5 Kasım 2007 PAZARTESİ

Resmî Gazete

Sayı : 26691

TEBLİĞ

Bankacılık Düzenleme ve Denetleme Kurumundan:

BANKALARDA BAĞIMSIZ DENETİM KURULUŞLARINCA

GERÇEKLEŞTİRİLECEK BİLGİ SİSTEMLERİ

DENETİMİNE İLİŞKİN RAPOR FORMATI

HAKKINDA TEBLİĞDE DEĞİŞİKLİK

YAPILMASINA DAİR TEBLİĞ

 

             MADDE 1 – 5/12/2006 tarihli ve 26367 sayılı Resmî Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ’in 5 inci maddesi aşağıdaki şekilde değiştirilmiştir.

             "MADDE 5 – (1) Bir kontrolün tasarımının etkin olarak kabul edilebilmesi için, bu Tebliğ’in 6 ncı maddesinde tanımlanan "tasarımdaki kontrol eksikliği"nin bu kontrol bünyesinde bulunmaması veya bulunsa dahi önemli kontrol eksikliğine sebebiyet vermemesi gerekir.

             (2) Bir kontrolün işletiminin etkin olarak kabul edilebilmesi için, bu Tebliğ’in 6 ncı maddesinde tanımlanan "işletimdeki kontrol eksikliği"nin bu kontrol bünyesinde bulunmaması veya bulunsa dahi önemli kontrol eksikliğine sebebiyet vermemesi gerekir.

             (3) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontrollerin etkin ve yeterli olduğuna dair görüş verilebilmesi için, bu kapsama giren ve önemlilik ilkesi çerçevesinde denetime tabi tutulan tüm kontrollerin, tasarım ve işletiminin etkinliğinin test edilmesi gerekir.

             (4) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontrollerin yeterli olması,

             a) Önemlilik ilkesi çerçevesinde denetime tabi tutulan tüm kontrollerin tasarımlarının etkin olduğunu,

             b) Bu kontrollerin; iş hedefleri, Kanun ve bu Kanuna istinaden yayımlanan alt düzenlemeler ve talimatlar çerçevesinde kendilerinden beklenen sonucu üretebilecek ve maruz kalınabilecek riskleri telafi edebilecek şekilde tasarlandıklarını

             ifade eder.

             (5) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontrollerin etkin olması,

             a) Önemlilik ilkesi çerçevesinde denetime tabi tutulan tüm kontrollerin işletimlerinin etkin olduğunu,

             b) Bu kontrollerin, kendilerinden beklenen işlevleri ve kontrol hedeflerini layıkıyla yerine getirdiklerini

             ifade eder.

             (6) Denetçi, tasarım ve işletim etkinliğini test edeceği kontrollerin kapsamını, önemlilik ilkesini gözeterek ve test edeceği kontrol kümesinin bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontrollerin bütününün yeterliliği ve etkinliği hakkında kendisine makul bir güvence sağlayacağı şekilde belirler."

             MADDE 2 – Aynı Tebliğin 6 ncı maddesine aşağıdaki fıkralar eklenmiştir.

             "(3) Denetçi, denetim çalışmasının sonunda, tespit ettiği her bir kontrol zayıflığını ayrı ayrı inceler ve bu zayıflıkları hem tek başlarına, hem de birlikte oluşturacakları farklı kombinasyonlarla değerlendirerek bunların kayda değer kontrol eksikliği veya önemli kontrol eksikliği olarak sınıflandırılmasını nitel ve nicel yöntemler kullanarak gerçekleştirir."

             "(4) Denetçi, kontrol zayıflıklarını değerlendirirken temel olarak; bu zayıflıkların birlikte veya ayrı ayrı bulunması suretiyle;

             a) Finansal tablolar veya verilerde önemli bir yanlış beyana neden olup olmadığını ve

             b) Sebep olabileceği yanlışlıkların önemini

             göz önünde bulundurur."

             "(5) Denetçi, denetim esnasında aşağıdaki alanlardan herhangi birinde kontrol zayıflığı ile karşılaşması durumunda bunları en azından kayda değer kontrol eksikliği olarak kabul eder:

             a) Türkiye Muhasebe Standartlarının uygulanmasına ilişkin politikalar,

             b) Kanun ve bu Kanuna istinaden yayımlanan alt düzenlemeler ve talimatların gereğinin yerine getirilmesine ilişkin kontroller,

             c) Sahteciliği önleyen kontroller veya programlar,

             ç) Rutin veya sistematik olmayan işlemler ve

             d) Yılsonu finansal raporlama süreci."

             "(6) Denetçi aşağıdaki durumlardan herhangi biriyle karşılaşması halinde bunları en azından kayda değer kontrol eksikliği olarak kabul eder ve önemli kontrol eksikliğine güçlü birer işaret olarak algılar:

             a) Hata veya sahtecilik nedeniyle, denetlenenin varlık ve yükümlülüklerinin farklı şekilde yansıtılarak mevzuatta tanımlanan ve yasal yükümlülükler bakımından denetlenen ile ilgili alınması gereken kararları veya sağlıklı bir finansal değerlendirme yapılmasını etkileyecek şekilde, önceden yayımlanmış olan finansal tablolar üzerinde düzeltmeler yapılması,

             b) Cari döneme ait finansal tablolarda veya verilerde denetlenenin iç kontrol birimlerince önceden fark edilmemiş olan önemli bir yanlış beyanın denetim esnasında denetçi tarafından tespiti,

             c) Denetlenenin farklı birimlerinden aynı hususa ilişkin olarak gelen bilgi, belge ve veriler arasında tutarsızlık olduğunun tespit edilmesi,

             ç) Denetlenenin yönetimi tarafından denetim öncesi denetçiye verilen beyanlarda kasıt içermese dahi önemli bir yanlış beyanın denetim esnasında tespit edilmesi,

             d) Denetlenenin profili dikkate alınarak iç denetim ve risk yönetim fonksiyonlarının etkin bir iç kontrol ortamının tesis edilmesi için gerekli olduğunun düşünüldüğü durumlarda, bilgi sistemlerine yönelik söz konusu fonksiyonların bulunmaması veya etkin olmaması,

             e) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler kapsamında mevzuata uyum kontrolünü sağlayacak bir birimin/fonksiyonun bulunmaması veya etkin olmaması,

             f) Yönetici veya yöneticilerin dahil olduğu küçük dahi olsa bir sahteciliğin tespit edilmesi,

             g) Yöneticilere iletilmiş olan kayda değer bir kontrol eksikliğinin makul bir süre geçmesine rağmen hala düzeltilmemiş olması ve

             ğ) Etkin bir iç kontrol ortamının tesis edilmemiş olması."

             MADDE 3 – Aynı Tebliğin 13 üncü maddesi aşağıdaki şekilde değiştirilmiştir.

             "MADDE 13 – (1) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimi raporunu imzalamaya yetkili kişiler, yapılan denetim sonucunda herhangi bir önemli kontrol eksikliğinin bulunmaması ve denetim kapsamında herhangi bir kısıtlama ya da engelleme ile karşılaşılmaması durumunda, kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, ek-5’te yer alan örneğe uygun olarak olumlu görüş bildirirler.

             (2) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimi raporunu imzalamaya yetkili kişiler, kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak;

             a) Yapılan bilgi sistemleri denetimi sonucunda en az bir önemli kontrol eksikliğiyle karşılaşmalarına rağmen, bu eksikliklerin denetlenenin bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerinin bütününü veya büyük bir kısmını etkilemediğini düşündükleri durumda veya,

             b) Görüş bildirmekten kaçınmayı gerektirecek önemde olmamakla birlikte, bilgi sistemleri denetim faaliyetlerini sınırlayan herhangi bir hususun varlığı veya yeni tesis edilmiş bir sistem veya süreç hakkında yeterince bilgi edinememeleri durumunda

             ek-6’da yer alan örneğe uygun olarak şartlı görüş bildirirler.

             (3) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimi raporunu imzalamaya yetkili kişiler, yapılan bilgi sistemleri denetimi sonucunda denetlenenin bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerinin bütününü veya büyük bir kısmını etkileyen en az bir önemli kontrol eksikliğiyle karşılaşmaları durumunda, kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, ek-7’de yer alan örneğe uygun olarak olumsuz görüş bildirirler.

             (4) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimi raporunu imzalamaya yetkili kişiler, bağımsız denetim çalışmalarında karşılaşılan belirsizlik ve sınırlamaların görüş belirtilmesini engelleyecek derecede önemli olduğunu düşündükleri durumlarda, kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontroller hakkında görüş bildirmekten kaçınabilirler. Bu durumda denetim mektubu ek-8’de yer alan örneğe uygun olarak düzenlenir. Görüş bildirmekten kaçınma durumunda düzenlenecek raporda, kaçınmaya yol açan nedenlere ilişkin denetçi görüşlerine yer verilmesi şarttır.

             (5) Bankalarda ve konsolidasyona tabi ortaklıklarında gerçekleştirilen bilgi sistemleri denetimi sonucunda bu Tebliğin 5 inci ve 6 ncı maddelerinde belirtilen hükümler ile bu maddede belirtilen görüş çeşitleri çerçevesinde; olumlu, şartlı veya olumsuz görüşe varılması hallerinde, sırasıyla ek-9, ek-10, ek-11 de yer alan örneklere uygun olarak denetim mektubu düzenlenir. Görüş bildirmekten kaçınmayı gerektirecek şartların varlığı halinde ise, denetim mektubu ek-12’de yer alan örneğe uygun olarak düzenlenir.

             (6) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontroller, kontrol hedeflerinin gerçekleştirilmesine dair mutlak bir güvence veremezler. Söz konusu kontroller, içinde insan faktörünü ve insan muhakemesini barındırdığından hatalara açıktır. Kontrollerin doğasında bulunan bu gibi kısıtlar dolayısıyla bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerinde kontrol zayıflıkları bulunabilir ve zamanında tespit edilemeyebilir. Bu hususlar iç kontroller için doğal kısıtlar olarak kabul edilmekle birlikte, iç kontrolleri etkin bir şekilde tasarlayarak ve işleterek bu riskleri azaltmak mümkündür."

             MADDE 4 – Aynı Tebliğe ek-5, ek-6, ek-7, ek-8, ek-9, ek-10, ek-11 ve ek-12 ekte verildiği şekillerde eklenmiştir.

             MADDE 5 – Bu Tebliğ yayımı tarihinde yürürlüğe girer.

             MADDE 6 – Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.

 

Ekleri İçin Tıklayınız