‘Risk Değerlendirmesine İlişkin Yeni Denetim Standartları’ Üzerine*

1. Risk Değerlendirmesine İlişkin Yeni Denetim Standartları

Amerikan Sertifikalı Kamu Muhasipleri ya da Yeminli Mali Müşavirler (YMM) Enstitüsü’nün (American Institute of Certified Public Accountants-AICPA) bünyesindeki Denetim Standartları Kurulu, 12 Ekim 2021 tarihinde, ‘önemli hata/yanlışlık’ risklerini (risks of material misstatement) belirleme ve değerlendirmeye yönelik koşulları ve rehberliği geliştiren revize edilmiş denetim standartları yayınladı. Yeni kılavuz özellikle bir şirketin iç kontrol ve bilgi teknolojisi sistemini ele almaktadır.

“Önemli Hata/Yanlışlık Risklerinin Değerlendirilmesi ile İşletme ve Çerçevesinin Anlaşılması” (Understanding the Entity and Its Environment and Assessing the Risks of Material Misstatement) başlıklı Denetim Standartlarına İlişkin 145 no.lu Açıklama (Statement on Auditing Standards-SAS), tadil edildiği şekliyle Denetim Standartlarına İlişkin 122 no.lu Açıklamanın, aynı başlıktaki AU-C (denetim maddeleri; auditing-AU) madde 315’in yerine geçmekte ve AICPA Profesyonel Standartlarındaki çeşitli AU-C bölümlerini değiştirmektedir.

Bu yeni standart, 15 Aralık 2023 ve sonrasında sona eren dönemlere ait mali tabloların denetiminde yürürlüğe girecektir. AICPA Baş Denetçisi Jennifer Burns’ın bu konudaki değerlendirmesi şöyledir: “Denetçinin risk değerlendirmesi, denetimin neredeyse her aşamasını yönlendirir. Sonuç olarak, risk değerlendirmesi denetim kalitesinin merkezinde yer alır. Denetim Standartlarına İlişkin 145 no.lu Açıklama, işin gelişen doğasını göz önünde bulundururken önemli hata risklerinin belirlenmesi ve değerlendirilmesinde ilave netlik ve rehberlik sağlayarak kalite denetimlerinin performansını destekler.”

Anılan standart aynı zamanda önemli risk tanımını da revize etmiş olup, böylece denetçiler risklerin doğal bir risk yelpazesinde nerede olduğuna odaklanacaklardır.

Önemli risk (significant risk), doğal/içsel risk değerlendirmesinin, içsel risk faktörlerinin bir hatanın/yanlışlığın meydana gelme olasılığının kombinasyonunu etkileme derecesi ve o yanlışlığın meydana gelmesi veya diğer AU-C bölümlerinin koşullarına uygun olarak önemli bir risk olarak ele alınması gereken potansiyel yanlışlığın büyüklüğü nedeniyle yapısal risk yelpazesinin üst ucuna yakın olduğu önemli hata/yanlışlık riski olarak tanımlanır.

Dolayısıyla, doğal/içsel risk (inherent risk) yelpazesinde bir riskin değerlendirilmesi ne kadar yüksekse, denetim kanıtının o kadar ikna edici olması gerekir. Denetim Standartlarına İlişkin 145 no.lu Açıklama, tanımın daha tutarlı bir yaklaşımı desteklemek için değiştirildiğini belirtmektedir. Daha önce, bir riskin özel denetim değerlendirmesi gerektirip gerektirmediğine, yani etkilenmeye (response) odaklanılmıştı. Nihai standart artık denetçinin mali tablo seviyesindeki bir riskin önemli bir risk olup olmadığını belirlemesini gerektirmez. Bununla birlikte, mezkûr standart, mali tablo düzeyinde belirlenen “önemli hata/yanlışlık” risklerinin, denetçinin beyan düzeyindeki önemli risklere ilişkin değerlendirmesini etkileyebileceğini belirtmektedir. Denetim Standartlarına İlişkin 145 no.lu Açıklama, bir riskin önemli bir risk olup olmadığının belirlenmesinin profesyonel muhakemenin kullanılmasını gerektirdiğini kabul eder. AU-C bölüm 330, riskin doğası ve risk ile ilgili hatanın olasılığı ve potansiyel büyüklüğü nedeniyle, önemli riskler ile ilgili özel koşullar şeklinde özel denetim hususlarını içermeye devam etmektedir.

AICPA, Denetim Standartlarına İlişkin 145 no.lu Açıklamanın, denetçiler önemli işlem sınıflarının, hesap bakiyelerinin ve açıklamaların tanımlanmasının eksiksizliğini değerlendirdiklerinde yeni bir “geri çekilme” koşulu (stand-back requirement) içerdiğini söylemektedir. Denetçiler, önemli işlem türlerinin, hesap bakiyelerinin veya açıklamaların önemli olmadığına karar verirse, bu yeni standart, denetçinin kararının uygun olup olmadığını değerlendirmesini gerektirmektedir.

Denetim Standartlarına İlişkin 145 no.lu Açıklama, “önemliliğin finansal tablolar bağlamında” olduğunu ifade etmektedir. “Buna göre; işlem türleri, hesap bakiyeleri veya açıklamalar, bunlarla ilgili bilgilerin atlanması, yanlış beyan edilmesi veya karartılmasının, makul bir kullanıcının finansal tablolara dayalı olarak vereceği muhakemeyi etkileme olasılığının önemli olması durumunda önemlidir.”

Yeni standart, diğer şeylerin yanı sıra, şunları içermektedir:

  • Kontrol faaliyetleri bileşeni içindeki belirli kontrollerin tasarımını değerlendirmek ve bu tür kontrollerin uygulanıp uygulanmadığını belirlemek için revize edilmiş koşullar.
  • Yapısal risk ve kontrol riskini ayrı ayrı değerlendirmeye ilişkin yeni koşul.
  • Kontrol riskinin maksimum düzeyde değerlendirilmesine ilişkin yeni koşul ki, denetçinin kontrollerin işleyiş etkinliğini test etmeyi planlamaması durumunda, “önemli hata” riskinin değerlendirilmesi yapısal riskin değerlendirilmesiyle aynıdır.
  • Ölçeklenebilirlik konusunda yeni rehberlik.
  • Denetim belgelerine ilişkin revize edilmiş koşullar.
  • Değerlendirilen kontrol riski düzeyine bakılmaksızın, her bir önemli işlem türünün, hesap bakiyesinin ve açıklamanın ilgili her bir beyanı için maddi doğrulama prosedürlerini uygulamaya uygun bir değişiklik.

2. Denetim Standartlarına İlişkin 145 no.lu Açıklama Minvalinde Risk Değerlendirmesine Daha Yakından Bakmak

2.1. Genel olarak

Her denetimin özünde, bir şirketin finansal durumu üzerindeki potansiyel etkisi göz önüne alındığında kritik önem taşıyan “önemli hata/yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi yer alır. Bir şirketin mali tablolarının önemli hata içerip içermediği konusunda makul güvence sağlamadaki rollerinin önemini anlayan denetçiler arasında bu önem hafife alınmaz. Buna rağmen, son emsal değerlendirmesi yorumlarının %25’i önemli hata riskini anlama ve/veya belgeleme başarısızlığı ile ilgili olmuştur.

AICPA Denetim Standartları Kurulu (Auditing Standards Board-ASB), yukarıda belirtildiği üzere, risk değerlendirmelerindeki boşlukları gidermek ve genel denetim kalitesini iyileştirmek amacıyla, 15 Aralık 2023 tarihinde veya bu tarihten sonra sona eren dönemlere ait mali tabloların denetiminde yürürlüğe girecek olan Önemli Hata/Yanlışlık Risklerinin Değerlendirilmesi ile İşletme ve Çerçevesinin Anlaşılması” başlıklı Denetim Standartlarına İlişkin 145 no.lu Açıklamayı yayımlamış olup; Denetim Standartlarına İlişkin 145 no.lu Açıklama, AU-C 315A’daki mevcut kılavuzun yerini almış ve risk değerlendirmesi ve kontrol riskinin değerlendirilmesi ile ilgili diğer bölümleri değiştirmiştir.

Denetim Standartlarına İlişkin 145 no.lu Açıklama, yeni standartlara eşlik eden Yönetici Özetinde açıklandığı gibi “denetim riskinin temelini oluşturan temel kavramları temelden değiştirmemekte”, ancak “önemli hata/yanlışlık” risklerinin belirlenmesi ve değerlendirilmesine ilişkin hususları geliştirmekte ve netleştirmektedir.

Bu yeni kılavuz bir şirketin iç kontrol ve bilgi teknolojisi sistemini ele almakta; ayrıca önemli risk tanımını da gözden geçirerek, denetçilerin doğal risk yelpazesinde risklerin nerede bulunduğuna odaklanmalarını sağlamaktadır.

Denetçilerin, uyumluluğu sağlamak ve genel denetim kalitesini daha da iyileştirmek için yaklaşan değişikliklerden ve Denetim Standartlarına İlişkin 145 no.lu Açıklamanın nasıl uygulanacağından haberdar olmaları önemlidir. Bu bölümde Denetim Standartlarına İlişkin 145 no.lu Açıklamadaki bazı değişikliklere daha yakından bakılacaktır.

2.2. Yeni ‘önemli risk’ tanımı

Denetçiler, tarihsel olarak, önemli riskleri özel denetim değerlendirmesi gerektiren riskler olarak düşünmüşlerdir. Başka bir deyişle, bir riske verdikleri tepki (response), riskin önemli olup olmadığını belirledi. Buradaki sorun tutarlılık eksikliğiydi.

Daha tutarlı bir yaklaşımı teşvik etme çabasıyla, yeni standartta artık riskin kendisine odaklanmak için önemli risk tanımı revize ediliyor. Yönetici Özetinde açıklandığı gibi, Denetim Standartlarına İlişkin 145 no.lu Açıklamadaki tanım, yapısal riskin değerlendirilmesinin, içsel risk faktörlerinin bir yanlışlığın meydana gelme olasılığı kombinasyonunu ve bu yanlışlığın meydana gelmesi durumunda potansiyel yanlışlığın büyüklüğünü etkileme derecesi nedeniyle yapısal risk yelpazesinin üst ucuna yakın olduğu risklere odaklanmaktadır. Önemli riskin önceki tanımı ise, riskin kendisinden ziyade riske verilecek tepkiye odaklanıyordu.

Bu, önemli bir riskin artık özel değerlendirme gerektirmediği anlamına gelmez ki, zaten öyledir. Denetçilerin, hâlâ önemli risklere uygun şekilde tepki vermesi ve riskin üst yönetimden sorumlu olanlara iletilmesi ve ilgili iç kontrollerin tasarımını ve uygulanmasını test etmesi gibi standartların koşullarını uygulaması gerekmektedir. Uygulamacılar, önemli riskin yeni tanımının esasen bir ‘zihniyet değişikliği’ (change in mindset) olduğunu belirtmektedirler.

2.3. Doğal risk ve doğal risk yelpazesi

Denetçiler, doğal risk değerlendirmelerini çok sık olarak yanlış sonuçlara dayandırırlar. Doğal risk, denetimin kapsamını doğrudan etkiler ve doğal riskin yanlış yapılması, aşırı denetim veya eksikliklerle sonuçlanacaktır. Bu nedenle, bir iddianın önemli olabilecek bir hataya açık olduğuna karar verirken, doğal riski tek başına dikkate almak önemlidir.

Denetim Standartlarına İlişkin 145 no.lu Açıklamada ‘doğal risk’ (inherent risk) “kontrollerin değerlendirilmesinden önce, bir işlem türü, hesap bakiyesi veya açıklama hakkındaki bir beyanın, hile veya hatadan kaynaklanan yanlışlığa yatkınlığını etkileyen olay veya koşulların özellikleri” şeklinde tanımlanmıştır.

Bir iddianın doğasında var olan risk dikkate alınırken, hata olasılığını belirlemek için aşağıdaki faktörlerin kullanılması önemlidir:

  • Karmaşıklık (complexity);
  • Öznellik (subjectivity);
  • Değişiklik (change);
  • Belirsizlik (uncertainty),
  • Yönetimin önyargısı veya diğer hile risk faktörleri nedeniyle yanlış beyana yatkınlık (susceptibility to misstatement due to management bias or other fraud risk factors).

Doğal risk faktörlerinin, bir iddianın yanlışlığa yatkınlığını etkileme derecesine bağlı olarak, içsel risk seviyesi, içsel risk spektrumu (yanlışlığın olasılığının ve büyüklüğünün kesişimi) olarak bilinen bir ölçekte değişiklik gösterecektir. Dolayısıyla, potansiyel yanlışlık önemliyse ve risk, doğal risk yelpazesinde daha yüksekse, o zaman önemli bir risk vardır. Düzgün bir şekilde yapıldığında, firmalar tanımlanmış ve değerlendirilmiş riske daha odaklı bir yanıttan ve genel olarak daha yüksek kaliteli bir denetimden faydalanacaktır.

2.4. Kontrol riskinin maksimum düzeyde değerlendirilmesi

Kontrol yapısından bağımsız olarak kontrol riskini yüksek veya maksimum olarak ayarlamak yaygın bir denetim uygulamasıdır. Bu seçenek, denetim uygulama yardımlarına ve denetim yöntemine zaten yerleştirilmiştir. Denetim Standartlarına İlişkin 145 no.lu Açıklama kapsamında bazı değişiklikler beklenmektedir.

Firmalar kontrol riskini yüksek veya maksimum olarak belirlediklerinde, bunun nedeni genellikle tamamen maddi bir denetim yaklaşımı planlamalarıdır. Denetçi kontrollerin işleyiş etkinliğini test etmezse, standart kontrol riskini maksimum düzeyde değerlendirmelerini zorunlu kılar ve artık bu tür durumlarda “önemli hata/yanlışlık” riskine ilişkin birleşik değerlendirmenin doğal/içsel risk değerlendirmeyle aynı olduğuna açıklık getirir. Bu nedenle, denetçi tamamen maddi bir yaklaşım kullanıyorsa, doğal bir risk değerlendirmesi kritik öneme sahiptir. Neden? Uygulamacılara göre, standart uygulama kontrol riskini yüksek veya maksimum olarak ayarlamaksa, yanlış doğal/içsel risk alma aşırı denetim veya eksikliklerle sonuçlanacaktır. Bu nedenle doğal riske daha fazla odaklanılmaktadır.

Kontroller tasarımı ve uygulanmasının hâlâ önemli olduğunu unutmamak önemlidir. Gözden geçirmeler de hâlâ önemlidir. Örneğin, gözden geçirme, görevler ayrılığı eksikliğini ortaya çıkarırsa, o zaman daha somut sonuçlar gerekli olabilir. Ancak yine de, denetçiler tamamen maddi bir yaklaşım kullanıyorsa, doğal risk değerlendirmesinin kritik olduğu unutulmamalıdır.

Beri yandan, etkililik için bir kontrol testi daha düşük bir kontrol riskini destekliyorsa, denetçiler değerlendirmeyi maksimumun altına getirebilir. Başka bir deyişle, maksimum seviyenin altındaki bir kontrol risk değerlendirmesini desteklemek için kontrollerin işleyiş etkinliğine ilişkin testler zorunludur.

3. Sonuç

Denetim Standartlarına İlişkin 145 no.lu Açıklama, denetim risk değerlendirmesinin temel kavramlarını temelden değiştirmeyebilir, ancak denetim mesleği üzerindeki etkisi şüphesiz önemlidir.

Değişimi yönetmek, herhangi bir firma için zorlu bir görev olabilir; ancak firmaların değişimi yönetmek ve zorlukların üstesinden gelmek için kullanabilecekleri etkili stratejiler bulunmaktadır. Sektör uzmanlarından rehberlik ve ortaklık aramanın yanı sıra, sektördeki değişiklikleri belirlemeye ve bunlara uyum sağlamaya yönelik proaktif bir yaklaşıma sahip olmak çok önemlidir. İşbirlikçi bir yaklaşım benimseyerek, firma değişimi başarılı bir şekilde yönetebilir ve çağın ilerisinde kalabilir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.