Bu yayın, Uluslararası Denetim Standartlarının (UDS) belirli yönlerini uygularken teknolojinin etkisini vurgulamaktadır ve bir denetçinin Otomatik Araç ve Tekniklerin (ATT) faydalarından nasıl yararlanabileceğine odaklanmaktadır. Bu yayın özellikle aşağıdakileri maddeleri vurgulamaktadır:
1. Otomatik Araç ve Tekniklerin kullanımını içeren bir prosedürün, hem bir risk değerlendirme prosedürü olarak hem de ek bir denetim prosedürü olarak kullanılıp kullanılmayacağı,
2. UDS 520, Analitik Prosedürler uyarınca, analitik maddi doğrulama prosedürlerinin uygulanmasında Otomatik Araç ve Tekniklerin kullanımı hakkındaki belirli hususlar.
Otomatik Araç ve Teknikler Nedir?
Denetim prosedürleri, manuel veya otomatik olarak uygulanabilen bir dizi araç veya teknik kullanılarak gerçekleştirilebilir (ve çoğunlukla her ikisinin de kullanılması gerekebilir). Denetçiler otomatik araçlar ve teknikleri tanımlamak için uygulamada çeşitli terimler kullanılabilirler. Örneğin, risk değerlendirme prosedürleri uygulanırken veriler otomatik analitik prosedürlerin uygulanması veya veri analizi olarak adlandırılır.
Her ne kadar “Veri analizi” terimi bazen bu tür araçlar ve teknikler için kullanılsa da, bu terimin tek tip bir tanımı veya açıklaması yoktur. Bu çok kısıtlı bir terimdir, çünkü bugün denetim prosedürlerini tasarlarken ve uygularken kullanılan tüm yeni teknolojileri kapsamamaktadır. Ayrıca yapay zeka (AI) uygulamaları, robotik otomasyon süreçleri ve drone kullanımı gibi teknolojiler ve ilgili denetim uygulamaları gelişmeye devam edecektir. Bu nedenle, IAASB daha geniş bir tanım olan ‘otomatik araçlar ve teknikler’ terimini kullanmaktadır.
UDS’lerin Uygulanması: Otomatik Araç ve Tekniklerin Kullanımı
Denetçi, UDS’leri uygularken, denetim prosedürlerini manuel veya Otomatik Araç ve Teknik kullanarak tasarlayabilir ve uygulayabilir ve her iki teknik de etkili olabilir. Kullanılan araç ve tekniklere bakılmaksızın, bir denetçinin UDS’lere uyumlu olması gereklidir.
Belirli durumlarda, denetim kanıtı elde edildiğinde, bir denetçi, belirli denetim prosedürlerini uygulamak için Otomatik Araç ve Tekniklerin kullanılması, test edilmekte olan beyana göre daha ikna edici denetim kanıtı toplandığını belirtebilir. Diğer durumlarda ise, denetim prosedürlerinin uygulanması, Otomatik Araç ve Teknik kullanılmadan da etkili olabilir.
Teknoloji sürekli değişmektedir
Teknoloji ve denetime ilişkin yeni yaklaşımlar geliştikçe, belirli Otomatik Araç ve Tekniklerin uygunluğu ve bunların sağladığı avantajlar değişebilir.
1. Otomatik Araç ve Tekniklerin kullanımını içeren bir denetim prosedürü, hem bir risk değerlendirme prosedürü olarak hem de müteakip denetim prosedürü olarak hizmet edebilir mi?
Bir denetçi, beyan düzeyindeki önemli yanlışlıkları saptayabilen ve analitik maddi doğrulama prosedürü tanımını karşılayabilen, (örneğin, risk değerlendirme prosedürü1
1 UDS 315 (Revize 2019), Önemli Yanlışlık Risklerinin Belirlenmesi ve Değerlendirilmesi, paragraf 12 (j) ) önemli yanlışlık risklerini tanımlama ve değerlemenin bir parçası olarak denetim prosedürlerini uygulayabilir2
2 UDS 330, Değerlendirilmiş Riskler Karşısında Denetçinin Yapması Gerekenler paragraf 4(a) (örneğin, müteakip prosedür kategorisi)3
3 UDS 500, A10(b), Müteakip denetim prosedürleri aşağıdakilerden oluşur:
(i) Kontrol testleri (UDS’lerin bu testleri zorunlu tutması veya denetçinin bu testleri yapmayı tercih etmesi durumunda) ve,
(ii) Detay testlerini ve analitik maddi doğrulama prosedürlerini içeren maddi doğrulama prosedürleri.
Denetçiler, bir denetim prosedüründe, denetim kanıtı olarak kullanılabilecek bilgileri elde etmek amacıyla verileri işlemek, düzenlemek, yapılandırmak veya sunmak için Otomatik Araç ve Teknikleri kullanabilir. Hem risk değerlendirme prosedürleri hem de müteakip denetim prosedürleri denetim kanıtı sağlar. Bazı durumlarda denetçi, birden fazla denetim prosedürü türünün hedefini başarıyla tamamlamak için aynı Otomatik Araç ve Teknikleri ve aynı verileri kullanabilir.
Risk Değerlendirme Prosedürleri
Otomatik Araç ve Teknikler, önemli yanlışlık risklerini belirlemek veya değerlendirmek için verilerin analiz edilmesinde kullanılabilir. Bu işlem, tutarsızlıkları, beklenmedik işlemleri, olayları, miktarları, oranları ve trendleri tanımlayarak yapılabilir. Otomatik Araç ve Teknikler, denetçiye büyük veri setlerini işleme ve ayrıca çok çeşitli kaynaklardan gelen verileri değerlendirme fırsatı sağlayabilir. Bunu yaparken denetçi, önemli yanlışlık risklerine yol açabilecek olayların veya koşulların niteliği ve kapsamı da dahil olmak üzere, çevre hakkında daha derin ve daha ayrıntılı bir anlayış elde edebilir.
Müteakip Denetim Prosedürleri
Bir risk değerlendirme prosedürünü / prosedürlerini uygularken bir denetçi, çevre hakkında anlayış elde etmek için Otomatik Araç ve Teknikler kullanırken, müteakip denetim prosedürlerini tasarlamak ve uygulamak için aynı bilgileri kullanabilir. Bunun nasıl başarılabileceğini gösteren açıklayıcı bir örnek aşağıda yer almaktadır.
Açıklayıcı örnekler:
Bu örneğin amacı, aynı Otomatik Araç ve Tekniklerin ve aynı verilerin kullanımını içeren denetim prosedürlerinin, hem bir risk değerlendirme prosedürü hem de bir müteakip denetim prosedürü olarak hizmet edebileceğini göstermektir. Bu örneğin, işletmenin durumu ve koşulları dikkate alındığında, denetçinin değerlendirilen önemli yanlışlık risklerine yanıt verirken yeterli ve uygun denetim kanıtı elde etmek için uygulaması gerekebilecek müteakip prosedürleri sunmak amacında olmadığını unutmayınız. Ayrıca, bu örneğin amacı ile ilgili olmayan, açıklanan prosedürlere ilişkin tüm ayrıntıları da sağlamaz.
İşletmenin Durumu
Bu örnek, pil üreten ve satan bir işletme ile ilgilidir. Bu örneğin amaçları doğrultusunda, aşağıdakiler varsayılmaktadır:
İşletme hakkındaki varsayımlar
- Satış işlemlerinin işlenmesi ve kaydı tamamen otomatiktir;
- Gelirle ilgili tüm işlemler (önemli işlemler) aynı tüzel kişinin süreçlerine ve kontrollerine tabidir;
- Gelir, kontrol transferi gemide teslim noktasında gerçekleştiği zaman muhasebeleştirilir;
- Faturalama, ürün işletmenin deposundan gönderildiği gün gerçekleşir;
- Depo personeli genellikle hafta sonları çalışmaz;
- Ödeme, fatura tarihinden itibaren 30 gün içinde yapılmalıdır.
Denetim hakkındaki varsayımlar
- İlk planlama ve kapsam belirleme sırasında, gelir, önemli bir işlem sınıfı olarak belirlendi ve denetçi gelir işlemlerinin akışı hakkında fikir sahibi oldu.
- İlgili açıklamalar meydana gelme, doğruluk ve kesintidir.
- Gelirin tanımlanması varsayılan bir dolandırıcılık riskidir, bu dolandırıcılık riski inkar edilemez ve bu sebeple denetçi, gelirin oluşması, doğruluğu ve kesintisinin de önemli riskler olduğunu belirlemiştir.
- Bu denetim prosedürü, meydana gelme ve doğruluk açıklamalarını ele almayı amaçlamaktadır.
- Bu denetim prosedürünün amacı doğrultusunda, kontrol anlayışı temel alındığında, denetçi iddia düzeyindeki önemli yanlışlık riskleri üzerindeki ilgili kontrollerin etkin bir şekilde tasarlanarak uygulandığı sonucuna varmıştır.
- Denetçi, ilgili kontrolleri test etmiş ve etkin şekilde işlediklerine karar vermiştir.
- Denetçi, işletmenin geçerli finansal raporlama çerçevesinin hükümlerini uygun bir şekilde uyguladığından ve gelirin muhasebeleştirilmesi kriterlerinin uygun olduğundan emin olmuştur.
- İlgili gelir verilerinin tümü, işletmenin sisteminden çıkartılmıştır.
- Bu prosedürde (Örn: tarih, miktar, ürün kodu), kullanılan veri alanlarının, eksiksizlik ve doğruluk açısından test edilmiş olduğu, uygun olduğu ve verinin denetçinin amaçları için yeterince güvenilir olduğu belirlenir.
Örneklendirilmemiş olmasına rağmen denetçi, kesinti iddiasını ele almak için prosedürleri ve ilgili iddia düzeyinde hile riskini ele almak için özel prosedürleri ayrı ayrı uygular. Denetçi ayrıca nakit ve alacaklar üzerinde ayrı ayrı testler uygulamıştır.
Yüksek değerli olduğu belirlenen tüm öğeler, ayrı bir maddi doğrulama prosedürü yoluyla test edilmek üzere seçilmiştir ve bu prosedürün dışında tutulmuştur. Bu prosedüre tabi kalanlar, rutin, karmaşık olmayan işlemlerden oluşur.
Otomatik Araç ve Teknik İçeren Denetim Prosedürünün Tanımlanması
Bu prosedür yıl sonundan 45 gün sonra yapıldı. İşlemlerin yoğunluğu (örn: her satış işlemi) tüm işlemleri analiz eden ve bunları iki gruba ayıran bir Otomatik Araç ve Teknik prosedürüne tabi tutuldu.
Aşağıdaki kriterlerden birini veya birkaçını karşılamayan işlemler tek bir gruba yerleştirilmiştir (“Grup A”) (örn: Denetçinin yanlışlıkları tespit etmek için belirlediği beklentilerin karşılanmaması durumunda)
Kriter |
Test edilen ilgili beyan |
İşlem tarihi hafta sonu değildir |
Meydana geldi |
İşlem tarihi ve gönderim tarihi eşlemesi |
Meydana geldi |
Fatura tarihi ve gönderim tarihi eşlemesi |
Meydana geldi |
Fatura ve gönderim üzerindeki miktarlar ve ürün kodları |
Doğrulandı |
Fatura ve nakit makbuzundan toplam satışın eşleştirilmesi |
Meydana geldi ve doğrulandı |
Yukarıdaki kriterlerin tamamını karşılayan tüm diğer işlemler ikinci bir grupta (“Grup B”) yer aldı. Bu ATT prosedüründen ne tür denetim kanıtı elde edilmiştir?
ATT prosedürünün çıktıları |
Elde edilen kanıt |
A Grubu B Grubu |
A Grubu olarak gruplandırılmış işlemler, beklenen durum esas alınarak olağanüstü veya beklenmeyen olarak nitelendirilen işlemlerdir. Örneğin, denetçinin hafta sonu bekleyen işlemleri olmayacaktır; çünkü depo personeli genellikle hafta sonları çalışmaz. Denetçi, A grubundaki işlemleri soruştururken, gelir süreci konusunda daha derinlemesine bilgi edinebilir ve bunu yenilenen ve tekrarlanan risk değerlendirme sürecinin bir parçası olarak dikkate alabilir. Örneğin, denetçi, bazı müşterilerin işletmenin daha önce fatura kesmesini talep ettiği ve hazır olana kadar envanterde tuttuğunu öğrenir (bir fatura ve yapılmış bir sözleşme). Gelir, başlangıçtaki planlama ve kapsama alma sürecinde önemli bir işlem sınıfı olarak belirlenirken, ATT prosedürü, denetçinin A Grubuna yerleştirilen işlemlere ilişkin risk değerlendirmesine daha fazla bilgi verir. Meydana gelme ve doğruluk beyanları kapsamında, bu grupta yer alan işlemler, daha yüksek önemli yanlışlık riskine sahip olarak değerlendirilir. ATT kullanılarak uygulanan prosedürler A grubu için yeterince ikna edici denetim kanıtı sağlamaz, bunun yerine denetçinin risk değerlendirmesine daha fazla bilgi sağlar. Denetçi, A grubundaki kalemler için daha ikna edici denetim kanıtları elde etmek amacıyla maddi doğrulama prosedürlerini uygulayacaktır. B grubunda yer alan işlemler, olağanüstü veya beklenmedik özelliklerine sahip olmayan işlemlerdir (örneğin, tüm beklentileri karşıladılar). A Grubu ile ilgili denetçinin risk değerlendirmesi konusundan ayrı olarak, ATT prosedürleri, aşağıdakileri yaparak B Grubunun amaçları için maddi doğrulama prosedürü olmak için tasarlanmıştır: Prosedürün uygunluğu değerlendirilerek ve prosedürün oluşum ve doğruluk beyanlarına uygun olduğu belirlenerek Verinin güvenilirliği test edilerek ve verinin güvenilir olduğu tespit edilerek Beyan düzeyinde önemli yanlışlığı tespit etmek için yeterince kesin düzeyde olan bir kriter (işletmenin gerçek durumu esas alınarak) oluşturularak Denetim konusundaki varsayımlar göz önünde bulundurularak, denetim süresince uygulanan diğer denetim prosedürlerinin sonuçları, beyan edilen önemli yanlışlık riskine ilişkin çelişkili bilgi için değerlendirilecektir. |
Kilit Hususlar
Örnek, ATT’yi içeren bu prosedürün beklentiler dahilinde olan ve beklentilerin dışında kalan işlemleri ve her iki durumda da elde edilen kanıtları belirleyebildiği ilkesini göstermektedir.
Beklentilerin dışında kalan işlemler grubu için prosedür, denetçiye, beyan düzeyinde önemli yanlışlık risklerini belirlemesi ve değerlendirmesi için ek bilgiler sağlar ve bu nedenle bir risk değerlendirme prosedürüdür.
Örnek, eğer prosedür, beyan düzeyinde önemli yanlışlığı tespit etmek için tasarlanmışsa bunun maddi doğrulama prosedürü olduğunu da göstermektedir. Örnek sıfır toleransa izin verirken (örneğin, “eşleşiyor” mu “eşleşmiyor” mu), prosedür beyan düzeyinde önemli yanlışlığı tespit etmek
için tasarlandığı sürece, tolerans farklılıklarının düzeyi için kriter düzenlenebilir.
UDS 520’ye göre analitik maddi doğrulama prosedürleri tasarlanırken ve uygulanırken ATT kullanıldığında göz önünde bulundurulması gerekenler nelerdir(4)?
Analitik maddi doğrulama prosedürleri, genel olarak zaman içinde tahmin edilebilir olma eğilimi gösteren yüksek hacimli işlemler için daha uygulanabilir niteliktedir5. Veri kaynaklarının sayısı ve çeşitliliğindeki artışla birlikte teknolojinin evrimi, denetçinin analitik maddi doğrulama prosedürlerini uygularken ATT’yi kullanması için daha fazla fırsat yaratabilir. Analitik maddi doğrulama prosedürlerinin tasarımı ve uygulanması ile ilgili olan UDS 520’nin yükümlülüklerini yerine getirirken, ATT’nin kullanımına ilişkin bazı göz önünde bulundurulması gereken husus vardır.
Otomatik Araçlar ve Teknikler (ATT) Kullanıldığında Verinin Güvenilirliğinin Değerlendirilmesi
Veriler bir analitik prosedürün tasarlandığı ve uygulandığı temeller olması sebebiyle verinin güvenilirliği önemlidir. Verilerin güvenilirliği, verilerin kaynağından ve niteliğinden etkilenir ve verilerin elde edildikleri durumlara bağlıdır(6). Teknolojinin evrimi ile birlikte sayısız bilgi vardır (örneğin, sosyal medya, açık veri) ve bazıları diğerlerinden daha güvenilirdir. Analitik maddi doğrulama prosedürlerini uygulamak için ATT’nin kullanımı (bazen denetim veri analitikleri olarak ifade edilir) denetçinin işletmenin hem içinden hem de dışından daha fazla kaynaktan bilgileri birleştirmesine ve ayrıca analizlerde çok daha büyük hacimli verileri kullanmasına olanak tanır. Yine de denetçinin analitik maddi doğrulama prosedürlerinde kullanılan verinin güvenilirliğini değerlendirme sorumluluğu7 değişmez.
4 UDS 520, paragraf 5
5 UDS 520, paragraf A6
6 UDS 520, paragraf A12
ATT kullanılırken beklentinin kesinliğinin değerlendirilmesi
Analitik maddi doğrulama prosedürleri uygulanırken, denetçiler, bir yanlışlığın diğer yanlışlıklarla birlikte, finansal tablolarda önemli bir yanlışlığa sebep olabileceğini belirlemek için yeterince kesin bir beklenti gelişir(8). Analitik maddi doğrulama prosedürleri uygulanırken ATT’nin kullanımı aşağıdakilerin neden olduğu daha kesin bir yanlışlığı tespit etmek için bir beklenti geliştirmelerine olanak sağlayabilir:
- Otomatik araçlar ve tekniklerin (ATT) kullanımı, daha detaylı bir düzeyde çıkarılacak ve analiz edilecek tüm popülasyonu içeren işlemlerin çeşitli özelliklerine (yani veri alanlarına) izin verebilir.
7 UDS 520, paragraf 5(b)
8 UDS 520, paragraf 5(c)
- Otomatik Araçlar ve Tekniklerin (ATT) veriyi bölümlere ve nitelik düzeylerine ayırabilmesi (örneğin, özel veri alanlarında “detaylandırma”) ve
- Denetçilerin muhtemelen daha kesin bir beklenti geliştirmeleri için veriler arasında çeşitli ve daha fazla ilişkiyi tespit etmelerine olanak sağlayan Otomatik Araçlar ve Tekniklerin (ATT) verileri dinamik bir şekilde görselleştirme yeteneği.
UDS 520’nin yükümlülükleri uygulanırken göz önünde bulundurulması gereken diğer hususlar
Bir analitik maddi doğrulama prosedürünü uygulamak için ATT’nin kullanılıp kullanılmadığı, beyan düzeyinde önemli yanlışlık riskleri göz önünde bulundurularak değerlendirmenin nedenleri de dahil olmak üzere test edilmekte olan beyanları anlamak da önemlidir. Çünkü denetçilerin verilen beyanlar için belirli bir analitik maddi doğrulama prosedürünün uygunluğunu belirlemesi gerekli kılınır9.
ATT’nin kullanılması denetçinin daha kesin beklenti (ler) geliştirmesine olanak sağlarken, beklenen değerlerle kayıtlı tutarlar arasındaki kabul edilebilir tutar farklarını10 analitik maddi doğrulama prosedürlerinin nasıl uygulandığına bakılmaksızın aynıdır.
9 UDS 520, paragraf 5(a)
10 UDS 520, paragraf 5(d)
Türmob