bagimsizdenetim.net > Standartlar > Türkiye Denetim Standartları > BDS 402 Hizmet Kuruluşu Kullanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar

BDS 402 Hizmet Kuruluşu Kullanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar

İçindekiler

Paragraf
Giriş
Kapsam 1-5
Yürürlük Tarihi 6
Amaçlar 7
Tanımlar 8
Ana Hükümler
İç Kontrol Dâhil Hizmet Kuruluşu Tarafından Sağlanan Hizmetlerin Anlaşılması 9-14
Değerlendirilmiş “Önemli Yanlışlık” Risklerine Karşı Yapılacak İşler 15-17
Alt Hizmet Kuruluşunun Hizmetlerini Kapsam Dışı Tutan 1 inci Tip ve 2 nci Tip Raporlar 18
Hizmet Kuruluşundaki Faaliyetlere İlişkin Hile, Mevzuata Aykırılık ve Düzeltilmemiş Yanlışlıklar 19
Hizmet Alan İşletme Denetçisi Tarafından Yapılan Raporlama 20-22
Açıklayıcı Hükümler ve Uygulama
İç Kontol Dâhil Hizmet Kuruluşu Tarafından Sağlanan Hizmetlerin Anlaşılması A1-A23
Değerlendirilmiş “Önemli Yanlışlık” Risklerine Karşı Yapılacak İşler A24-A39
Alt Hizmet Kuruluşunun Hizmetlerini Kapsam Dışı Tutan 1 inci Tip ve 2 nci Tip Raporlar A40
Hizmet Kuruluşundaki Faaliyetlere İlişkin Hile, Mevzuata Aykırılık ve Düzeltilmemiş Yanlışlıklar A41
Hizmet Alan İşletme Denetçisi Tarafından Yapılan Raporlama A42-A44

Bağımsız Denetim Standardı (BDS) 402 “Hizmet Kuruluşu Kullanan Bir İşletmenin Bağımsız Denetiminde Dikkate Alınacak Hususlar”, BDS 200 “Bağımsız Denetçinin Genel Amaçları ve Bağımsız Denetimin Bağımsız Denetim Standartlarına Uygun Olarak Yürütülmesi” ile birlikte dikkate alınır.

Giriş
Kapsam
1. Bu Bağımsız Denetim Standardı (BDS), hizmet alan işletmenin bir veya daha fazla hizmet kuruluşu kullanması durumunda, hizmet alan işletme denetçisinin yeterli ve uygun denetim kanıtı elde etme sorumluluğunu düzenler. Bu BDS, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesini sağlayacak şekilde, denetimle ilgili iç kontrol dâhil olmak üzere hizmet alan işletmenin tanınmasında ve bu risklere karşılık vermek üzere müteakip denetim prosedürlerinin tasarlanması ve uygulanmasında hizmet alan işletme denetçisinin BDS 315[1] ve BDS 330[2]’u nasıl uygulayacağını düzenler.
2. Birçok işletme belirli bir görevin bir işletmenin yönlendirmesi altında yerine getirilmesinden, işletmenin birimlerinin veya fonksiyonlarının tamamının yerine ikame edilmesine kadar (vergisel uyum hizmetleri fonksiyonu gibi) faaliyetlerinin çeşitli yönleri itibarıyla geniş bir yelpazede dışarıdan hizmet alır. Bu tür kuruluşlarca sağlanan hizmetlerin çoğu işletmenin faaliyetlerinin bir parçasıdır, ancak bu hizmetlerin tamamı denetimle ilgili değildir.
3. Bir hizmet kuruluşunca sağlanan hizmetler ve onlar üzerindeki kontrollerin, hizmet alan işletmenin ilgili iş süreçleri de dâhil olmak üzere finansal raporlamaya ilişkin bilgi sisteminin bir parçası olması hâlinde, bu hizmetler hizmet alan işletmenin finansal tablolarının denetimiyle ilgili kabul edilir. Hizmet kuruluşundaki kontrollerin çoğu muhtemelen finansal raporlamayla ilgili olmasına rağmen, denetimle ilgili olabilecek başka kontroller de (varlıkların korunmasına ilişkin kontroller gibi) söz konusu olabilir. Bir hizmet kuruluşunun sağladığı hizmetler, aşağıdakilerden herhangi birini etkilemesi hâlinde, işletmenin ilgili iş süreçleri de dâhil olmak üzere finansal raporlamaya ilişkin bilgi sisteminin bir parçası olarak değerlendirilir:
(a) Hizmet alan işletmenin finansal tabloları açısından önem arz eden ve işletmenin faaliyetlerinin bir parçası olan işlem sınıfları,
(b) Hizmet alan işletmenin işlemlerinin başlatılmasında, kaydedilmesinde, yürütülmesinde, gerektiğinde düzeltilmesinde, defteri kebir hesaplarına aktarılmasında ve finansal tablolarda raporlanmasında kullandığı bilişim teknolojileri (BT) ve manuel sistemlerdeki prosedürler,
(c) Hizmet alan işletmenin işlemlerin başlatılmasında, kaydedilmesinde, yürütülmesinde ve raporlanmasında kullandığı finansal tablolardaki belirli hesaplar, destekleyici bilgiler ile elektronik veya fiziki ortamdaki ilgili muhasebe kayıtları. Bu husus, yanlış bilgilerin düzeltilmesini ve bilginin nasıl defteri kebire aktarıldığını da içerir.
(ç) Hizmet alan işletmenin, bilgi sisteminin finansal tablolar açısından önemli olan
-işlemler dışındaki- diğer olay ve şartları nasıl ele aldığı,
(d) Önemli muhasebe tahminleri ve açıklamaları dâhil olmak üzere hizmet alan işletmenin finansal tabloları hazırlamak için kullandığı finansal raporlama süreci ve
(e) Tekrar etmeyen ve olağan dışı işlem veya düzeltmeleri kaydetmek için kullanılan standart olmayan yevmiye kayıtları da dâhil olmak üzere, yevmiye kayıtlarını kapsayan kontroller.
4. Bir hizmet kuruluşundan sağlanan hizmetlere ilişkin olarak hizmet alan işletmenin denetçisi tarafından yapılması gereken çalışmanın niteliği ve kapsamı, hizmet alan işletmeye sağlanan hizmetlerin niteliğine ve önemine ve bu hizmetlerin denetimle olan ilgisine bağlıdır.
5. Bu BDS, işletmenin bir finansal kuruluş nezdinde tutulan hesaplarının sadece işletilmesine yönelik finansal kuruluş tarafından sağlanan hizmetlere; bir banka tarafından işletmenin çek hesabı işlemlerinin gerçekleştirilmesi veya bir aracı kuruluş tarafından menkul kıymet işlemlerinin yürütülmesi gibi işletme tarafından münhasıran yetkilendirilen işlemlere ilişkin hizmetlere uygulanmaz. Ayrıca bu BDS, özkaynak paylarının muhasebeleştirilerek pay sahiplerine raporlandığı durumlarda; ortaklıklar, şirketler ve iş ortaklıkları gibi diğer işletmelerdeki özkaynak paylarından kaynaklanan işlemlerin denetimine uygulanmaz.

Yürürlük Tarihi
6. Bu BDS, 1/1/2013 tarihinde ve sonrasında başlayacak hesap dönemlerinden itibaren uygulanmak üzere yayımı tarihinde yürürlüğe girer.

Amaçlar
7. Hizmet alan işletme, bir hizmet kuruluşunun hizmetlerini kullandığında kullanıcı işletmenin denetçisinin amaçları:
(a) “Önemli yanlışlık” risklerini tespit etmeye ve değerlendirmeye yetecek ölçüde, hizmet kuruluşundan sağlanan hizmetlerin niteliği ve önemi ile bu hizmetlerin hizmet alan işletmenin denetimle ilgili iç kontrolüne etkisini anlamak ve
(b) Bu risklere karşı denetim prosedürlerini tasarlamak ve uygulamaktır.

Tanımlar
8. Aşağıdaki terimler BDS’lerde, karşılarında belirtilen anlamlarıyla kullanılmaktadır:
(a) Alt hizmet kuruluşu: Hizmet alan işletmelere finansal raporlamayla ilgili bilgi sistemlerinin parçası olan hizmetlerden bazılarını sağlamak amacıyla başka bir hizmet kuruluşu tarafından kullanılan hizmet kuruluşudur.
(b) Bir hizmet kuruluşundaki kontrollerin tanımına ve tasarımına ilişkin rapor (bu BDS’de 1 inci tip rapor olarak kullanılır): Bu rapor aşağıdakileri içerir:
(i) Hizmet kuruluşunun sistemi, kontrol amaçları ve tasarlanan ve belirli bir tarihte uygulanan ilgili kontrolleri hakkında, hizmet kuruluşu yönetimi tarafından hazırlanan tanımlama ve
(ii) Hizmet kuruluşunun sistemine, kontrol amaçlarına ve ilgili kontrollerine ilişkin yapılan tanımlama ile bu kontrollerin tasarımının belirli kontrol amaçlarını sağlamadaki uygunluğu hakkında hizmet kuruluşu denetçisinin görüşlerini içeren ve makul güvence vermek amacıyla hazırladığı bir rapor.
(c) Bir hizmet kuruluşundaki kontrollerin tanımı, tasarımı ve işleyiş etkinliğine ilişkin rapor (bu BDS’de 2 nci tip rapor olarak kullanılır): Bu rapor aşağıdakileri içerir:
(i) Hizmet kuruluşunun sistemine, kontrol amaçlarına ve tasarlanan ve belirli bir tarih veya dönem için uygulanan ilgili kontrollerine ve bazı durumlarda bu kontrollerin belirli bir dönem boyunca işleyiş etkinliğine ilişkin, hizmet kuruluşunun yönetimi tarafından yapılan tanımlama
(ii) Aşağıdaki hususları içerecek şekilde hizmet kuruluşu denetçisi tarafından makul güvence vermek amacıyla hazırlanan rapor:
a. Hizmet kuruluşunun sistemi, kontrol amaçları ve ilgili kontrollerine ilişkin tanımlaması, kontrollerin tasarımının belirlenmiş kontrol amaçlarını sağlamadaki uygunluğu ve kontrollerin işleyiş etkinliği hakkında hizmet kuruluşu denetçisinin görüşü ve
b. Hizmet kuruluşu denetçisinin yaptığı kontrol testlerinin tanımı ve bunların sonuçları.
(ç) Hizmet alan işletme: Bir hizmet kuruluşu kullanan ve finansal tabloları denetlenmekte olan işletmedir.
(d) Hizmet alan işletme denetçisi: Hizmet alan bir işletmenin finansal tablolarını denetleyen ve finansal tablolarına yönelik rapor hazırlayan denetçidir.
(e) Hizmet alan işletmenin tamamlayıcı kontrolleri: Hizmet kuruluşunun, hizmetini tasarlarken hizmet alan işletmeler tarafından uygulanacağını varsaydığı ve (kontrol amaçlarına ulaşmak için gerekli hâllerde) sistemin tanımında belirlenmiş kontrollerdir.
(f) Hizmet kuruluşu: Hizmet alan işletmelerin finansal raporlamaya ilişkin bilgi sistemlerinin bir parçası olan hizmetleri bu işletmelere sunan üçüncü taraf kuruluştur (veya üçüncü tarafın bir bölümüdür).
(g) Hizmet kuruluşu denetçisi: Bir hizmet kuruluşunun talebi üzerine, hizmet kuruluşunun kontrollerine ilişkin güvence raporu veren denetçidir.
(ğ) Hizmet kuruluşunun sistemi: Hizmet kuruluşu denetçisinin raporunda kapsanan hizmetleri hizmet alan işletmelere sağlamak için hizmet kuruluşunca tasarlanan, uygulanan ve sürdürülen politika ve prosedürlerdir.

Ana Hükümler

İç Kontol Dâhil Hizmet Kuruluşu Tarafından Sağlanan Hizmetlerin Anlaşılması
9. Hizmet alan işletme denetçisi BDS 315[3]’e uygun olarak hizmet alan işletmeyi tanırken, hizmet alan işletmenin faaliyetlerinde bir hizmet kuruluşundan nasıl yararlandığını, aşağıdakiler dâhil, anlamaya çalışır (Bakınız: A1–A2 paragrafları):
(a) Hizmet kuruluşunca sağlanan hizmetlerin niteliği ve hizmet alan işletmenin iç kontrolüne etkisi dâhil bu hizmetlerin hizmet alan işletme açısından önemi (Bakınız: A3–A5 paragrafları),
(b) Hizmet kuruluşu tarafından etkilenen hesapların veya finansal raporlama süreçlerinin veya gerçekleştirilen işlemlerin niteliği ve önemliliği (Bakınız: A6 paragrafı),
(c) Hizmet kuruluşu faaliyetleriyle hizmet alan işletme faaliyetleri arasındaki etkileşim derecesi (Bakınız: A7 paragrafı) ve
(ç) Hizmet kuruluşu tarafından üstlenilen hizmetlere ilişkin ilgili sözleşme şartları dâhil hizmet alan işletme ile hizmet kuruluşu arasındaki ilişkinin niteliği (Bakınız: A8–A11 paragrafları).
10. Hizmet alan işletme denetçisi, BDS 315[4]’e uygun olarak denetimle ilgili iç kontrol hakkında bilgi edinmesi sırasında, hizmet kuruluşu tarafından yapılan işlemlere uygulanan kontroller de dâhil olmak üzere, hizmet kuruluşundan sağlanan hizmetlere ilişkin hizmet alan işletmedeki ilgili kontrollerin tasarım ve uygulamasını değerlendirir (Bakınız: A12–A14 paragrafları).
11. Hizmet alan işletme denetçisi, hizmet kuruluşundan sağlanan hizmetlerin niteliği ve önemi ile bunların hizmet alan işletmenin denetimle ilgili iç kontrolü üzerindeki etkisi hakkında, “önemli yanlışlık” risklerini belirlemeye ve değerlendirmeye yetecek kadar bilgi elde edilip edilmediğine karar verir.
12. Hizmet alan işletme denetçisi, hizmet alan işletmeyi yeterli derecede tanıyamadığı hâllerde, aşağıdaki prosedürlerden birini veya daha fazlasını uygulayarak işletmeyi tanımaya çalışır:
(a) -Varsa- 1 inci tip veya 2 nci tip raporun elde edilmesi,
(b) Belirli bilgileri elde etmek için hizmet alan işletme aracılığıyla hizmet kuruluşuyla irtibata geçilmesi,
(c) Hizmet kuruluşunun ziyaret edilmesi ve hizmet kuruluşundaki ilgili kontroller hakkında gerekli bilgileri sağlayacak prosedürlerin uygulanması veya
(ç) Hizmet kuruluşundaki ilgili kontroller hakkında gerekli bilgileri sağlayacak prosedürleri uygulamak için başka bir denetçinin kullanılması (Bakınız: A15– A20 paragrafları).
1 inci Tip veya 2 nci Tip Raporun, Hizmet Alan İşletme Denetçisinin Hizmet Kuruluşu Hakkında Elde Ettiği Bilgileri Desteklemek Amacıyla Kullanılması
13. Hizmet alan işletme denetçisi 1 inci tip veya 2 nci tip raporun sağladığı denetim kanıtının yeterli ve uygun olduğuna karar verirken, aşağıdakiler hakkında tatmin edici bilgiler elde eder:
(a) Hizmet kuruluşu denetçisinin mesleki yeterliliği ve hizmet kuruluşundan bağımsızlığı ve
(b) 1 inci tip veya 2 nci tip raporun düzenlenmesinde temel alınan standartların uygunluğu (Bakınız: A21 paragrafı).
14. Hizmet kuruluşundaki kontrollerin tasarımı ve uygulaması hakkında edindiği bilgiyi desteklemek için 1 inci tip veya 2 nci tip raporu denetim kanıtı olarak kullanmayı planlaması hâlinde, hizmet alan işletmenin denetçisi:
(a) Hizmet kuruluşundaki kontrollerin tanımı ve tasarımının, hizmet alan işletme denetçisinin amaçlarına uygun bir tarih veya dönem için yapılıp yapılmadığını değerlendirir,
(b) Hizmet alan işletmenin denetimle ilgili iç kontrolünü anlamak için raporun sağladığı kanıtın yeterlilik ve uygunluğunu değerlendirir ve
(c) Hizmet kuruluşu tarafından belirlenmiş olan, hizmet alan işletmenin tamamlayıcı kontrollerinin söz konusu hizmeti alan işletmeyle ilgili olup olmadığına karar verir ve hizmet alan işletmeyle ilgili olması durumunda hizmet alan işletmenin bu tür kontrolleri tasarlayıp tasarlamadığı ve uygulayıp uygulamadığı hakkında bilgi elde eder (Bakınız: A22–A23 paragrafları).

Değerlendirilmiş “Önemli Yanlışlık” Risklerine Karşı Yapılacak İşler
15. Hizmet alan işletme denetçisi, BDS 330 uyarınca değerlendirilmiş risklere karşılık verirken:
(a) Finansal tablolardaki ilgili yönetim beyanlarına ilişkin yeterli ve uygun denetim kanıtına hizmet alan işletmede tutulan kayıtlardan ulaşıp ulaşamayacağına karar verir ve eğer ulaşamıyorsa,
(b) Yeterli ve uygun denetim kanıtı elde etmek için müteakip denetim prosedürlerini hizmet kuruluşunda uygular veya hizmet alan işletme denetçisi adına bu prosedürleri hizmet kuruluşunda uygulayacak başka bir denetçi kullanır.
(Bakınız: A24–A28 paragrafları)
Kontrol Testleri
16. Hizmet alan işletme denetçisi tarafından yapılan risk değerlendirmesinin hizmet kuruluşundaki kontrollerin etkin şekilde işlediğine dair bir beklenti içermesi durumunda hizmet alan işletme denetçisi, aşağıdaki prosedürlerden bir veya daha fazlasını uygulayarak bu kontrollerin işleyiş etkinliği hakkında denetim kanıtı elde eder:
(a) -Varsa- 2 nci tip raporun elde edilmesi,
(b) Hizmet kuruluşunda uygun kontrol testlerinin uygulanması veya
(c) Hizmet alan işletme denetçisi adına hizmet kuruluşunda kontrol testlerini uygulayacak başka bir denetçinin kullanılması (Bakınız: A29–A30 paragrafları).
Hizmet Kuruluşundaki Kontrollerin Etkin Biçimde İşlediğine İlişkin Denetim Kanıtı Olarak 2 nci Tip Raporun Kullanılması
17. 16(a) paragrafı uyarınca, hizmet kuruluşundaki kontrollerin etkin biçimde işlediğine ilişkin denetim kanıtı olarak 2 nci tip raporu kullanmayı planlaması hâlinde hizmet alan işletme denetçisi, kontrollerin etkinliği hakkında hizmet kuruluşu denetçisinin raporunun, risk değerlendirmesini destekleyecek yeterli ve uygun denetim kanıtı sağlayıp sağlamadığını aşağıdaki yollarla belirler:
(a) Hizmet kuruluşundaki kontrollerin tanımı, tasarımı ve bu kontrollerin işleyiş etkinliğinin hizmet alan işletme denetçisinin amaçlarına uygun bir tarih veya dönem için yapılıp yapılmadığının değerlendirilmesi,
(b) Hizmet kuruluşu tarafından tanımlanan hizmet alan işletmenin tamamlayıcı kontrollerinin hizmet alan işletmeyle ilgili olup olmadığının belirlenmesi ve hizmet alan işletmeyle ilgili olması durumunda, hizmet alan işletmenin bu tür kontrolleri tasarlayıp tasarlamadığı ve uygulayıp uygulamadığı hakkında bilgi elde edilmesi ve bu kontroller mevcutsa bunların işleyiş etkinliğinin test edilmesi,
(c) Kontrol testlerinin kapsadığı dönemin uygunluğunun ve kontrol testlerinin uygulandığı tarihten bu yana geçen sürenin değerlendirilmesi ve
(ç) Hizmet kuruluşu denetçisi tarafından uygulanan kontrol testlerinin ve hizmet kuruluşu denetçisinin raporunda açıkladığı şekliyle bu testlerin sonuçlarının, hizmet alan işletmenin finansal tablolarındaki yönetim beyanlarıyla ilgili olup olmadığının ve hizmet alan işletme denetçisinin risk değerlendirmesini destekleyecek yeterli ve uygun denetim kanıtı sağlayıp sağlamadığının değerlendirilmesi.
(Bakınız: A31–A39 paragrafları)

Alt Hizmet Kuruluşunun Hizmetlerini Kapsam Dışı Tutan 1 inci Tip ve 2 nci Tip Raporlar
18. Hizmet alan işletme denetçisinin, bir alt hizmet kuruluşunun sağladığı hizmetleri kapsam dışı tutan 1 inci tip veya 2 nci tip raporu kullanmayı planlaması ve bu hizmetlerin hizmet alan işletmenin finansal tablolarının denetimiyle ilgili olması durumunda, hizmet alan işletme denetçisi alt hizmet kuruluşunun sağladığı hizmetlere ilişkin olarak bu BDS hükümlerini uygular (Bakınız: A40 paragrafı).

Hizmet Kuruluşundaki Faaliyetlere İlişkin Hile, Mevzuata Aykırılık ve Düzeltilmemiş Yanlışlıklar
19. Hizmet alan işletme denetçisi, hizmet kuruluşunun, hizmet alan işletmeye finansal tabloları etkileyen herhangi bir hile, mevzuata aykırılık veya düzeltilmemiş yanlışlık raporlayıp raporlamadığını veya hizmet alan işletmenin herhangi bir şekilde böyle bir durumdan haberdar olup olmadığını öğrenmek için hizmet alan işletmenin yönetimini sorgular. Hizmet alan işletme denetçisi bu tür konuların, uygulayacağı müteakip denetim prosedürlerinin niteliğini, zamanlamasını ve kapsamını nasıl etkilediğini (hizmet alan işletme denetçisinin raporu ve vardığı sonuçlar üzerindeki etkisi de dâhil) değerlendirir (Bakınız: A41 paragrafı).

Hizmet Alan İşletme Denetçisi Tarafından Yapılan Raporlama
20. Hizmet alan işletmenin finansal tablolarının denetimine ilişkin olarak hizmet kuruluşunun sunduğu hizmetlere dair yeterli ve uygun denetim kanıtı elde edememesi durumunda hizmet alan işletme denetçisi, BDS 705[5] uyarınca raporunda olumlu görüş dışında bir görüş verir (Bakınız: A42 paragrafı).
21. Hizmet alan işletme denetçisi, mevzuat tarafından zorunlu kılınmadıkça, olumlu görüş içeren raporunda hizmet kuruluşu denetçisinin çalışmasına atıfta bulunmaz. Mevzuatın böyle bir atfı zorunlu kılması durumunda, hizmet alan işletme denetçisinin raporu, yapılan atfın denetim görüşüne ilişkin hizmet alan işletme denetçisinin sorumluluğunu azaltmadığını belirtir (Bakınız: A43 paragrafı).
22. Hizmet kuruluşu denetçisinin çalışmasına yapılacak atfın, hizmet alan işletme denetçisi tarafından verilen olumlu görüş dışında bir görüşün anlaşılmasıyla ilgili olması durumunda, hizmet alan işletme denetçisinin raporu, yapılan atfın hizmet alan işletme denetçisinin ilgili görüşe ilişkin sorumluluğunu azaltmadığını belirtir (Bakınız: A44 paragrafı).

Açıklayıcı Hükümler ve Uygulama

İç Kontol Dâhil Hizmet Kuruluşu Tarafından Sağlanan Hizmetlerin Anlaşılması
Bilgi Kaynakları (Bakınız: 9 uncu paragraf)
A1. Bir hizmet kuruluşundan sağlanan hizmetlerin niteliğine ilişkin bilgiler çok çeşitli kaynaklardan elde edilebilir, örneğin:
• Kullanıcı rehberleri.
• Sistem gözden geçirmeleri.
• Teknik rehberler.
• Hizmet alan işletme ile hizmet kuruluşu arasındaki sözleşme veya hizmet seviyesi anlaşması.
• Hizmet kuruluşlarının, iç denetçilerin veya düzenleyici otoritelerin hizmet kuruluşundaki kontrollere ilişkin raporları.
• -Varsa- yönetim mektupları dâhil hizmet kuruluşu denetçisinin raporları.
A2. Hizmet alan işletme denetçisinin, hizmet kuruluşuna ilişkin tecrübesi sayesinde elde ettiği bilgiler (örneğin başka denetimlerdeki tecrübesi), hizmet kuruluşunca sağlanan hizmetlerin niteliğinin anlaşılmasında da yardımcı olabilir. Hizmet kuruluşundaki hizmetlerin ve bu hizmetlere ilişkin kontrollerin büyük ölçüde standartlaştırıldığı durumlarda, bu bilgiler özellikle faydalı olabilir.
Hizmet Kuruluşunca Sağlanan Hizmetlerin Niteliği (Bakınız: 9(a) paragrafı)
A3. Hizmet alan işletme, işlemleri işleyen ve ilgili hesap verebilirliği sağlayan veya işlemleri kaydeden ve ilgili verileri işleyen bir hizmet kuruluşu gibi bir kuruluş kullanabilir. Bu tür hizmetleri sağlayan hizmet kuruluşlarına; çalışanlara sağlanan fayda planlarına ya da başkalarına ilişkin varlıklara yatırım yapan ve bunları yöneten bankaların fon yönetimi birimleri, başkalarına ipotekli konut kredisi (mortgage) yönetimi hizmeti veren kuruluşlar ve müşterilerin finansal ve operasyonel işlemlerini gerçekleştirmesini sağlayan paket yazılım uygulamalarını ve teknoloji ortamını sunan uygulama hizmet sağlayıcıları örnek olarak verilebilir.
A4. Hizmet kuruluşu tarafından sağlanan hizmetlerden denetimle ilgili olanlara aşağıdakiler örnek olarak verilebilir:
• Hizmet alan işletmenin muhasebe kayıtlarının tutulması,
• Varlık yönetimi,
• Hizmet alan işletme adına işlemlerin başlatılması, kaydedilmesi veya işlenmesi. Küçük İşletmelere Özgü Hususlar
A5. Küçük işletmeler, belirli işlemlerin gerçekleştirilmesi (örneğin, çalışanların gelir vergisi ödemesinin  yapılması)  ve  muhasebe  kayıtlarının  tutulmasından  finansal  tablolarının hazırlanmasına kadar farklı yelpazelerde defter tutma hizmetini dışarıdan alabilirler. Finansal tabloların hazırlanmasında bu tür bir hizmet kuruluşunun kullanılması, işletme yönetiminin ve -uygun hâllerde- üst yönetimden sorumlu olanların finansal tablolara ilişkin sorumluluklarını ortadan kaldırmaz.[6]
Hizmet Kuruluşu Tarafından Gerçekleştirilen İşlemlerin Niteliği ve Önemliliği (Bakınız: 9(b) paragrafı)
A6. Hizmet kuruluşu hizmet alan işletmenin iç kontrolünü etkileyen politika ve prosedürler oluşturabilir. Bu politika ve prosedürler, en azından kısmen, fiziki ve operasyonel olarak hizmet alan işletmeden ayrıdır. Hizmet kuruluşunun kontrollerinin hizmet alan işletmedeki kontroller açısından önemi, hizmet alan işletme için gerçekleştirilen işlemlerin nitelik ve önemliliği dâhil olmak üzere, hizmet kuruluşunun hizmet alan işletmeye sağladığı hizmetlerin niteliğine bağlıdır. Belirli durumlarda, hizmet kuruluşu tarafından gerçekleştirilen işlemler ve etkilenen hesaplar, hizmet alan işletmenin finansal tabloları için önemli görünmeyebilir, ancak gerçekleştirilen işlemlerin niteliği önemli olabilir ve hizmet alan işletme denetçisi şartlara göre bu kontrollerin anlaşılması gerektiğine karar verebilir.
Hizmet Kuruluşu Faaliyetleri İle Hizmet Alan İşletme Faaliyetleri Arasındaki Etkileşimin Derecesi (Bakınız: 9(c) paragrafı)
A7. Hizmet kuruluşu kontrollerinin hizmet alan işletme kontrollerine kıyasla önemi, kendi faaliyetleri ile hizmet alan işletmenin faaliyetleri arasındaki etkileşimin derecesine de bağlıdır. Etkileşim derecesi, hizmet alan işletmenin hizmet kuruluşu tarafından gerçekleştirilen işlem üzerinde etkin kontroller uygulayabilme ve uygulamayı tercih etme derecesini ifade eder. Örneğin, hizmet alan işletmenin işlemleri onayladığı ve hizmet kuruluşunun bu işlemleri gerçekleştirdiği ve muhasebeleştirdiği durumda, hizmet alan işletme faaliyetleri ile hizmet kuruluşu faaliyetleri arasında yüksek derecede etkileşim vardır. Bu tür durumlarda, hizmet alan işletmenin bu işlemler üzerinde etkin kontroller uygulaması mümkün olabilir. Diğer taraftan, hizmet kuruluşunun hizmet alan işletmenin işlemlerini başlattığı veya ilk kayıtlarını yaptığı, işlediği ve muhasebeleştirdiği durumlarda, iki kuruluş arasında düşük seviyede bir etkileşim mevcuttur. Bu durumda, hizmet alan işletme kendi bünyesinde bu işlemler üzerinde etkin kontroller uygulayamaz veya uygulamamayı tercih edebilir ve hizmet kuruluşundaki kontrollere güvenebilir.
Hizmet Alan İşletme ile Hizmet Kuruluşu Arasındaki İlişkinin Niteliği (Bakınız: 9(ç) paragrafı)
A8. Hizmet alan işletme ile hizmet kuruluşu arasındaki sözleşme veya hizmet seviyesi anlaşması aşağıdaki gibi hususları içerebilir:
• Hizmet alan işletmeye sağlanacak olan bilgiler ve hizmet kuruluşu tarafından üstlenilen faaliyetlere ilişkin işlemlerin başlatılmasına dair sorumluluklar,
• Düzenleyici kurumların tutulması gereken kayıtların şekline ve bu kayıtlara erişilmesine ilişkin getirdiği yükümlülüklerin uygulanması,
• -Varsa- bir uygulama başarısızlığı durumunda hizmet alan işletmeye ödenecek tazminat,
• Hizmet kuruluşunun, kontrolleri hakkında rapor sağlayıp sağlamayacağı; sağlayacaksa bu raporun 1 inci tip rapor mu, yoksa 2 nci tip rapor mu olacağı,
• Hizmet alan işletme denetçisinin, hizmet kuruluşu tarafından tutulan muhasebe kayıtlarına ve denetimin yürütülmesi için gerekli diğer bilgilere erişim hakkının bulunup bulunmadığı ve
• Sözleşmenin hizmet alan işletme denetçisi ile hizmet kuruluşu denetçisi arasında doğrudan iletişime izin verip vermediği.
A9. Hizmet kuruluşu ile hizmet alan işletme arasında ve hizmet kuruluşu ile hizmet kuruluşu denetçisi arasında doğrudan bir ilişki vardır. Bu ilişkiler hizmet alan işletme denetçisi ile hizmet kuruluşu denetçisi arasında doğrudan bir ilişki yaratmak zorunda değildir. Hizmet alan işletme denetçisi ile hizmet kuruluşu denetçisi arasında doğrudan bir ilişki bulunmaması durumunda, hizmet alan işletme denetçisi ile hizmet kuruluşu denetçisi arasındaki iletişim genellikle hizmet alan işletme ve hizmet kuruluşu aracılığıyla sağlanır. İlgili etik ve gizlilik (sır saklama) hususları dikkate alınmak suretiyle hizmet alan işletme denetçisi ile hizmet kuruluşu denetçisi arasında doğrudan bir ilişki de oluşturulabilir. Hizmet alan işletme denetçisi kendi adına prosedürlerin yürütülmesi için hizmet kuruluşu denetçisini kullanabilir, örneğin:
(a) Hizmet kuruluşundaki kontrol testlerinin yapılması veya
(b) Hizmet alan işletmenin hizmet kuruluşu tarafından tutulan finansal tablo işlemleri ve bakiyeleri üzerinde maddi doğrulama prosedürlerinin uygulanması.
Kamu Sektörü İşletmelerine Özgü Hususlar
A10. Kamu sektöründe görev yapan denetçiler genellikle kanunla belirlenmiş geniş erişim haklarına sahiptir. Ancak, hizmet kuruluşunun başka bir ülkede bulunması gibi, bu erişim haklarının bulunmadığı durumlar da söz konusu olabilir. Bu tür durumlarda, kamu sektöründe görev yapan denetçinin, uygun erişim haklarının elde edilip edilemeyeceğine karar vermesi için bu ülkede geçerli olan mevzuatı anlaması gerekebilir. Kamu sektöründe görev yapan denetçi ayrıca erişim hakkını hizmet alan işletme ile hizmet kuruluşu arasındaki sözleşme hükümlerine göre elde edebilir veya hizmet alan işletmeden söz konusu sözleşmeye erişim hakkı hükümlerini dâhil etmesini talep edebilir.
A11. Kamu sektöründe görev yapan denetçiler, mevzuata uygunlukla ilgili kontrol testlerinin ve maddi doğruluk prosedürlerinin uygulanması için başka bir denetçi de kullanabilir.
Hizmet Kuruluşunca Sağlanan Hizmetlere İlişkin Kontroller Hakkında Bilgi Edinilmesi
(Bakınız: 10 uncu paragraf)
A12. Hizmet alan işletme, hizmet kuruluşunun kendisine sağladığı hizmetler üzerinde, hizmet alan işletme denetçisi tarafından test edilebilecek ve hizmet alan işletme denetçisinin, hizmet kuruluşunun içerisinde bulunan kontrollere bakmaksızın, hizmet alan işletmenin kontrollerinin, ilgili yönetim beyanlarının bir kısmı veya tamamı için etkin bir şekilde işlediği sonucuna varabileceği kontroller oluşturabilir. Hizmet alan işletmenin örneğin bordro işlemlerini gerçekleştirmek için hizmet kuruluşu kullanması durumunda, hizmet alan işletme bordro bilgilerinin sağlanması ve teslim alınması üzerinde önemli yanlışlıkları önleyebilecek veya tespit edebilecek kontroller oluşturabilir. Bu kontroller aşağıdakileri içerebilir:
• Hizmet kuruluşuna sağlanan verilerin, veriler işlendikten sonra hizmet kuruluşundan alınan bilgilerin raporlarıyla karşılaştırılması,
• Kayıt sırasında yapılabilecek hatalara karşı seçilen örnek bordro tutarlarının yeniden hesaplanması ve personel ödemelerinin toplam tutarının uygunluğunun gözden geçirilmesi.
A13. Bu durumda hizmet alan işletme denetçisi, hizmet alan işletmenin kontrollerinin bordro işlemlerine ilişkin yönetim beyanları açısından etkin biçimde işlediği sonucuna varmasına temel oluşturması için bordroların işlenmesi üzerindeki hizmet alan işletmenin kontrollerinin testlerini gerçekleştirebilir.
A14. BDS 315[7]’de belirtildiği gibi, bazı risklere ilişkin olarak, hizmet alan işletme denetçisi yalnızca maddi doğrulama prosedürleri kullanarak yeterli ve uygun denetim kanıtı elde etmenin mümkün veya uygulanabilir olmadığına karar verebilir. Bu tür riskler, özellikleri bakımından otomatik işlem süreçlerinin yoğun kullanılabildiği, hiçbir manuel müdahale içermeyen veya az bir müdahale içeren rutin ve önemli işlem sınıfları veya hesap bakiyelerinin yanlış veya eksik kaydedilmesiyle ilgili olabilir. Bu tür otomatik işlem özellikleri, özellikle hizmet alan işletmenin hizmet kuruluşlarını kullandığı durumlarda mevcut olabilir. Bu tür durumlarda, hizmet alan işletmenin bu tür riskler üzerindeki kontrolleri denetimle ilgilidir ve bu BDS’nin 9 ve 10 uncu paragrafları uyarınca, hizmet alan işletme denetçisinin bu tür kontrolleri anlaması ve değerlendirmesi gerekir.
Hizmet Alan İşletmeden Yeterli Seviyede Bilgi Elde Edilememesi Durumunda Uygulanacak İlâve Prosedürler (Bakınız: 12 nci paragraf)
A15. Hizmet alan işletme denetçisinin hizmet alan işletmenin hizmet kuruluşu kullanmasıyla ilgili “önemli yanlışlık” risklerini belirlemesine ve değerlendirmesine temel oluşturacak gerekli bilgileri elde etmek için, tek başına veya birlikte, 12 nci paragraftaki hangi prosedürü uygulayacağına ilişkin kararı, aşağıdakiler gibi hususlardan etkilenebilir:
• Hizmet alan işletmenin ve hizmet kuruluşunun büyüklüğü,
• Hizmet alan işletmedeki işlemlerin karmaşıklığı ve hizmet kuruluşunun sağladığı hizmetlerin karmaşıklığı,
• Hizmet kuruluşunun yeri (örneğin, hizmet kuruluşu uzak bir yerdeyse, hizmet alan işletme denetçisi kendisi adına hizmet kuruluşunda prosedürleri uygulaması için başka bir denetçi kullanmaya karar verebilir),
• Prosedürün veya prosedürlerin hizmet alan işletmenin denetçisine yeterli ve uygun denetim kanıtını etkin bir şekilde sağlamasının beklenip beklenmediği ve
• Hizmet alan işletme ile hizmet kuruluşu arasındaki ilişkinin niteliği.
A16. Hizmet kuruluşu kendi kontrollerinin tanımı ve tasarımını (1 inci tip rapor) veya kontrollerinin tanımı, tasarımı ve işleyiş etkinliğini (2 nci tip rapor) raporlaması için bir hizmet kuruluşu denetçisiyle sözleşme yapabilir. 1 inci tip veya 2 nci tip raporlar, Kurum tarafından yayımlanan Güvence Denetimi Standardı (GDS) 3402[8] kapsamında veya yetkili veya kabul görmüş bir standart düzenleyici kuruluş tarafından oluşturulmuş standartlara uygun olarak   (bu standartlarda örneğin A tipi veya B tipi raporlar gibi farklı isimlerle adlandırılmış olabilir) düzenlenebilir.
A17. 1 inci tip veya 2 nci tip raporun mevcut olması genelde, hizmet kuruluşu ile hizmet alan işletme arasındaki sözleşmenin hizmet kuruluşu tarafından böyle bir rapor sağlanmasına dair hüküm içerip içermemesine bağlıdır. Hizmet kuruluşu, ayrıca uygulama kolaylığı sağladığından dolayı hizmet alan işletmelere 1 inci tip veya 2 nci tip rapor sağlamayı tercih edebilir. Ancak, bazı durumlarda 1 inci tip veya 2 nci tip rapor hizmet alan işletmelerin kullanımı için mevcut olmayabilir.
A18. Bazı durumlarda hizmet alan işletme, bir veya daha fazla önemli birimini veya fonksiyonunu (vergi planlaması ve vergisel uyum fonksiyonlarının tamamı, finans ve muhasebe veya kontrolörlük fonksiyonu gibi) bir veya daha fazla hizmet kuruluşuna devredebilir. Bu durumlarda hizmet kuruluşundaki kontrollere ilişkin bir rapor mevcut olmayabileceğinden, hizmet kuruluşunun ziyaret edilmesi hizmet alan işletme denetçisinin hizmet kuruluşundaki kontroller hakkında bilgi elde etmesine ilişkin en etkin prosedür (hizmet alan işletme yönetimi ile hizmet kuruluşu yönetimi arasında muhtemelen doğrudan bir etkileşim olacağından) olabilir.
A19. Hizmet kuruluşundaki ilgili kontroller hakkında gerekli bilgileri sağlayacak prosedürleri uygulamak için başka bir denetçi kullanılabilir. 1 inci tip veya 2 nci tip raporun düzenlenmiş olması durumunda, hizmet kuruluşu denetçisinin hizmet kuruluşuyla hâlihazırda bir ilişkisi olduğundan hizmet alan işletme denetçisi bu prosedürleri uygulamak için hizmet kuruluşu denetçisini kullanabilir. Başka bir denetçinin çalışmasını kullanan hizmet alan işletme denetçisi, bu durum başka bir denetçi hakkında bilgi elde edilmesi (denetçinin bağımsızlığı ve mesleki yeterliliği dâhil) ve çalışmanın nitelik, zamanlama ve kapsamının planlanmasında ve elde edilen denetim kanıtlarının yeterlilik  ve  uygunluğunun  değerlendirilmesinde  başka  bir  denetçinin  çalışmasına katılımı içermesinden dolayı BDS 600[9]’deki açıklamaları faydalı bulabilir.
A20. Hizmet alan işletme, hizmet alan işletmenin finansal raporlamayla ilgili bilgi sisteminin bir parçası olan hizmetlerin bazılarını bir alt hizmet kuruluşuna yaptıran bir hizmet kuruluşu kullanabilir. Alt hizmet kuruluşu hizmet kuruluşundan bağımsız ayrı bir işletme olabilir veya hizmet kuruluşuyla ilişkili olabilir. Hizmet alan işletme denetçisinin alt hizmet kuruluşundaki kontrolleri dikkate alması gerekebilir. Bir veya daha fazla alt hizmet kuruluşunun kullanıldığı durumlarda, hizmet alan işletme faaliyetleri ile hizmet kuruluşu faaliyetleri arasındaki etkileşim; hizmet alan işletme, hizmet kuruluşu ve alt hizmet kuruluşları arasındaki etkileşimi kapsayacak şekilde genişletilir. Hizmet alan işletme denetçisinin, hizmet kuruluşu ve alt hizmet kuruluşu kontrollerinin hizmet alan işletme kontrolleri açısından önemini belirlemesinde, hizmet kuruluşu ve alt hizmet kuruluşları tarafından gerçekleştirilen işlemlerin nitelik ve önemliliği ile bu etkileşimin derecesi de en önemli faktörlerdir.
1 inci Tip veya 2 nci Tip Raporun Hizmet Alan İşletme Denetçisinin Hizmet Kuruluşu Hakkında Elde Ettiği Bilgileri (Anlayışı) Desteklemek Amacıyla Kullanılması (Bakınız: 13-14 üncü paragraflar)
A21. Hizmet alan işletme denetçisi, hizmet kuruluşu denetçisinin meslek kuruluşuyla veya diğer denetçilerle hizmet kuruluşu denetçisi hakkında görüşebilir (sorgulayabilir) ve hizmet kuruluşu denetçisinin herhangi bir yasal gözetime tabi olup olmadığını sorgulayabilir. Hizmet kuruluşu denetçisi hizmet kuruluşundaki kontrollere ilişkin raporlar bakımından farklı standartların uygulandığı bir ülkede faaliyet gösteriyor olabilir ve hizmet alan işletme denetçisi standart belirleyici kuruluştan hizmet kuruluşu denetçisinin kullandığı standartlar hakkında bilgi elde edebilir.
A22. Hizmet alan işletme hakkındaki bilgilerle birlikte, 1 inci tip veya 2 nci tip rapor, hizmet alan işletme denetçisinin aşağıdaki hususları anlamasına yardımcı olabilir:
(a) Alt hizmet kuruluşlarının kullanılması dâhil olmak üzere, hizmet kuruluşundaki kontrollerin, hizmet alan işletme işlemlerinin işlenmesini etkileyebilecek yönlerini,
(b) Hizmet alan işletmenin işlem akışında, finansal tablolarında önemli yanlışlıkların meydana gelebileceği noktaları belirlemek amacıyla, hizmet kuruluşu üzerinden gerçekleştirilen önemli işlemlerin akışını,
(c) Hizmet alan işletmenin finansal tablolarındaki yönetim beyanlarıyla ilgili, hizmet kuruluşundaki kontrol amaçları ve
(ç) Hizmet kuruluşundaki kontrollerin, hizmet alan işletmenin finansal tablolarında önemli yanlışlıklarla sonuçlanabilecek işlem hatalarını önleyecek veya tespit ederek düzeltecek şekilde tasarlanıp tasarlanmadığı ve uygulanıp uygulanmadığı.
1 inci tip veya 2 nci tip rapor, “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için yeterli bilginin (anlayışın) elde edilmesinde hizmet alan işletme denetçisine yardımcı olabilir. Ancak, 1 inci tip rapor ilgili kontrollerin işleyiş etkinliği hakkında herhangi bir kanıt sağlamaz.
A23. Hizmet alan işletmenin raporlama döneminin dışındaki bir tarihe veya döneme ait 1 inci tip veya 2 nci tip rapor, raporun diğer kaynaklardan ilâve güncel bilgilerle desteklenmesi hâlinde, hizmet alan işletme denetçisinin hizmet kuruluşunda uygulanan kontrollerle ilgili bir ön fikir elde etmesine yardımcı olabilir. Hizmet kuruluşunun kontrollerinin tanımının, denetlenen dönemin başlangıcından önceki bir tarihe veya döneme ait olması durumunda, hizmet alan işletme denetçisi 1 inci tip veya 2 nci tip rapordaki bilgileri güncellemek için aşağıdakiler gibi prosedürleri uygulayabilir:
• Hizmet kuruluşundaki değişikliklerin, bu değişiklikler hakkında bilgisi olabilecek bir konumda olan hizmet alan işletme personeliyle müzakere edilmesi,
• Hizmet kuruluşu tarafından yayımlanmış cari dokümanların ve yazışmaların gözden geçirilmesi veya
• Değişikliklerin hizmet kuruluşu personeliyle müzakere edilmesi.

Değerlendirilmiş “Önemli Yanlışlık” Risklerine Karşı Yapılacak İşler (Bakınız: 15 inci paragraf)
A24. Hizmet kuruluşu kullanımının hizmet alan işletmenin “önemli yanlışlık” riskini artırıp artırmadığı, sağlanan hizmetlerin ve bu hizmetler üzerindeki kontrollerin niteliğine bağlıdır. Hizmet alan işletmenin kendisi işlemlerin başlatılması, işlenmesi ve kaydedilmesi gibi belirli faaliyetleri üstlenecek yeterli uzmanlığa veya yeterli kaynağa (bir BT sistemi gibi) sahip olmadığı durumlarda, hizmet kuruluşunun kullanımı, hizmet alan işletmenin “önemli yanlışlık” riskini azaltabilir.
A25. Hizmet kuruluşunun hizmet alan işletmenin muhasebe kayıtlarının önemli unsurlarını muhafaza ettiği durumlarda, bu kayıtlar üzerindeki kontrollerin işleyişine ilişkin yeterli ve uygun denetim kanıtı elde etmek veya bu kayıtlardaki işlem ve bakiyeleri doğrulamak için veya her iki amaç için hizmet alan işletme denetçisinin ilgili kayıtlara doğrudan erişimi gerekebilir. Bu tür bir erişim, kayıtların hizmet kuruluşu binasında fiziki olarak tetkik edilmesini veya hizmet alan işletmeden veya başka bir yerden elektronik ortamda tutulan kayıtların sorgulanmasını veya her ikisini kapsayabilir. Doğrudan erişimin elektronik ortam üzerinden sağlanması durumunda, hizmet alan işletme denetçisi böylece hizmet kuruluşunun sorumluluğu altında olan hizmet alan işletme verilerinin tamlığı ve doğruluğu üzerinde hizmet kuruluşu tarafından yürütülen kontrollerin yeterliliğine ilişkin kanıt elde edebilir.
A26. Hizmet kuruluşu tarafından hizmet alan işletme adına tutulan varlıkları veya üstlenilen işlemleri yansıtan bakiyelere ilişkin elde edilecek denetim kanıtlarının nitelik ve kapsamına karar verilirken, hizmet alan işletme denetçisi tarafından aşağıdaki prosedürler uygulanabilir:
(a) Hizmet alan işletme tarafından tutulan belge ve kayıtların tetkik edilmesi: Bu kanıt kaynağının güvenilirliğine, hizmet alan işletme tarafından tutulan muhasebe kayıtlarının ve destekleyici belgelerin nitelik ve kapsamına göre karar verilir. Bazı durumlarda, hizmet alan işletme kendisi adına üstlenilen belirli işlemlerin detaylı kayıtlarını veya belgelerini ayrıca muhafaza etmiyor olabilir.
(b) Hizmet kuruluşu tarafından tutulan kayıt ve belgelerin tetkik edilmesi: Hizmet alan işletme denetçisinin hizmet kuruluşu kayıtlarına erişimi, hizmet alan işletme ile hizmet kuruluşu arasındaki sözleşmede belirlenebilir. Hizmet alan işletme denetçisi, ayrıca hizmet kuruluşunda tutulan hizmet alan işletme kayıtlarına erişim sağlamak için kendisi adına başka bir denetçi kullanabilir.
(c) Hizmet kuruluşundan bakiye ve işlemlerin teyit edilmesi: Hizmet alan işletmenin, bakiyelerin ve işlemlerin bağımsız kayıtlarını muhafaza etmesi durumunda, hizmet kuruluşundan hizmet alan işletmenin kayıtlarını doğrulayan teyit alınması, ilgili işlemlerin ve varlıkların mevcudiyetine ilişkin güvenilir denetim kanıtı oluşturabilir. Örneğin, yatırım yöneticisi ve yeddiemin gibi birden fazla hizmet kuruluşunun kullanılması ve bu hizmet kuruluşlarının bağımsız kayıtlar tutması durumunda, hizmet alan işletme denetçisi bu bilgileri hizmet alan işletmenin bağımsız kayıtlarıyla karşılaştırmak için anılan hizmet kuruluşlarındaki bakiyelere ilişkin teyit alabilir.
Hizmet alan işletmenin bağımsız kayıtlar tutmaması durumunda, hizmet kuruluşundan alınan teyitlerden elde edilen bilgi sadece hizmet kuruluşunda tutulan kayıtlarda yansıtılanı ifade eder. Bu sebeple, bu tür teyitler kendi başlarına güvenilir denetim kanıtı oluşturmaz. Bu şartlarda hizmet alan işletme denetçisi alternatif bağımsız kanıt kaynağının belirlenmesinin mümkün olup olmadığını değerlendirebilir.
(ç) Analitik prosedürlerin hizmet alan işletmede tutulan kayıtlara veya hizmet kuruluşundan alınan raporlara uygulanması: Analitik prosedürlerin etkinliğinin yönetimin beyanına göre değişmesi muhtemel olup, eldeki bilgilerin kapsamından ve detayından etkilenecektir.
A27. Başka bir denetçi, maddi doğrulama prosedürleri niteliğinde olan prosedürleri hizmet alan işletme denetçilerinin yararına uygulayabilir. Bu tür bir iş, hizmet alan işletme ile hizmet alan işletme denetçisi arasında ve hizmet kuruluşuyla hizmet kuruluşu denetçisi arasında üzerinde anlaşmaya varılmış prosedürlerin başka bir denetçi tarafından uygulanmasını içerebilir. Başka bir denetçi tarafından uygulanan prosedürlerin bulgularını, hizmet alan işletme denetçisi yeterli ve uygun denetim kanıtı oluşturup oluşturmadığına karar vermek için gözden geçirir. Ayrıca, hizmet kuruluşu denetçisinin maddi doğrulama prosedürleri niteliğinde olan belirlenmiş prosedürleri uygulamasını gerektiren mevzuat hükümleri veya sözleşme yükümlülükleri bulunabilir. Gereken bu prosedürlerin hizmet kuruluşu tarafından işlenen bakiye ve işlemlere uygulanmasının sonuçları, hizmet alan işletme denetçileri tarafından denetim görüşünü desteklemek için gerekli kanıtın bir parçası olarak kullanılabilir. Bu tür durumlarda, prosedürlerin uygulanması öncesinde hizmet alan işletme denetçisine sağlanacak çalışma kâğıtları veya bunlara erişim konusunda anlaşmaya varılması hizmet alan işletme denetçisi ve hizmet kuruluşu denetçisi açısından faydalı olabilir.
A28. Belirli durumlarda, özellikle hizmet alan işletme finans birimi fonksiyonlarının tamamını veya bir bölümünü bir hizmet kuruluşuna yaptırdığında, hizmet alan işletme denetçisi denetim kanıtlarının önemli bir bölümünün hizmet kuruluşunda bulunması durumuyla karşılaşabilir. Maddi doğrulama prosedürlerinin hizmet alan işletme denetçisi veya onun adına başka bir denetçi tarafından hizmet kuruluşunda uygulanması gerekebilir. Hizmet kuruluşu denetçisi, 2 nci tip rapor sağlayabilir ve ayrıca hizmet alan işletme denetçisi adına maddi doğrulama prosedürlerini uygulayabilir. Başka bir denetçinin katılımı, hizmet alan işletme denetçisinin görüşünü destekleyecek makul bir dayanak oluşturmak üzere yeterli ve uygun denetim kanıtı elde etme sorumluluğunu değiştirmez. Bu sebeple, yeterli ve uygun denetim kanıtı elde edilip edilmediğine ve hizmet alan işletme denetçisinin ilâve maddi doğrulama prosedürleri uygulamasının gerekli olup olmadığına dair hizmet alan işletme denetçisinin dikkate alacağı hususlar, hizmet alan işletme denetçisinin başka bir denetçi tarafından uygulanan maddi doğrulama prosedürlerinin yönetimi, yönlendirilmesi, gözetimi ve uygulamasına katılmasını veya bunlara ilişkin kanıtları içerir.
Kontrol Testleri (Bakınız: 16 ncı paragraf)
A29. BDS 330[10] uyarınca, hizmet alan işletme denetçisinin belirli durumlarda ilgili kontrollerin işleyiş etkinliğine dair yeterli ve uygun denetim kanıtı elde etmek için kontrol testleri tasarlaması ve uygulaması gerekmektedir. Hizmet kuruluşu bağlamında, bu yükümlülük aşağıdaki durumlarda uygulanır:
(a) Hizmet alan işletme denetçisinin “önemli yanlışlık” risklerine ilişkin değerlendirmesinin, kontrollerin etkin şekilde işlediği beklentisini içermesi (şöyle ki, hizmet alan işletme denetçisi maddi doğrulama prosedürlerinin nitelik, zamanlama ve kapsamını belirlerken kontrollerin etkin şekilde işlediğine güvenmek (dayanmak) istemektedir) veya
(b) Maddi doğrulama prosedürlerinin tek başına veya hizmet alan işletmedeki kontrollerin işleyiş etkinliği testleriyle birlikte, yönetimin beyanları düzeyinde yeterli ve uygun denetim kanıtı sağlayamaması.
A30. 2 nci tip raporun bulunmaması durumunda, hizmet alan işletme denetçisi, ilgili kontrollerin işleyiş etkinliği testlerini içeren bir 2 nci tip rapor hazırlaması için bir hizmet kuruluşu denetçisinin görevlendirilmesini talep etmek üzere, hizmet alan işletme vasıtasıyla, hizmet kuruluşuyla irtibat kurabilir veya hizmet alan işletme denetçisi hizmet kuruluşunda söz konusu kontrollerin işleyiş etkinliğini test eden prosedürleri uygulamak üzere başka bir denetçi kullanabilir. Hizmet kuruluşunun kabul etmesi durumunda, hizmet alan işletme denetçisi ayrıca hizmet kuruluşunu ziyaret edebilir ve ilgili kontrol testlerini gerçekleştirebilir. Hizmet alan işletme denetçisinin risk değerlendirmeleri, başka denetçinin yaptığı çalışmadan sağlananlar ile kendi prosedürlerinden elde ettiği kanıtların birleşimine dayanır.
Hizmet Kuruluşundaki Kontrollerin Etkin Biçimde İşlediğine İlişkin Denetim Kanıtı Olarak 2 nci Tip Raporun Kullanılması (Bakınız: 17 nci paragraf)
A31. 2 nci tip raporun birkaç farklı hizmet alan işletme denetçisinin ihtiyaçlarını karşılaması amaçlanabilir; bu sebeple, hizmet kuruluşu denetçisinin raporunda açıklanan kontrol testleri ve sonuçları, hizmet alan işletmenin finansal tabloları açısından önemli olan yönetim beyanlarıyla ilgili olmayabilir. Hizmet kuruluşu denetçisi tarafından hazırlanan raporun hizmet alan işletme denetçisinin risk değerlendirmesini desteklemek üzere kontrollerin etkinliği hakkında yeterli ve uygun denetim kanıtı sağladığının belirlenmesi amacıyla ilgili kontrol testleri ve bu testlerin sonuçları değerlendirilir. Bunu yaparken, hizmet alan işletme denetçisi aşağıdaki faktörleri dikkate alabilir:
(a) Kontrol testlerinin kapsadığı dönem ve kontrol testlerinin uygulanmasından itibaren geçen süre,
(b) Hizmet kuruluşu denetçisinin çalışmasının kapsamı ve kapsanan hizmetler ve süreçler, test edilen kontroller ve uygulanan testler ve test edilen kontrollerin hizmet alan işletme kontrolleriyle ne tür bir ilgisinin olduğu ve
(c) Kontrol testlerinin sonuçları ve hizmet kuruluşu denetçisinin kontrollerin işleyiş etkinliğine ilişkin görüşü.
A32. Belirli yönetim beyanları için, belirli bir testin kapsadığı dönem ne kadar kısa ise ve testin uygulanmasından itibaren geçen süre ne kadar uzunsa, testin sağlayabileceği denetim kanıtı o kadar azdır. 2 nci tip raporun kapsadığı dönemi hizmet alan işletmenin finansal raporlama dönemiyle kıyaslarken, 2 nci tip raporun kapsadığı dönem ile hizmet alan işletme denetçisinin rapor aracılığıyla güven elde etmeyi planladığı dönem arasındaki örtüşmenin az olması durumunda hizmet alan işletme denetçisi 2 nci tip raporun daha az denetim kanıtı sunduğu sonucuna varabilir. Böyle bir durumda, önceki veya sonraki dönemi kapsayan bir 2 nci tip rapor ilâve denetim kanıtı sağlayabilir. Diğer durumlarda, hizmet alan işletme denetçisi söz konusu kontrollerin işleyiş etkinliği hakkında yeterli ve uygun denetim kanıtı elde etmek için hizmet kuruluşunda kontrol testlerini uygulamanın veya bu testleri uygulaması için başka bir denetçi kullanmanın gerekli olduğuna karar verebilir.
A33. Ayrıca, hizmet alan işletme denetçisi, 2 nci tip raporun kapsadığı dönemin dışındaki dönemde hizmet kuruluşundaki ilgili kontrollerde gerçekleşen önemli değişikliklere ilişkin ilâve kanıt elde edilmesinin veya ilâve denetim prosedürlerinin uygulanmasının gerekli olduğuna karar verebilir. Hizmet kuruluşu denetçisi tarafından düzenlenen raporun kapsadığı dönem dışındaki dönemde işleyen, hizmet kuruluşundaki kontroller hakkında elde edilecek ilâve denetim kanıtlarına karar verilmesinde dikkate alınacak ilgili faktörler aşağıdakileri içerebilir:
• Yönetim beyanı düzeyinde değerlendirilmiş “önemli yanlışlık” risklerinin önemi,
• Ara dönem içinde test edilen belirli kontroller ve test edilmelerinden itibaren kontrollerde meydana gelen önemli değişiklikler (bilgi sistemi, süreçler ve personeldeki değişiklikler dâhil)
• Bu kontrollerin işleyiş etkinliği hakkındaki elde edilen denetim kanıtının derecesi,
• Kalan dönemin uzunluğu,
• Denetçinin, kontrollere güvenerek (dayanarak) diğer maddi doğrulama prosedürlerini ne boyutta azaltma niyetinde olduğu ve
• Kontrol çevresinin ve hizmet alan işletmedeki kontrollerin izlenmesinin etkinliği.
A34. Örneğin kontrol testlerinin kalan dönemi kapsayacak şekilde uygulanması veya kontrollerin hizmet alan işletme tarafından izlenmesinin test edilmesi gibi yollarla ilâve denetim kanıtı elde edilebilir.
A35. Hizmet kuruluşu denetçisi tarafından test edilen dönemin hizmet alan işletmenin finansal raporlama döneminin tamamen dışında kalması durumunda, başka prosedürler uygulanmadığı sürece, bu testler kontrollerin cari denetim dönemindeki işleyiş etkinliği hakkında kanıt sağlamadığından, hizmet alan işletme denetçisi, hizmet alan işletmenin kontrollerinin etkin şekilde işlediği sonucuna varmak için bu tür testlere güvenemeyecektir.
A36. Belirli durumlarda, hizmet kuruluşu tarafından sağlanan bir hizmet, hizmet alan işletme tarafından bazı kontrollerin uygulanacağı varsayımıyla tasarlanabilir. Örneğin, hizmet, işlemler gerçekleştirilmek üzere hizmet kuruluşuna gönderilmeden önce bu işlemlere onay verilmesini gerektiren kontrollerinin hizmet alan işletmede bulunduğu varsayımıyla tasarlanabilir. Böyle bir durumda, hizmet kuruluşunun kontrollerinin tanımı hizmet alan işletmenin tamamlayıcı kontrollerinin tanımını içerebilir. Hizmet alan işletme denetçisi, hizmet alan işletmenin tamamlayıcı kontrollerinin hizmet alan işletmeye sağlanan hizmetle ilgili olup olmadığını değerlendirir.
A37. Hizmet alan işletme denetçisinin, hizmet kuruluşu denetçisinin raporunun yeterli ve uygun denetim kanıtı sağlamayabileceği kanaatine varması durumunda, (örneğin hizmet kuruluşu denetçisi raporu, hizmet kuruluşu denetçisinin uyguladığı kontrol testlerini tanımlamıyor ve sonuçlarını içermiyor ise) hizmet alan işletme denetçisi, hizmet kuruluşu denetçisinin prosedürleri ve sonuçları hakkındaki bilgisini -hizmet alan işletme vasıtasıyla- hizmet kuruluşu denetçisinin çalışmasının kapsamı ve sonuçları hakkında görüşme talep ederek tamamlayabilir. Ayrıca hizmet alan işletme denetçisi gerekli görmesi durumunda, hizmet kuruluşu denetçisinin hizmet kuruluşundaprosedürleri uygulamasını talep etmek üzere -hizmet alan işletme vasıtasıyla- hizmet kuruluşuyla irtibat kurabilir. Alternatif olarak, hizmet alan işletme denetçisi veya hizmet alan işletme denetçisinin talebi üzerine başka bir denetçi bu prosedürleri uygulayabilir.
A38. Hizmet kuruluşu denetçisinin 2 nci tip raporu testlerin sonuçlarını, hizmet alan işletme denetçisinin varacağı sonuçları etkileyebilecek istisnalar ve diğer bilgiler dâhil olmak üzere belirler. Bu istisnalar veya hizmet kuruluşu denetçisinin 2 nci tip rapordaki olumlu görüş dışındaki görüşü doğrudan hizmet kuruluşu denetçisinin 2 nci tip raporunun hizmet alan işletmenin finansal tablolarının denetimi için “önemli yanlışlık” risklerinin değerlendirilmesinde faydalı olmayacağı anlamına gelmez. Aksine, hizmet kuruluşu denetçisinin 2 nci tip raporundaki olumlu görüş dışındaki görüşe sebebiyet veren istisnalar ve konular, hizmet kuruluşu denetçisi tarafından uygulanan kontrol testlerinin hizmet alan işletme denetçisi tarafından değerlendirilmesinde dikkate alınır. Olumlu dışındaki görüşe sebebiyet veren istisnaları ve konuları dikkate alırken, hizmet alan işletme denetçisi bu konuları hizmet kuruluşu denetçisiyle müzakere edebilir. Bu tür bir iletişim, hizmet alan işletmenin hizmet kuruluşuyla irtibat kurmasına ve kurulacak iletişim için hizmet kuruluşunun onayının alınmasına bağlıdır.
Denetim sırasında belirlenen iç kontrol eksikliklerinin iletilmesi
A39. Hizmet alan işletme denetçisi, denetim sırasında belirlediği önemli eksiklikleri yönetim ve üst yönetimden sorumlu olanlara yazılı olarak zamanında bildirir.[11] Hizmet alan işletme denetçisi ayrıca, denetim sırasında iç kontrolde belirlediği ve mesleki muhakemesine göre yönetimin dikkatini çekecek kadar önemli olduğunu düşündüğü diğer eksiklikleri zamanında yönetimin uygun bir kademesine bildirir.[12] Hizmet alan işletme denetçisinin denetim sırasında belirleyebileceği ve yönetime ve üst yönetimden sorumlu olanlara iletebileceği hususlar aşağıdakileri içerir:
• 1 inci tip veya 2 nci tip raporu elde etmenin bir sonucu olarak tanımlananlar dâhil olmak üzere hizmet alan işletme tarafından uygulanmış olabilecek kontrollerin izlenmesi,
• Hizmet alan işletmenin tamamlayıcı kontrollerinin 1 inci tip veya 2 nci tip raporda belirtildiği ancak hizmet alan işletmede uygulanmadığı durumlar ve
• Hizmet kuruluşunda uygulandığı gözlemlenmeyen veya 2 nci tip rapor kapsamına özel olarak alınmayan, hizmet kuruluşunda ihtiyaç duyulabilecek kontroller.

Alt Hizmet Kuruluşunun Hizmetlerini Kapsam Dışı Tutan 1 inci Tip ve 2 nci Tip Raporlar (Bakınız: 18 inci paragraf)
A40. Hizmet kuruluşunun alt hizmet kuruluşu kullanması durumunda, hizmet kuruluşu denetçisinin raporu, hizmet kuruluşunun sistem tanımında ve hizmet kuruluşu denetçisinin denetim kapsamı tanımında, alt hizmet kuruluşunun ilgili kontrol amaçlarına ve ilgili kontrollerine yer verebilir veya bunları kapsam dışında tutabilir. Bu iki raporlama yöntemi sırasıyla kapsamlı yöntem ve daraltılmış yöntem olarak bilinir. 1 inci tip veya 2 nci tip raporun alt hizmet kuruluşundaki kontrolleri kapsamaması ve alt hizmet kuruluşundan sağlanan hizmetlerin hizmet alan işletmenin finansal tablolarının denetimiyle ilgili olması durumunda, hizmet alan işletme denetçisi bu BDS’nin hükümlerini alt hizmet kuruluşuna uygular. Alt hizmet kuruluşundan sağlanan hizmetlere ilişkin olarak hizmet alan işletme denetçisi tarafından yapılması gereken çalışmanın niteliği ve kapsamı, hizmet alan işletmeye sağlanan hizmetlerin hizmet alan işletme açısından niteliğine ve önemine ve bu hizmetlerin denetimle ilgisine bağlıdır. 9 uncu paragraftaki hükmün uygulanması, alt hizmet kuruluşunun etkisinin ve yapılacak çalışmanın nitelik ve kapsamının belirlenmesinde hizmet alan işletme denetçisine yardımcı olur.

Hizmet Kuruluşundaki Faaliyetlere İlişkin Hile, Mevzuata Aykırılık ve Düzeltilmemiş Yanlışlıklar (Bakınız: 19 uncu paragraf)
A41. Hizmet kuruluşunun, hizmet alan işletmelerle yaptığı sözleşme hükümleri uyarınca, yönetimi veya çalışanları ile ilişkilendirilebilecek her türlü hileyi, mevzuata aykırılığı veya düzeltilmemiş yanlışlığı bunlardan etkilenen hizmet alan işletmelere açıklaması zorunlu olabilir. 19 uncu paragrafta zorunlu kılındığı gibi, hizmet alan işletme denetçisi hizmet kuruluşunun ilgili konuları rapor edip etmediğine ilişkin olarak hizmet alan işletme yönetimini sorgular ve hizmet kuruluşunun raporladığı herhangi bir hususun hizmet alan işletme denetçisinin müteakip denetim prosedürlerinin nitelik, zamanlama ve kapsamını etkileyip etkilemediğini değerlendirir. Bazı durumlarda, hizmet alan işletme denetçisi bu değerlendirmeyi gerçekleştirebilmek için ilâve bilgiye ihtiyaç duyabilir ve gerekli bilgileri elde etmek için hizmet alan işletmeden hizmet kuruluşuyla irtibata geçmesini talep edebilir.

Hizmet Alan İşletme Denetçisi Tarafından Yapılan Raporlama (Bakınız: 20 nci paragraf)
A42. Hizmet alan işletme denetçisinin, hizmet alan işletmenin finansal tablolarının denetimiyle ilişkili olarak hizmet kuruluşunun sunduğu hizmetlere dair yeterli ve uygun denetim kanıtı elde edememesi durumunda, denetimin kapsamında bir kısıtlama mevcuttur. Bu kısıtlama aşağıdaki durumlarda söz konusu olabilir:
• Hizmet alan işletme denetçisi hizmet kuruluşu tarafından sunulan hizmetler hakkında yeterli bir anlayış elde edememiştir ve “önemli yanlışlık” risklerinin belirlenmesi ve değerlendirilmesi için bir dayanağı bulunmamaktadır,
• Hizmet alan işletme denetçisinin risk değerlendirmesi hizmet kuruluşundaki kontrollerin etkin şekilde işlediğine dair bir beklenti içermektedir ve hizmet alan işletme denetçisi bu kontrollerin işleyiş etkinliği hakkında yeterli ve uygun denetim kanıtı elde edememektedir veya
• Yeterli ve uygun denetim kanıtı sadece hizmet kuruluşunda tutulan kayıtlardan sağlanabilir ve hizmet alan işletme denetçisi bu kayıtlara doğrudan erişim sağlayamamaktadır.
Hizmet alan işletme denetçisinin sınırlı olumlu görüş vermesi veya görüş vermekten kaçınması, finansal tablolar üzerindeki muhtemel etkilerin önemli veya yaygın olup olmamasına ilişkin olarak hizmet alan işletme denetçisinin vardığı sonuca bağlıdır.
Hizmet Kuruluşu Denetçisinin Çalışmasına Atıf Yapılması (Bakınız: 21-22 nci paragraflar)
A43. Bazı durumlarda, örneğin kamu sektöründe şeffaflığın sağlanması amacıyla mevzuat hükümleri hizmet alan işletmenin denetçi raporunda hizmet kuruluşu denetçisinin çalışmasına atıfta bulunulmasını zorunlu kılabilir. Bu tür durumlarda, böyle bir atıfta bulunmadan önce hizmet alan işletme denetçisinin hizmet kuruluşu denetçisinden onay alması gerekebilir.
A44. Hizmet alan işletmenin hizmet kuruluşu kullanması, hizmet alan işletme denetçisinin kendi görüşünü destekleyecek makul bir dayanak oluşturmak üzere yeterli ve uygun denetim kanıtı elde etmesine ilişkin olarak BDS’ler kapsamındaki sorumluluğunu değiştirmez. Bu sebeple hizmet alan işletme denetçisi, hizmet alan işletmenin finansal tablolarına ilişkin görüşüyle ilgili olarak hizmet kuruluşu denetçisinin raporuna atıf yapmaz. Ancak, hizmet kuruluşu denetçisinin raporundaki olumlu görüş dışındaki görüş sebebiyle hizmet alan işletme denetçisinin olumlu görüş dışında görüş vermesi durumunda, hizmet alan işletme denetçisinin olumlu görüş dışındaki görüşünün sebebini açıklamasında yardımcı olması hâlinde hizmet kuruluşu denetçisinin raporuna atıfta bulunması engellenmez. Bu tür durumlarda, böyle bir atıfta bulunmadan önce hizmet alan işletme denetçisinin hizmet kuruluşu denetçisinden onay alması gerekebilir.

Dipnotlar

[1] BDS 315, “İşletme ve Çevresini Tanımak Suretiyle ‘Önemli Yanlışlık’ Risklerinin Belirlenmesi ve Değerlendirilmesi”

[2] BDS 330, “Bağımsız Denetçinin Değerlendirilmiş Risklere Karşı Yapacağı İşler”

[3] BDS 315, 11 inci paragraf

[4] BDS 315, 12 nci paragraf

[5] BDS 705, “Bağımsız Denetçi Raporunda Olumlu Görüş Dışında Bir Görüş Verilmesi”, 6 ncı paragraf

[6] BDS 200, “Bağımsız Denetçinin Genel Amaçları ve Bağımsız Denetimin Bağımsız Denetim Standartlarına Uygun Olarak Yürütülmesi”, 4 ve A2-A3 paragrafları

[7] BDS 315, 30 uncu paragraf

[8] GDS 3402, “Hizmet Kuruluşundaki Kontrollere İlişkin Güvence Raporları”

[9] BDS 600 “Özel Hususlar-Topluluk Finansal Tablolarının Bağımsız Denetimi (Topluluğa Bağlı Birim Denetçilerinin Çalışmaları Dâhil)”, 2 nci paragrafta denetçinin, topluluk finansal tabloları dışındaki finansal tabloların denetimine başka denetçileri dâhil etmesi durumunda BDS 600’ün -gerektiğinde şartlara göre uyarlanarak- denetçi açısından faydalı olabileceği belirtilmektedir. Ayrıca BDS 600’ün 19 uncu paragrafına bakınız.

[10] BDS 330, 8 inci paragraf

[11] BDS 265, “İç Kontrol Eksikliklerin Üst Yönetimden Sorumlu Olanlara ve Yönetime Bildirilmesi”, 9-10 uncu paragraflar

[12] BDS 265, 10 uncu paragraf

Kaynak: https://www.kgk.gov.tr/

Bunlar da ilginizi çekebilir.

KKS1 Finansal Tabloların Bağımsız Denetim ve Sınırlı Bağımsız Denetimleri ile Diğer Güvence Denetimleri ve İlgili Hizmetleri Yürüten Bağımsız Denetim Kuruluşları ve Bağımsız Denetçiler için Kalite Kontrol

İçindekiler Paragraf Giriş Kapsam 1-3 Uygulama Alanı 4-9 Yürürlük Tarihi 10 Amaç 11 Tanımlar 12 …

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: