|
Bankacılık Düzenleme ve Denetleme Kurumundan:
BİLGİ SİSTEMLERİ VE İŞ SÜREÇLERİ BAĞIMSIZ
DENETİMİ HAKKINDA YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı, Kurum gözetimi ve
denetimi altındaki kuruluşların bilgi sistemleri ile iş süreçlerinin, bu
Yönetmelik kapsamında yetkilendirilmiş bağımsız denetim kuruluşları
tarafından denetlenmesi ile ilgili usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Kurum gözetimi ve denetimi altındaki
kuruluşlar ile bilgi sistemleri bağımsız denetimine ilişkin rapor
oluşturulması amacıyla sınırlı olmak üzere bankaların konsolidasyon
kapsamındaki ortaklıkları, bilgi sistemleri bağımsız denetimi yapmaya
yetkili bağımsız denetim kuruluşları ve bilgi sistemleri bağımsız denetimi
yapmak için dış hizmet alınan kuruluşlar 1 inci maddede belirtilen amaçla
sınırlı olarak bu Yönetmelik hükümlerine tabidir.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 19/10/2005 tarihli ve 5411
sayılı Bankacılık Kanununun 15 inci, 36 ncı, 93 üncü ve 95 inci maddeleri,
21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman
ve Tasarruf Finansman Şirketleri Kanununun 14 üncü ve 17 nci maddeleri ile
23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun
27 nci maddesine dayanılarak hazırlanmıştır.
Tanımlar
ve kısaltmalar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Bağımsız denetçi: BDY’nin 4 üncü maddesinin
birinci fıkrasında tanımlanan bağımsız denetçileri,
b) Bağımsız denetim: BDY’nin 4 üncü maddesinin
birinci fıkrasında tanımlanan bağımsız denetimi,
c) Bağımsız denetim kuruluşu (BDK): BDY’nin 4 üncü maddesinin
birinci fıkrasında tanımlanan bağımsız denetim kuruluşlarını,
ç) Banka: Kanunun 3 üncü maddesinde tanımlanan
bankaları,
d) BBDY: 2/4/2015 tarihli ve 29314 sayılı Resmî
Gazete’de yayımlanan Bankaların Bağımsız Denetimi Hakkında Yönetmeliği,
e) BDY: Kamu Gözetimi, Muhasebe ve Denetim
Standartları Kurumunun 26/12/2012 tarihli ve 28509 sayılı Resmî Gazete’de
yayımlanan Bağımsız Denetim Yönetmeliğini,
f) Bilgi alışverişi kuruluşları: 5464 sayılı
Kanunun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişinde
bulunan kuruluşları,
g) Bilgi sistemleri bağımsız denetimi: Bilgi
sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım ve donanım
gibi bilgi sistemi unsurları ve denetlenenin faaliyetlerine ilişkin
süreçler ile bu sistem ve süreçler dâhilinde tesis edilen iç kontrollerin
değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması
aşamalarından oluşan süreci,
ğ) Bilgi sistemleri bağımsız denetim sicili
(Sicil): Kurum tarafından elektronik ortamda tutulan ve bağımsız denetim
kuruluşları ile denetçilerin kayıtlarının izlendiği sicili,
h) BSD: Bankalar, Risk Merkezi ve bilgi alışverişi
kuruluşlarında bilgi sistemleri ve iş süreçleri bağımsız denetimi ile Kurum
gözetimi ve denetimi altındaki diğer kuruluşlarda bilgi sistemleri bağımsız
denetimini,
ı) Bilgi sistemleri denetimi dış hizmet kuruluşu
(BSDDHK): BBDY kapsamında bankalarda bağımsız denetim yapma yetkisini haiz
BDK’nın bu Yönetmelik kapsamında izin alarak BSD faaliyetini
gerçekleştirmek için hizmet aldığı dış hizmet kuruluşunu,
i) Denetçi: Yetkili kuruluş ya da BSDDHK tarafından
BSD yapmak üzere görevlendirilen ve unvanları 18 inci maddede sıralanan
denetçi ile iş süreçleri denetimi faaliyetlerinde bulunan bağımsız
denetçiyi,
j) Denetlenen: Kurum gözetimi ve denetimi altındaki
kuruluşlar ile bu Yönetmelik kapsamında BSD raporu oluşturulması amacıyla
sınırlı olmak üzere bankaların konsolidasyon kapsamındaki ortaklıklarını,
k) Dış hizmet: Bankalarda 5/11/2011 tarihli ve
28106 sayılı Resmî Gazete’de yayımlanan Bankaların Destek Hizmeti
Almalarına İlişkin Yönetmelik kapsamındaki destek hizmetleri dâhil olmak
üzere; bu Yönetmelik kapsamındaki denetlenenlerin bilgi sistemlerine
ilişkin dışarıdan temin ettikleri verilerin gizliliği, bütünlüğü ve
erişilebilirliği ile sunulan hizmetlerinin sürekliliğini etkileme
potansiyeli olan verilere erişimi bulunan ya da bu verilerin paylaşıldığı
hizmet alımlarını,
l) Diğer finansal kuruluşlar: Bankalar, Risk
Merkezi ve bilgi alışverişi kuruluşları hariç Kurum gözetimi ve denetimi
altındaki kuruluşları,
m) Genel kontroller: Bilgi sistemlerinden beklenen
fonksiyonların doğru bir şekilde yerine getirilmesi, istenmeyen olayların
engellenmesi, belirlenmesi ve düzeltilmesi ile ilgili olarak yeterli güven
ortamının oluşturulmasını ve iş süreçleri üzerindeki kontrollerin
işlevselliği için güvenilir bir ortamın sağlanmasını hedefleyen, bilgi
sistemlerini oluşturan sistemler, bileşenler, süreçler ve verinin tamamına
veya büyük bir bölümüne tatbik edilen kontroller ile bu kontrollerin tatbik
edilmesini sağlayan politika ve prosedürleri,
n) İş süreçleri: Bankaların, Kanunun 4 üncü maddesi
çerçevesinde yürüttüğü faaliyetlere ilişkin tesis edilen iş süreçleri ile
Risk Merkezi ve bilgi alışverişi kuruluşlarının ilgili mevzuatı
çerçevesinde yürüttükleri faaliyetler kapsamındaki iş süreçlerini,
o) Kanun: 19/10/2005 tarihli ve 5411 sayılı
Bankacılık Kanununu,
ö) Kontrol: İş hedeflerinin gerçekleştirilmesi,
istenmeyen olayların engellenmesi, belirlenmesi ve düzeltilmesi ile ilgili
olarak yeterli derecede güvenceyi oluşturma amacı güden politikalar,
prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
p) Kontrol hedefi: Belirli bir bilgi sistemleri
aktivitesi içinde kontrol prosedürleri oluşturarak istenen bir sonucun veya
bir amacın gerçekleştirilmesini sağlayan hedefleri,
r) Kurul: Bankacılık Düzenleme ve Denetleme
Kurulunu,
s) Kurum: Bankacılık Düzenleme ve Denetleme
Kurumunu,
ş) Risk Merkezi: Kanunun ek 1 inci maddesi uyarınca
Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezini,
t) Yetkili kuruluş: Bu Yönetmelik kapsamında BSD
yapma yetkisi verilen BDK’yı,
u) Yöneticiler: Denetlenenin yönetim kurulu,
denetim komitesi ve kredi komitesi başkan ve üyeleri ile genel müdür, genel
müdür yardımcıları ve imza yetkisine sahip mensuplarından; bölge müdürleri,
şube müdürleri ve genel müdürlük merkez teşkilatında yer alan bölüm, kısım,
grup ve bunlara eşdeğer isimler altında faaliyet gösteren birimlerin
yöneticilerini,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri ve İş Süreçleri Bağımsız
Denetimine İlişkin Genel Kavramlar
Önemlilik
MADDE 5 – (1) Önemlilik; mesleki tecrübeye dayalı bir
mütalaa konusu olup kontrol zayıflıkları sonucu ortaya çıkan ya da
çıkabilecek hataların, ihmallerin, prosedürlere aykırılıkların ve hukuka aykırı
fiillerin, denetlenenin finansal verilerini raporlamasına, güvenli ve
kesintisiz hizmet sağlamasına olan ya da olabilecek etkisinin değerlendirilmesidir.
(2) BSD’de önemlilik kavramı, denetimin
planlanması, gerekli alanlarda yoğunlaştırılması, bulguların değerlendirilmesi
ve raporlanması için kullanılabilir.
(3) Denetlenen açısından hassasiyet arz eden
verilerin bütünlüğü, tutarlılığı, güvenilirliği, gereken durumlarda
gizliliği ve faaliyetlerin sürekliliği önemlilik kavramı kapsamında dikkate
alınması gereken temel unsurlardır.
(4) Finansal raporları etkileyen kontrollerin
değerlendirilmesinde, süreç veya sistem tarafından yürütülen finansal
işlemin değeri, işlem sıklığı gibi öğeler kullanılırken, finansal işlemlere
ilişkin olmayan kontrollerin değerlendirilmesinde ise iş sürecinin
kritikliği, sistem ve operasyonların maliyeti, hataların muhtemel
sonuçlarının büyüklüğü, bir zaman aralığında gerçekleşen işlem/sorgu
sayısı, tutulan dosyaların ve üretilen raporların niteliği, zamanlaması ve
kapsamı, hizmet seviyesi anlaşmalarının gerekleri ve ceza maddelerindeki
para cezası tutarları gibi öğeler kullanılır.
Kontrol
zafiyetlerinin sınıflandırılması
MADDE 6 – (1) Denetçi, incelemeleri neticesinde tespit
ettiği kontrol zafiyetlerini önemlilik kavramına göre kontrol zayıflığı,
kayda değer kontrol eksikliği ve önemli kontrol eksikliği şeklinde aşağıda
belirtilen üç farklı sınıfta tasnif eder:
a) Kontrol zayıflığı: Bir kontrolün tasarımının
veya işletilmesinin, hataları zamanında önleme ve tespit etmeye olanak sağlamaması
durumudur.
1) Tasarımdaki kontrol eksikliği, bir kontrol
hedefinin gerçekleşmesini sağlayacak kontrolün bulunmaması ya da var olan
bir kontrolün tasarlandığı şekilde çalışıyor olsa bile tasarımındaki
hatalardan dolayı kendisinden beklenen kontrol hedefini gerçekleştirememesi
durumudur.
2) İşletimdeki kontrol eksikliği, düzgün
tasarlanmış bir kontrolün tasarlandığı şekilde çalışmaması ya da kontrolü
gerçekleştiren personelin, kontrolün etkin bir şekilde yerine getirilmesi
için gerekli yetki ve yeterliliğe sahip olmaması durumudur.
b) Kayda değer kontrol eksikliği: Denetlenenin
verilerinin bütünlüğünün, tutarlılığının, güvenilirliğinin ve gereken
durumlarda gizliliğinin sağlanmasına, faaliyetlerinin devamlılığının
teminine olumsuz etki yapması muhtemel bir kontrol zayıflığı veya birkaç
kontrol zayıflığının bir araya gelmesi sonucu oluşan önemsiz sayılamayacak
eksiklik olarak tanımlanır. İş süreçlerinde denetlenenin finansal
verilerinin güvenilir bir şekilde genel kabul görmüş muhasebe standartlarına
uygun olarak kaydedilmesi, kayıtların yetkilendirilmesi, işlenmesi veya
raporlanması sırasında oluşan hataların ve ihmallerin önlenmesine olumsuz
etki yapması muhtemel eksiklikler de bu kapsamda değerlendirilir.
c) Önemli kontrol eksikliği: Bilgi sistemlerinin
faaliyetlerini, verilerinin bütünlüğü, doğruluğu ile güvenliğini önemli
düzeyde etkileyecek ve iş süreçlerinde denetlenenin dönemsel olarak yaptığı
finansal raporlamalarında önemli bir yanlışlığın önlenmesini,
düzeltilmesini engelleyecek veya bu süreçlere ilişkin bilgilerin
bütünlüğünün ve tutarlılığının, güvenilirliğinin, devamlılığının ve gereken
durumlarda gizliliğinin sağlanmasına önemli ve olumsuz etki etmesi kuvvetle
muhtemel, bir veya birkaç kontrol zayıflığının bir araya gelmesidir.
Etkinlik,
yeterlilik ve uyumluluk
MADDE 7 – (1) Bir kontrolün tasarımının etkin olarak kabul
edilebilmesi için, tasarımdaki kontrol eksikliğinin bu kontrol bünyesinde
bulunmaması veya bulunsa dahi önemli kontrol eksikliğine sebebiyet
vermemesi gerekir.
(2) Bir kontrolün işletiminin etkin olarak kabul
edilebilmesi için, işletimdeki kontrol eksikliğinin bu kontrol bünyesinde
bulunmaması veya bulunsa dahi önemli kontrol eksikliğine sebebiyet
vermemesi gerekir.
(3) Bilgi sistemleri ile iş süreçleri üzerindeki
kontrollerin yeterli olması;
a) Önemlilik ilkesi çerçevesinde denetime tabi
tutulan tüm kontrollerin tasarımlarının etkin olduğunu,
b) Bu kontrollerin; iş hedefleri çerçevesinde
kendilerinden beklenen sonucu üretebilecek ve maruz kalınabilecek riskleri
telafi edebilecek şekilde tasarlandıklarını,
ifade eder.
(4) Bilgi sistemleri ile iş süreçleri üzerindeki
kontrollerin etkin olması;
a) Önemlilik ilkesi çerçevesinde denetime tabi
tutulan tüm kontrollerin işletimlerinin etkin olduğunu,
b) Bu kontrollerin, kendilerinden beklenen
işlevleri ve kontrol hedeflerini yerine getirdiklerini,
ifade eder.
(5) Bir kontrolün uyumlu sayılabilmesi için
kontrole ilişkin kanunlar ve bu kanunlara istinaden yayımlanan alt
düzenlemeler ve talimatlarda yer alan hususların ve yükümlülüklerin tamamının
karşılanması gerekir. Önemlilik ilkesi çerçevesinde denetime tâbi tutulan
tüm kontrollerin uyumlu olması, bilgi sistemleri ve iş süreçleri üzerindeki
kontrollerin uyumlu olduğunu ifade eder.
Denetim
riski
MADDE 8 – (1) Denetim riski, denetçinin aşağıdaki risklere
bağlı olarak doğru görüş vermemesi olasılığıdır:
a) Yapısal risk: Kontrolün olmaması nedeniyle, en
azından kayda değer olan bir kontrol eksikliğinin var olması riskini ifade
eder.
b) Kontrol riski: Kontrolün beklendiği gibi
çalışmaması sebebiyle, en azından kayda değer olan bir kontrol eksikliğini
önleyememesi, ortaya çıkaramaması veya zamanında düzeltememesi riskini
ifade eder.
c) Tespit riski: Denetçinin, denetlenenin iç
kontrol sisteminde yer alan en azından kayda değer olan bir kontrol eksikliğini
ortaya çıkaramaması riskini ifade eder.
(2) Önemli veya kayda değer kontrol eksikliği
riski: Denetlenenin iç kontrol sisteminde en azından kayda değer olan bir
kontrol eksikliğinin bulunması riskini ifade eder. Önemli ya da kayda değer
kontrol eksikliği riski, yapısal risk ve kontrol riskinden kaynaklanır.
(3) Denetçi, denetim riskini kabul edilebilir bir
seviyeye indirmek için, önemli veya kayda değer kontrol eksikliği riskinin
yüksek olduğu alanlarda tespit riskini düşürecek şekilde uygun denetim
tekniklerini kullanır.
ÜÇÜNCÜ BÖLÜM
Yetkilendirme, İzin ve Denetçiler
Yetkilendirilecek
kuruluşlarda aranan şartlar
MADDE 9 – (1) Bu Yönetmelik kapsamında bankalar, Risk
Merkezi ve bilgi alışverişi kuruluşlarında BSD yapmak için yetkilendirilecek
kuruluşların;
a) BBDY kapsamında bankalarda bağımsız denetim
yapma yetkisini haiz olması,
b) Bu Yönetmelik kapsamındaki faaliyetleri
yürütecek yeterli sayı ve nitelikte denetçiye ve etkin bir bilgi sistemine
sahip olması,
c) Kalite kontrol sistemine ilişkin yapı ve yazılı
politikalar oluşturulması,
şarttır.
(2) Bu Yönetmelik kapsamındaki diğer finansal
kuruluşlarda BSD yapmak için yetkilendirilecek kuruluşların;
a) Kamu Gözetimi, Muhasebe ve Denetim Standartları
Kurumu tarafından verilen kamu yararını ilgilendiren kuruluşlarda denetim
yapma yetkisini haiz olması,
b) Bu Yönetmelik kapsamındaki faaliyetleri
yürütecek yeterli sayı ve nitelikte denetçiye ve etkin bir bilgi sistemine
sahip olması,
c) Kalite kontrol sistemine ilişkin yapı ve yazılı
politikalar oluşturması,
şarttır.
Yetki
başvurusu sırasında gerekli olan bilgi ve belgeler
MADDE 10
– (1) BSD faaliyetinde bulunmak
isteyen BDK tarafından Kuruma verilecek başvuru dilekçesine, bilgi
sistemleri bağımsız denetçilerinin;
a) Mesleki tecrübelerini, denetimle ilgili
aldıkları eğitimleri, varsa katılmış olduğu denetim çalışmaları ve bu
çalışmalarda almış olduğu görevleri de içeren Ek-1’de yer alan örneğe uygun
olarak düzenlenecek ayrıntılı özgeçmişleri, lisans ve/veya lisansüstü
eğitimlerine ilişkin diplomalarının/mezuniyet belgelerinin aslı ya da
Kurumca onaylı sureti,
b) Varsa bilgi sistemleri ve bilgi teknolojilerine
ilişkin alanlarda sahip oldukları sertifikaların aslı ya da Kurumca onaylı
sureti,
c) Bu Yönetmelik kapsamına ilişkin konularda aldığı
veya verdiği eğitimlere ilişkin belgelerin kopyaları,
ç) Adli sicil kaydı,
d) Bu Yönetmelik kapsamında uygun görülmüş olan
unvanları,
e) Birden fazla BDK’da ortaklığının bulunmadığına
dair Ek-2’de yer alan örneğe uygun olarak düzenlenecek yazılı beyanları,
f) Denetlenenlerde veya 6/12/2012 tarihli ve 6362
sayılı Sermaye Piyasası Kanununa tabi şirketlerde denetim yapma yetkisi
iptal edilmiş olan BDK’larda ortak veya yetki iptaline neden olan denetim
faaliyetinde bağımsız denetçi veya denetçi sıfatı ile yer almadığına dair
Ek-3’te yer alan örneğe uygun olarak düzenlenecek yazılı beyanları,
g) Mesleki faaliyetler dışında çalışmadıklarına
dair Ek-4’te yer alan örneğe uygun olarak düzenlenecek yazılı beyanları,
ğ) BDK’da tam zamanlı görev yaptıklarına veya
yapacaklarına dair Ek-5’te yer alan örneğe uygun olarak düzenlenecek yazılı
beyanları,
h) Daha önce yapılan ya da yapılacak bir disiplin
kovuşturması sonucunda bağımsız denetimin yapılmasına engel teşkil edecek
bir ceza alınmadığının ilgili kurumdan talep edilecek belge ile tevsik
edilmesi kaydıyla, haklarında diğer yetkili kurumlar tarafından bir
disiplin kovuşturması yapılıp yapılmadığına, böyle bir kovuşturma
başlatıldığında en geç yedi gün içinde Kurumun bilgilendirileceğine,
kovuşturma sonucunda BSD’nin yapılmasına engel teşkil edecek bir ceza
alınması halinde bulunulan görevden en geç on beş gün içerisinde istifa
edileceğine ilişkin, Ek-6’da yer alan örneğe uygun olarak düzenlenecek
yazılı beyanları,
ı) BSD faaliyeti sırasında bağımsızlıklarının ortadan
kalkması durumunda denetlenene verilen bağımsız denetim hizmetinden
çekileceğini taahhüt etmesine yönelik Ek-7’de yer alan örneğe uygun olarak
düzenlenecek yazılı taahhüt belgesi,
eklenir.
(2) BDK’nın vereceği hizmetlerden doğabilecek
zararları karşılamak amacıyla mesleki sorumluluk sigortası yaptıracaklarına
ilişkin beyanlarına da başvuru dilekçesinde yer verilir.
BSD yapma
yetkisinin verilmesi
MADDE 11
– (1) BSD yapma yetkisi almak
üzere başvuruda bulunan BDK’lar bu Yönetmeliğin 10 uncu maddesinde
belirtilen bilgi ve belgeler çerçevesinde Kurum tarafından değerlendirilir.
Mesleki ve teknik açıdan yeterliliklerinin tespitine yönelik olarak Kurum
tarafından yapılacak değerlendirme ve gerekirse yerinde incelemeler sonucunda
faaliyet konularını yürütebilecek yeterliliğe sahip oldukları kanaatine
varılması halinde BSD yapma yetkisi verilir, sicile kaydedilir ve bilgi
sistemleri bağımsız denetim kuruluşları listesine eklenir.
(2) Yetki başvurularının değerlendirilmesi
sürecinde, Kurum tarafından gerekli görülmesi halinde BDK’nın yetkinliğinin
ve yeterliliğinin ölçülebilmesi amacıyla ilave bilgi ve belgeler talep
edilebilir. Talep edilen bilgi ve belgeler yetkinin verilmesine ilişkin
değerlendirmelerde dikkate alınır.
(3) Bu Yönetmelik kapsamında BSD yapma yetkisinin
alınmasını sağlayan unsurların sürekliliği esastır. Kurum gerekli gördüğü
durumlarda bu unsurların varlığını kontrol edebilir.
(4) Bu Yönetmelik kapsamında BSD yapma yetkisi
verilen BDK’ların unvanları Kurum internet sitesinde duyurulur.
BSD yapma
yetkisinin kaldırılması
MADDE 12
– (1) Aşağıdaki hallerin bir veya
birkaçının tespit edilmesi halinde Kurul, yetkili kuruluşun BSD yapma
yetkisini iki yıla kadar geçici olarak kaldırmaya yetkilidir:
a) Denetçiler tarafından kullanılan unvanların 18
inci maddede belirtilen hükümlere uygun olmaması.
b) Denetçilerin, denetlenenler ile Kuruma önceden
bilgi verilmeden değiştirilmesi.
c) Bu Yönetmelik kapsamında Kurum tarafından
uyarıyı gerektiren hususların üç denetim dönemi içerisinde tekrar edilmesi.
ç) Yeterli denetim kanıtı elde edilememesine rağmen
olumlu görüş verilmesi.
d) Kurumca istenilen bilgi ve belgelerin
verilmemesi.
(2) Aşağıdaki hallerin bir veya birkaçının tespit
edilmesi halinde Kurul, yetkili kuruluşun BSD yapma yetkisini sürekli
olarak kaldırmaya yetkilidir:
a) Denetime olan güveni sarsacak veya denetimi
geçersiz kılacak derecede bağımsızlık ve tarafsızlık kaybedilerek BDY’nin
22 nci maddesine uygun hareket edilmeksizin BSD faaliyetinin
gerçekleştirilmesi.
b) Birden fazla olmak üzere Kanunun 36 ncı maddesi
uyarınca ve BBDY’nin 19 uncu maddesi kapsamında belirlenen usul ve esaslar
çerçevesinde yaptırılması zorunlu olan mesleki sorumluluk sigortasının
BSD’yi de kapsayacak şekilde yaptırılmaması.
c) Olumlu, şartlı ya da olumsuz görüş verilen BSD’nin,
denetlenenin varlıklarının korunmasını, faaliyetlerin etkin ve verimli bir
şekilde ilgili mevzuata, denetlenenin politika ve kurallarına uygun olarak
yürütülmesini, muhasebe ve finansal raporlama sisteminin güvenilirliğini,
bütünlüğünü, tutarlılığını ve bilgilerin zamanında elde edilebilirliğini
sağlamasını önemlilik arz eden ölçüde etkileyecek hususlara yetkili kuruluş
tarafından BSD raporunda yer verilmemiş olduğunun Kurumca tespit edilmesi
halinde, yetkili kuruluşun bu hususta kusurlu olmadığını kanıtlayamaması.
ç) Birinci fıkra kapsamında yetkinin bir defadan
fazla geçici olarak kaldırılması.
d) Bu Yönetmelik kapsamında devam eden BSD’ye
ilişkin bir sözleşme bulunmaması ya da BSD’de, denetim sözleşmesinde yer
alan unsurların gerçekleştirilmemesi veya eksik gerçekleştirilmesi.
e) 21 inci maddenin onuncu fıkrasına aykırılık
oluşması.
f) Yetkili kuruluşun 9 uncu maddede belirtilen
şartları kaybetmesi.
g) BSD raporunun yanıltıcı ve gerçeğe aykırı
şekilde düzenlenmesi.
ğ) Kesintisiz olarak 5 yıl süreyle fiilen BSD
faaliyetinde bulunulmamış olması.
(3) Birinci veya ikinci fıkra kapsamında tespit
edilen hususların denetçiden kaynaklandığının veya BSD çalışmalarında yer
alan denetçilerin dürüstlük, tarafsızlık, mesleki yeterlilik ve özen,
bağımsızlık, güvenilirlik, mesleki davranış ve sır saklama gibi etik
ilkelere uymadığının tespit edilmesi halinde Kurum, sorumluluğun içeriğine
göre denetçilerin 18 inci maddede tanımlanan denetçi unvanlarını kullanarak
BSD faaliyetlerinde bulunmasını geçici veya sürekli olarak yasaklayabilir.
(4) Yetkinin geçici veya sürekli olarak
kaldırılmasından önce ilgili yetkili kuruluş ve/veya denetçinin savunması
alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren bir
ay içinde savunma verilmemesi halinde savunma hakkından feragat edildiği
kabul edilir.
(5) Bu Yönetmelik kapsamında yetkili kuruluşun
denetim yapma yetkisinin kaldırılması, bağımsız denetim yapma yetkisinin
kaldırılması anlamına gelmez. Yetkili kuruluşun bağımsız denetim yapma veya
bankalarda bağımsız denetim yapma yetkisinin kaldırılması halinde, bu
Yönetmelik kapsamındaki denetim yapma yetkisi hiçbir işleme gerek
kalmaksızın kaldırılmış sayılır.
(6) BSD yapma yetkisi geçici olarak kaldırılan yetkili
kuruluş söz konusu süre sonunda yasağın kaldırılması için Kuruma başvurur;
başvuru yapılmadığı takdirde yasak uygulanmaya devam eder. Kuruma
yapacakları başvurular, yetkili kuruluş hakkında devam etmekte olan bir
inceleme olup olmadığı da dikkate alınarak Kurulca değerlendirilerek karara
bağlanır.
(7) BSD yapma yetkisi geçici olarak kaldırılan
denetçi, söz konusu süre sonunda yasağın kaldırılması için Kuruma başvurur;
başvuru yapılmadığı takdirde yasak uygulanmaya devam eder. Kuruma
yapacakları başvurular, denetçi hakkında devam etmekte olan bir inceleme
olup olmadığı da dikkate alınarak Kurumca değerlendirilerek karara bağlanır.
(8) Bu Yönetmelik kapsamında BSD yapma yetkisi
kaldırılan BDK’ların unvanları Kurum internet sitesinde duyurulur.
BSD’nin
dış hizmet alımı ile gerçekleştirilmesi
MADDE 13
– (1) BBDY kapsamında bankalarda
bağımsız denetim yapma yetkisini haiz BDK Kurumdan izin alarak BSD
faaliyetini dış hizmet alımı yoluyla gerçekleştirebilir.
(2) BDK’nın, BSD’yi dış hizmet alımı yoluyla gerçekleştirmesi
durumunda da, ilgili faaliyetler ve bu Yönetmelik kapsamındaki
yükümlülüklerden kendisi ve BSDDHK adına nihai anlamda sorumludur.
(3) Aynı BSDDHK birden fazla BDK’ya hizmet
verebilir.
(4) Bir BDK bir seferde en fazla üç dönem için dış
hizmet alımı ile BSD yapma izni başvurusunda bulunabilir. İzin süresi
dolduğunda ilgili BDK dış hizmet alımı ile BSD yapma izni için tekrar
başvuruda bulunabilir.
(5) Kurum, BSDDHK’lardan denetlenenin tabi olduğu
kanun ve bu Yönetmelik hükümleri ile ilgili göreceği bütün bilgileri gizli
dahi olsa istemeye, tüm kayıt ve belgelerini incelemeye yetkili olup,
BSDDHK’da istenilen bilgileri vermekle yükümlüdür.
BSDDHK’da
aranan şartlar
MADDE 14
– (1) BDK’nın BSD faaliyetini
gerçekleştirmek üzere hizmet alacağı BSDDHK’ların;
a) Denetçilerinin bu Yönetmelikte tanımlanan
denetçi niteliklerini haiz olması,
b) Denetim ekipleri içerisinde yeterli sayıda ve
nitelikte denetçi istihdam etmesi,
c) Denetçisinin, geçmişte görev aldığı BSD
faaliyetlerinde, denetim ilkelerine bağlı ve denetçi bağımsızlığı ilkesini
zedelememiş olması,
ç) BDY’nin 26 ncı maddesinin birinci fıkrasının (ç)
bendinde belirtilen koşulları sağlaması,
şarttır.
(2) BSDDHK’nın BSD gerçekleştirebilmesi için bu
Yönetmelik kapsamında, BDK ile sözleşme yapmış olması gereklidir. Bu
sözleşme ile BDK, BSDDHK’nın denetim ilkelerine bağlılığını; bu Yönetmelik
ve ilgili diğer düzenlemeler kapsamındaki hususlara ilişkin hükümlere
uymasını sağlamak zorundadır.
İzin
başvurusu sırasında gerekli olan bilgi ve belgeler
MADDE 15
– (1) BSD faaliyetinde dış hizmet
alımında bulunmak isteyen BDK, Kuruma vereceği başvuru dilekçesine;
a) BDK ve BSDDHK ile ortakları ve denetçilerine
ilişkin 10 uncu maddenin birinci ve ikinci fıkraları kapsamında yer
verilmesi gereken belgeleri,
b) BDK ile BSDDHK arasında yapılmış olan,
tarafların sorumluluklarının, denetim planının açıkça belirtildiği,
BSDDHK’nın BSD raporunu imzalamakla yetkilendirdiği Bilgi Sistemleri
Bağımsız Başdenetçisi, denetim ilkeleri, denetçi bağımsızlığı, gizlilik ve
çıkar çatışması, denetim ekipleri ve saatlik denetim ücreti ile toplam
hizmet bedeli gibi hususların açıklığa kavuşturulmuş olduğu sözleşmeleri,
c) BSDDHK’nın merkezinin varsa şube ve/veya
şubelerinin adreslerini,
ç) BSDDHK’nın başvuru tarihindeki bilançosunu,
d) BSDDHK’nın yurt dışında yerleşik bir şirket ile
dış hizmet alımına konu alana ilişkin hukuki bağlantısı olması durumunda,
ilgili şirket ile yapılan sözleşmelerin şirket yetkililerince tasdik
edilmiş kopyasını,
e) BSDDHK’nın denetçilerinin, denetim ilkelerine
bağlı olmak, gizlilik ve denetçi bağımsızlığı ilkesini zedelememek
koşuluyla BSD’de görev alacaklarına dair Ek-8’de yer alan örneğe uygun
olarak düzenlenecek yazılı beyanları,
ekler.
Dış
hizmet alımı ile bilgi sistemleri ve bankalarda iş süreçleri bağımsız denetimi
yapma izninin verilmesi
MADDE 16
– (1) Dış hizmet alımı ile BSD
yapma iznini almak üzere başvuruda bulunan BDK ile BSDDHK’nın bilgi ve
belgeler çerçevesinde değerlendirilerek, mesleki ve teknik açıdan
yeterliliklerinin tespitine yönelik olarak Kurum tarafından gerektiğinde
yerinde incelemede bulunulması neticesinde, faaliyet konularını yürütebilecek
yeterliliğe sahip oldukları kanaatine varılması halinde, Kurul kararıyla,
uygun görülen dönemler için BSD yapma izni verilir.
(2) BDK’nın dış hizmet alacağı kuruluşun bu
Yönetmelik kapsamında yetkili bir kuruluş olması durumunda dış hizmet alımı
ile BSD yapması Kurum değerlendirmesine tabidir.
(3) Dış hizmet alımı ile BSD yapma izni alan BDK ve
BSD çerçevesinde sunduğu hizmetle sınırlı olmak üzere ilgili BSDDHK bu
Yönetmelik kapsamında, aksi belirtilmedikçe, yetkili kuruluşlarla ilgili
bütün hükümlere tâbidir.
Dış
hizmet alımı ile bilgi sistemleri ve bankalarda iş süreçleri bağımsız
denetimi yapma izninin iptali
MADDE 17
– (1) Bu Yönetmelik hükümlerine
aykırı hareket ettikleri tespit edilen dış hizmet alımı ile denetim yapma
izni alan BDK’lar ve ilgili BSDDHK’larda 12 nci maddenin birinci ve ikinci
fıkralarında yer verilen hususların bir veya birkaçının varlığının tespiti
halinde, aykırılıkların mahiyetine bağlı olarak, Kurum tarafından yapılan
değerlendirme üzerine Kurul, BDK’nın dış hizmet alımı ile BSD yapma iznini
geçici veya sürekli olarak kaldırır.
(2) Kurumun birinci fıkra kapsamında dış hizmet
alımı ile BSD yapma yetkisini geçici ya da sürekli kaldırması durumunda,
BSDDHK’nın ilgili denetçilerinin yetki kaldırılmasına sebep olan hususlarda
sorumluluğunun içeriğine göre 18 inci maddede tanımlanan denetçi
unvanlarıyla BSD faaliyetlerinde bulunmasını Kurum geçici veya sürekli olarak
yasaklayabilir.
(3) BDK ve BSDDHK arasındaki sözleşmenin
feshedilmesi halinde yedi gün içinde Kuruma bilgi verilir.
Denetçi
unvanları
MADDE 18
– (1) Bu Yönetmelik kapsamında
denetçiler kıdem sırasına göre Bilgi Sistemleri Bağımsız Başdenetçisi,
Bilgi Sistemleri Bağımsız Kıdemli Denetçisi, Bilgi Sistemleri Bağımsız
Denetçisi unvanlarını alırlar. Bu unvanlar haricindeki oluşturulacak
unvanlar ve bu unvanların taşıması gereken şartları BDK takdirindedir.
(2) Bilgi sistemleri denetimi, bilgi sistemleri kontrolü
veya güvenliği, yazılım geliştirme ve bilgi teknolojileriyle ilgili
konularda fiilen geçirilen çalışma sürelerinin toplamı bu Yönetmelik
kapsamında mesleki tecrübe olarak kabul edilir.
(3) Bilgi Sistemleri Bağımsız Denetçisinin
aşağıdaki şartları taşıması zorunludur:
a) Üniversitelerin veya denkliği yetkili makamlarca
kabul edilen yurt dışındaki yükseköğretim kurumlarının 4 yıllık lisans
programlarını tamamlamış olmak.
b) En az 1 yılı fiilen bilgi sistemleri denetimi
tecrübesi olmak üzere 3 yıl mesleki tecrübeye sahip olmak.
(4) Bilgi Sistemleri Bağımsız Kıdemli Denetçisinin
aşağıdaki şartları taşıması zorunludur:
a) Bilgi Sistemleri Bağımsız Denetçisi unvanını
haiz olabilmek için aranan şartlara sahip olmak.
b) En az 2 yılı fiilen bilgi sistemleri denetimi
tecrübesi olmak üzere 6 yıl mesleki tecrübeye sahip olmak.
(5) Bilgi Sistemleri Bağımsız Başdenetçisinin
aşağıdaki şartları taşıması zorunludur:
a) Bilgi Sistemleri Bağımsız Denetçisi unvanına
sahip olabilmek için aranan şartları haiz olmak.
b) En az 3 yılı fiilen bilgi sistemleri denetimi
tecrübesi olmak üzere 10 yıl mesleki tecrübeye sahip olmak.
(6) Beşinci fıkradaki şartları taşıyan denetçiler
Kurumca yapılan değerlendirmeler sonucunda uygun görülmesi halinde Bilgi
Sistemleri Bağımsız Başdenetçisi unvanına sahip olurlar ve sicile
kaydedilirler. Kurum, Bilgi Sistemleri Bağımsız Başdenetçisi unvanını
denetimin yapılacağı kuruluşa göre şartlı verebilir.
(7) Bilgi Sistemleri Bağımsız Başdenetçisi unvanı
haricindeki diğer denetçi unvanlarına yapılan terfiler yetkili kuruluşlar
tarafından yapılır, Kurumca belirlenen usul ve esaslara uygun olarak Kuruma
bildirilir. Bilgi, yetenek ve liyakatleri bir üst kıdemin gerektirdiği
nitelikte olmayanlar tecrübe şartını sağlasalar dahi bir üst unvana terfi
ettirilemezler.
(8) Bu Yönetmelik kapsamındaki yetkili kuruluşların
BSD’yle görevlendirilmiş denetçilerinin tümünün, yılda en az yirmi saat, üç
yılda en az yüz yirmi saat BSD kapsamında sürekli eğitim almaları veya
vermeleri zorunludur.
(9) Kurumun BSD yapmakla görevli daire
başkanlığında bu madde kapsamında belirtilen sürelerde görev yapmış meslek
personeli ilgili unvanı haiz kabul edilir. Bu kapsamda 10 yıllık mesleki
tecrübeye sahip meslek personeli de Bilgi Sistemleri Bağımsız Başdenetçisi
unvanını alır ve sicile kaydedilir.
DÖRDÜNCÜ BÖLÜM
Tarafların Yükümlülükleri
Denetlenenin
yükümlülükleri
MADDE 19
– (1) Denetlenen, bilgi sistemleri
dokümantasyonunu, iş süreçlerine ait dokümantasyonu ve bu dokümantasyonla
ilgili her türlü kayıt, bilgi, belge, yapı ve sistemlerini BSD’ye uygun ve
hazır hale getirmek zorundadır.
(2) Denetlenen, denetçinin BSD’ye yönelik talep
ettiği gizli dahi olsa her türlü bilgi ve belgeyi vermekle yükümlüdür.
(3) Denetlenen, denetçilere faaliyetlerinde kullandıkları
tüm sistem ve uygulamaları kullanım amaçlarını kapsayan uygulama listesiyle
birlikte bildirmek; kontrol mekanizmalarına ilişkin dokümantasyonu ve
uygulamalarına ilişkin kullanıcı dokümanlarını, bankalar ayrıca 11/7/2014
tarihli ve 29057 sayılı Resmî Gazete’de yayımlanan Bankaların İç Sistemleri
ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğin 9
uncu maddesi uyarınca hazırladığı iş akım şemalarını da sunmakla
yükümlüdür.
(4) Denetlenen, denetçi tarafından BSD kapsamında talep
edilen iç denetim ve iç kontrol raporlarının bir örneğini denetçiye iletir
ve 35 inci madde kapsamında denetçi ile personeli arasındaki iş birliğinin
sağlanması için gerekli tedbirleri alır, yetkili kuruluşun denetçileri
tarafından yöneltilen soruların zamanında yanıtlanmasını ve ilgili konulara
açıklık getirilmesini sağlar.
(5) Denetçilerce yapılacak tespitler hakkında
denetlenenin yönetim kurulunun bilgilendirilmesi; bağımsız denetçiler ile
yönetim kurulu üyeleri ve denetlenen personeli arasında koordinasyonun
sağlanması bankalarda banka denetim komitesinin, Risk Merkezinde Risk
Merkezi yönetiminin ve diğer denetlenenlerde ise yönetim kurulunun
sorumluluğundadır.
(6) Denetlenen tarafından sözleşme süresi içinde
anlaşmalı olunan yetkili kuruluşun değiştirilmesi istendiği ya da yetkili
kuruluş tarafından BSD sözleşmesine aykırı hareket edildiği ve/veya BSD’nin
bu Yönetmelikte belirtilen esaslara göre yapılmadığı hallerde, durumun
gerekçesiyle birlikte Kuruma bildirilmesi ve BSD sözleşmesinin feshedilebilmesi
için Kurumun uygun görüşünün alınması zorunludur.
(7) Denetlenen, BSD raporunda ortaya konulan
bulguların çözümlerine ilişkin taahhütlerini bir aksiyon planı ile karara
bağlar. Aksiyon planının yürütülmesinin ve bu planda yer alan taahhütlerin
zamanında ve eksiksiz olarak yerine getirilmesinin sağlanmasından
denetlenen yönetim kurulu sorumludur. Aksiyon planının hazırlanması ve raporlanmasına
ilişkin usul ve esaslar Kurum tarafından belirlenir.
Yönetim
Beyanı
MADDE 20
– (1) Banka, yönetim kurulu tarafından
denetim dönemi itibarıyla düzenlenen Yönetim Beyanını denetçiye sunar.
Yönetim Beyanı ile yönetim kurulu, 15/3/2020 tarihli ve 31069 sayılı Resmî
Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık
Hizmetleri Hakkında Yönetmeliğin 32 nci maddesi kapsamında yapılan
çalışmalara ve bankacılık süreçlerine ilişkin iç kontrollerin etkinlik,
yeterlilik ve uyumluluğuna ilişkin değerlendirmede bulunarak, mevcut durum
ve yürütülen çalışmalara ilişkin güvence sunar.
(2) Yönetim Beyanına mesnet teşkil edecek
çalışmalar, banka iç sistemler birimlerince bu Yönetmeliğin beşinci ve
altıncı bölümleri çerçevesindeki usul ve esaslar dikkate alınarak
gerçekleştirilir.
(3) Banka Yönetim Kurulu, Yönetim Beyanını, cari
BSD dönemine ilişkin yürütülen çalışmalar ve değerlendirmeler neticesinde
oluşturur. Bu bağlamda esas alınacak dönem 1 Ocak-31 Aralık dönemi olup,
Banka Yönetim Kurulu bu dönemin sonu itibarıyla, BSD raporu tarihi ile
uyumlu olarak beyanda bulunur.
(4) Yönetim Beyanında asgari olarak;
a) Banka Yönetim Kurulunun 5411 sayılı Kanunun 29
uncu ve 30 uncu maddeleri ve Bankaların İç Sistemleri ve İçsel Sermaye
Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğin 4 üncü maddesinin
birinci fıkrasına istinaden etkin, yeterli ve uyumlu bir iç kontrol sistemi
kurma ve işletme yükümlülüğünün bulunduğu,
b) İlgili banka birimlerince, iç kontrol sisteminin
incelenmiş ve bu sistem hakkında bütün önemli kontrol eksikliklerini ortaya
koymak üzere bir değerlendirme yapılmış olduğu,
c) İç kontrol sistemi üzerinde -varsa- tespit
edilen önemli kontrol eksiklikleri,
ç) İç kontrol sistemi üzerinde yapılan
değerlendirmelerde -dönem sonu itibarıyla düzeltilmiş olsa dahi- tespit
edilen iç kontrol sistemine ilişkin tüm kontrol zayıflıklarının, kayda
değer ve önemli kontrol eksikliklerinin sınıflandırılarak denetçiye
sunulduğu,
d) Finansal tablolarda önemli yanlış beyana sebep
olan veya başta finansal veriler olmak üzere banka açısından hassasiyet arz
eden verilerin bütünlüğü, tutarlılığı, güvenilirliği, gereken durumlarda
gizliliği ve faaliyetlerin sürekliliğini önemli ölçüde etkileyen ya da
önemli seviyede olmasa da yöneticilerin veya iç kontrol sisteminde kritik
görevleri bulunan diğer görevlilerin dâhil olduğu tüm suistimal veya
yolsuzluklar,
e) İç kontrol sisteminde gerçekleştirilen
incelemeleri takiben, önemli ve kayda değer kontrol eksiklikleri konularında
banka tarafından alınmış olan düzeltici önlemleri de içerecek şekilde, iç
kontrol sisteminde veya iç kontrol sistemini önemli derecede
etkileyebilecek diğer hususlarda meydana gelmiş olan değişiklikler,
beyan edilir.
(5) Yönetim Beyanı kapsamında;
a) Bankacılık süreçleri iç denetimlerinin kritik
banka servisleri, süreçleri ve kritik varlıkları içerecek ve bunlara
ilişkin güvence verecek derinlikte ve detayda olması,
b) Bankacılık süreçleri iç denetimlerinin sıklığı
ve denetim döngülerinin; banka servislerinin, süreçlerinin ve varlıklarının
kritikliği ve riski ile orantılı olması,
c) 25 inci maddede yer alan süreçlere ilişkin
kontrollere güvence vermek üzere yapılacak bankacılık süreçleri iç
denetimleri için denetim döngüsünün her yıl olması,
ç) Yapılan denetimlere ilişkin çalışma kanıtlarının
en az üç yıl banka nezdinde saklanması,
esastır.
(6) Yönetim Beyanı, denetim dönemini takip eden
Ocak ayı sonuna kadar bağımsız denetim kuruluşuna iletilir.
(7) BDK, Yönetim Beyanını ve bu beyana mesnet
teşkil eden çalışmaların yeterliliğini inceler. Denetçi beyanda, içerik
açısından eksiklik veya bağımsız denetim çalışması sonuçları itibarıyla
varsa uyumsuzlukları tespit eder. BDK Yönetim Beyanına ilişkin
değerlendirme ve tespitlerine BSD’de ayrı bir bölüm halinde yer verir.
Yetkili
kuruluşların ve denetçilerin yükümlülükleri
MADDE 21
– (1) Denetçiler bu Yönetmelik ile
BDY’nin 21 inci maddesinin birinci fıkrasında belirlenen ilkelere uymak,
bilgi sistemleri ve iş süreçleri içerisinde yer alabilecek riskleri ve
zayıflıkları dikkate alarak ve mesleki şüphecilik çerçevesinde bir denetim
planı hazırlamak, denetlenene sunmak ve uygulamak, yöneticilerin
açıklamalarını yeterli denetim kanıtı olarak kabul etmemek ve BSD raporunu
oluşturmak ile yükümlüdür.
(2) BDY’nin 20 nci maddesine göre BDK tarafından
tesis edilmesi gerekli olan kalite kontrol sistemi bu Yönetmelik kapsamında
yapılan BSD çalışmalarını ve BSD raporlarını da kapsayacak şekilde
yürütülür.
(3) Denetçi, ortaya çıkan hata ve suistimaller
hakkında denetlenenin yöneticilerine ve denetlenenin iç sistemlerden
sorumlu yönetim kurulu üyelerine her aşamada yazılı olarak bilgi vermek
zorundadır.
(4) 10 uncu maddede belirtilen belge ve
beyanlardaki değişikliklerin yedi gün içerisinde Kuruma bildirilmesi
zorunludur. Denetim kadrosunda meydana gelen değişiklikler, gerekçeleri ile
birlikte Kurumca belirlenen usul ve esaslara uygun olarak Kuruma bildirilir.
(5) Yetkili kuruluş, sözleşme süresi içinde BSD’den
çekilmesi ya da sözleşmenin feshedilmesi hallerinde, durumu gerekçesiyle
birlikte yedi gün içerisinde Kuruma bildirmek zorundadır.
(6) BSD faaliyeti sırasında, esas alınan mevzuat
hükümlerine uymayan işlemlerin veya olumsuz görüş oluşturmaya veya görüş
bildirmekten kaçınmaya yol açabilecek herhangi bir gelişmenin tespit
edilmesi durumunda, denetlenen bunları gidermiş olsa dahi, denetçi bu
hususu on beş gün içinde Kuruma yazılı olarak bildirir. Kanuna ve diğer
kanunlara göre konusu suç teşkil eden hallerde durumun ivedi olarak yetkili
mercilere intikali sağlanır ve ayrıca Kuruma yazılı olarak bilgi verilir.
(7) Denetçi, aşağıda belirtilen konular da dâhil
olmak üzere BSD sırasında ortaya çıkan ve önemli bulduğu her konuda ilgili
yöneticileri yazılı veya sözlü olarak derhal bilgilendirir:
a) Muhtemel kısıtlamalar ve ilave çalışmalar da
dâhil olmak üzere BSD’nin genel yaklaşımı ve kapsamı.
b) Bilgi sistemleri ve iş süreçleri üzerinde önemli
bir etkisi olan ya da olabilecek politika oluşturma süreci ile ilgili
aksaklıklar, politika uygulamalarındaki sorunlar ya da politika
uygulamalarındaki değişiklikler.
c) Denetlenenin faaliyetlerinin sürekliliği
üzerinde şüphe uyandırabilecek belirsizlikler.
ç) Bilgi sistemlerine ve iş süreçlerine veya BSD
raporuna önemli etkisi olabilecek konularda yöneticilerle olan görüş
aykırılıkları.
d) Bilgi sistemleri ve iş süreçleri içerisinde yer
alan önemli zayıflıklar ve riskler.
(8) Sözlü olarak bilgilendirmenin yapıldığı durumlarda
denetçi çalışma kâğıtlarında bildirilen hususları ve alınan cevapları
belgelendirir.
(9) Denetçiler, BSD çerçevesinde ilgililerce
kendilerine tevdi edilen dokümantasyon ve belgeleri işlerinin gerektirdiği
süre içinde iyi niyetle, güvenli şekilde ve değiştirmeden muhafaza etmekle
ve işin bitiminde iadesiyle yükümlüdürler. Denetim kanıtı oluşturan
dokümanların kopyaları yetkili kuruluş tarafından saklanabilir.
(10) Yetkili kuruluşlar ve denetçiler, BSD
faaliyetleri dolayısıyla öğrendikleri ve ilgili düzenleme hükümlerine göre
sır kapsamında bulunan bilgilerin kendi nezdinde korunmasına ilişkin
tedbirleri alır, bu bilgileri kanunen açıkça yetkili kılınanlardan
başkasına açıklayamaz ve doğrudan veya dolaylı şekilde kendi yararlarına
kullanamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. Bu
çerçevede asgari olarak aşağıda yer verilen hususlar dikkate alınır:
a) Yetkili kuruluşlar BSD sırasında elde ettikleri
kendi nezdinde bulunan sır kapsamındaki verilerin ve BSD kapsamında
kullandıkları sistemlerin güvenliğine ilişkin politika, prosedür ve
süreçleri tesis ederler.
b) Yetkili kuruluşlar bünyelerinde bulunan sır
kapsamındaki verilerin yer aldığı veri tabanlarına, BSD sürecinde
kullanılan uygulamalara ve sistemlere erişim için uygun bir yetkilendirme
ve erişim kontrolü tesis eder. Görev ve sorumluluklar göz önünde
bulundurularak, gerekli olan en kısıtlı yetki ve erişim hakkı verilir.
Yetkiler ve erişim hakları en az yetki prensibi açısından asgari yılda bir
kez gözden geçirilir.
c) BSD kapsamında yetkili kuruluşa ait bilgi
sistemleri üzerinde gerçekleşen işlemler için işlemlerin türü, niteliği ve
verinin hassasiyet derecesi dikkate alınarak uygun bir kimlik doğrulama
mekanizması kurulur. Aynı kullanıcı hesabının birden fazla kişi tarafından
kullanılması engellenir ve kimlik doğrulamada inkâr edilmezlik sağlanır.
ç) Yetkili kuruluşun BSD faaliyetlerine ilişkin
bilgi sistemleri üzerinde etkin bir denetim izi mekanizması tesis edilir.
Bilgilere erişilmesi, sorgulanması, bunlara yönelik erişim yetkilerinin
verilmesi veya değiştirilmesine yönelik işlemler ve bunlara yönelik
yetkisiz erişim teşebbüslerine ilişkin iz kayıtları tutulur.
(11) Denetlenen tarafından BSD’ye ilişkin bilgi ve
belgelerin yetkili kuruluşa verilmemesi halinde bu durum Kuruma ivedilikle
bildirilir.
(12) Yetkili kuruluşların denetçilerinde yapılan
değişikliklerin Kurumca belirlenen usul ve esaslara uygun olarak Kuruma
bildirilmesi zorunludur. Kurumca yapılan değerlendirme neticesinde kırk beş
gün içerisinde olumsuz görüş bildirilmeyen değişiklikler geçerli sayılır.
(13) Yetkili kuruluş, BSD’den kaynaklanabilecek
riskleri karşılayabilecek kapsamda mesleki sorumluluk sigortası yaptırmakla
yükümlüdür.
(14) Yetkili kuruluş, istihdam ettiği denetçiler
tarafından bu Yönetmelik kapsamında düzenlenecek çalışma kâğıtlarını ve
BSD’ye ilişkin her türlü bilgi, belge ve sistemi istenildiğinde Kuruma
göndermek ya da Kurumun denetime yetkili meslek personeline sunmak
zorundadır.
(15) Yetkili kuruluşlar ve denetçileri BSD
sözleşmesi öncesinde BDY’nin 26 ncı maddesinin birinci fıkrasının (ç)
bendinde belirtilen koşulları sağlamakla yükümlüdür.
(16) Yetkili kuruluşlar ve denetçileri bu
Yönetmelikte düzenleme bulunmayan konularda Kamu Gözetimi, Muhasebe ve
Denetim Standartları Kurumu tarafından yayımlanan Bağımsız Denetçiler İçin
Etik Kurallar Standardı (Bağımsızlık Standartları Dâhil)’na uyarlar.
(17) Yetkili kuruluşlar bilgi sistemleri ve iş
süreçleri konularında danışmanlık hizmeti verdikleri şirketleri farklı bir
yetkili kuruluş tarafından denetlenmediği müddetçe denetleyemezler.
(18) Bu Yönetmelik kapsamında yetkilendirilen
kuruluşlar, birincil sistemlerini ve her türlü yedeğini yurt içinde
bulundurmak zorundadır. Yetkilendirilen kuruluşların faaliyetlerini
yürütürken kullanmakta olduğu herhangi bir sistem ya da uygulamanın
birincil sistemler kapsamına girmemesi için sistem veya uygulama üzerinden
herhangi bir denetim sürecinin yürütülmemesi, denetlenene ait verilerin
işlenmemesi, iletilmemesi ve saklanmaması gereklidir.
BEŞİNCİ BÖLÜM
Bilgi Sistemleri ve İş Süreçleri Bağımsız
Denetimine İlişkin Esaslar
BSD’nin
kapsamı
MADDE 22
– (1) Bu Yönetmelik kapsamında
yapılacak olan denetim çalışması, 24 üncü maddede tanımlanan bilgi
sistemleri bağımsız denetimi ile 25 inci maddede tanımlanan iş süreçleri bağımsız
denetiminden oluşur.
(2) Denetçi, denetlenenin bilgi sistemleri ve iş
süreçleri kapsamında inceleyeceği süreç, sistem, faaliyet ve kontrol
mekanizmalarını, risk odaklı bir bakış açısıyla ve önemlilik kriterini esas
alarak yazılı olarak belirler. Bununla birlikte denetçi, önemlilik kriteri
çerçevesinde belirlediği denetimlerin kapsamının; bu Yönetmelik kapsamında
oluşturacağı denetim görüşüne makul güvence sağlamak için yeterli denetim
kanıtı elde edecek şekilde olmasını temin eder.
(3) Denetlenenin iç kontrol sistemiyle ilgili
olarak iç sistemleri bünyesinde yürütülen faaliyetler, 26 ncı madde
kapsamında ve iş süreçleri bağımsız denetimi dâhilinde incelenir.
(4) Bankalar, Risk Merkezi ve bilgi alışverişi
kuruluşlarında iş süreçleri bağımsız denetimi her yıl, bilgi sistemleri
bağımsız denetimi ise iki yılda bir kez yapılır. BSD yapılmayan yıllarda
denetçi geçmiş dönemden gelen bulguları değerlendirir ve ayrıca bilgi
sistemi ortamında meydana gelen önemli değişiklikler ve önemlilik kriteri
kapsamında incelenmesini gerekli gördüğü süreçleri denetim kapsamına
alabilir. Süreçlerin kapsama alınma sebeplerine ilişkin değerlendirmelere
raporda yer verilir.
(5) Diğer finansal kuruluşlarda bilgi sistemleri
bağımsız denetimi üç yılda bir yapılır.
(6) Kurum, gerekli gördüğü hallerde
denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin
kapsamını ve sıklığını farklılaştırabilir.
(7) Bankalar için konsolide BSD kapsamında bağımsız
denetime tâbi tutulacak kuruluşlar, denetlenenin konsolide finansal
tablolarının oluşturulmasına ilişkin Kurum tarafından yapılan
düzenlemelerde yer alan ve konsolide finansal tabloların oluşturulmasına
dahil edilecek kredi kuruluşu veya finansal kuruluş niteliğine sahip
kuruluşların tespitinde esas alınan hükümler doğrultusunda belirlenir.
(8) Denetçi, yedinci fıkra uyarınca bağımsız
denetime tâbi tutacağı ortaklıklarda gerçekleştireceği BSD kapsamını,
önemlilik kriterini kullanarak, konsolidasyona esas finansal bilgiyi üreten
bilgi sistemleri ve süreçler üzerindeki kontrollerin etkinlik, yeterlilik
ve uyumluluğunun tespit edilmesini sağlayacak şekilde yazılı olarak
belirler.
(9) Yetkili kuruluşlar denetimden sorumlu bir Bilgi
Sistemleri Bağımsız Başdenetçisi atarlar ve denetimin kapsamına uygun ve
yeterli sayıda denetçiden oluşan bir denetim ekibi oluşturulmasını
sağlarlar.
Bilgi
sistemleri ve bankalarda iş süreçleri bağımsız denetimi ile bağımsız
denetimin ilişkisi
MADDE 23
– (1) Bağımsız denetim ile BSD;
birbirlerinin kapsam ve sonucunu etkileyecek hususlar ihtiva etmeleri
nedeni ile bütünsel bir yaklaşım içinde planlanır ve uygulanır.
(2) Yetkili kuruluşların, Bankalar, Risk Merkezi ve
bilgi alışverişi kuruluşlarında BSD gerçekleştirileceği dönemde,
denetlenenin bağımsız denetim faaliyetini de yürütüyor olmaları zorunludur.
(3) Denetçi BSD kapsamını belirlerken ve bu
kapsamdaki çalışmalarını yürütürken; denetim görüşünü destekleyecek düzeyde
yeterli ve uygun denetim kanıtı elde edilmesinin yanı sıra, bağımsız
denetime ilişkin denetim riski değerlendirmelerini desteklemek için de
denetim kanıtı elde edilmesini gözetir.
(4) Bilgi sistemleri ve bankalarda iş süreçleri
bağımsız denetimine ilişkin görüşün şartlı, olumsuz ya da görüş
bildirmekten kaçınma şeklinde olması durumunda; görüş ve görüşe esas teşkil
eden tespitler bağımsız denetçiye yazılı olarak iletilir.
(5) Yetkili kuruluş, Bankalar, Risk Merkezi ve
bilgi alışverişi kuruluşlarında gerçekleştireceği bilgi sistemleri ve iş
süreçleri denetimi döneminde, denetlenenin bağımsız denetim faaliyetini de
eşgüdümlü olarak yürütür.
Bilgi
sistemleri bağımsız denetimi
MADDE 24
– (1) Denetçi, bilgi sistemleri
genel kontrollerini, önemlilik kriterini esas alarak belirlediği kapsam
dâhilinde etkinlik, yeterlilik ve uyumluluk açısından incelemeye tâbi
tutar.
(2) Genel kontroller, tesis edilmelerinde esas
alınan çerçeve, standart ya da metodolojiden bağımsız olarak; denetlenenin
bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin Kurum
tarafından yapılan düzenlemelerdeki hükümler gözetilerek denetlenir.
İş
süreçleri bağımsız denetimi
MADDE 25
– (1) Denetçi, denetlenenin tabi
olduğu mevzuat çerçevesinde yürüttüğü faaliyetlere ilişkin iş süreçlerini
ve bu süreçler üzerindeki iç kontrollerini, önemlilik kriterini esas alarak
belirlediği kapsam dâhilinde etkinlik, yeterlilik ve uyumluluk açısından
incelemeye tâbi tutar.
(2) Bankalarda iş süreçlerinin bağımsız denetimi
kapsamında bankacılık faaliyetlerine ilişkin aşağıda yer alan süreçler ve
gerekli görülen diğer süreçler ile ilgili hususlar önemlilik kriteri
çerçevesinde dikkate alınarak değerlendirilir:
a) Mevduat süreci: Mevduat/katılma hesaplarına
ilişkin işlemler, çek/senet, fon transferi ve tahsilat işlemleri, mevduatın
sınıflandırılması, tasarruf mevduatı kapsamının belirlenmesi ve tasarruf
mevduatı sigorta primlerinin hesaplanması gibi hesaplama kontrolleri,
katılma hesaplarına ödenecek kar payı tutarlarının günlük birim değer hesap
tablosu üzerinden hesaplanmasına ilişkin kontroller, şüpheli işlem tespiti
ve suç gelirlerinin aklanması ve terörün finansmanına ilişkin kontroller,
işlemlerin muhasebeleştirilmesi ve süreçteki diğer kontroller.
b) Bireysel/Kurumsal kredi süreçleri: Kredi
başvurularının alınması, değerlendirilmesi, kredi tahsisi, kullandırım
işlemleri ve onayları, teminatlandırma, kredi limitleri ile kredi geri ödeme
tabloları ve hesaplamalarına ilişkin kontroller, takip hesaplarına aktarım
süreci ve karşılık hesaplamaları, kredilerin sınıflandırılması, yaşlandırma
raporlarının hazırlanması ve yeniden yapılandırma işlemleri, kredi
risklerinin ölçülmesi, izlenmesi, kontrolünün sağlanması, raporlanması ve
riskleri karşılayacak yeterli sermayenin ayrılması, kredilere getirilen
vade, faiz/kar payı, komisyon ve benzeri sınırlarının takibi, kredi
işlemlerinin muhasebeleştirilmesi ve diğer süreç kontrolleri.
c) Muhasebe süreci: Faiz, gelir/gider tahakkuku ve
reeskont hesaplamaları, işlem bazında tek düzen hesap planına uygunluk,
amortisman hesaplamaları, muhasebe fişi kesilmesine ilişkin yetkilendirme
süreci, mizanın oluşumu, geriye dönük muhasebe fişi kesilmesi işlemleriyle
ilgili yetkilendirmelerin varlığı ve ilgili kayıtların bütünlüğü ve
izlenebilirliği, işlem numaralarının ardışıklığının sağlanması, işlem
limitlerinin ve yetkilerinin kontrolü, şube ve genel müdürlük kayıtları
arasındaki mutabakatlar, hesap planı düzenleme ve değişikliklerine ilişkin
kontroller, defteri kebir hesapları ile yardımcı, alt ve geçici hesapların
mutabakatı, yasal ve yardımcı defterler arası mutabakatlar, muhasebe
kayıtlarının arada başka bir muhasebe sistemini referans almaksızın tek
düzen hesap planına ve Türkiye Muhasebe Standartlarına uygun olarak
doğrudan oluşturulması, işlemlerin muhasebeleştirilmesi ve diğer süreç
kontrolleri.
ç) Banka ve kredi kartları süreci: Banka ve kredi
kartı başvuru değerlendirme, limit tahsisi, kart basım ve dağıtım
işlemleri, kart iptali, üye işyeri ve üye işyeri anlaşma yapan kuruluşların
yükümlülüklerinin kontrolleri, kart ve POS teknik altyapısına ilişkin
kontroller, kartların kullanımı ve hediye puanı gibi uygulamalara ilişkin
kontroller, kayıp/çalıntı kartlara ilişkin kontroller, şüpheli işlemlerin
takibi ve tespiti, sahtecilik ve dolandırıcılık olaylarının önlenmesine
yönelik kontroller, takip hesaplarına aktarım süreci ve karşılık
hesaplamaları, yaşlandırma raporlarının hazırlanması ve yeniden yapılandırma
işlemleri, banka ile kart merkezi mutabakatları gibi mutabakat kontrolleri,
kart kullanım gecikme cezası/faiz artışlarının müşteriye bildirimi ve faiz
hesaplamaları, ücretlendirme, işlemlerin muhasebeleştirilmesi ve diğer
süreç kontrolleri.
d) Finansal raporlama süreci: Banka kayıtlarının ve
bilgi kaynaklarının finansal raporlamalarda kullanım sürecinin kontrolü,
düzenleyici ve denetleyici otoritelere, sistemler aracılığıyla yapılan
raporlamaların performans ve süreçlerinin kontrolü, düzenleyici ve denetleyici
otoritelere, periyodik olarak gerçekleştirilen veri aktarımı ve süreçlerinin
kontrolü, solo ve konsolide finansal raporların hazırlanması ve diğer süreç
kontrolleri.
e) Ödeme sistemleri süreci: EFT, EMKT, Takasbank, SWIFT
işlemleri ve bunlarla ilgili güvenlik kayıtları gibi ödeme sistemi
kontrolleri, işlemlerin muhasebeleştirilmesi ve diğer süreç kontrolleri.
f) Hazine/Menkul kıymetler ve fon yönetimi süreci:
Menkul kıymet ve fon yönetimi iş süreçlerinin kontrolü, limit tanımlamaları
ve limitlerin takibi, nostro, vostro ve loro bakiyelere ilişkin
mutabakatlar ve muhabir kayıtlarının kontrolü, işlemlerin
muhasebeleştirilmesi ve diğer süreç kontrolleri.
(3) Kurum denetlenenlerde BSD kapsamında
denetlenecek iş süreçlerini belirlemeye yetkilidir.
(4) İş süreçleri üzerindeki kontrollerin etkinliği,
ilgili bilgi sistemleri genel kontrollerinin etkin ve yeterli olmasına
bağlıdır. Bu nedenle denetçi, iş süreçleri üzerindeki kontrollerin
etkinlik, yeterlilik ve uyumluluğuna ilişkin incelemelerde bulunurken,
gerekli gördüğü bilgi sistemleri genel kontrollerinin etkinlik ve
yeterlilik durumunu dikkate alır. Denetçi söz konusu genel kontrolleri,
denetim kapsamına dâhil eder, etkinlik ve yeterlilikleri ile iş süreçleri
üzerindeki kontrollere olan etkilerini değerlendirir.
(5) Denetçi ikinci fıkrada ifade edilen ve
önemlilik değerlendirmesi sonucunda denetim kapsamına dâhil ettiği süreçler
için asgari olarak aşağıdaki kontrolleri test eder:
a) Yönetimce kontrollerin etkin olarak çalışmasının
engellenmesini önleyecek ya da tespit edecek kontroller.
b) Denetlenenin bilgi sistemleri genel kontrolleri
ve iş süreçlerindeki kontrollere ilişkin risk değerlendirme süreci.
c) Süreç ve işlemlerin sonuçlarının gözetimine
ilişkin gözden geçirme, raporlama, sorgulama ve mutabakat gibi kontroller.
ç) Kontrollerin gözetimine yönelik kontroller.
d) Bankalarda dönem sonuna ilişkin muhasebe ve
finansal raporlama süreci üzerindeki kontroller.
e) Bankalarda mükerrer bilgi sistemleri ve çift
kayıt sistemi gibi sahtecilik ve usulsüzlüklerin önlenmesine ve tespit
edilmesine ilişkin kontroller.
f) Bankalarda faiz, masraf, komisyon, stopaj vs.
oran ve miktarları, vade ve valör bilgileri ile diğer önem arz eden
bankacılık bilgilerine ilişkin veri, işlem ve kayıtların bütünlüğü ve
güvenilirliğine ilişkin kontroller.
g) Görevler ayrılığı prensibinin uygulanmasına
ilişkin kontroller.
ğ) Yetkilendirme ve erişim kontrolleri ile bu
kontrollerin gözden geçirilmesine ilişkin kontroller.
h) Risk arz eden işlemlerin gerçekleştirilmesinde
yer alan/alması gereken onay mekanizmaları.
ı) Veri, işlem ve kayıtların gizliliğine ilişkin
kontroller.
i) Denetim izlerinin tutulması, güvenliğinin
sağlanması ve düzenli olarak gözden geçirilmesi ve değerlendirilmesine
ilişkin kontroller.
İç
kontrol ve iç denetim sistemine ilişkin değerlendirme
MADDE 26
– (1) Denetçi, bilgi sistemleri
genel kontrolleri ve iş süreçleri üzerindeki kontrollerle sınırlı olmak
üzere denetlenenin iç kontrol ve iç denetim sistemleri bünyesinde yürüttüğü
çalışmalarını önemlilik kriteri çerçevesinde değerlendirir. Bu kapsamda;
a) İç kontrol sistemine ilişkin yürütülen
faaliyetler incelenirken asgari olarak;
1) Kontrol ortamına ilişkin hususlar,
2) Yönetim tarafından etkin ve yeterli bir iç
kontrol sisteminin tesis edilmesi, işletilmesi ve gözetimine ilişkin
benimsenen yaklaşım ve uygulaması,
3) Denetlenenin tabi olduğu mevzuat uyarınca
kurulan meslek birlikleri tarafından belirlenen etik ilkelerin uygulanması
ve çalışanların bu konudaki farkındalık düzeyi,
dikkate alınır.
b) İç denetim biriminin iç kontrol sisteminin
etkinlik, yeterlilik ve uyumluluğunun gözetimine ilişkin yürüttüğü
faaliyetler ve performansını değerlendirir.
c) İç denetim biriminin değerlendirilmesi
kapsamında denetlenenin bilgi sistemleri denetimi faaliyetleri dikkate
alınır. Denetlenenin bilgi sistemleri denetimi fonksiyonu
değerlendirilirken asgari olarak;
1) Ekibin organizasyon içerisindeki yeri ve
bağımsızlığı,
2) Ekibi oluşturan personelin nitelik ve sayı
açısından yeterliliği,
3) Planlanan ve gerçekleştirilen denetim
çalışmaları,
4) Denetim sonuçlarının takibi,
incelenir.
ç) Denetçi, denetlenenin iç kontrol sistemine
ilişkin risk değerlendirme sürecinde yürütülen faaliyetlerini ve
performansını değerlendirir.
ALTINCI BÖLÜM
Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi
Metodolojisi
Denetim
stratejisi ve denetim planı
MADDE 27
– (1) Yürütülecek denetim
çalışması için, denetlenenin faaliyetlerinin bilgi sistemlerine bağlılık ve
bilgi sistemlerinin karmaşıklık derecesi, ekonomik, finansal beklentiler
ile bunların bilgi sistemleri ile ilişkileri ve iç sistemlerinin
yeterliliği hakkındaki denetçi kanaatine bağlı olarak denetimin kapsamı,
zamanlaması ve yönlendirilmesini düzenleyen ve denetim planının
geliştirilmesinde esas oluşturacak bir BSD stratejisi oluşturulur.
(2) BSD stratejisi, denetimin kapsamı, denetim
esnasında kullanılacak önemlilik değerlendirmesi, denetlenecek süreçlerde
denetim süresince meydana gelebilecek önemli değişiklikler gibi konuları
içerir.
(3) Denetçi, denetim riskini makul bir düzeye
indirebilecek yeterli ve uygun denetim kanıtının elde edilmesi için BSD
stratejisine uyumlu bir denetim planı oluşturur.
(4) BSD stratejisi ve planı oluşturulurken, iç
kontrol ve iç denetim raporları, BSD raporları, denetlenen ve Kurum
arasında gerçekleşen yazışmalar ile Kurum tarafından verilen talimatlar
dikkate alınır.
(5) BSD planlaması yapılırken, denetlenenin sistem
ve süreçlerini konu alan bir risk değerlendirmesi çalışması yapılır ve bu
çalışmanın sonuçları önemlilik kriteri açısından değerlendirilir.
(6) BSD planı asgari olarak;
a) Denetim tekniklerinin türü, zamanlaması ve detay
seviyesinin tanımını,
b) Önemli veya kayda değer kontrol eksikliği
risklerinin değerlendirilmesinde kullanılan risk değerlendirme
tekniklerinin türü, zamanlaması ve detay seviyesinin tanımını,
c) BSD faaliyetinde görev alacak ekip üyelerinin
bireysel yetenek ve yeterliliklerini dikkate alarak, denetim ekibinin
sevkine ve faaliyetlerinin gözetimine ilişkin planlamayı,
içerir.
(7) BSD stratejisi ve denetim planı, denetim
sürecinde gerekli görüldüğü takdirde nedenleri ile birlikte belgelenerek
güncellenir ve değiştirilir.
(8) Denetçi, denetimi planlarken, hata, suistimal
ve yasa dışı fiillere ilişkin riskleri dikkate alır.
Denetim
teknikleri ve kontrollerin test edilmesi
MADDE 28
– (1) Denetçi, denetim görüşünün
oluşturulmasına makul güvence sağlayacak düzeyde yeterli ve uygun denetim
kanıtlarını elde etmek için aşağıdaki denetim tekniklerinden hepsini ya da
bir kısmını uygun zaman ve detay kapsamıyla kullanır:
a) Tetkik.
b) Gözlem.
c) Sorgulama.
ç) Yeniden uygulama.
d) Yeniden hesaplama.
e) Analitik prosedür.
(2) Denetçi, test edeceği kontrollerin kapsamını,
önemlilik ilkesini gözeterek ve test edeceği kontrol kümesinin bilgi sistemleri
ve iş süreçleri ile bu sistem ve süreçler üzerindeki kontrollerin bütününün
etkinliği, yeterliliği ve uyumluluğu hakkında kendisine makul bir güvence
sağlayacak şekilde belirler.
(3) Bilgi sistemleri ve iş süreçleri üzerindeki
kontrollerin etkin, yeterli ve uyumlu olduğuna dair görüş verilebilmesi
için, incelemeye tâbi tutulan tüm kontrollerin, tasarım ve işletiminin
etkinlikleri ve uyumluluklarının test edilmesi gerekir.
(4) Denetçi, denetim riskini kabul edilebilir bir
seviyeye indirmek için, test ettiği kontrol ile ilişkili önemli veya kayda
değer kontrol eksikliği riskinin yüksek olduğu alanlarda tespit riskini
düşürecek şekilde testlerini detaylandırır, örneklem hacmini genişletir ve
kanıtlarının yeterlilik ve güvenilirlik seviyesini artırır.
(5) Denetçi kontrole ilişkin test kapsamını
belirlerken ilgili kontrolün uygulanma sıklığı, faal olma durumu açısından
güvenilen süre, kontrollerdeki sapma beklentisi gibi kontrol
karakteristiklerini dikkate alır.
(6) Denetçi sadece bilgi toplama tekniğini
kullanarak elde ettiği denetim kanıtıyla bir kontrolün etkinlik, yeterlilik
ve uyumluluğuna ilişkin görüş oluşturamaz.
(7) Denetçi, bir kontrolü test ederken dikkate
alacağı zaman boyutunu denetim döneminin bütününe ilişkin görüş oluşturacak
şekilde belirler.
Denetim
örneklemesi
MADDE 29
– (1) Denetim örneklemesi; denetim
tekniklerinin, tüm kalemlerin seçilme şansı olacak şekilde denetime ilişkin
bir anakitlenin yüzde 100’ünden daha azına uygulanmasını ifade eder.
Denetim örneklemesi denetçiye, örneklemin alındığı toplam veri seti ile
ilgili görüş oluşturulabilmesini teminen seçilen örneklemle ilgili denetim
kanıtlarını elde etme ve değerlendirme olanağı sağlar. Denetim
örneklemesinde, istatistiki ya da istatistiki olmayan yaklaşımlar
kullanılabilir.
(2) Denetçi, denetim örneklemini oluştururken,
denetim tekniğinin amacını ve örnekleme seçileceği anakitlenin
niteliklerini göz önünde bulundurmak zorundadır.
(3) Denetçi, örneklem büyüklüğünü belirlerken,
denetim riskinin kabul edilebilir düşük bir seviyeye indirilip
indirilmediğini dikkate almak zorundadır. Örneklem büyüklüğü, denetçinin
kabul edebileceği denetim riski seviyesinden etkilenir. Denetçinin kabul
edebileceği risk düştükçe, örneklem büyüklüğünün de o oranda artması
gerekir.
(4) Denetçi, anakitlede yer alan tüm örnekleme
birimlerinin seçilme şansı olduğu beklentisiyle örnek seçimini yapar.
Denetim örneklemesinin amacı anakitlenin tümüne ilişkin sonuçlar ortaya
çıkarmak olduğundan, denetçi anakitleyi temsil edecek özelliklere sahip ve
önyargılardan uzak örneklem seçmeye gayret eder.
Denetim
kanıtı
MADDE 30
– (1) Denetim kanıtı, denetçinin
bilgi sistemleri ve iş süreçleri üzerindeki kontrollerin etkinlik,
yeterlilik ve uyumluluğuna ilişkin görüşünü dayandırdığı sonuçlara ulaşmak
amacıyla kullandığı tüm bilgilerdir.
(2) Denetçi; görüşünü dayandırdığı yeterli ve uygun
denetim kanıtlarını elde edebilmek için gerekli denetim prosedürlerini
tasarlar ve gerçekleştirir.
(3) Test edilmek üzere seçilen her bir kontrolün;
etkinlik ve yeterliliğine ilişkin gerekli denetim kanıtı seviyesi, ilgili
kontrolün çalışmaması durumunda önemli veya kayda değer kontrol eksikliğine
sebebiyet verme ihtimaline bağlıdır.
(4) Denetçinin, güvenilir denetim kanıtı elde
edebilmesi için, uyguladığı denetim tekniklerinin dayandığı bilgilerin tam
ve doğru olması gerekir. Denetçi, denetim tekniklerini uygularken tam ve
doğru olduğuna ilişkin yeterli araştırmayı yapmak koşuluyla denetlenen
tarafından üretilen bilgileri de kullanabilir.
Bulguların
değerlendirilmesi
MADDE 31
– (1) Denetçi, denetim
çalışmasının sonunda, tespit ettiği her bir kontrol zayıflığını ayrı ayrı
inceler ve bu zayıflıkları hem tek başlarına, hem de birlikte
oluşturacakları farklı kombinasyonlarla değerlendirerek bunların kayda
değer kontrol eksikliği veya önemli kontrol eksikliği olarak
sınıflandırılmasını nitel ve nicel yöntemler kullanarak gerçekleştirir.
(2) Denetçi, kontrol zayıflıklarını
değerlendirirken temel olarak; bunların birlikte veya ayrı ayrı; sebep
olabileceği yanlışlıkların ortaya çıkma olasılığını ve ortaya çıktığındaki
etkisini göz önünde bulundurur.
(3) Denetçi, bilgi sistemleri genel kontrollerine
ilişkin kontrol zayıflıklarını değerlendirirken, bunların iş süreçleri
üzerindeki kontrollere olan etkisini de dikkate alır.
(4) Denetçi, denetim esnasında aşağıdaki alanlardan
herhangi birinde kontrol zayıflığı ile karşılaşması durumunda bunları en
azından kayda değer kontrol eksikliği olarak kabul eder:
a) Türkiye Muhasebe Standartlarının uygulanmasına
ilişkin politikalar.
b) Denetlenenin tabi olduğu Kanun ve bu Kanunlara
istinaden yayımlanan alt düzenlemeler ve talimatların gereğinin yerine
getirilmesine ilişkin kontroller.
c) Sahteciliği önleyen kontroller veya programlar.
ç) Rutin veya sistematik olmayan işlemler.
d) Yılsonu finansal raporlama süreci.
(5) Denetçi aşağıdaki durumlardan herhangi biriyle
karşılaşması halinde bunları en azından kayda değer kontrol eksikliği
olarak kabul eder ve önemli kontrol eksikliğine güçlü birer işaret olarak
algılar:
a) Hata veya suistimal nedeniyle, denetlenenin
varlık ve yükümlülüklerinin farklı şekilde yansıtılarak mevzuatta
tanımlanan ve yasal yükümlülükler bakımından denetlenen ile ilgili alınması
gereken kararları veya sağlıklı bir finansal değerlendirme yapılmasını
etkileyecek şekilde, önceden yayımlanmış olan finansal tablolar üzerinde
düzeltmeler yapılması.
b) Cari döneme ait finansal tablolarda veya
verilerde denetlenenin iç kontrol ve/veya iç denetim faaliyetleri sırasında
önceden fark edilmemiş olan önemli bir yanlış beyanın denetim esnasında denetçi
tarafından tespiti.
c) Denetlenenin farklı birimlerinden aynı hususa
ilişkin olarak gelen bilgi, belge ve veriler arasında tutarsızlık olduğunun
tespit edilmesi.
ç) Denetlenenin yönetimi tarafından denetçiye
verilen beyanlarda kasıt içermese dahi önemli bir yanlış beyanın tespit
edilmesi.
d) Aksiyon planında yer verilen taahhütlerin yerine
getirilmemiş olması.
e) Bankanın büyüklüğü dikkate alınarak iç denetim
ve risk yönetim fonksiyonlarının etkin bir iç kontrol ortamının tesis
edilmesi için gerekli olduğunun düşünüldüğü durumlarda, bilgi sistemlerine
yönelik söz konusu fonksiyonların bulunmaması veya etkin olmaması.
f) Bilgi sistemleri ile denetlenenin faaliyetlerine
ilişkin süreç ve sistemler kapsamında mevzuata uyum kontrolünü sağlayacak
bir birimin/fonksiyonun bulunmaması veya etkin olmaması.
g) Yönetici veya yöneticilerin dâhil olduğu küçük
dahi olsa bir sahteciliğin tespit edilmesi.
ğ) Yöneticilere iletilmiş olan kayda değer bir
kontrol eksikliğinin makul bir süre geçmesine rağmen hala düzeltilmemiş
olması.
h) Etkin bir iç kontrol ortamının tesis edilmemiş
olması.
ı) Bankalarda denetim komitesince, muhasebe,
finansal raporlama ve iç kontrol sistemi üzerinde etkin bir gözetimin tesis
edilmemiş olması.
(6) Denetçi bir önceki denetim döneminde tespit
edilmiş ve devam eden bulguların cari dönemde de son durumlarını
değerlendirerek raporlar.
Denetim
görüşünün oluşturulması ve denetim mektubu
MADDE 32
– (1) Yapılan denetim sonucunda
aşağıdaki durumlarda, kendilerine bağlı denetim ekiplerinin de görüşlerini
alarak BSD gerçekleştiren kuruluşun BSD raporunu imzalamaya yetkili
denetçileri bankalarda Ek-9, Risk Merkezi ve bilgi alışverişi
kuruluşlarında Ek-17 ve diğer finansal kuruluşlarda Ek-21’de yer alan
örneğe uygun olarak denetim mektubunda olumlu görüş bildirirler:
a) Herhangi bir önemli kontrol eksikliğinin
bulunmaması.
b) Denetim kapsamında herhangi bir kısıtlama ya da
engelleme ile karşılaşılmaması.
(2) Yapılan denetim sonucunda aşağıdaki durumlarda,
kendilerine bağlı denetim ekiplerinin de görüşlerini alarak BSD
gerçekleştiren kuruluşun BSD raporunu imzalamaya yetkili denetçileri
bankalarda Ek-10, Risk Merkezi ve bilgi alışverişi kuruluşlarında Ek-18 ve
diğer finansal kuruluşlarda Ek-22’de yer alan örneğe uygun olarak denetim
mektubunda şartlı görüş bildirirler:
a) En az bir önemli kontrol eksikliğiyle
karşılaşılmasına rağmen, bu eksikliklerin denetlenenin bilgi sistemleri ile
iş süreç ve sistemlerinin bütününü veya büyük bir kısmını etkilemediğinin
düşünülmesi.
b) Görüş bildirmekten kaçınmayı gerektirecek önemde
olmamakla birlikte, BSD faaliyetlerini sınırlayan herhangi bir hususun
varlığı veya yeni tesis edilmiş bir sistem veya süreç hakkında yeterince
bilgi edinilememesi.
c) Denetim görüşünün oluşturulması için yeterli ve
uygun denetim kanıtının elde edilememesi.
(3) Yapılan denetimlerde rastlanılan önemli kontrol
eksikliklerinin tek başlarına veya beraber değerlendirilmeleri sonucunda
bilgi sistemleri ile iş süreçlerinin bütününü veya büyük bir kısmını
etkilediğine ilişkin kanaat edinilmesi durumunda, BSD gerçekleştiren
kuruluşun BSD raporunu imzalamaya yetkili denetçileri kendilerine bağlı
denetim ekiplerinin de görüşlerini alarak, bankalarda Ek-11, Risk Merkezi
ve bilgi alışverişi kuruluşlarında Ek-19 ve diğer finansal kuruluşlarda
Ek-23’te yer alan örneğe uygun olarak denetim mektubunda olumsuz görüş
bildirirler.
(4) Denetim çalışmalarında karşılaşılan belirsizlik
ve sınırlamaların görüş belirtilmesini engelleyecek derecede önemli
olduğunu düşündükleri durumlarda, BSD gerçekleştiren kuruluşun BSD raporunu
imzalamaya yetkili denetçileri kendilerine bağlı bağımsız denetim
ekiplerinin de görüşlerini alarak, bilgi sistemleri ile iş süreçleri
üzerindeki kontroller hakkında görüş bildirmekten kaçınabilirler. Görüş
bildirmekten kaçınma durumunda düzenlenecek raporda, kaçınmaya yol açan
nedenlere ilişkin denetçi görüşlerine yer verilmesi şarttır. Bu durumda
bankalarda Ek-12, Risk Merkezi ve bilgi alışverişi kuruluşlarında Ek-20 ve
diğer finansal kuruluşlarda Ek-24’te yer alan örneğe uygun olarak denetim mektubu
düzenlenir.
(5) Bankalarda ve konsolidasyona tabi
ortaklıklarında gerçekleştirilen BSD sonucunda 5 inci ve 7 nci maddelerde
belirtilen hükümler ile bu maddede belirtilen görüş çeşitleri çerçevesinde;
olumlu, şartlı veya olumsuz görüşe varılması hallerinde, sırasıyla Ek-13,
Ek-14 ve Ek-15’te yer alan örneklere uygun olarak denetim mektubu
düzenlenir. Görüş bildirmekten kaçınmayı gerektirecek şartların varlığı
halinde ise, denetim mektubu Ek-16’da yer alan örneğe uygun olarak
düzenlenir.
Denetim çalışmalarının
belgelendirilmesi
MADDE 33
– (1) Denetçi; BSD raporunda yer
vereceği görüşlerini desteklemek ve denetimin bu Yönetmelik hükümlerine
uygun şekilde planlandığına ve gerçekleştirildiğine dair kanıt sunmak
amacıyla denetimi gerçekleştirdiği süre zarfında çalışma kâğıtlarını
hazırlar.
(2) Çalışma kâğıtları, toplanan kanıtların ve BSD
raporunun nihai hale getirilmeden gözden geçirilmesine ve
değerlendirilmesine imkân verecek şekilde hazırlanır.
(3) Denetçi, çalışma kâğıtlarını, yürütülen denetim
çalışması ile hiçbir bağlantısı olmayan tecrübeli bir denetçinin;
a) Gerçekleştirilen denetimin bu Yönetmelikle
belirlenen hükümlere uygunluğunu,
b) Toplanan denetim kanıtları ve uygulanan denetim
tekniklerinin sonuçlarını,
c) Denetim sırasında ortaya çıkan önemli hususlar
ve bunlarla ilgili ulaşılan değerlendirmeleri,
kavrayabilmesine olanak sağlayacak şekilde
hazırlar.
(4) Çalışma kâğıtları fiziki veya elektronik
ortamda tutulabilir.
(5) Çalışma kâğıtları üzerindeki tasarruf yetkisi
denetçinin istihdam edildiği yetkili kuruluşa, BSD’nin dış hizmet alımı ile
gerçekleştirilmesi halinde ise ilgili BDK’ya aittir. Çalışma kâğıtları,
denetlenenin yazılı izni olmaksızın Kurum dışındaki üçüncü kişilere
verilemez veya açıklanamaz. Çalışma kâğıtlarının gizliliğinin ve
güvenliğinin sağlanması yetkili kuruluşun sorumluluğundadır.
(6) Yetkili kuruluş, BSD raporu tarihinden sonraki
altmış gün içerisinde tüm çalışma kâğıtlarının bir araya getirilmesinden
sorumludur. Çalışma kâğıtları BSD raporu tarihinden itibaren en az on yıl
süreyle saklanır.
(7) Denetçi, çalışma kâğıtlarının nihai denetim
dosyasında birleştirilmesi işlemi tamamlandıktan sonra mevcut çalışma
kâğıtlarında değişiklik yapmayı veya yeni çalışma kâğıtları eklemeyi
gerekli görürse, yapılan değişikliklerin veya eklemelerin niteliğine
bakılmaksızın aşağıdaki hususları belgelendirir:
a) Değişiklik veya ekleme yapmasının özel
sebepleri.
b) Değişiklik veya eklemelerin ne zaman ve kim
tarafından yapıldığı ve gözden geçirildiği.
YEDİNCİ BÖLÜM
Genel İlkeler ve Sorumluluklar
BSD
sözleşmesi
MADDE 34
– (1) BSD, yetkili kuruluş ile
denetlenen arasında imzalanacak yazılı sözleşme çerçevesinde yürütülür. BSD
sözleşmesi, yapılacak denetimin kapsam ve içeriği üzerinde taraflar
arasında tam bir mutabakat sağlandığının göstergesidir.
(2) BSD sözleşmeleri, denetlenenin yönetim
kurulunca onaylanarak yürürlüğe girer.
(3) Denetlenen, yetkili kuruluş ile aralarındaki
BSD sözleşmesine ilişkin bilgileri, usul ve esasları Kurum tarafından
belirlenecek şekilde, sözleşmenin imzalanmasını takip eden otuz gün içinde
Kuruma ulaştırır.
(4) Yetkili kuruluş, denetlenen ile BSD sözleşmesi
yapmadan önce BSD’nin kapsam ve planlamasını belirlemek amacıyla gerekli ön
araştırmayı yapmak zorundadır. Ön araştırma kapsamında, denetim sürecini
olumlu ya da olumsuz etkileyebilecek hususların varlığı ve yetkili kuruluş
değişikliği halinde bunun nedenleri ile ilgili olarak önceki dönemlerde
denetimi üstlenen yetkili kuruluşlardan bilgi talep edilebilir. Denetlenen,
önceki yetkili kuruluşa cari dönem için sözleşme yaptığı yetkili kuruluşun
unvanını bildirir ve talep edilen bilgilerin verilmesi için yetkilendirir.
Önceki yetkili kuruluş, bu kapsamda kendilerinden talep edilen bilgileri
vermek zorundadır.
(5) BSD sözleşmelerinde, asgari olarak aşağıdaki
unsurların bulunması zorunludur:
a) Denetçinin uymakla yükümlü bulunduğu
düzenlemeler.
b) BSD’nin amacı, kapsamı varsa özel nedenleri.
c) Yetkili kuruluş tarafından anlaşma kapsamında
sunulacak hizmetler.
ç) Tarafların sorumluluk ve yükümlülükleri.
d) Denetimde görevlendirilecek denetçiler ile
bunların yedekleri.
e) Denetim ekibinde görevlendirilenlerin unvanları,
öngörülen çalışma süreleri ve her biri için uygun görülen ücret tutarının
ayrıntılı dökümü.
f) Denetimin başlama ve bitiş tarihleri.
g) BSD raporunun ve istenmesi halinde özel amaçlı
denetim raporunun şekli ve bu raporların hazırlanma nedenleri.
ğ) BSD raporunun teslim edileceği tarih.
(6) Denetçinin çalışma alanının önemli ölçüde
sözleşme hükümlerine aykırı olarak sınırlandırılması, bilgi sistemleri ve
iş süreçlerine ilişkin bilgi ve belgelerin elde edilememesi veya benzeri
durumların oluşması halinde sözleşme, yazılı gerekçe göstermek ve Kuruma
önceden bildirimde bulunulmuş olması koşuluyla, yetkili kuruluş tarafından
feshedilebilir. Yetkili kuruluş bu durumu, denetimden çekilme
gerekçeleriyle birlikte derhal Kuruma bildirir. Çekilen yetkili kuruluş
çalışma kâğıtlarını ve gerekli tüm bilgileri, yerine geçecek olan yetkili
kuruluşun incelemesine imkân sağlamak ve istenilmesi halinde bu dokümanlara
ait uygun kopyaları sağlamakla yükümlüdür. Çekilen yetkili kuruluşun yerine
geçecek yetkili kuruluşun Kurum tarafından uygun görülmesi şarttır.
(7) Denetçi, denetlenenin bazı faaliyetlerini
BSDDHK aracılığı ile yürütmesi halinde BSD sözleşmesinde, BSDDHK bünyesinde
bağımsız denetim yapılabilmesini temin eden hükümler bulunmasını sağlar.
(8) Sözleşmede, denetim hizmeti dışında başka bir
hizmet yapılması öngörülemez.
SEKİZİNCİ BÖLÜM
Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetiminde
İş Birliği
Başka
taraflarca yapılan çalışmalardan yararlanma ve iş birliği
MADDE 35
– (1) Denetçi, görüşüne dayanak
teşkil edecek temel kanıtları edinmek için yeterli çalışmayı bizzat
gerçekleştirir. Bununla birlikte denetim çalışmasının yapı, zamanlama ve
detay seviyesi açılarından genişletilmesi amacıyla diğer yetkili
kuruluşların, denetlenenin iç sistemler birimlerinin ve uzman şahısların
çalışmalarından yararlanabilir.
(2) Başka taraflarca gerçekleştirilen çalışmalardan
yararlanmak, denetçinin denetime ilişkin sorumluluğunu azaltmaz. Denetçi,
yararlandığı çalışmalara raporunda referans verebilir ve bu hususların
güncel durumunu değerlendirerek rapora konu eder.
(3) Denetçi, denetim çalışmasında, denetlenenin iç
sistemlerinin yeterliliği ve bağımsızlığı hakkındaki kanaatine bağlı
olarak, denetlenenin iç denetim ve iç kontrol faaliyetlerini göz önünde
bulundurarak mümkün olduğunca tekrardan kaçınmaya özen gösterir.
(4) Bilgi Sistemleri Bağımsız Başdenetçisi, başka
taraflarca gerçekleştirilen çalışmalardan hangi detay seviyesinde
yararlanılabileceğinin tespiti için asgari olarak;
a) Çalışmanın kapsamının uygunluğu ve denetim
programının yeterliliğini,
b) İncelenen kontrollerin yapısını,
c) Çalışmayı gerçekleştiren şahısların mesleki
yeterlilik, özen, tarafsızlık ve bağımsızlığını,
ç) Çalışmanın genelini değerlendirmeye yetecek
kadarını test etmek suretiyle kalitesini,
değerlendirir.
(5) Önceki BSD’yi gerçekleştiren yetkili kuruluş ve
denetçi, denetimine esas teşkil eden her türlü bilgi ve belgeyi gizlilik
ilkesi çerçevesinde, BSD’yi yapacak yetkili kuruluş ve kişilere sağlamakla
yükümlüdür.
(6) Denetlenenin iç denetçileri ve iç kontrol
faaliyetlerinden sorumlu olanlar, kendi raporları dâhil ihtiyaç duyulan
bütün bilgileri denetçilere vermekle yükümlüdürler.
Kurum ve
yetkili kuruluşlar arası iş birliği
MADDE 36
– (1) Kurum personeli, yetkili
kuruluşların BSD sürecinin her aşamasına, bilgi ve becerilerini geliştirmek
amacıyla, denetçi bağımsızlığı ilkesini zedelemeksizin izleyici sıfatı ile
eşlik edebilir. Kurum personeli, yetkili kuruluşun bilgi birikimini şahsına
veya bir başka yetkili kuruluşa çıkar sağlamak için kullanamaz. Yetkili kuruluş,
Kurum personelinin süreçte yer alması ve bilgi birikimini artırması
bakımından gerekli katkı ve çabayı gösterir.
(2) Yetkili kuruluş birinci fıkra hükümlerinin
uygulanmasına yönelik olarak denetlenendeki denetim programını, Kurumun
talebine bağlı olarak, denetim çalışmalarının fiilen başlamasından önce
Kuruma bildirir.
Dış
hizmet sağlayıcıların denetlenmesi
MADDE 37
– (1) Denetçi, denetlenenin dış
hizmet sağlayıcı kuruluşlar ile gerçekleştirdiği hizmetlerin bilgi
sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurur,
denetimini buna göre planlar ve etkin bir denetim yaklaşımı geliştirir.
(2) Denetçi, dış hizmet sağlayıcının, sunduğu
hizmete ilişkin sahip olduğu, güncelliğini yitirmemiş denetim raporu,
sertifika gibi belgelerden 35 inci madde kapsamında faydalanabilir.
(3) Dış hizmet sağlayıcı için hazırlanan güvence
raporunun bu Yönetmelik kapsamında kullanılabilmesi/geçerli olabilmesi için
güvence raporunun;
a) Bu Yönetmelik kapsamında yetkilendirilmiş bir
BDK tarafından hazırlanmış olması,
b) Dış hizmet sağlayıcının denetlenene verdiği
hizmetlerin tamamını kapsaması,
c) Denetlenenin tabi olduğu mevzuata göre, bu
Yönetmelik kapsamında düzenlenmiş olması,
gerekmektedir.
DOKUZUNCU BÖLÜM
Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi
Raporu ve Bildirimi
BSD
raporu
MADDE 38
– (1) BSD raporu, önemlilik kavramı
da dikkate alınarak, bilgi sistemleri ve iş süreçleri üzerinde
değerlendirmelere yer verilen ve denetçinin kanaatinin net bir dille yazılı
olarak açıklandığı metindir. Denetçinin görevi, bilgi sistemleri ve iş
süreçleri üzerindeki kontroller hakkında denetim kanıtlarını toplayıp
incelemek, değerlendirmek ve bu kanıtlar üzerinde bir sonuca ulaşarak
denetim hakkında kanaat oluşturmaktır.
(2) Denetçi, BSD raporunu denetim çalışmaları
sonrasında denetimin gerçekleştirildiği döneme ait faaliyetlerin tamamını
kapsayacak şekilde düzenlemek zorundadır. Rapora ilişkin usul ve esaslar
Kurul tarafından düzenlenir.
(3) Düzenlenen BSD raporları, Kurum tarafından aksi
belirtilmedikçe, ilgili kuruluşun bağımsız denetim raporuyla birlikte
tamamlanır.
(4) BSD raporları Bankalarda, Risk Merkezi ve bilgi
alışverişi kuruluşlarında denetimden sorumlu Bilgi Sistemleri Bağımsız
Başdenetçisi ile yetkili kuruluşun BBDY’nin 3 üncü maddesinde tanımlanan
sorumlu denetçisi, diğer finansal kuruluşlarda Bilgi Sistemleri Bağımsız Başdenetçisi
tarafından imzalanır.
(5) Bankalar, Risk Merkezi ve bilgi alışverişi
kuruluşlarında yapılan denetim sonucu düzenlenen BSD raporu, yetkili
kuruluşu temsil ve ilzama yetkili olanların imzasını taşıyan bir yazı
ekinde denetlenenin yönetim kuruluna, bankalarda ayrıca denetim komitesine
ve Risk Merkezi’nde Risk Merkezi yönetimine iletilir.
(6) Diğer finansal kuruluşlarda yapılan denetim
sonucu düzenlenen BSD raporu yetkili kuruluşu temsil ve ilzama yetkili
olanların imzasını taşıyan bir yazı ekinde denetlenenin yönetim kurulu
başkanlığına iletilir.
(7) BSD raporunun içeriği gizli bilgi niteliği
taşır ve herhangi bir ortamda yayımlanmaz. Bu bilgilerin gizliliği ve
güvenliği, Kurumun, yetkili kuruluşların, BSDDHK’ların ve denetlenenin
sorumluluğundadır. Denetlenenler, denetim sonuçlarını içerecek beyanatlar
veremezler ve bu hususları reklam amaçlı kullanamazlar.
(8) BSD raporları Kurumca belirlenecek usul ve
esaslar kapsamında Kuruma raporlanır.
ONUNCU BÖLÜM
Bilgi Sistemleri Bağımsız Denetim Sicili
Sicile
kayıt
MADDE 39
– (1) Kurum tarafından BSD yapma
yetkisine sahip olan kuruluşa ve 18 inci madde kapsamında Bilgi Sistemleri
Bağımsız Başdenetçisi unvanı sahip olan denetçiye bir sicil numarası
verilir.
(2) BSD yapma yetkisinin geçici veya sürekli olarak
kaldırılması, uyarı, idari para cezası işlemleri Kurumca elektronik ortamda
tutulan sicile kaydedilir.
Sicil
bilgileri
MADDE 40
– (1) Kurumca tutulan sicilde
yetkili kuruluşların;
a) Ticaret unvanı ve ticaret sicil numarası,
b) Kurum tarafından verilen sicil numarası,
c) Merkez adresi ve varsa şube adresleri (varsa,
bünyesinde bulunduğu denetim ağı ve bu ağın hukuki ve yapısal niteliği,
ilişkili denetim kuruluşu ve diğer işletmeleri ve bu kuruluşun hukuki ve
yapısal niteliği),
ç) İnternet sitesi adresi,
d) Ortaklarının ad ve soyadları, T.C. kimlik
numaraları ve şirket sermayesindeki payları, pay oranları ve tutarları,
e) Gerçekleştirilen BSD listesi,
f) Denetçilerinin listesi ve sicil numaraları,
g) Kurumca gerekli görülen diğer bilgileri,
kaydedilerek takibi yapılır.
(2) Kurumca tutulan sicilde denetçilerin;
a) Adı soyadı, T.C. kimlik numarası,
b) Kurum tarafından verilen sicil numarası,
c) İletişim bilgileri,
ç) Ortak olduğu veya istihdam edildiği denetim kuruluşuna
ait ticaret unvanı, ticaret sicil numarası, varsa internet sitesi adresi ve
iletişim bilgileri,
d) Sorumlu Bilgi Sistemleri Başdenetçisi olarak
gerçekleştirdiği BSD’leri,
e) Kurumca gerekli görülen diğer bilgileri,
kaydedilerek takibi yapılır.
(3) Kurum sicile kaydedilen denetçi ya da yetkili
kuruluşa ilişkin bilgilerin uygun gördüklerini Kurum internet sayfasında
yayımlamaya yetkilidir.
ON BİRİNCİ BÖLÜM
Çeşitli ve Son Hükümler
Denetçilerin
denetlenenler bünyesinde görev almaları
MADDE 41
– (1) Bilgi Sistemleri Bağımsız
Başdenetçileri, son iki yıl içinde denetim sürecine katıldıkları denetlenenlerde
ve bağlı ortaklıklarında görev alamazlar.
Yönetmelikte
hüküm bulunmayan haller
MADDE 42
– (1) Bu Yönetmelikte hüküm
bulunmayan hallerde Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu
tarafından yayımlanan;
a) BDS 300 Finansal Tabloların Bağımsız Denetiminin
Planlanması Standardının, denetim stratejisi ve denetim planı,
b) BDS 402 Hizmet Kuruluşu Kullanan Bir İşletmenin
Bağımsız Denetiminde Dikkate Alınacak Hususlar Standardının, dış hizmet
sağlayıcıların denetlenmesi,
c) BDS 500 Bağımsız Denetim Kanıtları Standardının,
denetim kanıtı,
ç) BDS 530 Bağımsız Denetimde Örnekleme
Standardının, denetim örneklemesi,
ile ilgili paragrafları bilgi sistemleri bağımsız
denetimine kıyasen uygulanır.
Yürürlükten
kaldırılan yönetmelik
MADDE 43
– (1) 13/1/2010 tarihli ve 27461
sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca
Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi
Hakkında Yönetmelik yürürlükten kaldırılmıştır.
(2) Birinci fıkra ile yürürlükten kaldırılan
Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri
ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğe yapılan atıflar bu
Yönetmeliğe yapılmış sayılır.
Yürürlük
MADDE 44
– (1) Bu Yönetmelik yayımı
tarihinde yürürlüğe girer.
Yürütme
MADDE 45
– (1) Bu Yönetmelik hükümlerini
Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
Ekleri için tıklayınız.
|