Bu yazı ACFE (Association of Certified Fraud Examiners) tarafından 2 yılda bir yayınlanan ve en s... more Bu yazı ACFE (Association of Certified Fraud Examiners) tarafından 2 yılda bir yayınlanan ve en son 2016 yılında yayınlanmış olan suiistimal raporunun özet çevirisini içermektedir. Raporun orjinali ve raporda yer alan araştırmalara ait detaylar ve grafikler http://www.acfe.com/rttn2016.aspx adresinden görülebilir. Burada amaç raporun Türkçe kaynaklar arasında ve arama motorlarında ulaşılabilirliğini artırmak, Türkçe olarak faydalanmak isteyenlere katkıda bulunmaktır.
Türkiye'de maalesef özellikle reel sektörde uluslararası iç denetim, iç kontrol ya da risk düzenl... more Türkiye'de maalesef özellikle reel sektörde uluslararası iç denetim, iç kontrol ya da risk düzenlemelerinin (IPPF, COSO, SOX, ISO 31000 vb.) yaygın ve etkin olarak kullanılmıyor ve bilinmiyor olması, bu yaklaşımların hepsinin Türkiye'de tüm hatlarıyla yasal bir dayanağının ve referans alınabilecek yeterli sayıda kaynağın bulunmaması sebebiyle gerçekleştirdiğimiz denetimlerde yoğun bir şekilde kavram ya da uygulama kargaşası bulunduğunu gözlemliyoruz. Ayrıca henüz iç denetim uygulamaları ve kavramları konusunda Türkiye'de yine özellikle reel sektörde tam bir farkındalık ve donanımın olmadığını görmekteyiz. Bu kapsamda bu yazıda Uluslararası İç Denetim StandartlarıUluslararası Mesleki Uygulama Çerçevesi'nde (IPPFUMUÇ) (Bundan sonra " Standartlar " olarak anılacaktır) belirtilen iç denetimin tanımı, standartların amaçları ve uygulama önerileri çerçevesinde iç denetimde güvence ve danışmanlık hizmetlerine değinilecektir.
Bağımsızlık ve objektiflik tüm denetim alanlarında denetçiler için en önemli kavramlardır. Çünkü ... more Bağımsızlık ve objektiflik tüm denetim alanlarında denetçiler için en önemli kavramlardır. Çünkü ekonomik krizler ve şirketlerde yaşanan suiistimaller sebebiyle finansal tablolara ve dolayısıyla bu tabloları kontrol eden ve denetleyen denetçilere olan güven konusunda da tereddütler oluşmaktadır. İşte bu noktada Uluslararası İç Denetim Standartları'nda da (bundan sonra " standartlar " olarak anılacaktır) yer alan bağımsızlık ve objektiflik konularını, denetimlerde edindiğimiz gözlemler üzerinden irdelemek istiyorum.
Uluslararası İç Denetçiler Enstitüsü tarafından yayımlanan Tone At The Top dergisinin son sayısın... more Uluslararası İç Denetçiler Enstitüsü tarafından yayımlanan Tone At The Top dergisinin son sayısında bizim de denetimlerimizde kurumsal risk yönetimi faaliyetleri çerçevesinde kurumlarda olmasını tavsiye ettiğimiz ihbar hatlarının suistimalleri tespit etmedeki etkisi ile bunların yarattığı maliyet etkisi üzerine bir inceleme içermektedir. Bu yazımızda sizlerle dergideki bu incelemeden -biraz da ifadeleri ülkemize uyarlayarak- bir özet paylaşmak istiyorum.
Bilgi teknolojileri süreçlerine ilişkin denetimlerimizde Penetrasyon (Sızma) testlerinin şirketle... more Bilgi teknolojileri süreçlerine ilişkin denetimlerimizde Penetrasyon (Sızma) testlerinin şirketler tarafından düzenli olarak yapılıp yapılmadığını sorguluyoruz. Penetrasyon bir şirketin sistem zafiyetlerini ya da kurum içi güvenlik ihlallerini kullanarak kuruma dışardan zarar verilip verilemeyeceği ya da verilerin usülsüz ve kötü amaçlarla dışarıya sızdırılıp sızdırılamayacağını tespit etmek için yapılan testler ve kontrollerdir.
Bu yazıda, bizim yaptığımız iç denetim faaliyetlerini, literatürde “amacına göre denetim türleri”... more Bu yazıda, bizim yaptığımız iç denetim faaliyetlerini, literatürde “amacına göre denetim türleri” açısından nasıl gerçekleştirdiğimizi ve işletmelerde karşılaştığımız en temel problemleri paylaşmak istiyorum.
Bu yazımda hile yapanların bunu yaptıklarını ya da yapma ihtimalinin olduğunu gösteren “kırmızı b... more Bu yazımda hile yapanların bunu yaptıklarını ya da yapma ihtimalinin olduğunu gösteren “kırmızı bayraklar-red flags” olarak adlandırılan hile ipuçlarına yer vermek istiyorum.
Hile ve suistimalleri tespit etmenin maliyeti onları önlemek için kurulacak iç kontrollerin maliy... more Hile ve suistimalleri tespit etmenin maliyeti onları önlemek için kurulacak iç kontrollerin maliyetinden çok daha fazladır. Bu yüzden biz de denetimlerimizde iç kontrol yaklaşımları çerçevesinde etkin bir iç kontrol ortamı kurulması için tavsiyelerde bulunuyoruz.
Kullanıcıların bilgi teknolojileri süreçlerinde ya da yazılımlardaki durma, kullanılamama durumla... more Kullanıcıların bilgi teknolojileri süreçlerinde ya da yazılımlardaki durma, kullanılamama durumlarına bağlı olarak iş akışlarının ne kadar ve nasıl etkileneceği yönünde bir iş/etki analizinin ya da bir risk analizinin yapılması,
Cihazlarda ya da yazılımda meydana gelebilecek olan aksamalardan dolayı tahammül edilebilir kesinti sürelerinin (OLA- Operational Level Agreement ya da SLA-Service Level Agreement) çıkarılması gerekmektedir.
İlk yazımızda paylaştığımız iç denetimin tanımında yer alan kavramlara bu yazımızda devam ediyoru... more İlk yazımızda paylaştığımız iç denetimin tanımında yer alan kavramlara bu yazımızda devam ediyoruz. Bu kapsamda risk, kurumsal risk yönetimi kavramlarına ve denetimlerimizde bunlara yönelik olarak nasıl kontroller yaptığımıza değineceğim.
Bu yazıda kurumlara önemli finansal kayıplara yol açabilecek ve kurumsal risk kavramı ve kurumsal... more Bu yazıda kurumlara önemli finansal kayıplara yol açabilecek ve kurumsal risk kavramı ve kurumsal risk yönetimi faaliyetleri içerisinde bizim de denetimlerimizde ve raporlarımızda müşterilerimize yönetilmesi konusunda tavsiyelerde bulunduğumuz önemli bir konu olan “itibar riski” kavramına yer vermek istedim.
Bu yazı ACFE (Association of Certified Fraud Examiners) tarafından 2 yılda bir yayınlanan ve en s... more Bu yazı ACFE (Association of Certified Fraud Examiners) tarafından 2 yılda bir yayınlanan ve en son 2016 yılında yayınlanmış olan suiistimal raporunun özet çevirisini içermektedir. Raporun orjinali ve raporda yer alan araştırmalara ait detaylar ve grafikler http://www.acfe.com/rttn2016.aspx adresinden görülebilir. Burada amaç raporun Türkçe kaynaklar arasında ve arama motorlarında ulaşılabilirliğini artırmak, Türkçe olarak faydalanmak isteyenlere katkıda bulunmaktır.
Türkiye'de maalesef özellikle reel sektörde uluslararası iç denetim, iç kontrol ya da risk düzenl... more Türkiye'de maalesef özellikle reel sektörde uluslararası iç denetim, iç kontrol ya da risk düzenlemelerinin (IPPF, COSO, SOX, ISO 31000 vb.) yaygın ve etkin olarak kullanılmıyor ve bilinmiyor olması, bu yaklaşımların hepsinin Türkiye'de tüm hatlarıyla yasal bir dayanağının ve referans alınabilecek yeterli sayıda kaynağın bulunmaması sebebiyle gerçekleştirdiğimiz denetimlerde yoğun bir şekilde kavram ya da uygulama kargaşası bulunduğunu gözlemliyoruz. Ayrıca henüz iç denetim uygulamaları ve kavramları konusunda Türkiye'de yine özellikle reel sektörde tam bir farkındalık ve donanımın olmadığını görmekteyiz. Bu kapsamda bu yazıda Uluslararası İç Denetim StandartlarıUluslararası Mesleki Uygulama Çerçevesi'nde (IPPFUMUÇ) (Bundan sonra " Standartlar " olarak anılacaktır) belirtilen iç denetimin tanımı, standartların amaçları ve uygulama önerileri çerçevesinde iç denetimde güvence ve danışmanlık hizmetlerine değinilecektir.
Bağımsızlık ve objektiflik tüm denetim alanlarında denetçiler için en önemli kavramlardır. Çünkü ... more Bağımsızlık ve objektiflik tüm denetim alanlarında denetçiler için en önemli kavramlardır. Çünkü ekonomik krizler ve şirketlerde yaşanan suiistimaller sebebiyle finansal tablolara ve dolayısıyla bu tabloları kontrol eden ve denetleyen denetçilere olan güven konusunda da tereddütler oluşmaktadır. İşte bu noktada Uluslararası İç Denetim Standartları'nda da (bundan sonra " standartlar " olarak anılacaktır) yer alan bağımsızlık ve objektiflik konularını, denetimlerde edindiğimiz gözlemler üzerinden irdelemek istiyorum.
Uluslararası İç Denetçiler Enstitüsü tarafından yayımlanan Tone At The Top dergisinin son sayısın... more Uluslararası İç Denetçiler Enstitüsü tarafından yayımlanan Tone At The Top dergisinin son sayısında bizim de denetimlerimizde kurumsal risk yönetimi faaliyetleri çerçevesinde kurumlarda olmasını tavsiye ettiğimiz ihbar hatlarının suistimalleri tespit etmedeki etkisi ile bunların yarattığı maliyet etkisi üzerine bir inceleme içermektedir. Bu yazımızda sizlerle dergideki bu incelemeden -biraz da ifadeleri ülkemize uyarlayarak- bir özet paylaşmak istiyorum.
Bilgi teknolojileri süreçlerine ilişkin denetimlerimizde Penetrasyon (Sızma) testlerinin şirketle... more Bilgi teknolojileri süreçlerine ilişkin denetimlerimizde Penetrasyon (Sızma) testlerinin şirketler tarafından düzenli olarak yapılıp yapılmadığını sorguluyoruz. Penetrasyon bir şirketin sistem zafiyetlerini ya da kurum içi güvenlik ihlallerini kullanarak kuruma dışardan zarar verilip verilemeyeceği ya da verilerin usülsüz ve kötü amaçlarla dışarıya sızdırılıp sızdırılamayacağını tespit etmek için yapılan testler ve kontrollerdir.
Bu yazıda, bizim yaptığımız iç denetim faaliyetlerini, literatürde “amacına göre denetim türleri”... more Bu yazıda, bizim yaptığımız iç denetim faaliyetlerini, literatürde “amacına göre denetim türleri” açısından nasıl gerçekleştirdiğimizi ve işletmelerde karşılaştığımız en temel problemleri paylaşmak istiyorum.
Bu yazımda hile yapanların bunu yaptıklarını ya da yapma ihtimalinin olduğunu gösteren “kırmızı b... more Bu yazımda hile yapanların bunu yaptıklarını ya da yapma ihtimalinin olduğunu gösteren “kırmızı bayraklar-red flags” olarak adlandırılan hile ipuçlarına yer vermek istiyorum.
Hile ve suistimalleri tespit etmenin maliyeti onları önlemek için kurulacak iç kontrollerin maliy... more Hile ve suistimalleri tespit etmenin maliyeti onları önlemek için kurulacak iç kontrollerin maliyetinden çok daha fazladır. Bu yüzden biz de denetimlerimizde iç kontrol yaklaşımları çerçevesinde etkin bir iç kontrol ortamı kurulması için tavsiyelerde bulunuyoruz.
Kullanıcıların bilgi teknolojileri süreçlerinde ya da yazılımlardaki durma, kullanılamama durumla... more Kullanıcıların bilgi teknolojileri süreçlerinde ya da yazılımlardaki durma, kullanılamama durumlarına bağlı olarak iş akışlarının ne kadar ve nasıl etkileneceği yönünde bir iş/etki analizinin ya da bir risk analizinin yapılması,
Cihazlarda ya da yazılımda meydana gelebilecek olan aksamalardan dolayı tahammül edilebilir kesinti sürelerinin (OLA- Operational Level Agreement ya da SLA-Service Level Agreement) çıkarılması gerekmektedir.
İlk yazımızda paylaştığımız iç denetimin tanımında yer alan kavramlara bu yazımızda devam ediyoru... more İlk yazımızda paylaştığımız iç denetimin tanımında yer alan kavramlara bu yazımızda devam ediyoruz. Bu kapsamda risk, kurumsal risk yönetimi kavramlarına ve denetimlerimizde bunlara yönelik olarak nasıl kontroller yaptığımıza değineceğim.
Bu yazıda kurumlara önemli finansal kayıplara yol açabilecek ve kurumsal risk kavramı ve kurumsal... more Bu yazıda kurumlara önemli finansal kayıplara yol açabilecek ve kurumsal risk kavramı ve kurumsal risk yönetimi faaliyetleri içerisinde bizim de denetimlerimizde ve raporlarımızda müşterilerimize yönetilmesi konusunda tavsiyelerde bulunduğumuz önemli bir konu olan “itibar riski” kavramına yer vermek istedim.
Uploads
Cihazlarda ya da yazılımda meydana gelebilecek olan aksamalardan dolayı tahammül edilebilir kesinti sürelerinin (OLA- Operational Level Agreement ya da SLA-Service Level Agreement) çıkarılması gerekmektedir.
Cihazlarda ya da yazılımda meydana gelebilecek olan aksamalardan dolayı tahammül edilebilir kesinti sürelerinin (OLA- Operational Level Agreement ya da SLA-Service Level Agreement) çıkarılması gerekmektedir.