Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimine İlişkin Rapor Hakkında Tebliğ ("Tebliğ"), 25 Mart 2022 Tarihli ve 31789 Sayılı Resmi Gazete'de yayımlanarak yürürlüğe girdi.

Tebliğ'in yayınlanmasıyla beraber "Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimine İlişkin Rapor Hakkında Tebliğ" ("Mülga Tebliğ") yürürlükten kaldırılmış oldu.

Bir Adım Öncesi....

Hatırlanacağı üzere yakın zamanda Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik ("Yeni Yönetmelik") yürürlüğe girmiş ve Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik ("Eski Yönetmelik") yürürlükten kalkmıştı.

Bu gelişme doğrultusunda Eski Yönetmeliğe dayanan Mülga Tebliğ'in de değişmesi zaten bekleniyordu. Bu amacı gerçekleştirmek için çıkartılan Tebliğ ile birlikte, Yeni Yönetmelik kapsamında hazırlanacak olan bağımsız denetim raporunun içerik ve şekline ilişkin usul ve esaslar belirlenmektedir.

Tebliğ'de dikkat çeken hususları aşağıdaki gibi özetleyebiliriz.

Tebliğ İçerisinde Yer Alan Tanımlara Genel Bakış

Hatırlanacağı üzere Yeni Yönetmelik ile birlikte Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK" veya "Kurum"), bilgi sistemleri denetimi ("BSD") tanımına risk merkezi ve bilgi alışverişi kuruluşlarında bilgi sistemleri ve iş süreçleri bağımsız denetimi ile BDDK gözetimi ve denetimi altındaki diğer kuruluşları dahil etmiş, aynı zamanda BSD sürecindeki genel kontrollerin gerçekleştirilmesinde "COBIT"i referans olmaktan çıkartmıştı.

Bu gelişme ile paralel biçimde, Tebliğ içerisinde "Bilgi sistemleri Bağımsız Denetimi", "Denetim Alanı" İş Süreçleri Bağımsız Denetimi" ve Kontrol Hedefi" tanımlarının yeniden düzenlendiği ve Mülga Tebliğ'de yer alan "COBİT" tanımının çıkartıldığı görülmektedir.

Bulgulara İlişkin Yeni Düzenlemeler

Tebliğ'de, Mülga Tebliğ'in bulgulara ilişkin getirdiği düzenlemeler büyük ölçüde korunmuş olup, bazı yeni düzenlemeler getirilmiştir. Bunları aşağıdaki gibi özetlemek mümkündür;

  • Denetçinin bulguları ifade ederken raporunda yer verdiği "kriter" ve "durum" bilgilerinde kriterde mevzuat aykırılığının olması halinde denetçinin bu durumu ilgili mevzuat hükmüne açıkça referans vererek ve aykırılığı oluşturan durum ile mevzuat hükmü bağlantısını net ifadelerle açıklayarak rapora konu etmesi gerektiği,
  • Denetçilerin tespit ettikleri kontrol zayıflıklarını Tebliğ'in EK-1'inde yer alan denetim alanları bazında raporlaması gerektiği,
  • Denetçinin topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar, suistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden bir veya birkaçının bulunduğu kanaatine varması halinde bunları raporda bulgu olarak ifade etmesinin yanında -Mülga Tebliğ'den farklı olarak- raporun tamamlanmasını beklemeden söz konusu bulgulara ilişkin olarak ivedilikle Kuruma bildirmesi gerektiği düzenlenmiştir.

Rapor İçeriğine İlişkin Yeni Düzenlemeler

Bulgularda olduğu gibi, Rapor İçeriğine ilişkin de Mülga Tebliğ'in çizdiği genel çerçeve korunmuş ancak Yeni Yönetmelik ile uyum amacıyla bazı yeni düzenlemeler getirilmiştir. Bunları aşağıdaki gibi özetlemek mümkündür;

  • Bilgi Sistemleri denetimi yapılması durumunda yönetici özetinde geçmiş yıllara ait olgunluk seviyesi grafiğinin hazırlanması gerekliliği ortadan kaldırılmıştır.
  • Denetlenenin bilgi sistemleri hakkında genel bilgi verilirken, denetlenenin denetim alanlarından sorumlu yöneticilerine ait doğrudan iletişim sağlanabilecek iletişim bilgilerine yer verilmesi yükümlülüğü getirilmiştir.
  • Bilgi Sistemleri bağımsız denetimi açısından denetçinin i) denetlenenin tabi olduğu mevzuat çerçevesinde yürüttüğü bilgi sistemleri bağımsız denetiminde kullandığı önemlilik değerlendirmesini açık ve net bir şekilde raporunda ifade etmesi gerektiği, ii) denetlenen her bir denetim alanı ayrı bir başlık altında olacak şekilde mevzuat gereksinimlerinin nasıl gerçekleştirildiğine ilişkin detaylara ve denetim alanı sorumlularına raporda yer vermesi gerektiği düzenlenmiştir.

Değerlendirme

İçinde bulunduğumuz dijital dönüşüm süreçlerinin her geçen gün hız kazanması ile birlikte kuruluşların bilgi güvenliği ve iş süreçleri bakımından incelenmesi ve denetlenmesi zaruri olmaktadır. Bu kapsamda yapılacak olan denetimlerin ve hazırlanacak raporların güncel gelişmelerle uyumlu olması gerekmektedir. Yönetmelik ve Tebliğ hükümlerini birlikte değerlendirdiğimizde ilgili düzenlemelerin güncel denetim standartları ile paralel düzenlemeler içerdiği ve kuruluşların iş süreçlerinin ivedilikle iyileştirilmesine yöneldiği görülmektedir.

Kuruluş bünyesinde yapılacak bilgi sistemleri ve iş süreçlerinin denetlenmesi ile tehditler ve riskler belirlenerek etkin bir risk yönetimi sağlanacak ve kuruluşun tabi olduğu yasal düzenlemelerine uyum en etkili biçimde gerçekleştirilecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.