Posted on

Denetim: Kavram ve Türleri*

Giriş

Denetim [auditing], kuruluşlardaki finansal, operasyonel ve stratejik hedef ve süreçlerin, belirtilen ilkelere uygunluğunun yanı sıra örgütsel ve daha da önemlisi düzenleyici koşullara uygun olup olmadığını belirlemek amacıyla değerlendirilmesi ve tespit edilmesi sürecidir.

Nitekim yukarıda da değinildiği gibi denetimin amaçları arasında düzenleyici normlara, kurallara ve düzenlemelere uyum sağlamak, denetimin arkasındaki itici güçlerden biridir ve tarihsel ve geleneksel olarak kuruluşların finansal tablolarını, operasyonel süreçlerini ve stratejik zorunluluklarını denetlemelerinin başlıca nedeni olmuştur.

Çeşitli denetim türleri arasında, finansal denetim en popüler olanıdır, bunu operasyonel ve stratejik denetimler ve buna ek olarak Bilgi Teknolojisi denetimlerinin ortaya çıkan uygulaması takip eder. Dahası, bir süreç olarak denetim artık dünya çapında o kadar rutin ve zorunlu hale gelmiştir ki, kuruluşlar yasal defterlerinin ve süreçlerinin hem iç hem de dış denetçiler tarafından denetlenmesi için oldukça fazla zaman harcamaktadır.

  1. İç Denetim

İç denetim [internal audit], kuruluşun dâhili süreçlerine, normlarına, kurallarına ve düzenlemelerine uyup uymadığını değerlendirmek ve düzenleyici normlara uygun olup olmadığını belirlemek amacıyla kuruluş içindeki çalışanlar ve paydaşlar tarafından yapılan denetimleri ifade eder.

Aslında, iç denetim bazen kuruluşların muhasebe defterlerinin, operasyonel süreçlerinin ve Bilgi Teknolojisi altyapısı ile güvenlik protokollerinin hem iç hedeflerle, hem stratejik zorunluluklarla hem de dış düzenleyici yükümlülüklerle uyumlu olup olmadığını belirlemek için yaptıkları ilk kontrol noktalarıdır.

Bununla birlikte, iç denetime dış denetime göre daha fazla önem verilmemesinin nedeninin, iç denetimin kurum içindeki çalışanlar ve bireyler tarafından yapılması nedeniyle, “örtbas etme” eğiliminin yanı sıra objektiflikten ve titizlikten uzak olması nedeniyle dış denetimlerin çoğu zaman daha güvenilir olarak kabul edilmesi olduğu belirtilmelidir.

İç denetimin rolü, bir kuruluşun risk yönetimi, kurumsal yönetişimi ve iç kontrol süreçlerinin etkili bir şekilde işlediğine dair bağımsız ve nesnel bir güvence ve böylece kuruluşun hedeflerine ulaşmasını sağlamaktır.

  • İç denetim, kuruluşların operasyonlarını;
  • Risk yönetimi, kurumsal yönetişim ve kontrol süreçlerinin değerlendirilmesi;
  • Dâhili kontrollerin yeterli olduğundan emin olunması,
  • Kalite, etik, ekonomi, verimlilik ve kontrollerin değerlendirilmesi ve
  • Bilgi ve görüşlerin açık ve doğru bir şekilde iletilmesi

yönünde iyileştirmelerine yardımcı olabilir.

Herkes denetçileri duymuştur ve çoğu kişi için bu, teknik olarak dış denetim olarak bilinen şey anlamına gelecektir. Dış denetçiler, finansal tabloların bir organizasyonun finansal durumu hakkında gerçek ve adil bir görüş sağladığından emin olmak için finansal hesapları analiz ve test eder. Adından da anlaşılacağı gibi, bu denetçiler hesapları denetlenen organizasyonun içinden değil dışından olmalıdır. Bu nedenle iç denetçiler kuruluşların finansal hesaplarını denetlemezler, ancak dış denetim sürecinde yer alan kurumsal yönetişim veya risk kontrollerini denetleyebilirler.

İç denetimde, bağımsız risk değerlendirmeleri yapılır ve bu riskleri yönetmek ve azaltmak için uygulanan kontrollerin ve önlemlerin etkili olduğuna dair bağımsız güvence sağlanır. İç denetimin, daha fazla hesap verebilirlik, şeffaflık, etkili risk yönetimi ve iyi kurumsal yönetişimi teşvik etmedeki rolü ve değeri, ekonominin tüm sektörlerinde sürdürülebilir ekonomik büyümeyi ve servet yaratımını desteklemeye yardımcı olur. İç denetim fonksiyonlarını güçlendiren girişimleri desteklemek, tüm sektörlerde iyileştirmeleri teşvik ederek yatırımların ve işlerin korunmasına ve dayanıklı ve müreffeh bir ekonominin desteklenmesine yardımcı olabilir.

  • İç denetim, örneğin aşağıdaki şekilde kuruluşlara değer katabilir:
  • Dolandırıcılık tespit prosedürlerini önermek ve dolandırıcılıkla mücadele politikalarına uyumu sağlamaya yardımcı olmak;
  • Güvenlik açıklarını belirlemek, dolandırıcılık faaliyetlerini tespit etmek ve dolandırıcılığın olasılığını ve etkisini azaltmak için iyileştirmeler önermek;
  • Siber güvenlik ve veri güvenliği risklerini azaltmak;
  • Siber güvenlik kontrolleri ve önlemlerindeki zayıflıkları belirlemek ve iyileştirmeler önermek;
  • Yasal ve itibar risklerinin azaltılmasına yardımcı olmak;
  • Bir organizasyonun sürdürülebilirlik uygulamaları, karbon ayak izi, iklim geçişi ve ESG uyumunun bağımsız değerlendirmelerini yürütmek;
  • Çevre dostu uygulamaları önermek ve etik ve sorumlu kurumsal davranışı teşvik etmek;
  • İnsan sermayesi potansiyelini optimize etmeye, çeşitliliği, eşitliği ve katılımı değerlendirmeye ve yetenek edinimi ve iş gücü elde tutma ile ilişkili riskleri azaltmaya yardımcı olmak,
  • Tavsiyelerde bulunarak ve risk azaltma stratejileri önererek jeopolitik ve makroekonomik olaylara hazırlanmak.
  • İç Denetçiler Enstitüsü [Institute of Internal Auditors], bir iç denetim fonksiyonunun aşağıdaki asgari ölçütlere sahip olması gerektiğine inanmaktadır:
  • Yönetimden bağımsızlık; yani bir kuruluşun denetim komitesine veya yönetim organına doğrudan raporlama ve hesap verme.
  • Yazılı bir iç denetim tüzüğü; hem yönetim organı hem de Baş Denetim Yöneticisi [Chief Audit Executive] veya iç denetim fonksiyonunun eşdeğer lideri tarafından kabul edilir.
  • Dünya çapında kabul görmüş iç denetim standartlarını takip eder.
  • Sertifikalı İç Denetçi [Certified Internal Auditor] kimlik belgesi ve/veya dâhili denetime tabi alanlarda veya konularda uzmanlığa ilişkin uzmanlık kimlik belgeleri gibi uygun sertifikalara veya diğer kimlik belgelerine sahip olmak gibi yollarla gösterildiği gibi nitelikli personele sahiptir.
  • Faaliyetleri nesnel ve tarafsız bir şekilde gerçekleştirme yeteneğine sahiptir.
  • Ve en az beş yılda bir kez İç Denetçiler Enstitüsü’nün Dış Kalite Değerlendirmesi [External Quality Assessment] veya Bağımsız Doğrulama ile Öz Değerlendirme [Self-Assessment with Independent Validation] gibi harici bir kalite değerlendirmesine (yani iç denetim fonksiyonunun denetimine) tabi tutulur.

Merkezi hükümet daireleri, yerel yönetimler ve diğer kamu sektörü kuruluşlarının da, hesap verebilirliği ve kamu maliyesi düzenlemelerine uyumu sağlamak için genellikle iç denetim işlevlerine sahip olmaları gerekir.

  1. [Bağımsız] Dış Denetim

Dış denetim [external audits], kuruluşların düzenleyici normlara uyumunu değerlendirmek ve ölçmekle görevli olan bağımsız ve üçüncü taraf kurum ve şirketler tarafından yapılır. Ayrıca, bazı kuruluşlar, günlük operasyonel işlerin yürütülmesi sırasında üst düzey yönetim ve işletme yönetimi tarafından “görülemeyen” [not visible] eksiklik ve usulsüzlüklerin bulunabilmesi anlamında “kendilerine ayna tutmak” [hold a mirror to themselves] için dış denetim yaptırırlar.

Ayrıca, düzenleyici ve uyum nedenlerinin yanı sıra, dış denetimlerin yıllık, üç aylık ve altı aylık dönemlerde yapılması ve Yıllık Genel Kurul Toplantıları ile Yönetim Kurulu toplantılarında [Annual General Meetings, and meetings of Board of Directors] sunulmasını gerektiren hissedar yükümlülükleri nedeniyle dış denetimler de zorunludur.

Ayrıca, düzenleyici otoritelerin şirketlerde “bir şeylerin ters gittiğinden” [something is amiss] şüphelenmeleri durumunda, söz konusu şirketlerin finansal ve operasyonel ayrıntılarının “gerçek resmini” [true picture] tespit etmek için bağımsız ve üçüncü taraf denetçiler tarafından denetlenmesini zorunlu kılabilecekleri beklenmedik durumlarda da harici denetimlere ihtiyaç duyulabilir.

Dış denetim, bir organizasyonun finansal pozisyonunun bütünlüğünü ve şeffaflığını sağlamak için kritik öneme sahiptir. Bu denetimler, şirketin finansal tablolarının tarafsız ve objektif bir değerlendirmesini sağlayan birkaç temel aşamayı içerir.

Dış denetim süreci, denetçinin şirketin finansal tablolarını titizlikle incelediği planlama aşamasıyla başlar. Bu aşamada, denetçi kuruluşun operasyonlarını, iç kontrollerini ve olası riskleri göz önünde bulundurarak denetim için odaklanılacak temel alanları belirler. Bu dikkatli analiz, denetçinin süreç boyunca kendisine rehberlik edecek kapsamlı bir denetim planı geliştirmesini sağlar. Ayrıca, planlama aşaması şirketin yönetimi ve kilit personeliyle ön toplantılar yapmayı içerir. Bu toplantılar denetçinin şirketin finansal operasyonları hakkında fikir edinmesini, önceki denetimden bu yana meydana gelmiş olabilecek önemli değişiklikleri anlamasını ve denetim süreci boyunca ele alınması gereken endişeleri veya sorunları tartışmasını sağlar.

Planlama aşaması tamamlandıktan sonra, denetçi esas prosedürleri uygular. Bu aşama, kanıt toplamayı ve finansal tablo iddialarını doğruluk ve güvenilirliklerini sağlamak için test etmeyi içerir. Denetçi bunu başarmak için çeşitli teknikler ve metodolojiler kullanır, bunlar arasında şunlar bulunur:

  • İşlemlerin varlığını ve geçerliliğini doğrulamak amacıyla fatura, makbuz, banka ekstresi ve sözleşme gibi belgelerin incelenmesi.
  • Şirketin finansal süreçlerini ve kontrollerini daha iyi anlamak için kilit personelle görüşmeler yapılması.
  • Finansal bilgilerin makul olup olmadığını değerlendirmek için analitik prosedürler uygulamak. Bu, güncel finansal verilerin tarihsel eğilimler, sektör kıyaslamaları veya şirketin bütçelenmiş rakamlarıyla karşılaştırılmasını içerebilir.

Denetçi, bu maddi incelemeleri yaparak, finansal tabloların adilliği hakkındaki görüşünü desteklemek için yeterli ve uygun kanıt elde etmeyi amaçlamaktadır.

Maddi prosedürleri tamamladıktan sonra, denetçi sonuçları değerlendirir ve finansal tabloların adilliği hakkında bir görüş oluşturur. Bu değerlendirme, denetim sırasında toplanan kanıtların göz önünde bulundurulmasını ve finansal tabloların geçerli muhasebe standartlarına ve düzenleyici koşullara uyup uymadığının değerlendirilmesini içerir. Denetçi, belirlenen sorunları veya tutarsızlıkları dikkatlice inceler ve bunların genel finansal tablolar üzerindeki etkisini belirler. Ayrıca şirketin iç kontrollerinin yeterliliğini ve etkinliğini değerlendirir, zayıflıkları veya iyileştirilecek alanları vurgular.

Son olarak denetçi, denetçi raporunda görüşünü sunar. Bu rapor, şirketin finansal bilgilerinin doğruluğu ve güvenilirliği konusunda hissedarlara, yatırımcılara ve diğer paydaşlara güvence sağlayan önemli bir belgedir. Denetçi raporu genellikle finansal tabloların adilliği hakkındaki denetçi görüşünün bir beyanını, denetim kapsamının ve gerçekleştirilen prosedürlerin bir açıklamasını içerir. Ayrıca denetim süreci sırasında ortaya çıkan önemli bulguları veya sorunları da vurgulayabilir. Yine denetçi raporunda, şirketin ilgili yasa ve düzenlemelere uyumuna ilişkin bir açıklama veya denetçinin gerekli gördüğü diğer açıklamalar gibi ek bilgiler yer alabilir. Netice olarak, dış denetim süreci bir organizasyonun finansal tablolarının doğruluğunu ve güvenilirliğini garanti eden titiz ve kapsamlı bir çalışmadır. Denetçiler, iyi tanımlanmış bir metodolojiyi izleyerek ve çeşitli denetim tekniklerini kullanarak, paydaşların şirketin finansal raporlamasına olan güvenini ve inancını sürdürmede önemli bir rol oynarlar.

Dış denetimin temel amacı, bir şirketin finansal tablolarının bağımsız ve nesnel bir değerlendirmesini sağlamaktır. Bu, sunulan finansal bilgilerin güvenilirliğini ve itibarını artırmaya yardımcı olur ve paydaşlara kuruluşun finansal pozisyonuna güven verir.

Dış denetim ayrıca muhasebe standartları ve düzenlemelerine uyumu sağlamak için bir mekanizma görevi de görür. Denetçiler, kuruluşun defter kayıtlarını ve kontrollerini inceleyerek herhangi bir uyumsuzluk örneğini belirleyebilir ve iyileştirme için uygun önerilerde bulunabilir.

Ayrıca, dış denetim bir şirket içindeki hileli işlemleri veya kötü yönetimi ortaya çıkarabilir. Denetçiler kapsamlı test ve analizler yaparak, hile veya etik olmayan davranışı gösterebilecek anormallikleri veya usulsüzlükleri belirleyebilir. Bu, hissedarların ve diğer paydaşların çıkarlarını olası finansal kayıplara karşı korumaya yardımcı olur.

Bu önemli amaçlara ilave olarak, dış denetim kurumsal şeffaflığı ve hesap verebilirliği teşvik etmede de önemli bir rol oynar. Dış denetim yapıldığında, bağımsız bir üçüncü tarafın finansal tabloları incelemesi ve kuruluşun finansal sıhhatini değerlendirmesi için bir fırsat sağlar. Bu, şirketin sorumlu ve etik bir şekilde faaliyet gösterdiğinden emin olmaya yardımcı olur.

Dış denetim ayrıca bir organizasyonun iç kontrollerinin ve risk yönetimi süreçlerinin etkinliği hakkında da değerli içyüzünü anlama kapasiteleri sağlar. Denetçiler, varlıkları korumak ve dolandırıcılığı önlemek için uygulanan kontrolleri inceleyerek, var olabilecek herhangi bir zayıflığı veya boşluğu belirleyebilir. Bu, organizasyonun düzeltici eylemlerde bulunmasını ve kontrol ortamını güçlendirmesini sağlar.

Ayrıca, dış denetim bir şirketin genel itibarını olumlu etkileyebilir. Yatırımcılar, borç verenler ve düzenleyici otoriteler gibi paydaşlar bir organizasyonun düzenli dış denetimlerden geçtiğini gördüklerinde, bu şeffaflık ve iyi kurumsal yönetime olan bağlılığın bir işaretidir. Bu, şirketin güvenilirliğini artırabilir ve daha fazla yatırımcı ve iş fırsatı çekebilir.

Ayrıca, dış denetim yönetime değerli geri bildirimler sağlayabilir. Denetçiler, şirketin denetim süreci aracılığıyla finansal raporlamasını veya operasyonel verimliliğini iyileştirebileceği alanları belirleyebilir. Bu geri bildirim, yönetimin bilinçli kararlar almasına ve daha iyi iş sonuçlarına yol açan değişiklikleri uygulamasına yardımcı olabilir.

Son olarak, dış denetim finansal piyasaların genel istikrarına ve bütünlüğüne de katkıda bulunabilir. Şirketlerin muhasebe standartlarına ve düzenlemelerine uymasını sağlayarak, dış denetimler yatırımcı güvenini korumaya ve finansal krizleri önlemeye yardımcı olur. Finansal sistemde önemli bir kontrol ve denge sağlayarak güven ve güvenilirliği teşvik ederler.

Dış denetim süreci genellikle şirketin finansal tablolarının kapsamlı bir incelemesini kolaylaştırmak için bir dizi iyi tanımlanmış adımı içerir. Bu adımlar organizasyonun doğasına ve karmaşıklığına bağlı olarak değişebilir ancak genellikle şunları kapsar:

  • Planlama [planning]: Planlama aşamasında, denetçi şirketin muhasebe kayıtlarını inceler ve kuruluşun faaliyet gösterdiği sektör hakkında kapsamlı bir araştırma yapar. Bu, denetçinin şirkete özgü olabilecek belirli riskleri ve zorlukları daha iyi anlamasına yardımcı olur. Ayrıca, denetçi yönetim ekibiyle işbirliği yaparak net hedefler belirler ve denetim görevinin kapsamını tanımlar.
  • Risk değerlendirmesi [risk assessment]: Risk değerlendirme aşaması, finansal tabloların doğruluğunu ve güvenilirliğini etkileyebilecek potansiyel riskleri belirlemede kritik öneme sahiptir. Denetçi, kuruluşun iç kontrollerini dikkatlice inceler, risk yönetimi süreçlerinin etkinliğini ve çeşitli risklerin olasılığını ve etkisini değerlendirir. Bu, geçmiş finansal verileri analiz etmeyi, kilit personelle görüşmeler yapmayı ve ilgili belgeleri incelemeyi içerir.
  • Delil toplama [evidence gathering]: Riskler belirlendikten sonra, denetçi finansal tablolara dair iddiaları desteklemek veya çürütmek için kanıt toplamaya başlar. Bu, destekleyici belgeleri incelemek, fiziksel incelemeler yapmak ve analitik prosedürler uygulamak gibi esaslı prosedürlerin uygulanmasını içerir. Denetçi, toplanan kanıtların finansal tablolar hakkında doğru sonuçlara varmak için yeterli, güvenilir ve alakalı olduğundan emin olmalıdır.
  • Analiz ve değerlendirme [analysis and evaluation]: Bu aşamada, denetçi yürütülen esas prosedürlerin sonuçlarını dikkatlice analiz eder ve değerlendirir. Bu, önceki yıllara ait finansal verileri karşılaştırmayı, sektör standartlarına göre kıyaslamayı ve finansal projeksiyonların makul olup olmadığını değerlendirmeyi içerir. Denetçi ayrıca denetim dönemi boyunca gerçekleşmiş olabilecek önemli olayları veya işlemleri ve bunların finansal tablolar üzerindeki etkilerini de dikkate alır.
  • Denetçi raporu [auditor’s report]: Dış denetim sürecinin son adımı denetçi raporunun hazırlanması ve yayınlanmasıdır. Bu rapor, finansal tabloların adilliği hakkında bir görüş sunar ve önemli bulguları veya endişeleri iletir. Denetçi raporu, paydaşların şirket hakkında bilinçli kararlar almak için güvendiği kritik bir belgedir. Denetçinin bulgularını ve sonuçlarını hedef kitle tarafından kolayca anlaşılabilecek bir şekilde açık ve doğru bir şekilde iletmesi esastır.

Dış denetim sürecinin, denetim taahhüdünün sorunsuz ve verimli bir şekilde tamamlanmasını sağlamak için denetçi ile şirket yönetimi arasında yakın koordinasyon ve iletişim gerektirdiğini belirtmek önemlidir. Tüm süreç boyunca, denetçi kuruluşun finansal tablolarının tarafsız bir değerlendirmesini sağlamak için bağımsızlığını, nesnelliğini ve mesleki şüpheciliğini korumak zorundadır.

  1. Finansal Denetim

Daha önce de belirtildiği gibi, finansal denetim [financial audits] çeşitli nedenlerle en yaygın denetim biçimidir ki; buna işletmelerin para kazanmak, kâr elde etmek ve hissedarları için zenginlik yaratmak için var olması da dâhildir. Bu, yatırımcıların ve diğer paydaşların işletmelerin düzgün bir şekilde yönetilip yönetilmediğini, böylece sermayelerinin güvenli olup olmadığını ve belirtilen getirileri üretip üretmediğini bilmeleri gerektiği anlamına gelir.

Ayrıca, finansal denetim en sık karşılaşılan denetim biçimidir; zira muhasebe defterlerinde görülen herhangi bir tutarsızlık, şirketlerin ve işletmelerinin hemen hemen bütün operasyonel ve stratejik alanlarını etkileyen finansal tabloların yanı sıra şirketlerin kötü yönetiminin de bir yansımasıdır.

Keza finansal denetim, şirketlerin gerçeği söyleyip söylemediği, adli denetimde ortaya çıkarılıp, ortaya çıkarılabilecek bir hususu saklayıp saklamadığı ya da örtbas edip etmediğinin de ilk değerlendirme noktasıdır.

  1. Stratejik ve Operasyonel Denetim ile Bilgi Teknolojisi Denetimi [strategic, operational, and information technology audits]

Son yıllarda, özellikle organizasyonel süreçlerin ve Bilgi Teknolojisi altyapısının giderek karmaşıklaşması ve kuruluşların dâhili süreçlerini ve stratejilerini dış stratejik itici güçler ve zorunluluklarla uyumlu hale getirip getirmediğinin değerlendirilmesini gerektiren hızlı tempolu dış pazar nedeniyle popüler hale gelen operasyonel, stratejik ve Bilgi Teknolojisi denetimleri gibi başka denetim türleri de vardır.

Ayrıca, kuruluşların Bilgi Teknolojisi altyapı ve sistemleri ile Bilgi Teknolojisi süreçlerinin belirtilen hedef ve amaçları karşılamaya hazır olup olmadığının, Bilgi Teknolojisi risklerine ve güvenlik ihlallerine karşı dayanıklı olup olmadığının değerlendirilmesi ve ölçülmesi amacıyla Bilgi Teknolojisi denetimleri yapılmaktadır.

Gerçekten de, Bilgi Teknolojisi risklerinin doğası, türü ve çeşitliliğinin artması ve Bilgi Teknolojisi altyapısının giderek karmaşıklaşmasıyla birlikte, Bilgi Teknolojisi denetimleri artık finansal ve operasyonel denetimler kadar yaygın hale gelmiştir; çünkü hem iç hem de dış paydaşların, kuruluşun Bilgi Teknolojisi altyapısının yeterli olup olmadığını ve belirtilen hedef ve amaçları karşılayıp karşılamadığını bilmesi gerekmektedir.

İşletmeler giderek daha fazla teknolojiye güvendikçe, sağlam bir Bilgi Teknolojisi denetim işlevine sahip olmak elzemdir. Bilgi Teknolojisi denetimi, bir organizasyonun bilgi sistemlerinin, süreçlerinin ve kontrollerinin iş hedefleriyle uyumlu olduğundan, düzenlemelere uyduğundan ve riskleri etkili bir şekilde yönettiğinden emin olmak için değerlendirilmesini içerir. Bilgi Teknolojisi denetçileri, güvenlik açıklarını belirlemede, iyileştirmeler önermede ve bilgi sistemlerinin bütünlüğünü ve güvenilirliğini değerlendirmede başat bir rol oynar.

Teknolojinin her işletme operasyonunun merkezinde olduğu günümüzün dijital çağında, Bilgi Teknolojisi denetimi kavramı her zamankinden daha kritik hale gelmiştir. Teknolojideki hızlı gelişmelerle birlikte, kuruluşlar bilgi sistemlerini tehlikeye atabilecek potansiyel risklerin ve güvenlik açıklarının önünde kalmalıdır. Bilgi Teknolojisi denetimi, bu sistemlerin güvenliğini, güvenilirliğini ve etkinliğini değerlendirmek ve geliştirmek için sistematik bir yaklaşım sağlar.

Bilgi Teknolojisi denetimi, kontrollerin yeterliliğini ve etkinliğini belirlemek için bir organizasyonun Bilgi Teknolojisi altyapısının, politikalarının ve prosedürlerinin sistematik olarak incelenmesini içerir. Veri gizliliği, bilgi güvenliği, değişim yönetimi, felaket kurtarma ve ilgili yasa ve düzenlemelere uyum gibi alanları kapsar. Bilgi Teknolojisi denetçileri kapsamlı değerlendirmeler yapar, potansiyel riskleri belirler ve güvenlik açıklarını gidermek için önerilerde bulunur.

Denetçiler, bir Bilgi Teknolojisi denetimi gerçekleştirirken kuruluşun teknolojik manzarasını derinlemesine incelerler. Kuruluşun bilgi sistemlerinin temelini oluşturan donanım, yazılım, ağlar ve veritabanlarını analiz ederler. Ayrıca, denetçiler, sektörün en iyi uygulamaları ve düzenleyici yükümlülüklerle uyumlu olduklarından emin olmak için yürürlükteki politikaları ve prosedürleri incelerler.

Bilgi Teknolojisi denetimlerinin temel amaçları, bilgi sistemlerinin ve yönettikleri verilerin güvenilirliğini, bütünlüğünü ve kullanılabilirliğini değerlendirmektir. Buna ek olarak, Bilgi Teknolojisi denetimi yasalara, düzenlemelere ve sektör standartlarına uyumu değerlendirmeyi amaçlar. Bir diğer amaç da riskleri azaltmak ve iyileştirme fırsatlarını belirlemek için uygulanan kontrollerin etkinliğini değerlendirmektir. Sonuçta, bir Bilgi Teknolojisi denetimi yönetime ve paydaşlara kuruluşun Bilgi Teknolojisi yönetimi, risk yönetimi ve kontrol süreçleri konusunda güvence sağlar.

Bilgi Teknolojisi denetimi, bilgi sistemlerinin güvenilirliğini ve bütünlüğünü inceleyerek kuruluşların potansiyel zayıflıkları ve güvenlik açıklarını belirlemesine yardımcı olur. Bu, sistemlerini güçlendirmek ve hassas verileri yetkisiz erişimden veya ihlallerden korumak için proaktif önlemler almalarını sağlar. Bilgi Teknolojisi denetimi ayrıca kuruluşların ilgili yasa ve düzenlemelere uymasına yardımcı olarak yasal ve mali sonuçların riskini azaltır.

Ayrıca, Bilgi Teknolojisi denetimi riskleri azaltmak için uygulanan kontrollerin etkinliğine dair değerli içyüzünü anlama kapasiteleri sağlar. Denetçiler, bu kontrolleri değerlendirerek, herhangi bir boşluğu veya eksikliği belirleyebilir ve kuruluşun risk yönetimi uygulamalarını geliştirmek için iyileştirmeler önerebilir. Bu, kuruluşların ortaya çıkan tehditlerin önünde kalmasına ve güvenlik önlemlerini buna göre uyarlamasına yardımcı olur.

Genel olarak, Bilgi Teknolojisi denetimi bir organizasyonun bilgi sistemlerinin sorunsuz çalışmasını sağlamada hayati bir rol oynar. Organizasyonun Bilgi Teknolojisi altyapısı, politikaları ve prosedürlerinin kapsamlı bir değerlendirmesini sağlayarak yönetime ve paydaşlara sistemlerinin güvenli, uyumlu ve dayanıklı olduğuna dair güven verir. Sürekli gelişen teknoloji ortamıyla birlikte, Bilgi Teknolojisi denetimi ortaya çıkan riskleri ve zorlukları ele almak için gelişmeye ve uyum sağlamaya devam ederek dijital çağdaki işletmeler için vazgeçilmez bir işlev haline gelir.

Bilgi Teknolojisi denetimi, bilgi sistemlerinin güvenilirliği ve emniyeti konusunda güvence sağlayarak, Bilgi Teknolojisi risklerinin değerlendirilmesine yardımcı olarak ve Bilgi Teknolojisi kontrollerinin etkinliğini değerlendirerek kurumsal yönetişimi destekler. Yönetimin ve yönetim kurulunun Bilgi Teknolojisi ile ilgili riskleri kapsamlı bir şekilde anlamasına ve kuruluşun Bilgi Teknolojisi yönetiminin genel kurumsal yönetişim ilkeleriyle uyumlu olmasını sağlamasına da yardımcı olur.

Bilgi Teknolojisi süreçlerinin ve kontrollerinin titiz incelemesi sayesinde Bilgi Teknolojisi denetimi, kuruluşun stratejik hedeflerine ulaşma yeteneğini etkileyebilecek potansiyel güvenlik açıklarını ve zayıflıkları belirlemeye de yardımcı olur. Kontrol zayıflıklarını belirleyerek ve düzeltme önlemleri önererek Bilgi Teknolojisi denetimi ile kuruluşun varlıklarını koruma, veri bütünlüğünü sürdürme ve düzenleyici yükümlülüklere uyma yeteneği artırılır.

Ayrıca, Bilgi Teknolojisi denetimi, kuruluşun Bilgi Teknolojisi sistemlerinin ve süreçlerinin sektörün en iyi uygulamaları ve standartlarıyla uyumlu olmasını sağlamada önemli bir rol oynar. Uygulanabilir yasalar, düzenlemeler ve sektör yönergeleriyle uyumluluktaki boşlukları belirlemeye yardımcı olur ve kuruluşun bu boşlukları ele almasını ve olası riskleri azaltmasını sağlar.

Özetle;

  • Kurumlarda hesap verebilirliğin, şeffaflığın ve etik karar almanın sağlanması için etkili kurumsal yönetişim esastır.
  • Bilgi Teknolojisi denetimi, riskleri yönetmek ve uyumu sağlamak amacıyla bir kuruluşun Bilgi Teknolojisi sistemlerinin, süreçlerinin ve kontrollerinin değerlendirilmesini içerir.
  • Bilgi Teknolojisi denetimi, bilgi sistemlerinin güvenilirliği, güvenliği ve uyumu konusunda güvence sağlayarak kurumsal yönetişimi destekler.
  • Bilgi Teknolojisi denetçileri, güvenlik açıklarını belirleme, iyileştirmeler önerme ve Bilgi Teknolojisi yönetişim yapılarını değerlendirmede önemli bir rol oynarlar.
  • Bilgi Teknolojisi denetiminin kurumsal yönetişime entegre edilmesindeki zorluklar, işbirliği, farkındalık ve kaynak tahsisi yoluyla aşılabilir.

Sonuç

Son yıllarda denetimlerin, dâhili eksiklikleri ve zayıflıkları örtbas etmek ve gizlemek için kullanıldığı ve bu nedenle bu tür denetimlerin gerekli olduğu amacın ortadan kaldırıldığı yönünde endişeler bulunmaktadır.

Gerçekten de, dış denetçilerin bile bu konuda kuruluşlarla işbirliği yaptığı tespit edilmiş ve bu nedenle, dünya çapındaki düzenleyici otoriteler bakışlarını çevirmiş ve bu tür denetimler için kontrolleri ve koşulları sıkılaştırmıştır. Bu, Amerika Birleşik Devletleri’nin Enron skandalının ardından Sarbanes Oxley gibi birkaç çığır açıcı yasayı geçirmesiyle ortaya çıkmış olup; burada denetçiler Arthur Anderson’ın Enron yönetimiyle “işbirliği” içinde olduğu ve defterleri karıştırdığı ve usulsüzlükleri örtbas ettiği ortaya çıkmıştır.

* Bu çalışmada yararlanılan başlıca kaynaklar şunlardır:

  • Chartered Institute of Internal Auditors, What is Internal Audit? 30 October 2024 (yenileme 05 March 2025), < https://charterediia.org/content-hub/blogs/what-is-internal-audit/ > erişim tarihi 08 Temmuz 2025.
  • Internal Audit: What It Is, Different Types, and the 5 Cs, Investopedia, March 31, 2025, < https://www.investopedia.com/terms/i/internalaudit.asp#:~:text=An%20internal%20audit%20is%20an,and%20product%20and%20service%20quality. > erişim tarihi 08 Temmuz 2025.
  • Niloufer Tamboly, The Role of IT Audit in Corporate Governance, Audit Guru, Jan 18, 2024, < https://audit.guru/the-role-of-it-audit-in-corporate-governance/ > erişim tarihi 08 Temmuz 2025.
  • Niloufer Tamboly, What Is An External Audit? Audit Guru, Feb 16, 2024, < https://audit.guru/what-is-an-external-audit/ > erişim tarihi 08 Temmuz 2025.
  • The Institute of Internal Auditors, What is internal auditing? < https://www.theiia.org/en/about-us/about-internal-audit/ > erişim tarihi 08 Temmuz 2025.
  • What is Auditing, Its Types, Purposes, and Some Current Issues, Management Study Guide, April 3, 2025, < https://www.managementstudyguide.com/what-is-auditing-its-types-and-purposes.htm/ > erişim tarihi 08 Temmuz 2025.

Bu yazıda yer alan görüşler yazarına ait olup çalıştığı kurumu bağlamaz, yazarın çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Yazıdaki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler yazarına aittir.

[Bu yazı, merhum hocam (muhasebe denetimi) Prof. Dr. Hasan Gürbüz’e adanmıştır.]

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.