I.    DENETİM VE DENETİM RİSKİ KAVRAMLARI

Bilindiği üzere bağımsız denetimi diğer denetim türlerinden (faaliyet denetimi, yerindelik denetimi vs.) ayıran en önemli husus, bağımsız denetimin risk temelli yaklaşım üzerine bina edilmiş olmasıdır. Bu yaklaşım, hem denetlenecek işlem sınıfı, hesap bakiyeleri ve açıklamalar düzeyinde hem de riskin sıfıra indirilememesi sebebiyle mutlak yerine makul güvence elde etme sürecinde karşımıza çıkmaktadır.

A.  Denetim Riskinin Fonksiyonları

Denetim riski, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından yayımlanan Bağımsız Denetim Standartlarında (BDS); “finansal tabloların önemli bir yanlışlık içermesine rağmen, denetçinin duruma uygun olmayan bir denetim görüşü vermesi riski” olarak tanımlanmaktadır. Diğer bir ifadeyle, tüm önemli yönleriyle, geçerli finansal raporlama çerçevesine uygun olarak hazırlanmayan finansal tablolara denetçi tarafından olumlu görüş verilmesi riskidir.

Denetim riski, önemli yanlışlık riski ve tespit edememe riskinin bir fonksiyonudur. Önemli yanlışlık riski ise yapısal risk ve kontrol riski olmak üzere ikiye ayrılmaktadır (Bu konular çalışmanın ilerleyen kısımlarında daha tafsilatlı bir şekilde izah edilecektir.). Bu bilgiler ışığında denetim riski diyagramını aşağıdaki denklemle ifade etmek mümkündür;

Denetim Riski = Yapısal Risk x Kontrol Riski x Tespit Edememe Riski

Çalışmanın önceki kısımlarında da belirtildiği gibi denetimde “mutlak güvence” den ziyade “makul güvence” söz konusudur. Dolayısıyla denetim riski, denetçinin başarılı olamaması ihtimali olup, denetçinin denetimi tamamlayıp olumlu görüş açıkladıktan sonra, finansal tablolarda önemli ölçüde yanlışlıklarla karşılaşma olasılığının değerlendirmesidir. Denetim sürecinde denetçi pek çok risk veya belirsizlikle karşılaşır. Yüksek düzeyde bir denetim kalitesine ulaşmak için risklere karşı hazırlıklı olmak gerekmektedir.

             i.    Tespit Edememe Riski

Tespit edememe riski diğer bir ifadeyle bulgu riski BDS’lerde, “denetim riskini kabul edilebilir düşük bir seviyeye indirmek için denetçinin uyguladığı prosedürler neticesinde, tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek mevcut bir yanlışlığın tespit edilememesi riski” şeklinde tanımlanmaktadır.

Tespit edememe riski kapsamında denetçi, önemli yanlışlık riskinin aksine direkt kendi kontrolü altındaki riskler sebebiyle önemli yanlışlıkları tespit edemeyebilir. Denetçinin kontrolü altındaki bu riskler iki başlıkta gruplanabilir:

1.     Örnekleme Riski

2.     Kalite Kontrol Riski

Örnekleme riski, örneklemenin doğası gereği önemli bir yanlışlık veya böyle bir yanlışlığın olabileceğine dair bir gösterge ihtiva eden işlem ve hesapların tamamı test edilecek örneklem büyüklüğünde yer almama ihtimali sebebiyle denetçinin bu yanlışlığı tespit edememe riskidir. İstatistiki örnekleme teknikleri kullanıldığında, örnekleme riski genel manada ölçülebilir ve kontrol edilebilir. Günümüzde istatistiki örnekleme teknikleri, denetçiye örneklem büyüklüğünü düzenleme imkânı sağlar ve bu sayede denetçi kabul etmeyi düşündüğü risk düzeyine ulaşabilir.

Kalite kontrol riski ise, tatmin edici denetim kanıtı toplanamaması ve/veya toplanan kanıtların düzgün bir şekilde değerlendirilememesi sonucu denetçinin finansal tablolarda yer alan önemli yanlışlığı tespit edememesi riskidir. Bu risk düzeyi, denetçinin önemli yanlışlık riskine ilişkin değerlendirmesi ve iç kontrol riskiyle ters orantılı bir şekilde değişiklik gösterir ve uygulanan denetim prosedürlerinin niteliği, zamanlaması ve kapsamını etkiler.

Tespit edememe riski, denetçinin denetim riskini kabul edilebilir bir düzeye indirmek için belirlediği prosedürlerin niteliği, zamanlaması ve kapsamıyla ilgilidir. Bu sebeple tespit edememe riski, denetim prosedürünün etkinliğinin ve denetçi tarafından uygulanmasının bir fonksiyonudur. Aşağıdaki gibi hususlar bir denetim prosedürünün ve bu prosedürün uygulanmasının etkinliğinin artırılmasına yardımcı olur:

· Yeterli planlama,

· Denetim ekibine uygun personelin atanması,

· Mesleki şüpheciliğin uygulanması ve

· Yürütülen denetim çalışmasının yönlendirilmesi ve gözetimi ile gözden geçirilmesi.

Ayrıca bu hususlar; denetçinin uygun olmayan bir denetim prosedürünü seçme, uygun olan denetim prosedürünü yanlış şekilde uygulama veya denetim sonuçlarını yanlış yorumlama ihtimalini azaltmaya yardım eder.

           ii.    Önemli Yanlışlık Riski

Önemli yanlışlık riski BDS’lerde “finansal tabloların denetim öncesinde önemli bir yanlışlık içermesi riski” şeklinde tanımlanmaktadır. Tanımdan da anlaşılacağı üzere, denetim riskinin bileşenlerinden olan tespit edememe riski ile önemli yanlışlık riski arasındaki en belirgin fark, ilgili riskin denetim öncesinde var olup olmamasıdır. Önemli yanlışlık riski, tespit edememe riskinin aksine denetçinin direkt kontrolünde olmayan risklerdir.

“Önemli yanlışlık” riskleri iki düzeyde ortaya çıkabilir:

· Finansal tabloların geneli düzeyinde ve

· İşlem sınıfları, hesap bakiyeleri ve açıklamalara ilişkin yönetim beyanı düzeyinde.

 Finansal tablonun geneli düzeyindeki “önemli yanlışlık” riskleri, bir bütün olarak finansal tablolarda yaygın olan ve çok sayıda yönetim beyanını etkileme ihtimali bulunan yanlışlık risklerini ifade eder.

Yönetim beyanı düzeyindeki “önemli yanlışlık” riskleri, yeterli ve uygun denetim kanıtının elde edilmesi için müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını belirlemek amacıyla değerlendirilir. Bu kanıtlar, denetçinin finansal tablolar hakkında kabul edilebilir düşük bir denetim riski düzeyinde görüş vermesini sağlar. Denetçiler “önemli yanlışlık” risklerinin değerlendirilmesi amacını yerine getirmek için çeşitli yaklaşımlar kullanır. Örneğin denetçi, kabul edilebilir bir tespit edememe riski düzeyine ulaşmak için denetim riski bileşenlerinin genel ilişkisini matematiksel terimlerle ifade eden bir model kullanabilir. Bazı denetçiler bu tür bir modeli denetim prosedürlerinin planlanmasında faydalı bulmaktadır.

Önemli yanlışlık riskinin iki bileşeni bulunmaktadır. Bunlar, yapısal risk ve kontrol riskidir. Yapısal risk kavramı çalışmanın ilerleyen kısımlarında tafsilatlı olarak izah edileceğinden, bu bölümde yalnız kontrol riski kavramı üzerinde durulacaktır.

Kontrol riski, bir hesap kaleminde veya işlem akımında ortaya çıkabilecek önemli bir yanlışlığın işletmede var olan iç kontrol sistemi tarafından zamanında önlenememesi veya ortaya çıkarılamamasıdır.

İşletmede kurulu bulunan iç kontrol sisteminin etkinliği kontrol riskini doğrudan etkileyen bir unsurdur. Denetçi işletmenin iç kontrol sisteminin varlığı ve etkinliği üzerine yaptığı değerlendirmelerinde, etkin bir iç kontrol sisteminin varlığı durumunda kontrol risk düzeyini de düşük belirleyecektir. Fakat etkin olmayan bir iç kontrol sisteminin varlığı söz konusu olursa; kontrol risk düzeyi de yüksek belirlenecektir. İç kontrol sistemin işleyişi neticede işletmeye bağlı çalışan bir insan tarafından gerçekleşeceğinden mükemmel bir etkinlik düzeyinin belirlenebilmesi mümkün olmayacaktır. Bu durumda kontrol riski hiç zaman sıfır olarak belirlenemeyecektir. Denetim riskine direkt etki edecek bu risk düzeyinin düşük olması denetimin kalitesine etmesinin yanında denetim için ayrılan zaman unsuru konusunda da denetçiye avantaj sağlayacaktır. Çünkü müşteri işletmede etkin bir iç kontrol sistemine sahip olunması, bağımsız denetimin yapılma zamanları dışında işletmede gerçekleştirilen faaliyetlerin ve işletme çalışanlarının sürekli bir denetim içerisinde olduğunun göstergesi olacaktır.

 II.    DENETİM FAALİYETİNDE YAPISAL RİSKLERİN BELİRLENMESİ VE BELİRLENEN YAPISAL RİSKLERİN DENETİM ÜZERİNE ETKİSİ

Yapısal risk BDS’lerde, “ilgili kontrol mekanizması dikkate alınmadan önce, bir işlem sınıfına, hesap bakiyesine veya açıklamalara ilişkin bir yönetim beyanının, tek başına veya diğer yanlışlıklarla birlikte önemli olabilecek bir yanlışlık içermeye açık olması durumu” olarak tanımlanmaktadır.

Anlamı itibariyle anlaşılacağı üzere, yapısal risk, denetimi yapılacak olan işletmenin faaliyet yapısındaki zafiyetlerden etkilenmektedir. Bu zafiyetler işletmenin içsel veya dışsal faktörlerden etkilenmesi sonucu ortaya çıkıyor olabilir. İçsel faktörler olarak işletmenin kendi iç kontrol yapısı, yönetimin tutumu, işletmenin finansal ve idari yapıları, çalışanların bilgi ve becerileri vs. kapsamaktadır. Dışsal faktörler ise de işletmeyi çepeçevre saran koşullar, faaliyet alanı, sektördeki rekabet düzeyi, Türkiye ekonomisindeki yeri, işletmeyi bağlayıcı nedenlere ilişkin hukuki ve ticari bağlantılara ait risklerde bu kapsamda incelenmektedir.

Yapısal risk üç ana kaynak sebebiyle ortaya çıkmaktadır:

-       Yönetimin Dürüstlüğü

-       Muhasebe Riski

-       Ticari Risk

Yönetimin Dürüstlüğü

Finansal tabloların önemli bir yanlışlık içerme ihtimali, denetlenen işletmenin yönetiminin dürüstlüğünden kuvvetli bir şekilde etkilenir. Yönetimin dürüstlüğü kavramı iki açıdan ele alınmaktadır:

A)   Yapısal Dürüstlük: Yönetimin ahlaki ve etik açıdan mevcut durumunu, yani dürüst ya da dürüst olmama eğilimini ifade etmektedir.

B)    Duruma Bağlı Dürüstlük: Baskı altında yönetimin işletmenin finansal durumu ile karlılığının yanlış sunulmasının cezbediciliğine karşı durma kabiliyetini ifade eder. Örneğin işletme tahmin edilen karlılığı yakalayamamıştır veya dönem sonunda yeni pay ihraç etme niyetlerine karşın dönem karı çok düşüktür. Bu durumlarda denetçi, karlılığın yanlış sunulmasının işletmeye getireceği faydanın cazibesine kapılabilir.

İşletme yönetiminin dürüstlük konusunda zayıf olması durumunda, finansal tablolarda sunulan bilgiler, yönetimin arzu ettiği finansal durumu ve karlılığı yansıtmak için çok kolayca manipüle edilebilir.

Muhasebe Riski

Herhangi bir hesap bakiyesinin yanlışlığa karşı duyarlı olması sebebiyle finansal tablolarda önemli yanlışlıklar meydana gelebilir. Bu hesaplar genelde önemli muhakeme (örneğin şüpheli ticari alacaklar hesabı) veya değeri kesin olarak belli olmayan kalemleri (pazar talebinin belirsiz olduğu korulukta satılmamış kereste stantları) içeren hesaplardır.

Ticari Risk

Finansal tablolarda yanlışlık olma ihtimali, denetlenen işletmenin faaliyet gösterdiği ekonomik çevreden de etkilenmektedir. Birtakım iş çevreleri ekonomide, rekabet şartlarında ve teknolojide meydana gelen değişikliklere duyarlılık göstermezken, diğer iş alanları ve sektörler için tam tersi geçerlidir. Örneğin, mücevher sektörü müşterilerin sağlıklarından, giyim sektörü tüketicilerin modaya ilişkin heveslerinden, elektronik ürün endüstrisi teknolojik gelişmelerden, petrol piyasası ise petrol fiyatlarından etkilenmektedir.

Denetçi yapısal riski oluşturan unsurları en sağlıklı şekilde anlamak amacıyla işletmenin faaliyet gösterdiği sektörü, Türkiye ekonomisindeki yeri, işletmeyi bağlayıcı hukuki ve ticari olayları gelişmeleriyle birlikte izleyerek özenle analiz etmelidir. Bu vesile ile denetçi yapısal risk unsurlarının işletmenin mali tabloları üzerindeki olumsuz etkilerini tahmin ederek uygulayacağı denetim prosedürlerini belirleyecektir. Yapısal risk her işletmede farklı yönleriyle ortaya çıkıyor olsa da birçok uzman için ve Türkiye şartlarında denetimin geneli itibariyle aşağıdaki yapısal risk unsurları denetçilerin karşılarına çıkmıştır;

a) İşletmenin yapısı

b) Yönetimin dürüstlüğü

c) İşletmenin eğilimi

d) Önceki denetim çalışmalarının sonuçları

e) Denetimin ilk olması

f) İlgili taraflar

g) Olağanüstü işlemler

h) İşletmede süregelen sorunlar

i) Personeldeki sürekli değişim

j) Teknolojik değişmeler

k) Ülkedeki siyasi istikrarsızlık

l) Uluslararası yatırım ve ortaklıklar

Yapısal riskle ilgili yukarıda zikredilen açıklamaların ardından, denetim riski ve bileşenleri arasındaki ilişki aşağıdaki formülle gösterilebilir:


Bu formülün daha iyi anlaşılması açısından aşağıda yer alan örneğin faydalı olacağı düşünülmektedir.

Örnek: ABC denetim firması, yakın zamanda XYZ şirketi ile bağımsız denetim sözleşmesi imzalamıştır. Denetimin planlanması sırasında, denetim müdürü risk değerlendirmesinde dikkate alınmak üzere XYZ ile ilgili aşağıdaki bilgileri not etmiştir.

§  XYZ, finansal hizmetler sektöründe faaliyet gösteren bir şirkettir

§  XYZ, geniş bir bağlı ortaklık, iştirak ve yabancı şube ağına sahiptir.

§  Şirketin bir iç denetim departmanı yoktur ve denetim komitesinde finans alanında geçmişi olan hiçbir üye yer almamaktadır (kurumsal yönetim ilkelerinde finans alanında geçmişi olan üyelerin yer alması önerilmektedir. )  .

§  ABC’nin şirket politikası genel denetim riskini % 10'un altında tutmak yönündedir.

XYZ'nin finansal tablolarının denetimindeki yapısal risk özellikle yüksektir, çünkü işletme sıkı düzenlemelere tabi bir sektörde faaliyet göstermektedir ve ilgili finansal kontroller olmadığında finansal tablolarda yanlış sunulma ihtimali olan karmaşık ilişkili taraf ağına sahiptir. İlk yıl denetimi olması sebebiyle ABC bu aşamada, XYZ işletmesi ve çevresi hakkında nispeten daha az anlayışa sahiptir. Bu nedenle yapısal risk “yüksek” olarak değerlendirilebilir.

Denetimde yer alan kontrol riski de yüksek görünmektedir, çünkü XYZ, kuruluşun mali yönleri konusunda yetkili bir denetim komitesi tarafından gözetim altında değildir. Ayrıca ABC’nin özellikle sıkı düzenlemeleri kontrol etmek amacıyla oluşturulan iç denetim birimi de mevcut değildir. Bu itibarla, şirketin kontrol riski de “yüksektir”.

ABC işletmesinin yapısal ve kontrol riskinin her birinin %60, arzu edilen denetim riski seviyesinin de %10 olduğu varsayıldığında, tespit edememe riski:

Denetim Riski = Yapısal Risk x Kontrol Riski x Tespit Edememe Riski (TER)

%10 =  %60 x %60 x TER

TER = 0.10/ (0.60 x 0.60)

TER = %27,8

Bu veriler ışığında ABC denetim şirketinin tespit edememe riskini %27,8 seviyesine çekmek için gerekli denetim prosedürlerini tasarlayıp uygulaması ve neticesinde yeterli ve uygun denetim kanıtı elde etmesi gerekmektedir.