Günümüze damgasını vuran teknolojik gelişmelerin, denetim dünyası üzerindeki etkisi de gün gittikçe artmaktadır. Bir taraftan şirketler organizasyon yapıları ülke veya dünya sathına yayılmış, işlem hacimleri ile tutarları önemli miktarda artmış ve daha karmaşık bir yapıya bürünmüştür. Diğer taraftan süreçlerinin önemli bir kısmının bilgisayar teknolojisi ile desteklenmesi hem zorunluluk, hem de etkin yönetimin bir unsuru haline gelmiştir.
Düzenleyici ve denetleyici kuruluşların talepleri, halka açık şirketlerde ilgili taraflara karşı yükümlülükler şirketlerin mali tablolarını tam, doğru, zamanında ve yasal uygunluk çerçevesinde çıkartılması ile ilgili sorumluluklar, üst yönetimlerin, düzenleyici ve denetleyici kurumların, denetim birimlerinden beklentilerini artırmıştır.
Şirket iç ve dışı risklerinin değerlendirilmesi, çözümlerin üretilmesi ve makul güvencenin sağlanabilmesi için denetim birimlerine önemli görevler verilmeye başlanmıştır. Denetim birimlerinin beklentilere karşılık verebilmesi, hızlı ve anlamlı sonuçlar üretebilmesi için, bilgisayar teknolojisinden yararlanması zorunlu hale gelmiştir. Denetimde teknolojik desteğin yoğun kullanıldığı en nihai çözüm Sürekli Denetim Sistemi’dir (SDS).
SDS, teknolojik imkânlardan yararlanarak otomatik metotlarla belirli bir aralıkta düzenli ve sürekli olarak IT sistemlerinin, mali verilerin oluşumunu sağlayan en detay işlemlerin ve süreçlerin izlemesi, kontrol ve risk değerlendirmelerinin yapılması olarak tanımlanabilir.
Bu alandaki ilk çalışmalar 1990 başlarında AT&T, Siemens, HCA Inc., Unibanco, New York Federal Reserve, ve IBM’de yapılmıştır. Günümüz de denetim birimlerince uygulama, üniversitelerde tartışma, arayış ve çalışmalar devam etmektedir.
Sistemin hayata geçirilmesinde önemli zorluklar vardır. Ancak hayata geçirildiğinde de klasik denetim anlayışlarını yerle bir edecek ve terk edilmesini sağlayacak kadar önemli sonuçlar elde edilmektedir. Bu sistemde örneklemlerle çalışılmaz. Gerçek zamanlı tüm veriler ile çalışıldığı için “şirketlerin gerçek dünya”sına ulaşma imkânı elde edilir. Bu yolla, sadece potansiyel riskler ve bunların muhtemel etkilerini değil, aynı zamanda realize olmuş risklerin matematiksel büyüklükleri görülebilmekte, sorunların yaşandığı alanları noktasal olarak tespit edip, çözümler geliştirilebilmektedir. Süreçlerde tespit edilen hatalar süreç değişmedikçe üretilmeye devam edecektir. Bu itibarla yapılan analizler ile süreçlerdeki risk ve kontrol zafiyetinin gelecekte yol açacağı sorunlar ve bunların matematiksel büyüklükleri önceden görülebilmektedir. Bu bir anlamda geçmişi anlayıp, günü değerlendirip geleceğe ilişkin değerlendirme yapılabilmektir. Geleceği bugünden denetlemektir.
Denetimde etkili sonuçlar almak istiyorsak, risk esasına dayalı süreç denetimlerini, kapsamlı veri analizleri ile desteklemek zorundayız. Aksi halde birkaç örneklem üzerinde çalışıp istatistik biliminin efsunlu formülleri arkasında sığınarak gerçeği ortaya çıkarma şansımız son derece düşüktür. Bu tarz yaklaşımlarda pınar başında susuz ölme riskimiz vardır.
SDS’nin kurulması ve yönetilmesinin önünde önemli zorluklar bulunur. Sürece ve veriye hâkim değilsek veriyi almak, analiz etmek ve yönetmek bir kâbusa dönüşür. Denetim faaliyeti gerçeği arama yolculuğudur. Bu yolcuğun araçları ve yöntemleri farklılaşabilir. Aranan bilgilerin önemli bir kısmı elektronik ortamda bulunabilmektedir. Bu itibarla sistem ve süreçleri iyi anlayıp, doğru araçlarla denetim faaliyetlerini sonuçlandırmak gerekir. Söz konusu zorlukların kararlılıkla ve sistematik modeller geliştirerek aşılması sistemden elde edilecek faydalara ulaşılmasını sağlayacaktır.
SDS’nin kullanılabileceği alanlar, bu sistemin faydaları ve başarılı bir uygulama için ne yapılması gerektiği konularını birkaç başlık altında açıklamaya çalışalım.
SDS’nin kullanılacağı alanlar
.Gelir, mali raporlama, şüpheli alacak başta olmak üzere risk tabanlı süreç denetimleri,
.Log analizleri,
.Fraud Denetimleri
.Özellikle mantıksal erişim kontrolleri, uygulama kontrolleri (application control) ve veri tabanı yönetimi kontrolleri başta olmak üzere bilişim sistemleri denetimleri,
.Veri kalitesinin iyileştirilmesi projeleri.
SDS’nin faydaları
.Denetime esas riskli alanların belirlenmesi,
.Denetim faaliyetlerinin geniş kapsamlı olarak yapılabilmesi,
.Off-line çalışan sistemlerin birbirleri ile konuşan sistemler hale getirilmesi,
.Süreçlerdeki kontrol mekanizmalarındaki iyileşmelerin veya bozulmaların izlenebilmesi,
.Risklerin realize olması halinde ortaya çıkan zararın matematiksel büyüklüğünün belirlenmesi,
.Finansal verilerin güvenirliliğinin artırılması,
.Potansiyel yolsuzlukların ve finansal hataların azaltılması,
.Yasal uyumluluğun sağlanmasına katkıda bulunulması,
.Erken uyarı sistemi olarak kullanılabilmesi,
.Denetçilerin yetkinliklerinin artırılması,
.Gelecekte yaşanabilecek olumsuzlukların bugünden öngörülebilmesi,
.Yıl sonu denetimlerinden yılı içi denetime geçilmesinin sağlanması,
.Gerçek zamanlı gerekli tüm veriler ile çalışılması,
.Örneklem riskinin ortadan kaldırılması,
.Denetimlerin ve kontrollerin otomatikleştirilmesi,
.Hızlı kurulum ve kısa süre içerisinde yapılan yatırımın geri dönüşünün sağlanması,
.Hızlı, doğru ve anlamlı sonuçlar üreterek zaman, personel ve maliyet tasarrufu yapılması,
.Sorunların tespiti ve çözüm önerilerinin hızla geliştirilmesi, alınan aksiyon planlarının sonuçlarının takip edilmesi ve izlenmesi.
Başarılı SDS’nin kurulumunda kritik aşamalar
Sistemin başarıyla kurulması için projenin iyi planlanması ve yürütülmesi gerekmektedir. Üst yönetimin veya denetim komitesinin desteğinin sağlanması bu anlamda kritik bir önem taşımaktadır.
Hazırlık aşaması
.Denetim gereksinim ve amaçlarının ortaya konması,
.Kurumun denetim planı ve risk değerlendirmelerine paralel çalışma planının ortaya çıkartılması,
.İlgili birim yöneticileri ile görüşülmesi ve desteklerinin sağlanması,
.Gerekli teknolojik çözümlerin, yazılım ve donanım ihtiyacının ortaya çıkartılması ve temin edilmesi,
.Uzman ihtiyacının belirlenmesi ve temin edilmesi,
.Veri kaynaklarının üretildiği sistemlerin belirlenmesi ve veri yapılarının analiz edilmesi,
.Veri ihtiyacının belirlenmesi ve veri erişiminin sağlanması,
.Gerekli denetim ekibinin oluşturulması ve yetiştirilmesi,
.Sistemleri kullanacak olanların, erişim rol ve yetkilerinin tanımlanması.
Uygulama aşaması
.Denetlenecek iş süreçlerinin anlaşılması, gerektiğinde çıkartılması, risk ve kontrol noktalarının belirlenmesi,
.Gerekli denetim programlarının ve analiz yapılacak senaryoların hazırlanması,
.Denetim veri tabanı mimarisinin oluşturulması,
.Verilerin denetim veri tabanına transfer edilmesi ve doğruluğunun/tutarlılığının kontrolü,
.Denetim kütüphanelerinin oluşturulması,
.İlgili raporların üretimine ilişkin dönemlerin belirlenmesi,
.Kontrollerin belirli aralıklarla işletilmesi,
.Rapor, istatistiki bilgi ve alarmların üretilmesi, sonuçlarının paylaşılması,
.Bunların üst yönetimin ve denetim komitesinin anlayacağı görsel ve grafiksel ortama aktarılması,
İzleme ve revize etme
.Gerekli veri transferlerinin tam doğru ve zamanında gerçekleştirilip gerçekleştirilmediğinin izlenmesi,
.Senaryolar ve analizlerin revize edilmesi,
.Raporların üst yönetimle paylaşılması,
.Bilgi güvenliğinin sağlandığının kontrol edilmesi,
Sistemin doğru kurulumu açısından, sistemlerden veri transferinin raporlar şeklinde değil, ham veriler üzerinde yapılmalıdır. Canlı sistemler üzerinde analizlerin yapılması tercih edilmemelidir.
Denetim birimleri kritik karar alma mekanizmasının asli bir unsuru haline gelebilmelidir. Denetim tarafından doğrulanmış bilgiler, tespit edilen sorunlar ve geliştirilmiş çözüm önerileri ile çalışan üst yönetimler daha sağlıklı karar alma mekanizmalarını işleteceklerdir. Bunun sürekli ve düzenli olarak yapılması bilgi hâkimiyetine bağlıdır. Bilgi süreçlerde ve verilerdedir. Süreç değerlendirme ve bilgi analizinin düzenli ve sürekli olarak yapılması, metodolojinin geliştirilmesine bağlıdır. Bu metodoloji de SDS’dir. Başka bir ifade ile pınar başında susuz ölmek istemeyen ve büyük verilerle çalışmak zorunda olan denetim birimlerinin en önemli çözüm yollarından birisi sürekli denetim sistemidir.
Not: Bu makale ilk defa, 20.07.2009 tarihinde Dünya Gazetesi’nde yayımlanmıştır. Güncelliğini korumaktadır.