etkiye sahip olabilir. Örneğin, işletme personelinin yıllık fiziki stok sayımını uygun bir şekilde yapmasını ve kaydetmesini sağlamak için işletmenin oluşturmuş olduğu kontrol faaliyetleri, stok hesap bakiyesiyle ilgili var olma ve tamlığa yönelik yönetim beyanlarıyla doğrudan ilişkilidir.

A139.    Kontroller, bir yönetim beyanıyla doğrudan veya dolaylı olarak ilgili olabilir. Bu ilgi ne kadar dolaylı ise, kontrolün ilgili olduğu yönetim beyanındaki yanlışlıkları önleme veya tespit edip düzeltme etkinliği de o kadar az olacaktır. Örneğin bir satış yöneticisinin bölgeler bazında belirli mağazalara ait satış faaliyeti özetini gözden geçirmesi, genellikle satış hâsılatına yönelik tamlık beyanıyla sadece dolaylı olarak ilgilidir. Dolayısıyla bu kontrol, sevk irsaliyeleri ile faturaların eşleştirilmesi örneğinde olduğu gibi söz konusu yönetim beyanıyla daha doğrudan ilgili kontrollere kıyasla, yönetim beyanına yönelik riskin azaltılması konusunda daha az etkin olabilir.

Önemli Yanlışlıklar

A140.    Büyüklüklerine, niteliklerine veya şartlarına bağlı olarak, münferit finansal tablolardaki ve açıklamalardaki potansiyel yanlışlıkların önemli olduğu yargısına varılabilir (Bkz.: 26(ç) paragrafı).

Ciddi Riskler

Ciddi Risklerin Belirlenmesi (Bkz.: 28 inci paragraf) 

A141.    Ciddi riskler, genellikle rutin olmayan önemli işlemler veya muhakeme gerektiren hususlarla ilgilidir. Rutin olmayan işlemler, büyüklüğü veya niteliği sebebiyle olağan olmayan ve bu sebeple istisnai olarak gerçekleşen olaylardır. Muhakeme gerektiren hususlar, önemli ölçüm belirsizliğinin bulunduğu muhasebe tahminlerinin geliştirilmesini içerebilir. Sistematik olarak gerçekleştirilen ve karmaşık olmayan rutin işlemlerin ciddi risklere sebep olma ihtimâli daha azdır.

A142.    Aşağıdakiler gibi hususlardan kaynaklanan, rutin olmayan önemli işlemler için “önemli yanlışlık” riskleri daha yüksek olabilir:

·                Muhasebe uygulamasının belirlenmesinde yönetimin çok fazla müdahalesinin bulunması.

·                Verilerin toplanması ve işlenmesi sırasında daha fazla manuel müdahale.

·                Karmaşık hesaplamalar ve muhasebe ilkeleri.

·                Rutin olmayan işlemlerin, işletmenin risklere yönelik etkin kontrolleri uygulamasını zorlaştırabilen, niteliği.

A143.    Aşağıdaki gibi hususlardan kaynaklanan ve muhasebe tahminlerinin geliştirilmesini gerektiren önemli muhakeme gerektiren hususlarda “önemli yanlışlık” riskleri daha yüksek olabilir:

·                Muhasebe tahminlerine ve hâsılatın finansal tablolara alınmasına ilişkin muhasebe ilkeleri farklı yorumlanabilir.

·                Gerekli muhakeme subjektif veya karmaşık olabilir ya da gerçeğe uygun değer hakkında muhakemede bulunulması örneğinde olduğu gibi gelecekteki olayların etkileri hakkında varsayımlar gerektirebilir.

A144.    BDS 330, bir riskin ciddi risk olarak belirlenmesinin müteakip denetim prosedürleri açısından sonuçlarını açıklar.

 

 

Hile kaynaklı “önemli yanlışlık” riskleriyle ilişkili olan ciddi riskler

A145.    BDS 240, hile kaynaklı “önemli yanlışlık” risklerinin belirlenmesine ve değerlendirilmesine ilişkin ilâve hükümler içerir ve bu konuda rehberlik sağlar.

Ciddi Risklere İlişkin Kontrollerin Anlaşılması (Bkz.: 29 uncu paragraf) 

A146.    Rutin olmayan veya muhakeme gerektiren önemli hususların rutin kontrollere tabi tutulma ihtimali genelde daha az olmakla birlikte, yönetimin bu tür risklere karşılık veren başka seçenekleri olabilir. Bu sebeple, işletmenin rutin olmayan veya muhakeme gerektiren hususlardan kaynaklanan ciddi risklere yönelik kontroller tasarlayıp tasarlamadığı ve bunları uygulayıp uygulamadığı hakkında denetçinin elde edeceği bilgiler, yönetimin risklere karşılık verip vermediğini ve nasıl karşılık verdiğini kapsar. Bu tür karşılıklar, aşağıdakileri içerebilir:

·                Kıdemli yöneticiler veya uzmanlar tarafından varsayımların gözden geçirilmesi gibi kontrol faaliyetleri.

·                Belgelendirilen tahmin süreçleri.

·                Üst yönetimden sorumlu olanların onayı.

A147.    Örneğin, önemli bir davanın tebliği gibi münferit bir olayın söz konusu olduğu durumlarda, işletmenin bu riske yönelik olarak yapacağı işlemlerin değerlendirilmesi; konunun uygun uzmanlara yönlendirilip yönlendirilmediği (işletmenin iç veya dış hukuk müşavirleri gibi), bu riskin potansiyel etkisine dair bir değerlendirme yapılıp yapılmadığı ve durumun finansal tablolarda nasıl açıklanmasının önerildiği gibi konuların irdelenmesini içerebilir.

A148.    Bazı durumlarda yönetim, gerekli kontroller uygulayarak ciddi “önemli yanlışlık” risklerine uygun biçimde karşılık verememiş olabilir. Yönetimin bu tür kontrolleri uygulayamaması, iç kontrolde önemli bir eksiklik bulunduğunun bir göstergesidir.

Maddi Doğrulama Prosedürlerinin Tek Başına Yeterli ve Uygun Denetim Kanıtı Sağlamadığı Riskler (Bkz.: 30 uncu paragraf)

A149.     “Önemli yanlışlık” riskleri rutin işlem sınıflarının veya hesap bakiyelerinin kaydedilmesiyle ve güvenilir finansal tabloların hazırlanmasıyla doğrudan ilgili olabilir. Bu tür riskler işletmenin hâsılat, satın alma, nakit giriş ve çıkışları gibi rutin ve önemli işlem sınıflarına ilişkin işlemlerin yanlış veya eksik yapılması risklerini içerebilir.

A150.    Bu tür rutin işlemlerin, manuel müdahalenin çok az olduğu veya hiç olmadığı yüksek otomasyon ortamında yapıldığı durumlarda, riskle ilgili olarak yalnızca maddi doğrulama prosedürlerinin uygulanması mümkün olmayabilir. Örneğin denetçi, entegre bir sistemde olduğu gibi, işletme bilgilerinin önemli bir bölümünün sadece elektronik ortamda başlatıldığı, kaydedildiği, işlendiği ve raporlandığı hâllerde bu tür bir durumun söz konusu olabileceğini düşünebilir. Bu tür durumlarda;

·                Denetim kanıtı sadece elektronik ortamda olabilir ve bu kanıtın yeterliliği ve uygunluğu genellikle bilgilerin doğruluk ve tamlığı üzerindeki kontrollerin etkinliğine bağlıdır.

·                Uygun kontrollerin etkin şekilde çalışmaması hâlinde bilgilerin uygun olmayan şekilde başlatılması veya değiştirilmesi ve bunun tespit edilememesi ihtimâli daha yüksek olabilir.

A151.    BDS 330, bu tür risklerin belirlenmesinin müteakip denetim prosedürleri açısından, sonuçlarını açıklar.

Risk Değerlendirmesinin Revize Edilmesi (Bkz.: 31 inci paragraf)

A152.    Denetim sırasında, risk değerlendirmesine dayanak oluşturan bilgilerden önemli biçimde farklılıklar gösteren yeni bilgiler denetçinin dikkatini çekebilir. Örneğin, risk değerlendirmesi belirli kontrollerin etkin bir şekilde işlediği beklentisine dayanabilir. Bu kontrol testlerini uygularken denetçi, kontrollerin denetim sırasında ilgili zamanlarda etkin bir şekilde işlemediğine ilişkin denetim kanıtı elde edebilir. Benzer şekilde maddi doğrulama prosedürlerini uygularken denetçi, yaptığı risk değerlendirmesiyle tutarlı olandan daha yüksek tutar veya sıklıkta gerçekleşen yanlışlıkları tespit edebilir. Bu tür durumlarda risk değerlendirmesi, işletmenin gerçek durumunu uygun şekilde yansıtmayabilir ve planlanan müteakip denetim prosedürleri önemli yanlışlıkların tespit edilmesinde etkin olmayabilir. Bu konudaki açıklamalar için BDS 330’a bakınız.  

Belgelendirme (Bkz.: 32 nci paragraf)

A153.    32 nci paragrafta belirtilen hususların belgelendirilme şekline denetçi mesleki muhakemesini kullanarak karar verir. Örneğin, küçük işletmelerin denetimlerinde bu belgelendirme, genel stratejiye ve denetim planına ilişkin çalışma kâğıtlarına dâhil edilebilir. Benzer şekilde, örneğin risk değerlendirmesinin sonuçları ayrı olarak belgelendirilebilir veya müteakip denetim prosedürlerine ilişkin çalışma kâğıtlarının bir parçası olarak belgelendirilebilir. Belgelendirmenin şekli ve kapsamı; işletmenin niteliği, büyüklüğü ve karmaşıklığı, iç kontrolü, işletmeden bilgilerin elde edilebilirliği ve denetim sürecinde kullanılan denetim metodolojisi ve teknolojisinden etkilenir.

A154.    Finansal raporlamayla ilgili karmaşık olmayan faaliyet ve süreçleri bulunan işletmeler için belgelendirme basit ve nispeten özet bir şekilde yapılabilir. Denetçinin işletmeyi tanırken elde ettiği bilgi ve ilgili hususların tamamını belgelendirmesine gerek yoktur. Söz konusu bilgilerden denetçi tarafından belgelendirilenlerin ana unsurları, denetçinin “önemli yanlışlık” risklerine ilişkin yaptığı değerlendirmeye dayanak teşkil eden bilgileri içerir.

A155.    Belgelendirmenin kapsamı ayrıca denetim ekibi üyelerinin deneyim ve kabiliyetlerini de yansıtabilir. BDS 230 hükümlerinin her zaman yerine getirilmesi şartıyla daha az deneyimli kişilerden oluşan denetim ekibi tarafından yürütülen bir denetim; söz konusu kişilerin işletmeyi uygun bir şekilde tanımasına yardımcı olması amacıyla daha deneyimli kişileri içeren bir ekip tarafından yürütülen bir denetime kıyasla daha ayrıntılı bir belgelendirme yapılmasını gerektirebilir.

A156.    Müteakip (birbirini takip eden) denetimlerde, belirli çalışma kâğıtları gerekli hâllerde işletmenin faaliyet veya süreçlerindeki değişiklikleri yansıtmak amacıyla güncellenerek gelecekte de kullanılabilir.


Ek 1

(Bkz.: 4(c), 14-24, A77-A121 paragrafları)

İç Kontrol Bileşenleri

1.                  Bu Ek 4(c), 14-24 ve A77-A121 paragraflarında açıklanan iç kontrol bileşenlerine ilişkin olarak, finansal tabloların denetimiyle ilgili oldukları ölçüde ilâve açıklamalar sağlar.

Kontrol Çevresi

2.                  Kontrol çevresi aşağıdaki unsurları içerir:

(a)           Dürüstlük ve etik değerlere ilişkin kuralları bildirme ve uygulatma: Kontrollerin etkinliği, bu kontrolleri oluşturan, yöneten ve izleyenlerin dürüstlük ve etik değerlerinin üstüne çıkamaz. Dürüstlük ve etik davranış, işletmenin etik ve davranış standartlarının, bu standartların ne şekilde bildirildiğinin ve uygulamada bu standartların nasıl uygulandığının bir ürünüdür. Dürüstlük ve etik değerlerin uygulanması, örneğin, personeli; dürüst olmayan, hukuka aykırı veya etik olmayan eylemlere yönlendirebilecek istek veya teşvikleri ortadan kaldıran veya en aza indiren yönetim faaliyetlerini içerir. Dürüstlük ve etik değerlere ilişkin işletme politikalarının bildirilmesi; politika belgeleri, iş ahlâkı kuralları ve örnek davranışlar aracılığıyla davranış standartlarının personele bildirilmesini içerebilir.

(b)          Yetkinliğe bağlılık: Yetkinlik; kişilerin, mesleklerini tanımlayan görevleri yerine getirebilmesi için gereken bilgi ve becerilerdir.

(c)           Üst yönetimden sorumlu olanların katılımı: İşletmenin kontrol bilinci, üst yönetimden sorumlu olanlardan önemli ölçüde etkilenir. Üst yönetimden sorumlu olanların sorumluluklarının önemi; uygulama kurallarında, diğer mevzuatta ve üst yönetimden sorumlu olanların kullanması amacıyla hazırlanan rehberlerde yer alır. Üst yönetimden sorumlu olanların diğer sorumlulukları; iç kontrol sisteminin işleyiş etkinliğinin gözden geçirilme sürecinin ve ihbar prosedürlerinin tasarımının ve işleyiş etkinliğinin gözetimini içerir.

(ç)     Yönetimin felsefesi ve çalışma şekli: Yönetimin felsefesi ve çalışma şekli birçok farklı özellik gösterir. Örneğin, yönetimin finansal raporlamaya ilişkin tutum ve eylemleri, mevcut alternatif muhasebe ilkeleri arasından ihtiyatlı veya iddialı olanların seçimi veya muhasebe tahminlerinin oluşturulması sürecinde dürüst ve ihtiyatlı davranılması şeklinde kendini gösterir.

(d)          Organizasyon yapısı: Uygun bir organizasyon yapısının oluşturulması, esas yetki ve sorumluluk alanlarının ve uygun raporlama kanallarının dikkate alınmasını içerir. İşletmenin organizasyon yapısının uygunluğu, kısmen işletmenin büyüklüğüne ve faaliyetlerinin niteliğine bağlıdır.

(e)           Yetki ve sorumlulukların belirlenmesi: Yetki ve sorumlulukların belirlenmesi; uygun iş uygulamalarına ilişkin politikaları, kilit personelin bilgi ve deneyimi ile görevlerin yerine getirilmesi için sağlanan kaynakları içerebilir. Yetki ve sorumlulukların belirlenmesi ayrıca, tüm personelin işletme amaçlarını anlamasını, kendi eylemlerinin bu amaçlarla olan ilgisini ve bu amaçlara nasıl katkıda bulunduğunun farkında olmasını ve nasıl ve neden sorumlu tutulacaklarını bilmelerini sağlayan politika ve bildirimleri içerebilir.

(f)           İnsan kaynakları politika ve uygulamaları: İnsan kaynakları politika ve uygulamaları genellikle bir işletmenin kontrol bilincine ilişkin önemli hususları ortaya koyar. Örneğin, en nitelikli kişilerin işe alınmasına yönelik standartlar -adayların eğitim geçmişine, daha önceki iş deneyimine, geçmiş başarılarına, dürüstlük ve etik davranışlarına ilişkin kanıtlara dikkat çekilerek- işletmenin uygun yetkinliğe sahip güvenilir kişilerle çalışmaya olan bağlılığını ortaya koyar. Personele gelecekteki görev ve sorumluluklarını bildiren ve kurs ve seminerler gibi uygulamaları içeren eğitim politikaları, beklenen performans ve davranış düzeylerini gösterir. Düzenli aralıklarla yapılan performans değerlendirmelerine göre gerçekleştirilen terfiler, işletmenin nitelikli personelinin daha yüksek sorumluluk seviyelerine ilerlemesi yönündeki iradesini ortaya koyar.

İşletmenin Risk Değerlendirme Süreci

3.                  Finansal raporlama amaçları açısından işletmenin risk değerlendirme süreci:

­      Yönetimin, finansal tabloların geçerli finansal raporlama çerçevesine uygun olarak hazırlanmasıyla ilgili iş hayatına ilişkin riskleri nasıl belirlediğini,

­      Bu risklerin ciddiyetini nasıl tahmin ettiğini,

­      Risklerin gerçekleşme olasılıklarını nasıl değerlendirdiğini ve

­      Risklere karşılık vermek ve riskleri yönetmek için atacağı adımlara nasıl karar verdiğini ve bunların sonuçlarını,

içerir.

Örneğin, işletmenin risk değerlendirme süreci, işletmenin kayda geçirilmemiş işlemlerin bulunma ihtimalini nasıl dikkate aldığını veya finansal tablolarda yer alan önemli tahminleri nasıl belirlediğini ve analiz ettiğini ele alabilir.

4.                  Güvenilir finansal raporlamaya ilişkin riskler, işletmenin; yönetimin finansal tablolardaki beyanlarıyla tutarlı olarak finansal verileri başlatma, kaydetme, işleme ve raporlama kabiliyetini olumsuz biçimde etkileyebilecek ve gerçekleşmesi muhtemel iç ve dış olayları, işlemleri veya durumları içerir. Yönetim belirli riskleri ele almak için plan, program veya eylemler başlatabilir ya da maliyet veya diğer hususlardan dolayı bir riski üstlenmeye karar verebilir. Riskler, aşağıdaki gibi durumlar sebebiyle ortaya çıkabilir veya değişebilir:

·                Faaliyet çevresindeki değişiklikler: Düzenleyici çevredeki veya faaliyet çevresindeki değişiklikler, rekabet baskısının değişmesine ve önemli derecede farklı risklere sebep olabilir.

·                Yeni personel: Yeni personelin iç kontrole ilişkin farklı bir bakış açısı veya anlayışı olabilir.

·                Yeni veya yenilenmiş bilgi sistemleri: Bilgi sistemlerindeki önemli ve hızlı değişiklikler, iç kontrole ilişkin riskleri değiştirebilir.

·                Hızlı büyüme: Faaliyetlerin ciddi ve hızlı biçimde genişlemesi kontrolleri zorlayabilir ve kontrollerin aksama/çökme riskini artırabilir.

·                Yeni teknoloji: Üretim süreçlerine veya bilgi sistemlerine yeni teknolojilerin dâhil edilmesi, iç kontrole ilişkin riski değiştirebilir.

·                Yeni iş modelleri, ürünler veya faaliyetler: İşletmenin deneyiminin az olduğu iş alanlarına veya işlemlere girilmesi, iç kontrolle ilgili yeni riskler ortaya çıkarabilir.

·                Kurumsal yeniden yapılanma: Yeniden yapılanmalar beraberinde, iç kontrole ilişkin riski değiştirebilecek nitelikte; çalışan sayısının azaltılmasını, yönlendirme, gözetim ve görevler ayrılığında değişiklikleri getirebilir.

·                Genişleyen yurt dışı faaliyetler: Yurt dışı faaliyetlerinin genişlemesi veya yurt dışında yeni işletmelerin satın alınması, döviz işlemlerinden kaynaklanan ilâve veya değişen riskler gibi, iç kontrolü etkileyebilecek yeni ve genellikle kendine özgü riskler taşır.

·                Yeni muhasebe düzenlemeleri: Yeni muhasebe ilkelerinin kabulü veya muhasebe ilkelerinin değiştirilmesi, finansal tabloların hazırlanmasına ilişkin riskleri etkileyebilir.

İlgili İş Süreçleri Dâhil, Finansal Raporlamayla İlgili Bilgi Sistemi ve İletişim

5.                  Bir bilgi sistemi; altyapı (fiziki parçalar ile donanım bileşenleri), yazılım, kişiler, prosedürler ve verilerden oluşur. Bilgi sistemlerinin büyük bir kısmı bilgi teknolojilerini (BT’yi) yaygın olarak kullanır.

6.                  Finansal raporlama sisteminin dâhil olduğu, finansal raporlama amaçlarına ilişkin bilgi sistemi aşağıdakilere yönelik yöntem ve kayıtları kapsar:

·                Tüm geçerli işlemlerin belirlenmesi ve kaydedilmesi.

·                Finansal raporlama açısından uygun biçimde sınıflandırılmasını sağlamak üzere işlemlerin zamanında ve yeterince ayrıntılı biçimde açıklanması.

·                Uygun parasal tutar üzerinden finansal tablolara kaydedilmesini sağlamak için işlemlerin değerinin ölçülmesi.

·                Doğru döneme kaydedilmesini sağlamak için işlemlerin gerçekleştiği uygun hesap döneminin belirlenmesi.

·                İşlem ve ilgili açıklamaların uygun bir şekilde finansal tablolarda sunulması.

7.                  Sistem tarafından üretilen bilgilerin kalitesi, yönetimin işletme faaliyetlerini yönetmeye ve kontrol etmeye yönelik uygun kararlar alma ve güvenilir finansal raporlar hazırlama kabiliyetini etkiler.

8.                  Finansal raporlamaya yönelik iç kontrolle ilgili bireysel görev ve sorumlulukların anlaşılmasını da içeren iletişim; politika rehberleri, muhasebe ve finansal raporlama rehberleri ve bilgi notu gibi şekillerde olabilir. İletişim ayrıca elektronik ortamda, sözlü şekilde veya yönetimin eylemleriyle gerçekleştirilebilir.

Kontrol Faaliyetleri

9.                  Genel olarak denetimle ilgili olabilecek kontrol faaliyetleri, aşağıdakilere ilişkin politika ve prosedürler olarak sınıflandırılabilir:

·                Performans gözden geçirmeleri: Bu kontrol faaliyetleri,

­      Gerçekleşen performansın; bütçelerle, tahminlerle ve önceki dönem performansıyla karşılaştırılarak gözden geçirilmesini ve analizini,

­      Farklı veri setlerinin (faaliyet veya finansal), ilişkilerin analizi ve araştırıcı ve düzeltici eylemlerin analiziyle birlikte, bir diğeriyle ilişkilendirilmesini,

­      İşletme içi verilerin dış bilgi kaynaklarıyla karşılaştırılmasını ve

­      Fonksiyon veya faaliyet performansının gözden geçirilmesini,

içerir.

·                Bilgi işleme: Bilgi sistemleri kontrol faaliyetleri iki ana gruptan oluşmaktadır: uygulama kontrolleri ve genel BT kontrolleri. Uygulama kontrolleri, münferit uygulamaların işlemesinde kullanılan kontrol faaliyetleridir. Genel BT kontrolleri ise, çok sayıda uygulamayla ilgili olan ve bilgi sistemlerinin sürekli doğru biçimde çalışmasını sağlamaya yardımcı olarak, uygulama kontrollerinin etkin işleyişine destek olan politika ve prosedürlerdir. Uygulama kontrollerine örnek olarak aşağıdakiler verilebilir:

­      Kayıtların aritmetik doğruluğunun kontrol edilmesi,

­      Hesapların ve geçici mizanların muhafazası ve gözden geçirilmesi,

­      Girdi verilerinin düzeltme kontrolü ve sayısal sıra kontrolleri gibi otomatik kontroller ve

­      Sapma raporlarının manuel olarak takibi.

Genel BT kontrollerine ise örnek olarak aşağıdakiler verilebilir:

­      Program değişikliği kontrolleri,

­      Programlara veya verilere erişimi sınırlayan kontroller,

­      Paket yazılım uygulamalarının yeni sürümlerinin uygulanması üzerindeki kontroller ve

­      Bir denetim izi bırakmadan finansal verileri veya kayıtları değiştirebilecek sistem araçlarına erişimi sınırlandıran veya bunların kullanımını izleyen sistem yazılımı üzerindeki kontroller.

·                Fiziki kontroller: Fiziki kontroller aşağıdakileri kapsar:

o      Varlık ve kayıtlara erişimin koruma altına alınması gibi yeterli koruma tedbirleri dâhil, varlıkların fiziki güvenliği.

o      Bilgisayar programlarına ve veri dosyalarına erişim yetkisi.

o      Periyodik sayım ve bunun kontrol kayıtlarında görünen tutarlarla karşılaştırılması (örneğin, kasa, teminat ve stok sayım sonuçlarının muhasebe kayıtlarıyla karşılaştırılması).

Varlıkların kötüye kullanılmaya daha açık olması gibi çeşitli durumlara bağlı olarak; varlıkların çalınmasını önlemeye yönelik fiziki kontrollerin düzeyi, finansal tabloların hazırlanmasının güvenilirliğiyle ve dolayısıyla denetimle ilgilidir. 

·                Görevler ayrılığı: İşlemlerin yetkilendirilmesi, kaydedilmesi ve varlıkların korunmasına ilişkin sorumlulukların farklı kişilere verilmesi. Görevler ayrılığı, bir kişinin görevini ifa etmesi sırasında hem hata veya hile yapacak hem de bunları saklayacak bir pozisyonda olmasına imkân veren fırsatları azaltmayı amaçlar.

10.              Belirli kontrol faaliyetleri, yönetim veya üst yönetimden sorumlu olanlar tarafından oluşturulmuş uygun üst düzey politikaların varlığına bağlı olabilir. Örneğin yetkilendirme kontrolleri, üst yönetimden sorumlu olanların belirlediği yatırım kıstasları gibi oluşturulan yönergelerle devredilebilir veya alternatif olarak, büyük satın almalar veya elden çıkarmalar gibi rutin olmayan işlemler, bazı durumlarda, hissedarların onayı dâhil belirli üst düzey bir onay gerektirebilir.

Kontrollerin İzlenmesi

11.              Yönetimin önemli sorumluluklarından biri, devamlılık esasına göre bir iç kontrol oluşturmak ve sürdürmektedir. Yönetimin kontrolleri izlemesi; bu kontrollerin amaçlandığı gibi işleyip işlemediğinin ve şartlardaki değişikliklere göre uygun bir şekilde değiştirilip değiştirilmediğinin dikkate alınmasını içerir. Aşağıdakiler gibi faaliyetler kontrollerin izlenmesi kapsamında yer alabilir:

­      Banka mutabakatlarının zamanında hazırlanıp hazırlanmadığının yönetim tarafından gözden geçirilmesi,

­      Satış personelinin, satış sözleşmelerinin şartlarına ilişkin işletme politikalarına uygun hareket edip etmediklerinin iç denetçiler tarafından değerlendirilmesi ve

­      İşletmenin etik veya iş uygulama politikalarına uygunluğunun hukuk departmanı tarafından gözetimi.

İzleme ayrıca, kontrollerin zaman içinde etkin şekilde işlemeye devam etmesini sağlamak amacıyla da yapılır. Örneğin, banka mutabakatlarının doğruluğu ve zamanında yapılıp yapılmadığı izlenmezse, personel bu mutabakatları hazırlamayı bırakabilir.

12.              İç denetçiler veya benzer görevlere sahip personel, ayrı değerlendirmeler yapmak suretiyle işletme kontrollerinin izlenmesine katkıda bulunabilirler. Bunlar genel olarak, iç kontrolün etkinliğinin değerlendirilmesine odaklanarak, iç kontrolün işleyişi hakkında düzenli olarak bilgi sağlar ve iç kontroldeki güçlü ve zayıf (eksik) yönlere ilişkin bilgiler verir ve iç kontrolün iyileştirilmesine yönelik tavsiyelerde bulunurlar.

13.              İzleme faaliyetleri, dış tarafların bildirimlerinden elde edilen ve sorunlu veya iyileştirilmesi gereken alanları gösteren bilgilerin kullanılmasını içerebilir. Müşteriler, faturalarını ödemek veya fatura tutarlarına ilişkin şikâyette bulunmak suretiyle dolaylı olarak fatura verilerini doğrularlar. Buna ek olarak düzenleyici kurumlar, iç kontrolün işleyişine etki eden konularda (örneğin, bankacılık alanındaki düzenleyici kurumlar tarafından yapılan incelemelere ilişkin bildirimler gibi) işletmeyle iletişime geçebilir. Ayrıca, izleme faaliyetlerini gerçekleştirirken yönetim, dış denetçiler tarafından iç kontrole ilişkin olarak yapılan bildirimleri dikkate alabilir.


Ek 2

(Bkz.: A41 ve A133 paragrafları)

“Önemli Yanlışlık” Risklerine İşaret Edebilecek Durum ve Olaylar

Aşağıda, finansal tablolardaki “önemli yanlışlık” risklerine işaret edebilecek durum ve olaylara örnekler verilmiştir. Verilen örnekler, birçok farklı durumu ve olayı kapsamaktadır. Ancak, bu durum ve olayların tamamı denetimlerin tümüyle ilgili değildir ve örneklere ilişkin liste tüm durumları kapsamaz.

·                     Ekonomik olarak istikrarsız bölgelerdeki faaliyetler, örneğin ciddi devalüasyonun veya yüksek enflasyonun bulunduğu ülkelerdeki faaliyetler.

·                     Vadeli işlemler piyasası gibi oynak piyasalara maruz kalan faaliyetler.

·                     Yüksek düzeyde karmaşık düzenlemelere tabi olan faaliyetler.

·                     Önemli müşterilerin kaybı dâhil, işletmenin sürekliliği ve likidite sorunları.

·                     Sermaye ve kredilere erişim üzerindeki kısıtlamalar.

·                     İşletmenin faaliyet gösterdiği sektördeki değişiklikler.

·                     Tedarik zincirindeki değişikler.

·                     Yeni ürün veya hizmet geliştirmek veya sunmak ya da yeni iş alanlarına girmek.

·                     Faaliyetlerini yeni yerlere doğru genişletmek.

·                     Büyük işletme satın alımları, yeniden yapılanmalar ve diğer olağandışı olaylar gibi işletmedeki değişiklikler.

·                     Satılması muhtemel işletmeler veya faaliyet bölümleri.

·                     Karmaşık iş birlikteliklerinin ve iş ortaklıklarının bulunması.

·                     Bilânço dışı finansmanın, özel amaçlı işletmelerin ve diğer karmaşık finansman yöntemlerinin kullanılması.

·                     İlişkili taraflarla yapılan önemli işlemler.

·                     Uygun düzeyde muhasebe ve finansal raporlama becerilerine sahip personelin bulunmaması.

·                     Kilit yöneticilerin ayrılması dâhil, kilit personeldeki değişiklikler.

·                     Özellikle yönetim tarafından ele alınmayanlar olmak üzere, iç kontrol eksiklikleri.

·                     Hileli finansal raporlama yapmaları konusunda yönetim ve çalışanlara sağlanan teşvikler.

·                     İşletmenin BT stratejisi ile iş stratejileri arasındaki tutarsızlıklar.

·                     BT ortamındaki değişikler.

·                     Finansal raporlamaya ilişkin önemli ve yeni BT sistemlerinin kurulması.

·                     Düzenleyici kurumlar veya diğer kamu kurumları tarafından işletmenin faaliyetlerinin veya finansal sonuçlarının sorgulanması.

·                     Geçmiş dönemlerdeki yanlışlık ve hatalar veya dönem sonunda yapılan önemli büyüklükteki düzeltmeler.

·                     Dönem sonunda yapılan şirketler arası işlemler ve yüksek tutarlı hâsılat işlemleri dâhil, önemli tutarlardaki rutin olmayan veya sistematik olmayan işlemler.

·                     Borcun yeniden yapılandırılması, satışa hazır menkul kıymetlerin sınıflandırılması ve satılabilir varlıklar gibi yönetimin niyetine bağlı olarak kaydedilen işlemler.

·                     Yeni muhasebe düzenlemelerinin uygulanması.

·                     Karmaşık süreçler içeren muhasebe ölçümleri.

·                     Muhasebe tahminleri dâhil, önemli ölçüm belirsizliği içeren işlem veya olaylar ve ilgili açıklamalar.

·                     Açıklamalarda, önemli bilgilerin ihmal edilmesi veya anlaşılmasının zorlaştırılması.

·                     Satış garantileri, finansal garantiler ve çevresel iyileştirmelere ilişkin yükümlülükler gibi devam etmekte olan dava ve şarta bağlı yükümlülükler.