Yazan: Mustafa Kocameşe
3568 Sayılı Kanun kapsamında yapılan önemli bir düzenleme TURMOB (Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği ) tarafından yayımlanan “Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik”tir. TURMOB Etik İlkeler Yönetmeliği IFAC tarafından yayımlanan Uluslararası Denetim Standartları ve Etik Kurallar ile uyumlu olarak hazırlanmıştır.
Bu Yönetmeliğin amacı; tüm üyeleri en üst derecede meslekî bilgiye sahip, sosyal sorumluluk bilinci olan, etik değerlere bağlı, rekabet anlayışı daha kaliteli hizmet sunumu biçiminde oluşmuş, güvenilir ve saygın bir meslek mensupları kitlesi oluşturmak hedefine ulaşmak için muhasebe meslek mensuplarının meslekî ilişkilerinde uymaları gereken asgari etik ilkeleri belirlemektir. 3568 sayılı Serbest Muhasebecilik, Serbest Muhasebeci Malî Müşavirlik ve Yeminli Malî Müşavirlik Kanununa göre bir meslek unvanına sahip olan, bağımsız veya bağımlı olarak çalışan tüm meslek mensupları ile bunların oluşturduğu şirketlerin faaliyetleri bu Yönetmelik kapsamındadır.
Yönetmelikte yer alan ve tüm meslek mensuplarının uyması gereken zorunlu temel etik ilkeler şunlardır:
a) Dürüstlük: Meslek mensuplarının tüm meslekî ve is ilişkilerinde doğru sözlü ve dürüst davranmalarıdır.
b) Tarafsızlık: Yanlı veya önyargılı davranarak; üçüncü kişilerin haksız ve uygunsuz biçimde yaptıkları baskıların meslek mensuplarının meslekî kararlarını etkilememesi veya engellememesidir.
c) Meslekî Yeterlilik ve Özen: Meslek mensubunun meslekî faaliyetlerini yerine getirirken teknik ve meslekî standartlara uygun olarak, özen ve gayret içinde davranmasıdır.
ç) Gizlilik: Meslek mensubunun meslekî ilişkileri sonucunda elde ettiği bilgileri açıklamasını gerektirecek bir hak veya görevi olmadıkça üçüncü kişi veya gruplara açıklamaması ve bu bilgilerin meslek mensubunun veya üçüncü kişilerin çıkarları için kullanılmamasıdır.
d) Meslekî Davranış: Meslek mensubunun mevcut yasa ve yönetmeliklere uymasını ve mesleğin itibarını zedeleyecek her türlü davranıştan kaçınmasını ifade etmektedir.
Temel etik ilkelerine yönelik çok sayıda tehdit oluşabilir. Etik ilkelerin uygulanmasına yönelik Yönetmelikte sıralanan tehditler IFAC tarafından yayımlanan Etik Kurallarda belirtilenlerle paraleldir. Bu tehditler yönetmeliğin Birinci Kısım Birinci Bölüm 3. maddesinde aşağıdaki gibi sınıflandırılmıştır.
a) Kişisel Çıkar Tehditleri: Meslek mensubunun kendisinin veya yakın ailesinden bir üyenin finansal veya diğer çıkarları sonucu ortaya çıkabilecek tehditlerdir.
b) Yeniden Değerlendirme Tehditleri: Daha önceden alınmış bir kararın o karardan sorumlu meslek mensubu tarafından yeniden değerlendirilmesi nedeniyle oluşan tehditlerdir.
c) Taraf Tutma Tehditleri: Meslek mensubunun bir durum ya da fikri, tarafsızlığını tehlikeye düşürecek bir noktaya taşıması sonucu oluşan tehditlerdir.
ç) Yakınlık Tehditleri: Üçüncü kişilerle kurulan yakın ilişkiler sonucu, meslek mensubunun bu kişilerin çıkarlarına uygun olacak şekilde davranması sonucu ortaya çıkabilecek tehditlerdir.
d) Yıldırma Amaçlı Tehditler: Meslek mensubunun gerçek veya hissedilen tehditler nedeniyle tarafsız davranmaktan kaçınmaya zorlanması (yıldırılması) sonucu ortaya çıkabilecek tehditlerdir.
IFAC Etik Kurallarda yer verilen bağımsızlığı koruyucu önlemlere paralel olarak TURMOB tarafından yayımlanan yönetmeliğin Birinci Kısım Birinci Bölüm 4. maddesinde Tehditlere Karsı Önlemler başlığı altında tehditleri ortadan kaldıran veya kabul edilebilir bir düzeye indiren önlemler iki büyük gruba ayrılmıştır:
a) Mevzuat ile oluşturulabilecek önlemler: Bu önlemlere verilebilecek örnekler aşağıda belirtilmiştir:
1) Mesleğe giriş için gerekli eğitim, meslekî eğitim (staj) ve tecrübe gereksinimleri,
2) Sürekli meslekî gelişim gereksinimleri,
3) Kurumsal yönetim gereksinimleri,
4) Meslekî standartlar,
5) Meslekî veya düzenleyici izleme ve disiplin prosedürleri,
6) Meslek mensubu tarafından üretilen rapor, sonuç, iletişim ve bilgilerin yasal yetkili üçüncü bir kurum tarafından dış kontrolden geçirilmesi.
Yönetmeliğin İkinci Kısmında söz konusu tehditler ve bağımsız çalışan meslek mensuplarının karşılaşabilecekleri özellikli durumlarda uygulanacak ilkelere ilişkin ayrıntılı açıklamalar yapılmıştır.
b) İş çevresinden sağlanacak önlemler: İş çevresinden sağlanabilecek önlemler farklı koşul veya durumlara göre çeşitlilik gösterir. Bu tür önlemler firmaya veya sözleşmeye bağlı olarak oluşturulabilir. Meslek mensubu belirli bir tehditle nasıl basa çıkacağına karar vermelidir. Bu kararın verilmesinde meslek mensubu ortaya çıkabilecek tehdit hakkında gerekli tüm bilgilere sahip olan üçüncü kişi ya da grupların, verilen kararları nasıl değerlendireceğini de dikkate almalıdır. Bu değerlendirme; tehdidin önem derecesi, sözleşmenin niteliği ve firmanın yapısı gibi faktörlerden etkilenecektir.
İş çevresinden sağlanabilecek önlemler üç ana başlık altında toplanmıştır:
1. İş çevresinde firma çapında alınabilecek önlemler
2. İş çevresindeki sözleşmeye özgü önlemler
3. Müşterinin sistem ve süreçlerindeki önlemler
Görüldüğü üzere TURMOB tarafından hazırlanarak yayımlanan Serbest Muhasebeciler, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerin Mesleki Faaliyetlerinde Uyacakları Etik İlkeler Hakkında Yönetmelik IFAC tarafından hazırlanan ve uluslararası alanda kabul gören Etik Kurallar ile uyumludur. Getirilen ilke ve düzenlemeler ülkemizde muhasebecilik ve denetim mesleği ile ilgili standartların Avrupa Birliği ve Uluslararası düzenlemeler ile yakınsaması açısından olumlu olacağı açıktır.
17 Mart 2010 Çarşamba
12 Mart 2010 Cuma
SATINALMA FAALİYETİ VE DENETİMİ
Yazan: Mustafa Kocameşe
Satınalmanın Önemi
Bir şirketin başarısı için önemli etkenler olan maliyet, kalite ve zamanlama konuları satınalma fonksiyonuyla ilgilidir. Satınalmanın işletme başarısına etkisi aşağıdaki faktörlere bağlıdır:
- Tedarik sürecinin entegrasyon seviyesi,
- Satınalma faaliyetinde belirlenen amaçlar ve hedefler
Satınalma faaliyeti değerlendirilirken faaliyetten beklenen amaçlar ele alınır. Amaçlara farklı açılardan bakılabilir.
- Maliyet azaltma,
- Performans artırımı,
- Faaliyetlerin sürekliliği
Satınalmadan beklenebilecek stratejik amaçlar ise şunlar olabilir:
- Kalite,
- Tedarik güvenliği,
- Esneklik,
Tüm bu amaçlar şu şekilde gruplandırılabilir.
- Maliyetleri düşürme, (fiyatlar, süreç maliyetleri vb.)
- Farklilaştırma, (kalite ve hizmet geliştirme)
- Tedarik güvenliğinin sağlanlası.
Satınalma Denetiminde Temel Noktalar:
1. Satınalma denetimi hem stratejik hem de operasyonel seviyede ele alınarak yürütülebilir.
2. Satınalma denetimleri sırasında muhakkak suretle yolsuzlukların ortaya çıkartılmasına ve önlenmesine yönelik de çalışmalar yapılmalıdır.
3. Tedarikçi seçimi satınalma sürecinin ve denetiminin anahtar noktasıdır. Tedarikçi seçiminin nasıl yapıldığının takip edilmesini sağlayacak uygun dökümantasyonun yapılması gerekir.
Satınalmanın Önemi
Bir şirketin başarısı için önemli etkenler olan maliyet, kalite ve zamanlama konuları satınalma fonksiyonuyla ilgilidir. Satınalmanın işletme başarısına etkisi aşağıdaki faktörlere bağlıdır:
- Tedarik sürecinin entegrasyon seviyesi,
- Satınalma faaliyetinde belirlenen amaçlar ve hedefler
Satınalma faaliyeti değerlendirilirken faaliyetten beklenen amaçlar ele alınır. Amaçlara farklı açılardan bakılabilir.
- Maliyet azaltma,
- Performans artırımı,
- Faaliyetlerin sürekliliği
Satınalmadan beklenebilecek stratejik amaçlar ise şunlar olabilir:
- Kalite,
- Tedarik güvenliği,
- Esneklik,
Tüm bu amaçlar şu şekilde gruplandırılabilir.
- Maliyetleri düşürme, (fiyatlar, süreç maliyetleri vb.)
- Farklilaştırma, (kalite ve hizmet geliştirme)
- Tedarik güvenliğinin sağlanlası.
Satınalma Denetiminde Temel Noktalar:
1. Satınalma denetimi hem stratejik hem de operasyonel seviyede ele alınarak yürütülebilir.
2. Satınalma denetimleri sırasında muhakkak suretle yolsuzlukların ortaya çıkartılmasına ve önlenmesine yönelik de çalışmalar yapılmalıdır.
3. Tedarikçi seçimi satınalma sürecinin ve denetiminin anahtar noktasıdır. Tedarikçi seçiminin nasıl yapıldığının takip edilmesini sağlayacak uygun dökümantasyonun yapılması gerekir.
4 Mart 2010 Perşembe
İÇ DENETİMİN KURUMSAL YÖNETİM (GOVERNANCE) KONUSUNDA GÖREVLERİ
Yazan: Mustafa KOCAMEŞE
Kurumsal Yönetim Süreci ve Etik Değerler
Kurumsal yönetim süreci aşağıdaki dört sorumluluğun ne şekilde yerine getirildiğiyle ilgilidir.
a) Kanunlara uyum,
b) genel kabul görmüş norm ve sosyal beklentilere uygunluk,
c) topluma ve belirli menfaat sahiplerine sağlanan faydalar,
d) hesap verebilirliği sağlayacak derecede doğru ve tam raporlama.
Kurumsal yönetim süreci organizasyonun etik kültürünü yansıtır ve büyük ölçüde bu kültürden kaynağını alır. Organizasyondaki tüm bireyler etik değerleri savunmalı, yönetmelikler ve vizyonu belirten açıklamalar yayımlanmalıdır. Bir etik değerler yöneticisi görevlendirilmesi mümkündür.
Denetçiler ve IAA bu etik kültürü aktif olarak desteklemelidir. IIA’nın görevleri, etik ilkeler yöneticiliği veya etik kültürü değerlendirme şeklinde olabilir.
IAA’nın minimum üstleneceği rol etik ilkeler ile yasal ve etik uygunluğu sağlayacak süreçlerin değerlendirilmesidir.
Resmi Danışmanlık Görevleriyle İlgili Diğer Hususlar
Danışmanlık görevlerinde gerekli mesleki özenin gösterilmesi (due Professional care) şu unsurların anlaşılmasını içerir.
a) yönetimin ihtiyaçları, b) hizmetin verilme amacı, c) çalışmanın kapsamı, d) gerekli kaynaklar, e) denetim planlarına etkisi, f) ilerideki denetimlere etkisi, g) danışmanlık görevinin sağlayacağı faydalar.
Denetçi vereceği danışmanlık hizmetinin kapsamını ve niteliğini değerlendirmelidir. Denetçi danışmanlık hizmetinden faydalananların ilgili prosedürleri kabul ettiğini teyit etmelidir. Şu durumlarda danışmanlık hizmetinin verilmesi kabul edilmemelidir:
a) Yönetmelik tarafından yasaklanıyorsa
b) Politikalarla çelişiyorsa
c) Herhangi bir katma değer/fayda yaratmıyorsa
Danışmanlık görevi IAA’nın genel planlarıyla uyumlu olmalıdır. Anahtar öneme sahip konular üzerinde yazılı anlaşma yapılmalıdır.
Gözden Geçirme Süreci (Monitoring Process)
CAE (chief audit executive) raporlanan bulguların sonuçlarını izlemek üzere prosedürler oluşturmalıdır. Acil olarak değerlendirilmesi gereken bulgular düzeltilene kadar izlenmelidir. Bulgular ve öneriler uygun düzeydeki yöneticilere iletilmelidir. Yönetimin cevapları uygun bir sürede alınmalı ve değerlendirilmelidir. Yönetim peryodik olarak bilgilendirme yapmalıdır. Düzeltilecek süreçlerle ilgili varsa diğer birimlerden de bilgiler alınmalı ve değerlendirilmelidir. Gönderilen cevapların durumu üst yönetim ve yönetim kurulu ile paylaşılmalıdır.
Sonuçların İzlenmesi
Denetçiler aşağıdaki hususları göz önüne alarak denetim bulgularını izlerler:
a) Etkili bir düzeltme faaliyeti/önlemi alınmıştır.
b) Üst yönetim veya yönetim kurulu düzeltici önlem almamanın riskini üstlenmiştir.
Sonuçların izlenmesi diğer denetçilerinkiler de dahil olmak üzere raporlanan gözlem ve önerileri kapsar. Sonuçların izlenme süreci iç denetim yönetmeliğinde belirlenmelidir. CAE izlemenin kapsam, zamanlama ve niteliğini belirler. Eğer alınan mevcut tedbirler tatmin ediciyse izleme süreci sonraki denetime bırakılabilir. Denetçi alınan tedbirlerin koşulları iyileştirdiğini teyit etmelidir. CAE izleme sürecini bir çalışma takvimi haline getirir. Takvime bağlama risk, zorluk ve zamanlama konularıyla ilişkilidir. Denetçi danışmanlık faaliyetlerinin sonuçlarını müşteriyle anlaşılan şartlarda takip eder.
Yönetimin Riskleri ÜstlenmesiYönetim, denetimin bulgularına karşı geliştirilecek aksiyona karar verir. CAE alınan aksiyonun uygunluğunu belirli bir zaman içerisinde çözüm üretilmesi açısından değerlendirmelidir. Sonuçların izlenmesinin kapsamı diğer kişiler tarafından yapılan izlemeyi de kapsar. Üst yönetimin risklerin düzeltilmemesi konusundaki tavrı yönetim kuruluna raporlanmalıdır.
3 Şubat 2010 Çarşamba
İSTATİSTİK ÖRNEKLEME REHBERİ
How to Use Statistical Sampling? – The AuditNet Monograf Series / AuditNet 2003)
Çeviren : Mustafa KOCAMEŞE
İstatistik Örneklemenin Avantajları
Etkili bir örnekleme yöntemi objektiflikten fazlasını gerektirir. Örnek büyüklüğünün belirlenmesi ve sonuçların değerlendirilmesi matematiksel olarak yapılmalıdır. Bu tarz bir örnekleme olasılık teorisinin kuralları çerçevesinde yürütülür. İstatistik örnekleme yapıldığında belirlenmiş bir hata ihtimali dahilinde sonuçların anakütleye genelleştirmasi yapılabilir. İstatistik örnekleme kullanıcılara şu avantajları sağlar:
1. Sonuçlar objektif ve savunulabilirdir. İradi örneklemede karşılaşılabilecek önyargı iddiaları burada söz konusu olmaz.
2. Bu yöntemde ihtiyaç duyulan maksimum örnek büyüklüğü önceden bilinir. Belirlenen risk derecesine göre gerekli olan güvenilirlik derecesi ve buna bağlı olarak ortaya çıkacak zaman ve maliyet unsurlarının savunulması mümkün olur.
3. Örneğin anakütleyi temsil edememesi riski belirlenebilir. Bu sapmaların sınırları örneğin standart sapmasına göre belirlenir.
4. İstatistik örnekleme anakütledeki bütün birimlerin incelenmesinden daha doğru sonuçlar verebilir. Özellikle aşırı miktarda verini olduğu durumlarda dikkat dağılması ve bıkkınlık sebebiyle gözden kaçırılan unsurlar olabilir.
5. İstatistik örnekleme zaman ve para tasarrufu sağlar. Genellikle istatistik yollarla seçilen örnek sayısı sabit bir yüzde ile yapılan örneklemedekinden daha azdır. Ayrıca bir örneklem üzerinden anakütleye ait değişik özelliklere ait testler yapılabilir.
6. Test sonuçlarının değerlendirmesi objektif olarak yapılabilir. Sonuçlar belirli bir güvenilirlik derecesi ile anakütleye genelleştirlir.
7. Veriler farklı kullanıcılar tarafından da toplanıp değerlendirilebilir.
Örnekleme Planı ve Seçim Tekniği
Anakütlenin dosyalanma şekli ve dağılımı uygulanacak seçim tekniğini belirler. Uygulana spesifik plan ve seçim tekniği ayrıntılarıyla belgelendirilmelidir.
Örnekleme yaklaşımları (planları) özetle aşağıdaki gibi sıralanabilir:
1. Tahmin Örneklemesi (Estimate Sampling) :
En çok kullanılan yaklaşımdır. İki türü vardır:
o Nitelik Örneklemesi (Attributes Sampling): Sorulması gereken soru “kaç adet” olduğunda kullanılmalıdır. Bir anakütlenin özelliklerini veya “niteliğini”belirlemekte kullanılır. Sonuçlar “tanımlanan olay”ın ortaya çıkma yüzdesini verir. Her bir gözlem sadece bir kategoriye girebilir.
Adım Adım Örnekleme (Stop Go Sampling) : Nitelik örneklemesinin bir türüdür. Bir nitelik örneklemesinde üst kesinlik sınırını belirlemekte kullanılır.Belirlenen amaca klasik nitelik örneklemesine göre daha küçük bir örnek büyüklüğü ile ulaşmaya imkan verir.
o Değişken Örneklemesi (Variables Sampling) : “Ne kadar” sorusunun cevabını bulmak için kullanılır. Parasal değerlerden oluşan anakütlelerde uygulanabilir. Bu örnekleme ile bir anakütlenin ortalama veya toplam değerine ilişkin tahminlerde bulunulabilir.
2. Kabul Örneklemesi (Acceptance Sampling) :
Belirli bir sayıda örneğin rastlantısal olarak seçilip örnek içinde belirli sayıda hataya rastlanmazsa anakütlenin kabul edildiği örneklemedir. Bu tpi örneklemede sadece kabul veya red kararı verilir.
3. Keşif Örneklemesi ( Discovery Sampling) :
Bir tek hata veya düzensizliğe rastlandığında dahi geniş bir inceleme yapılacaksa bu örnekleme yöntemi kullanılır. Hile, İç kontrollerin işletilmemesi, kritik düzenlemelerin ihlali veya kalite kontrol ölçülerinin söz konusu olduğu durumlarda kullanılır.
4. Parasal Birim Örneklemesi ( Dolar Unit Sampling ) :
İstatistik bir sonuca ulaşmak için nitelik ve değişken örneklemesi yöntemlerini birleştirir. Değişken ve nitelik örneklemesine aynı anda uygulanabilir. Diğer örnekleme yöntemlerinden farkı örneklerin fiziksel bir birim yerine her para birimi olarak alınmasıdır. Prosedürler örnekleme sonucu bulunan para biriminin yer aldığı tutarlarda yapılır.
5. İradi Örnekleme ( Judgment Sampling) :
Uygulayıcının istatistik yöntemler yerine örnek büyüklüğünü ve seçilecek birimleri kendi iradesine göre belirlediği yöntemdir. İradi örnekleme uygulanmadan önce istatistik veya iradi yöntemden hangisinin daha faydalı olacağını belirleyebilecek bir örnekleme bilgisine sahip olunması gerekmektedir. Burada önemli olan nokta iradi örneklemenin kullanılması halinde anakütlenin tamamı hakkında bir genellemeye varılamayacağının akılda bulundurulması gerektiğidir. Bu ancak yukarıda sayılan diğer yöntemlerde mümkündür.
En çok kullanılan örnek seçim teknikleri şu şekilde özetlenebilir:
1. Sınırlanmamış Rastsal Örnekleme ( Unrestricted Random Sampling ) : Anakütledeki bütün birimlerim eşit seçilme şansı vardır. En sık kullanılan yöntemdir.
2. Aralık Örneklemesi ( Interval Sampling ) : Belirli bir aralık saptandıktan sonra rasgele bir birimden başlamak üzere aralarında bu kadar bir aralık olan birimlerin seçilmesidir.
3. Katmanlı Örnekleme ( Stratified Sampling ) : Anakütledeki birimler iki veya daha fazla sınıfa veya katmana ayrılır. Her bir katmandan ayrı örnekleme yapılır. Sonuçlar koşullara göre bir araya getirilerek veya ayrı ayrı değerlendirilir.
4. Küme Örneklemesi ( Cluster Sampling) : Anakütle birimleri gruplar veya kümeler haline getirilir. Daha sonra seçilen kümelerde yer alan birimler örnek alınarak veya tamamen test edilir.
5. Çok Aşamalı Örnekleme ( Multistage Sampling) : Çok çeşitli düzeylerde örnekleme ile ilgilidir. Örneğin uygulayıcı değişik bölgelerden örnekler alır ve daha sonra bunlar arasından yeniden bir örnekleme yapabilir.
Sonuçların Değerlendirilmesi
Ne tür bir örnekleme planı veya tekniği kullanılırsa kullanılsın sonuçların yorumlanabilmesi gereklidir. Eğer uygulanan testler istatistik ölçümlemelere dayanıyorsa başlangıçta örnek büyüklüğünü belirlemede dayanak noktası olarak kullanılan unsurların yeniden değerlenmesine yönelik istatistiksel yöntemler mevcuttur. Uygulayıcılar aşağıda sıralanan kuralların sonuçları değerlendirmede daha anlamlı olacağını akıllarında bulundurmalıdırlar.
1. Test edilen her bir özellik ayrı olarak değerlendirmeye tabi tutulmalıdır. Her bir özellik ayrı ve bağımsız bir örneği temsil eder.
2. Kabul edilebilir hata oranı uygulayıcının mevcut koşulları iyice anladıktan sonra varacağı yargıya dayanmalıdır.
3. Test sonuçları önemli konular ortaya koyduğunda testi uygulayan kişi yaptığı örneklemeye yeni bir açıdan bakmaya hazır olmalıdır.
Çeviren : Mustafa KOCAMEŞE
İstatistik Örneklemenin Avantajları
Etkili bir örnekleme yöntemi objektiflikten fazlasını gerektirir. Örnek büyüklüğünün belirlenmesi ve sonuçların değerlendirilmesi matematiksel olarak yapılmalıdır. Bu tarz bir örnekleme olasılık teorisinin kuralları çerçevesinde yürütülür. İstatistik örnekleme yapıldığında belirlenmiş bir hata ihtimali dahilinde sonuçların anakütleye genelleştirmasi yapılabilir. İstatistik örnekleme kullanıcılara şu avantajları sağlar:
1. Sonuçlar objektif ve savunulabilirdir. İradi örneklemede karşılaşılabilecek önyargı iddiaları burada söz konusu olmaz.
2. Bu yöntemde ihtiyaç duyulan maksimum örnek büyüklüğü önceden bilinir. Belirlenen risk derecesine göre gerekli olan güvenilirlik derecesi ve buna bağlı olarak ortaya çıkacak zaman ve maliyet unsurlarının savunulması mümkün olur.
3. Örneğin anakütleyi temsil edememesi riski belirlenebilir. Bu sapmaların sınırları örneğin standart sapmasına göre belirlenir.
4. İstatistik örnekleme anakütledeki bütün birimlerin incelenmesinden daha doğru sonuçlar verebilir. Özellikle aşırı miktarda verini olduğu durumlarda dikkat dağılması ve bıkkınlık sebebiyle gözden kaçırılan unsurlar olabilir.
5. İstatistik örnekleme zaman ve para tasarrufu sağlar. Genellikle istatistik yollarla seçilen örnek sayısı sabit bir yüzde ile yapılan örneklemedekinden daha azdır. Ayrıca bir örneklem üzerinden anakütleye ait değişik özelliklere ait testler yapılabilir.
6. Test sonuçlarının değerlendirmesi objektif olarak yapılabilir. Sonuçlar belirli bir güvenilirlik derecesi ile anakütleye genelleştirlir.
7. Veriler farklı kullanıcılar tarafından da toplanıp değerlendirilebilir.
Örnekleme Planı ve Seçim Tekniği
Anakütlenin dosyalanma şekli ve dağılımı uygulanacak seçim tekniğini belirler. Uygulana spesifik plan ve seçim tekniği ayrıntılarıyla belgelendirilmelidir.
Örnekleme yaklaşımları (planları) özetle aşağıdaki gibi sıralanabilir:
1. Tahmin Örneklemesi (Estimate Sampling) :
En çok kullanılan yaklaşımdır. İki türü vardır:
o Nitelik Örneklemesi (Attributes Sampling): Sorulması gereken soru “kaç adet” olduğunda kullanılmalıdır. Bir anakütlenin özelliklerini veya “niteliğini”belirlemekte kullanılır. Sonuçlar “tanımlanan olay”ın ortaya çıkma yüzdesini verir. Her bir gözlem sadece bir kategoriye girebilir.
Adım Adım Örnekleme (Stop Go Sampling) : Nitelik örneklemesinin bir türüdür. Bir nitelik örneklemesinde üst kesinlik sınırını belirlemekte kullanılır.Belirlenen amaca klasik nitelik örneklemesine göre daha küçük bir örnek büyüklüğü ile ulaşmaya imkan verir.
o Değişken Örneklemesi (Variables Sampling) : “Ne kadar” sorusunun cevabını bulmak için kullanılır. Parasal değerlerden oluşan anakütlelerde uygulanabilir. Bu örnekleme ile bir anakütlenin ortalama veya toplam değerine ilişkin tahminlerde bulunulabilir.
2. Kabul Örneklemesi (Acceptance Sampling) :
Belirli bir sayıda örneğin rastlantısal olarak seçilip örnek içinde belirli sayıda hataya rastlanmazsa anakütlenin kabul edildiği örneklemedir. Bu tpi örneklemede sadece kabul veya red kararı verilir.
3. Keşif Örneklemesi ( Discovery Sampling) :
Bir tek hata veya düzensizliğe rastlandığında dahi geniş bir inceleme yapılacaksa bu örnekleme yöntemi kullanılır. Hile, İç kontrollerin işletilmemesi, kritik düzenlemelerin ihlali veya kalite kontrol ölçülerinin söz konusu olduğu durumlarda kullanılır.
4. Parasal Birim Örneklemesi ( Dolar Unit Sampling ) :
İstatistik bir sonuca ulaşmak için nitelik ve değişken örneklemesi yöntemlerini birleştirir. Değişken ve nitelik örneklemesine aynı anda uygulanabilir. Diğer örnekleme yöntemlerinden farkı örneklerin fiziksel bir birim yerine her para birimi olarak alınmasıdır. Prosedürler örnekleme sonucu bulunan para biriminin yer aldığı tutarlarda yapılır.
5. İradi Örnekleme ( Judgment Sampling) :
Uygulayıcının istatistik yöntemler yerine örnek büyüklüğünü ve seçilecek birimleri kendi iradesine göre belirlediği yöntemdir. İradi örnekleme uygulanmadan önce istatistik veya iradi yöntemden hangisinin daha faydalı olacağını belirleyebilecek bir örnekleme bilgisine sahip olunması gerekmektedir. Burada önemli olan nokta iradi örneklemenin kullanılması halinde anakütlenin tamamı hakkında bir genellemeye varılamayacağının akılda bulundurulması gerektiğidir. Bu ancak yukarıda sayılan diğer yöntemlerde mümkündür.
En çok kullanılan örnek seçim teknikleri şu şekilde özetlenebilir:
1. Sınırlanmamış Rastsal Örnekleme ( Unrestricted Random Sampling ) : Anakütledeki bütün birimlerim eşit seçilme şansı vardır. En sık kullanılan yöntemdir.
2. Aralık Örneklemesi ( Interval Sampling ) : Belirli bir aralık saptandıktan sonra rasgele bir birimden başlamak üzere aralarında bu kadar bir aralık olan birimlerin seçilmesidir.
3. Katmanlı Örnekleme ( Stratified Sampling ) : Anakütledeki birimler iki veya daha fazla sınıfa veya katmana ayrılır. Her bir katmandan ayrı örnekleme yapılır. Sonuçlar koşullara göre bir araya getirilerek veya ayrı ayrı değerlendirilir.
4. Küme Örneklemesi ( Cluster Sampling) : Anakütle birimleri gruplar veya kümeler haline getirilir. Daha sonra seçilen kümelerde yer alan birimler örnek alınarak veya tamamen test edilir.
5. Çok Aşamalı Örnekleme ( Multistage Sampling) : Çok çeşitli düzeylerde örnekleme ile ilgilidir. Örneğin uygulayıcı değişik bölgelerden örnekler alır ve daha sonra bunlar arasından yeniden bir örnekleme yapabilir.
Sonuçların Değerlendirilmesi
Ne tür bir örnekleme planı veya tekniği kullanılırsa kullanılsın sonuçların yorumlanabilmesi gereklidir. Eğer uygulanan testler istatistik ölçümlemelere dayanıyorsa başlangıçta örnek büyüklüğünü belirlemede dayanak noktası olarak kullanılan unsurların yeniden değerlenmesine yönelik istatistiksel yöntemler mevcuttur. Uygulayıcılar aşağıda sıralanan kuralların sonuçları değerlendirmede daha anlamlı olacağını akıllarında bulundurmalıdırlar.
1. Test edilen her bir özellik ayrı olarak değerlendirmeye tabi tutulmalıdır. Her bir özellik ayrı ve bağımsız bir örneği temsil eder.
2. Kabul edilebilir hata oranı uygulayıcının mevcut koşulları iyice anladıktan sonra varacağı yargıya dayanmalıdır.
3. Test sonuçları önemli konular ortaya koyduğunda testi uygulayan kişi yaptığı örneklemeye yeni bir açıdan bakmaya hazır olmalıdır.
13 Ocak 2010 Çarşamba
BANKA BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİ HAKKINDA RAPORLAR
Daha önce yayımlanan "Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik" kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin tebliğ 13.01.2010 tarihli Resmi Gazetede yayımlandı.
13 Ocak 2010 ÇARŞAMBA
Resmî Gazete
Sayı : 27461
TEBLİĞ
Bankacılık Düzenleme ve Denetleme Kurumundan:
BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK BANKA
BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİNE
İLİŞKİN RAPOR HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin usul ve esasların düzenlenmesidir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin 40 ıncı maddesinin ikinci fıkrası uyarınca düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Bankacılık süreçleri denetimi: Yönetmeliğin 25 inci maddesinde yer alan denetimi,
b) Bilgi sistemleri denetimi: Yönetmeliğin 24 üncü maddesinde yer alan denetimi,
c) BT: Bilgi Teknolojilerini,
ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri’nin (COBIT) denetim döneminin başlangıcı itibariyle güncel versiyonunu,
d) Denetçi: Yönetmeliğin 4 üncü maddesinde tanımlanan denetçiyi,
e) Denetlenen: Yönetmeliğin 4 üncü maddesinde tanımlanan denetleneni,
f) Detaylı kontrol hedefi: COBIT’te kontrol hedeflerinin altında tanımlanan detay kontrol hedeflerini,
g) Kayda değer kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan kayda değer kontrol eksikliğini,
ğ) Kontrol: Yönetmeliğin 4 üncü maddesinde tanımlanan kontrolü,
h) Kontrol alanı: COBIT’in BT aktivitelerini 4 alana ayırarak genel bir süreç modeli olarak tanımladığı genel kontrol alanlarını,
ı) Kontrol hedefi: Belirli bir BT aktivitesi içinde kontrol prosedürleri oluşturarak istenen bir sonucun veya bir amacın gerçekleştirilmesini sağlayan COBIT’teki kontrol hedeflerini,
i) Kontrol zayıflığı: Yönetmeliğin 6 ncı maddesinde tanımlanan kontrol zayıflığını,
j) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
k) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
l) Önemli kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan önemli kontrol eksikliğini,
m) Yönetmelik: Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği
ifade eder.
Rapor hazırlanırken uyulması gereken ilkeler
MADDE 4 – (1) Denetçi, raporun tam, doğru, objektif, inandırıcı ve konunun müsaade ettiği ölçüde açık ve öz olmasına özen gösterir.
(2) Denetçi, raporun tam olmasını raporda denetim amaçlarının tamamını karşılayan bilgilere yer vererek; raporlanmış hususları, bu hususların yeterli ve doğru bir şekilde anlaşılmasını sağlayacak biçimde sunarak ve raporun içeriğine ilişkin bu Tebliğde ifade edilen gereksinimleri sağlayarak temin eder.
(3) Denetçi, raporun doğru olmasını; sunulan bulguların gerçekten var olmasıyla ve bu bulguların doğru bir şekilde sunulmasıyla temin eder. Raporun doğruluğu ve güvenilirliği, raporda sunulan bütün bulguların doğru bir şekilde okuyucuya aktarılmasıyla sağlanır. Raporda sadece denetçinin çalışma kağıtlarında konuyla alakalı yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilir. Denetim açısından önemli görülen verilerden bazılarının denetlenmemesi veya denetlenememesi durumunda denetçi bunu raporunda açıkça belirtir, varsa verinin kısıtlamalarını rapora ekler ve bu konuya ilişkin raporda herhangi bir yargıda bulunmaz.
(4) Denetçi, raporun objektif olmasını, raporun içeriğinde yer alan unsurları dengeli bir şekilde sunarak ve sunum yaklaşımında tarafsız bir duruş sergileyerek sağlar. Raporun inandırıcılığı açısından rapordaki delillerin tarafsız bir şekilde sunulması ve okuyucunun gerçeklerle ikna edilmesi gereklidir. Denetçi, raporun tarafsız olmasını ve yanıltıcı olmamasını sağlamakla yükümlüdür. Denetçi, raporunu karar vericilerin raporda yer alan bulgulara dayanarak hareket edebilecekleri bir yaklaşımla sunar. Denetçi raporunda savunmaya ya da suçlamaya yönelik bir dil kullanmamaya özen gösterir.
(5) Denetçi, raporunun inandırıcı olmasını; denetim sonuçlarının denetim amaçlarını karşılaması, bulguların ikna edici bir şekilde sunulması ve raporda yer verdiği yargıların gerçekler tarafından iyi bir şekilde desteklenmesi ile sağlar. Denetçi, raporunda bulgularının geçerliliği ve yargılarının makullüğü hakkında yeterli ve ikna edici bilgilere yer verir.
(6) Denetçi, raporunun açık olmasını, akıcı ve anlaşılır ifadeler kullanarak temin eder. Raporda herhangi bir şeyi saklamayan, açık, yalın ve mümkün olduğunca teknik olmayan bir dil kullanılır. Teknik terimlerin veya kısaltmaların kullanıldığı durumlarda, bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Raporda kısa ve etken fiilli cümleler kullanılmasına özen gösterilir. Denetçi raporda gerekli gördüğü yerlerde konunun daha iyi anlaşılmasını sağlamak amacıyla grafik, tablo ve resim gibi görsel araçlardan faydalanır.
(7) Denetçi raporunda ifade etmek istediklerini mümkün olduğunca kısa ve öz bir şekilde ifade eder, vermek istediği mesajı gölgeleyebilecek gereksiz detaylardan ve tekrarlardan kaçınır.
İKİNCİ BÖLÜM
Genel Kavramlar
Bulgular
MADDE 5 – (1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekilde kayda değer kontrol eksikliklerini ve önemli kontrol eksikliklerini, sınıflandırarak ve Kurumca belirlenen esaslara göre kodlayarak raporunda yer verir.
(2) Denetçi, bulguları ifade ederken, denetim amaçlarının gerektirdiği kadarıyla, bu bulguların kriter ve durumlarına ilişkin bilgilere yer verir.
a) Kriter: Bulgunun ilişkili olduğu alanla/faaliyetle ilgili olarak bu faaliyetin/alanın olması gerektiği durumu veya bu faaliyetten/alandan ne beklendiğini,
b) Durum: Bulgunun ilişkili olduğu alanın/faaliyetin mevcut uygulanma şekli veya durumu ile kriter ve bu durum arasındaki farkların temel sebeplerini
ifade eder.
(3) Kontrol zayıflığı olarak tanımlanan bulgular, denetçi tarafından denetlenenin yetkililerine yazılı olarak iletilir. Denetçi böyle bir yazının denetlenenin yetkililerine iletildiği ifadesine ve bilgi sistemleri denetiminde kontrol hedefleri, bankacılık süreçleri denetiminde ise süreçler bazında tespit ettiği kontrol zayıflıklarının sayısına raporunda yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan tüm bulguları değerlendirir, bu bulguların son durumlarına, devam edip etmediklerine ve denetlenen tarafından taahhüt edilen aksiyon planına uyumuna ilişkin açıklamalarına raporunda yer verir.
(5) Denetçi, topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar, sözleşme ihlali, suiistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden bir veya birkaçının bulunduğu kanaatine varırsa, bunları raporda bulgu olarak ifade eder.
(6) Denetçi, raporunda yer verdiği tüm bulguları usul ve esasları Kurumca belirlenecek şekilde elektronik ortamda Kuruma iletir.
Denetlenenin görüşleri
MADDE 6 – (1) Denetçi bulgular, sonuçlar ve varsa planlanan düzeltme çalışmaları hakkında denetlenenin görüşlerini raporlar.
(2) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş bulgulara ilişkin denetlenenin görüşlerine ve denetlenenin bulgunun giderilmesine ilişkin yaptığı çalışmalara raporunda yer verir.
(3) Denetlenenin görüş bildiremediği veya görüş bildirmeyi reddettiği durumlara, nedenleriyle birlikte raporunda yer verir.
Bulgularla ilgili sonuç değerlendirmesi
MADDE 7 – (1) Denetçi, raporda denetim amaçları, denetim bulguları ve varsa denetlenenin görüşlerini yorumlayarak kendi çıkarımları ve görüşleri doğrultusunda değerlendirmelere yer verir. Bu değerlendirmelerde denetimde ortaya çıkan bulgulara kendi gözlemlerini de katarak ve bulguların aynen tekrarından kaçınarak, bulguların nasıl anlaşılması gerektiği hakkında yorum yapar.
(2) Denetçi, denetlenenin görüşlerine katılmadığı veya planlanan düzeltme çalışmalarının uygun olmadığını düşündüğü takdirde buna sonuç değerlendirmesinde ayrıca yer verir. Denetçi, denetlenenin görüşlerini haklı bulması halinde, raporda ilgili düzeltmeleri yapar.
(3) Herhangi bir bulgunun düzeltildiğine dair bir beyanın rapor tarihinden önce denetlenen tarafından denetçiye ulaşması durumunda, tespit edilen her bir bulgu için birer defaya mahsus olmak koşuluyla, denetçi denetlenenin beyanını doğrulamak için bu bulgunun son durumunu tahlil eder, bulgunun ortadan kalktığı kanaatine ulaşırsa bulgunun düzeltildiğine dair yargısına raporun bulguya ilişkin sonuç değerlendirmesi bölümünde yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgulara ait sonuç değerlendirmesi bölümünde bulguların çözümüne ilişkin denetlenen tarafından aksiyon planına uyumla birlikte, bulgunun devam durumunu;
a) devam etmektedir,
b) kısmen düzeltilmiştir veya
c) düzeltilmiştir
şeklinde raporunda ifade eder.
ÜÇÜNCÜ BÖLÜM
Rapor İçeriği
İçerik
MADDE 8 – (1) Denetçinin hazırlayacağı rapor aşağıdaki unsurları içerecek şekilde düzenlenir :
a) Başlık,
b) Raporun sunulduğu merci,
c) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
ç) Yönetici özeti,
d) İçindekiler,
e) Denetim çalışmasına ilişkin bilgi,
f) Denetlenenin bilgi sistemleri hakkında genel bilgi,
g) Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme,
ğ) Bankacılık süreçleri denetimi bölümü,
h) Banka bilgi sistemleri denetimi bölümü,
ı) Kısaltmalar,
i) Sözlük.
Yönetici özeti
MADDE 9 – (1)Yönetici özeti aşağıda belirtilen şekilde hazırlanır:
a) Denetçi, bu bölümde denetimin amaçlarını tanımlar ve bu denetim amaçlarına erişmek için uyguladığı denetimin kapsam ve metodolojisini özet olarak açıklar.
1) Denetçi, neden bu görevi üstlendiğini ve bu raporun hazırlanış amacını içerecek şekilde, denetim amaçlarını açık ve net olarak ifade eder.
2) Denetçi, denetim çalışmasının önemlilik kavramı çerçevesinde belirlenen kapsamını açık ve net bir şekilde ifade eder. Denetim kapsamı ifade edilirken, denetçiyi bu kapsamı seçmeye zorlayan herhangi bir sınırlama varsa, bu sınırlamalar da açık bir şekilde ifade edilir.
b) Yapılan denetim çalışmasına ilişkin olarak genel bir değerlendirmeye yer verilir.
c) Cari ve geçmiş dönemlerde tespit edilen bulguların özetlendiği bir tablo ek-1’de tanımlanan örneğe uygun olarak doldurulur.
ç) Denetçinin tespit ettiği bulgular arasından öne çıkanlar ve bu bulguların taşıdıkları iş risklerine yer verilir.
d) Bankacılık süreçleri ve yapıldıysa bilgi sistemleri denetimi sonucunda ortaya çıkan bulgular da dikkate alınarak, denetlenenin durumu hakkında genel bir değerlendirmeye yer verilir.
e) Denetim dönemi içerisinde bilgi sistemleri denetimi yapılmışsa, kontrol alanlarının her biri için denetlenenin bir önceki yıla ait denetiminde tespit edilen olgunluk seviyeleri ile karşılaştırmalı olarak ek–2’de tanımlanan şekliyle olgunluk seviyesi grafiği hazırlanarak, bu bölüme eklenir.
Denetim çalışmasına ilişkin bilgi
MADDE 10 – (1) Denetçi, denetim amaçlarını gerçekleştirmek için yapılan denetim çalışmasına ilişkin olarak:
a) Denetim çalışması yürütülürken dikkate alınan önemli varsayımlar,
b) Denetimi gerçekleştirdiği banka birimleri veya şubeleri,
c) Denetim kapsamındaki süreçlerle ilgili sorumlularının unvan ve erişim bilgileri ve
d) Denetim ekibi ve denetimin başlama/bitiş tarihleri
bilgilerine denetim çalışmasına ilişkin bilgi bölümünde yer verir.
Denetlenenin bilgi sistemleri hakkında genel bilgi
MADDE 11 – (1) Bilgi sistemlerinin değerlendirilmesi kısmı aşağıdaki hususları içerir:
a) BT bölümü çalışan profili hakkında bilgi,
b) BT bölümünün organizasyon yapısına dair bilgi,
c) Ana bankacılık faaliyetlerinin yürütülmesinde kullanılan uygulamalar/sistemler/araçlar hakkında genel bilgi,
ç) Denetlenenin bilgi sistemi mimarisi hakkında özet bilgi,
d) Denetlenenin ağ altyapısının anlatılması ve ağ topolojisi,
e) Ana bankacılık faaliyetleri ile ilgili yazılımların ve araçların bilgi sistemleri mimarisi üzerinde gösterimi,
f) Bilgi sistemleri denetimi yapılmışsa, değişiklik yönetimi, güvenlik yönetimi vb. gibi kritik kontrol hedeflerini destekleyen araçlar hakkında özet bilgi.
Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme
MADDE 12 – (1) Denetçi, raporun bu bölümünde aşağıdaki hususlara yer verir:
a) İç denetim biriminin, finansal raporlama sistemlerine ilişkin iç kontrollerinin denetimi kapsamında yapmış olduğu planlamaların, faaliyetlerin ve denetim sonuçlarının takibinin değerlendirilmesi,
b) Yönetimin finansal raporlama sistemlerine ilişkin iç kontrollerin tesis edilmesi ve sağlıklı bir şekilde işletilmesine verdiği önem, söz konusu kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının değerlendirilmesi,
c) Yöneticilerin finansal raporlama sistemlerine ilişkin iç kontrollerle ilgili risk değerlendirme sürecinin değerlendirilmesi.
(2) Denetçi, BT denetim ekibiyle ilgili olarak:
a) Ekibin profilini,
b) Faaliyetlerini,
c) Yapmış oldukları denetim çalışmalarını,
ç) Organizasyon içerisindeki yerlerini,
raporunda belirtir.
(3) Denetçi, bu bölümün sonunda bu bölüm kapsamında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular da aynı tablo formatında sunulur.
Bankacılık süreçleri denetimi
MADDE 13 – (1) Denetçi, bankacılık süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi süreçleri seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2) Denetçi, bankacılık faaliyetlerine ilişkin süreçlere dair denetlenen tarafından kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu Ek-5’te belirtildiği şekliyle doldurarak, bunları bir CD içerisinde raporuna ekler.
(3) Denetçi, denetim esnasında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur ve bulguların önem sıralamasına uygun olarak ilgili sürecin altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-3’teki tabloyu doldurur.
(4) Denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine sürece ilişkin bölümün sonunda yer verir.
Uygulamalara ilişkin risk matrisinin hazırlanması
MADDE 14 – (1) Denetçi, denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri derecelendirmek ve bu uygulamalardan kaynaklanan net riski tespit etmek için bir risk matrisi oluşturur. Uygulamalardan kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi, uygulamalarla bütünleşik riskler, bilgi sistemleri genel kontrollerinin ve bankacılık süreçleri üzerindeki kontrollerin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir. Bu maddede açıklanan risk matrisinin hazırlanmasına ilişkin usul ve esaslar Kurulca belirlenir.
Banka bilgi sistemleri denetimi
MADDE 15 – (1) Denetçi, banka bilgi sistemleri denetiminde kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi kontrol hedeflerini seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2 Denetçi, COBIT’te yer alan kontrol alanlarının her biri için geçmiş dönemlerdeki seviye ile karşılaştırmasını da içerecek şekilde genel bir değerlendirmeye raporunda yer verir.
(3 Denetçi, denetim esnasında tespit ettiği her bir bilgi sistemleri bulgusu için Ek-4’teki tabloyu doldurur; bulguların ilgili oldukları kontrol hedefine ve önem sıralamasına uygun olarak ilgili kontrol alanları altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-4’teki tabloyu doldurur.
(4) Denetçi, kontrol alanlarının altında yer alan ve önemlilik kriterine göre seçtiği her bir kontrol hedefi için aşağıda yer alan unsurlara raporunda yer verir:
a) Seçilen kontrol hedefinin ismi,
b) Kontrol hedefinin sorumlusu,
c) Kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünün değerlendirilmesiyle elde edilen, kontrol hedefine ilişkin olgunluk seviyesi,
ç) Denetçi tarafından belirlenen olgunluk seviyesinin, denetlenen tarafından nasıl ve hangi kriterle sağlandığı ve/veya hangi kriterlerin eksik olduğu.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Konsolide denetim raporu
MADDE 16 – (1) Yönetmeliğin 2 nci maddesi ve 4 üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca bağımsız denetim kuruluşlarınca gerçekleştirilen banka bilgi sistemleri ve bankacılık süreçlerinin denetimi kapsamına giren bankaların konsolidasyon kapsamındaki ortaklıklarına ilişkin konsolide denetim raporu aşağıdaki bölümleri içerir:
a) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
b) Yönetici özeti,
c) İçindekiler,
ç) Banka iştirakleri ile ilgili Ek-6’da tanımlandığı şekliyle hazırlanan tablo,
d) Denetim çalışmasına ilişkin bilgi ve
e) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri.
(2) Yönetici özeti bölümünde, bu Tebliğin 9 uncu maddesinin birinci fıkrasının (a) ve (b) bentlerinde belirtilen bilgiler, banka ve ortaklıklarında konsolide mali tabloya etkileri bakımından öne çıkan bulgular ve bu bulguların konsolide mali tablo açısından değerlendirmeleri sunulur. Konsolide edilecek finansal bilgiyi üreten bilgi sistemi ve/veya süreç ile banka ve ortaklıklar arasında finansal bilgi akışı hakkında genel bir değerlendirme yapılır.
(3) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri bölümünde:
a) Bankada tespit edilen bulgular, konsolide mali tablo açısından değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı ile doldurularak sunulur.
b) Bilgi sistemleri denetimine dahil edilen her ortaklık için aşağıdaki bilgiler sunulur:
1) Ortaklığın adı, ortaklık yapısı (iştirak, bağlı ortaklık ya da birlikte yönetilen ortaklık olma durumu), faaliyetleri ve konsolide denetime dahil edilme sebepleri hakkında bilgi,
2) Ortaklıkta, bilgi sistemleri ve iş süreçleri denetimlerinden hangilerinin gerçekleştirildiği, hangi süreçlerin/kontrol hedeflerinin denetlendiği ve bu süreçlerin/kontrol hedeflerinin seçilmesinde kullanılan önemlilik değerlendirmesi sunularak denetim kapsamı,
3) Gerçekleştirilen denetim sonucunda, konsolide finansal bilgilerinin tanımlanması, üretilmesi, kullanılması, doğruluk, bütünlük ve güvenilirliğinin sağlanması konularında, denetime tabi tutulan ortaklığın etkisine ilişkin genel bir değerlendirme,
4) Konsolide mali tablo açısından değerlendirilerek kayda değer ve önemli kontrol eksikliği olarak sınıflandırılan ve Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı doldurularak hazırlanan ortaklıklarda tespit edilen bulgular.
Yürürlükten kaldırılan düzenlemeler
MADDE 17 – (1) 5/12/2006 tarihli ve 26367 sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ yürürlükten kaldırılmıştır.
Yürürlük
MADDE 18 – (1) Bu Tebliğ 31/12/2009 tarihinden itibaren geçerli olmak üzere yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 19 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
13 Ocak 2010 ÇARŞAMBA
Resmî Gazete
Sayı : 27461
TEBLİĞ
Bankacılık Düzenleme ve Denetleme Kurumundan:
BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK BANKA
BİLGİ SİSTEMLERİ VE BANKACILIK SÜREÇLERİNİN DENETİMİNE
İLİŞKİN RAPOR HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik kapsamında hazırlanacak olan denetim raporunun içerik ve şekline ilişkin usul ve esasların düzenlenmesidir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin 40 ıncı maddesinin ikinci fıkrası uyarınca düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Bankacılık süreçleri denetimi: Yönetmeliğin 25 inci maddesinde yer alan denetimi,
b) Bilgi sistemleri denetimi: Yönetmeliğin 24 üncü maddesinde yer alan denetimi,
c) BT: Bilgi Teknolojilerini,
ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri’nin (COBIT) denetim döneminin başlangıcı itibariyle güncel versiyonunu,
d) Denetçi: Yönetmeliğin 4 üncü maddesinde tanımlanan denetçiyi,
e) Denetlenen: Yönetmeliğin 4 üncü maddesinde tanımlanan denetleneni,
f) Detaylı kontrol hedefi: COBIT’te kontrol hedeflerinin altında tanımlanan detay kontrol hedeflerini,
g) Kayda değer kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan kayda değer kontrol eksikliğini,
ğ) Kontrol: Yönetmeliğin 4 üncü maddesinde tanımlanan kontrolü,
h) Kontrol alanı: COBIT’in BT aktivitelerini 4 alana ayırarak genel bir süreç modeli olarak tanımladığı genel kontrol alanlarını,
ı) Kontrol hedefi: Belirli bir BT aktivitesi içinde kontrol prosedürleri oluşturarak istenen bir sonucun veya bir amacın gerçekleştirilmesini sağlayan COBIT’teki kontrol hedeflerini,
i) Kontrol zayıflığı: Yönetmeliğin 6 ncı maddesinde tanımlanan kontrol zayıflığını,
j) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
k) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
l) Önemli kontrol eksikliği: Yönetmeliğin 6 ncı maddesinde tanımlanan önemli kontrol eksikliğini,
m) Yönetmelik: Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği
ifade eder.
Rapor hazırlanırken uyulması gereken ilkeler
MADDE 4 – (1) Denetçi, raporun tam, doğru, objektif, inandırıcı ve konunun müsaade ettiği ölçüde açık ve öz olmasına özen gösterir.
(2) Denetçi, raporun tam olmasını raporda denetim amaçlarının tamamını karşılayan bilgilere yer vererek; raporlanmış hususları, bu hususların yeterli ve doğru bir şekilde anlaşılmasını sağlayacak biçimde sunarak ve raporun içeriğine ilişkin bu Tebliğde ifade edilen gereksinimleri sağlayarak temin eder.
(3) Denetçi, raporun doğru olmasını; sunulan bulguların gerçekten var olmasıyla ve bu bulguların doğru bir şekilde sunulmasıyla temin eder. Raporun doğruluğu ve güvenilirliği, raporda sunulan bütün bulguların doğru bir şekilde okuyucuya aktarılmasıyla sağlanır. Raporda sadece denetçinin çalışma kağıtlarında konuyla alakalı yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilir. Denetim açısından önemli görülen verilerden bazılarının denetlenmemesi veya denetlenememesi durumunda denetçi bunu raporunda açıkça belirtir, varsa verinin kısıtlamalarını rapora ekler ve bu konuya ilişkin raporda herhangi bir yargıda bulunmaz.
(4) Denetçi, raporun objektif olmasını, raporun içeriğinde yer alan unsurları dengeli bir şekilde sunarak ve sunum yaklaşımında tarafsız bir duruş sergileyerek sağlar. Raporun inandırıcılığı açısından rapordaki delillerin tarafsız bir şekilde sunulması ve okuyucunun gerçeklerle ikna edilmesi gereklidir. Denetçi, raporun tarafsız olmasını ve yanıltıcı olmamasını sağlamakla yükümlüdür. Denetçi, raporunu karar vericilerin raporda yer alan bulgulara dayanarak hareket edebilecekleri bir yaklaşımla sunar. Denetçi raporunda savunmaya ya da suçlamaya yönelik bir dil kullanmamaya özen gösterir.
(5) Denetçi, raporunun inandırıcı olmasını; denetim sonuçlarının denetim amaçlarını karşılaması, bulguların ikna edici bir şekilde sunulması ve raporda yer verdiği yargıların gerçekler tarafından iyi bir şekilde desteklenmesi ile sağlar. Denetçi, raporunda bulgularının geçerliliği ve yargılarının makullüğü hakkında yeterli ve ikna edici bilgilere yer verir.
(6) Denetçi, raporunun açık olmasını, akıcı ve anlaşılır ifadeler kullanarak temin eder. Raporda herhangi bir şeyi saklamayan, açık, yalın ve mümkün olduğunca teknik olmayan bir dil kullanılır. Teknik terimlerin veya kısaltmaların kullanıldığı durumlarda, bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Raporda kısa ve etken fiilli cümleler kullanılmasına özen gösterilir. Denetçi raporda gerekli gördüğü yerlerde konunun daha iyi anlaşılmasını sağlamak amacıyla grafik, tablo ve resim gibi görsel araçlardan faydalanır.
(7) Denetçi raporunda ifade etmek istediklerini mümkün olduğunca kısa ve öz bir şekilde ifade eder, vermek istediği mesajı gölgeleyebilecek gereksiz detaylardan ve tekrarlardan kaçınır.
İKİNCİ BÖLÜM
Genel Kavramlar
Bulgular
MADDE 5 – (1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekilde kayda değer kontrol eksikliklerini ve önemli kontrol eksikliklerini, sınıflandırarak ve Kurumca belirlenen esaslara göre kodlayarak raporunda yer verir.
(2) Denetçi, bulguları ifade ederken, denetim amaçlarının gerektirdiği kadarıyla, bu bulguların kriter ve durumlarına ilişkin bilgilere yer verir.
a) Kriter: Bulgunun ilişkili olduğu alanla/faaliyetle ilgili olarak bu faaliyetin/alanın olması gerektiği durumu veya bu faaliyetten/alandan ne beklendiğini,
b) Durum: Bulgunun ilişkili olduğu alanın/faaliyetin mevcut uygulanma şekli veya durumu ile kriter ve bu durum arasındaki farkların temel sebeplerini
ifade eder.
(3) Kontrol zayıflığı olarak tanımlanan bulgular, denetçi tarafından denetlenenin yetkililerine yazılı olarak iletilir. Denetçi böyle bir yazının denetlenenin yetkililerine iletildiği ifadesine ve bilgi sistemleri denetiminde kontrol hedefleri, bankacılık süreçleri denetiminde ise süreçler bazında tespit ettiği kontrol zayıflıklarının sayısına raporunda yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan tüm bulguları değerlendirir, bu bulguların son durumlarına, devam edip etmediklerine ve denetlenen tarafından taahhüt edilen aksiyon planına uyumuna ilişkin açıklamalarına raporunda yer verir.
(5) Denetçi, topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar, sözleşme ihlali, suiistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden bir veya birkaçının bulunduğu kanaatine varırsa, bunları raporda bulgu olarak ifade eder.
(6) Denetçi, raporunda yer verdiği tüm bulguları usul ve esasları Kurumca belirlenecek şekilde elektronik ortamda Kuruma iletir.
Denetlenenin görüşleri
MADDE 6 – (1) Denetçi bulgular, sonuçlar ve varsa planlanan düzeltme çalışmaları hakkında denetlenenin görüşlerini raporlar.
(2) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş bulgulara ilişkin denetlenenin görüşlerine ve denetlenenin bulgunun giderilmesine ilişkin yaptığı çalışmalara raporunda yer verir.
(3) Denetlenenin görüş bildiremediği veya görüş bildirmeyi reddettiği durumlara, nedenleriyle birlikte raporunda yer verir.
Bulgularla ilgili sonuç değerlendirmesi
MADDE 7 – (1) Denetçi, raporda denetim amaçları, denetim bulguları ve varsa denetlenenin görüşlerini yorumlayarak kendi çıkarımları ve görüşleri doğrultusunda değerlendirmelere yer verir. Bu değerlendirmelerde denetimde ortaya çıkan bulgulara kendi gözlemlerini de katarak ve bulguların aynen tekrarından kaçınarak, bulguların nasıl anlaşılması gerektiği hakkında yorum yapar.
(2) Denetçi, denetlenenin görüşlerine katılmadığı veya planlanan düzeltme çalışmalarının uygun olmadığını düşündüğü takdirde buna sonuç değerlendirmesinde ayrıca yer verir. Denetçi, denetlenenin görüşlerini haklı bulması halinde, raporda ilgili düzeltmeleri yapar.
(3) Herhangi bir bulgunun düzeltildiğine dair bir beyanın rapor tarihinden önce denetlenen tarafından denetçiye ulaşması durumunda, tespit edilen her bir bulgu için birer defaya mahsus olmak koşuluyla, denetçi denetlenenin beyanını doğrulamak için bu bulgunun son durumunu tahlil eder, bulgunun ortadan kalktığı kanaatine ulaşırsa bulgunun düzeltildiğine dair yargısına raporun bulguya ilişkin sonuç değerlendirmesi bölümünde yer verir.
(4) Denetçi, geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgulara ait sonuç değerlendirmesi bölümünde bulguların çözümüne ilişkin denetlenen tarafından aksiyon planına uyumla birlikte, bulgunun devam durumunu;
a) devam etmektedir,
b) kısmen düzeltilmiştir veya
c) düzeltilmiştir
şeklinde raporunda ifade eder.
ÜÇÜNCÜ BÖLÜM
Rapor İçeriği
İçerik
MADDE 8 – (1) Denetçinin hazırlayacağı rapor aşağıdaki unsurları içerecek şekilde düzenlenir :
a) Başlık,
b) Raporun sunulduğu merci,
c) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
ç) Yönetici özeti,
d) İçindekiler,
e) Denetim çalışmasına ilişkin bilgi,
f) Denetlenenin bilgi sistemleri hakkında genel bilgi,
g) Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme,
ğ) Bankacılık süreçleri denetimi bölümü,
h) Banka bilgi sistemleri denetimi bölümü,
ı) Kısaltmalar,
i) Sözlük.
Yönetici özeti
MADDE 9 – (1)Yönetici özeti aşağıda belirtilen şekilde hazırlanır:
a) Denetçi, bu bölümde denetimin amaçlarını tanımlar ve bu denetim amaçlarına erişmek için uyguladığı denetimin kapsam ve metodolojisini özet olarak açıklar.
1) Denetçi, neden bu görevi üstlendiğini ve bu raporun hazırlanış amacını içerecek şekilde, denetim amaçlarını açık ve net olarak ifade eder.
2) Denetçi, denetim çalışmasının önemlilik kavramı çerçevesinde belirlenen kapsamını açık ve net bir şekilde ifade eder. Denetim kapsamı ifade edilirken, denetçiyi bu kapsamı seçmeye zorlayan herhangi bir sınırlama varsa, bu sınırlamalar da açık bir şekilde ifade edilir.
b) Yapılan denetim çalışmasına ilişkin olarak genel bir değerlendirmeye yer verilir.
c) Cari ve geçmiş dönemlerde tespit edilen bulguların özetlendiği bir tablo ek-1’de tanımlanan örneğe uygun olarak doldurulur.
ç) Denetçinin tespit ettiği bulgular arasından öne çıkanlar ve bu bulguların taşıdıkları iş risklerine yer verilir.
d) Bankacılık süreçleri ve yapıldıysa bilgi sistemleri denetimi sonucunda ortaya çıkan bulgular da dikkate alınarak, denetlenenin durumu hakkında genel bir değerlendirmeye yer verilir.
e) Denetim dönemi içerisinde bilgi sistemleri denetimi yapılmışsa, kontrol alanlarının her biri için denetlenenin bir önceki yıla ait denetiminde tespit edilen olgunluk seviyeleri ile karşılaştırmalı olarak ek–2’de tanımlanan şekliyle olgunluk seviyesi grafiği hazırlanarak, bu bölüme eklenir.
Denetim çalışmasına ilişkin bilgi
MADDE 10 – (1) Denetçi, denetim amaçlarını gerçekleştirmek için yapılan denetim çalışmasına ilişkin olarak:
a) Denetim çalışması yürütülürken dikkate alınan önemli varsayımlar,
b) Denetimi gerçekleştirdiği banka birimleri veya şubeleri,
c) Denetim kapsamındaki süreçlerle ilgili sorumlularının unvan ve erişim bilgileri ve
d) Denetim ekibi ve denetimin başlama/bitiş tarihleri
bilgilerine denetim çalışmasına ilişkin bilgi bölümünde yer verir.
Denetlenenin bilgi sistemleri hakkında genel bilgi
MADDE 11 – (1) Bilgi sistemlerinin değerlendirilmesi kısmı aşağıdaki hususları içerir:
a) BT bölümü çalışan profili hakkında bilgi,
b) BT bölümünün organizasyon yapısına dair bilgi,
c) Ana bankacılık faaliyetlerinin yürütülmesinde kullanılan uygulamalar/sistemler/araçlar hakkında genel bilgi,
ç) Denetlenenin bilgi sistemi mimarisi hakkında özet bilgi,
d) Denetlenenin ağ altyapısının anlatılması ve ağ topolojisi,
e) Ana bankacılık faaliyetleri ile ilgili yazılımların ve araçların bilgi sistemleri mimarisi üzerinde gösterimi,
f) Bilgi sistemleri denetimi yapılmışsa, değişiklik yönetimi, güvenlik yönetimi vb. gibi kritik kontrol hedeflerini destekleyen araçlar hakkında özet bilgi.
Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme
MADDE 12 – (1) Denetçi, raporun bu bölümünde aşağıdaki hususlara yer verir:
a) İç denetim biriminin, finansal raporlama sistemlerine ilişkin iç kontrollerinin denetimi kapsamında yapmış olduğu planlamaların, faaliyetlerin ve denetim sonuçlarının takibinin değerlendirilmesi,
b) Yönetimin finansal raporlama sistemlerine ilişkin iç kontrollerin tesis edilmesi ve sağlıklı bir şekilde işletilmesine verdiği önem, söz konusu kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının değerlendirilmesi,
c) Yöneticilerin finansal raporlama sistemlerine ilişkin iç kontrollerle ilgili risk değerlendirme sürecinin değerlendirilmesi.
(2) Denetçi, BT denetim ekibiyle ilgili olarak:
a) Ekibin profilini,
b) Faaliyetlerini,
c) Yapmış oldukları denetim çalışmalarını,
ç) Organizasyon içerisindeki yerlerini,
raporunda belirtir.
(3) Denetçi, bu bölümün sonunda bu bölüm kapsamında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular da aynı tablo formatında sunulur.
Bankacılık süreçleri denetimi
MADDE 13 – (1) Denetçi, bankacılık süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi süreçleri seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2) Denetçi, bankacılık faaliyetlerine ilişkin süreçlere dair denetlenen tarafından kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu Ek-5’te belirtildiği şekliyle doldurarak, bunları bir CD içerisinde raporuna ekler.
(3) Denetçi, denetim esnasında tespit ettiği her bir bulgu için Ek-3’teki tabloyu doldurur ve bulguların önem sıralamasına uygun olarak ilgili sürecin altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-3’teki tabloyu doldurur.
(4) Denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine sürece ilişkin bölümün sonunda yer verir.
Uygulamalara ilişkin risk matrisinin hazırlanması
MADDE 14 – (1) Denetçi, denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri derecelendirmek ve bu uygulamalardan kaynaklanan net riski tespit etmek için bir risk matrisi oluşturur. Uygulamalardan kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi, uygulamalarla bütünleşik riskler, bilgi sistemleri genel kontrollerinin ve bankacılık süreçleri üzerindeki kontrollerin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir. Bu maddede açıklanan risk matrisinin hazırlanmasına ilişkin usul ve esaslar Kurulca belirlenir.
Banka bilgi sistemleri denetimi
MADDE 15 – (1) Denetçi, banka bilgi sistemleri denetiminde kullandığı önemlilik değerlendirmesini ve bu değerlendirme sonucunda hangi kontrol hedeflerini seçtiğini, seçim nedenlerini ve seçmediği süreçleri neden seçmediğini açık ve net bir şekilde ifade eder.
(2 Denetçi, COBIT’te yer alan kontrol alanlarının her biri için geçmiş dönemlerdeki seviye ile karşılaştırmasını da içerecek şekilde genel bir değerlendirmeye raporunda yer verir.
(3 Denetçi, denetim esnasında tespit ettiği her bir bilgi sistemleri bulgusu için Ek-4’teki tabloyu doldurur; bulguların ilgili oldukları kontrol hedefine ve önem sıralamasına uygun olarak ilgili kontrol alanları altında bu bulgulara yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-4’teki tabloyu doldurur.
(4) Denetçi, kontrol alanlarının altında yer alan ve önemlilik kriterine göre seçtiği her bir kontrol hedefi için aşağıda yer alan unsurlara raporunda yer verir:
a) Seçilen kontrol hedefinin ismi,
b) Kontrol hedefinin sorumlusu,
c) Kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünün değerlendirilmesiyle elde edilen, kontrol hedefine ilişkin olgunluk seviyesi,
ç) Denetçi tarafından belirlenen olgunluk seviyesinin, denetlenen tarafından nasıl ve hangi kriterle sağlandığı ve/veya hangi kriterlerin eksik olduğu.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Konsolide denetim raporu
MADDE 16 – (1) Yönetmeliğin 2 nci maddesi ve 4 üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca bağımsız denetim kuruluşlarınca gerçekleştirilen banka bilgi sistemleri ve bankacılık süreçlerinin denetimi kapsamına giren bankaların konsolidasyon kapsamındaki ortaklıklarına ilişkin konsolide denetim raporu aşağıdaki bölümleri içerir:
a) Yönetmeliğin 34 üncü maddesi kapsamında oluşturulan denetim mektubu,
b) Yönetici özeti,
c) İçindekiler,
ç) Banka iştirakleri ile ilgili Ek-6’da tanımlandığı şekliyle hazırlanan tablo,
d) Denetim çalışmasına ilişkin bilgi ve
e) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri.
(2) Yönetici özeti bölümünde, bu Tebliğin 9 uncu maddesinin birinci fıkrasının (a) ve (b) bentlerinde belirtilen bilgiler, banka ve ortaklıklarında konsolide mali tabloya etkileri bakımından öne çıkan bulgular ve bu bulguların konsolide mali tablo açısından değerlendirmeleri sunulur. Konsolide edilecek finansal bilgiyi üreten bilgi sistemi ve/veya süreç ile banka ve ortaklıklar arasında finansal bilgi akışı hakkında genel bir değerlendirme yapılır.
(3) Banka ve ortaklıkların konsolide mali tabloya etkileri açısından değerlendirilmeleri bölümünde:
a) Bankada tespit edilen bulgular, konsolide mali tablo açısından değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı ile doldurularak sunulur.
b) Bilgi sistemleri denetimine dahil edilen her ortaklık için aşağıdaki bilgiler sunulur:
1) Ortaklığın adı, ortaklık yapısı (iştirak, bağlı ortaklık ya da birlikte yönetilen ortaklık olma durumu), faaliyetleri ve konsolide denetime dahil edilme sebepleri hakkında bilgi,
2) Ortaklıkta, bilgi sistemleri ve iş süreçleri denetimlerinden hangilerinin gerçekleştirildiği, hangi süreçlerin/kontrol hedeflerinin denetlendiği ve bu süreçlerin/kontrol hedeflerinin seçilmesinde kullanılan önemlilik değerlendirmesi sunularak denetim kapsamı,
3) Gerçekleştirilen denetim sonucunda, konsolide finansal bilgilerinin tanımlanması, üretilmesi, kullanılması, doğruluk, bütünlük ve güvenilirliğinin sağlanması konularında, denetime tabi tutulan ortaklığın etkisine ilişkin genel bir değerlendirme,
4) Konsolide mali tablo açısından değerlendirilerek kayda değer ve önemli kontrol eksikliği olarak sınıflandırılan ve Ek-3 ve Ek-4’te yer alan tablolardan uygun olanı doldurularak hazırlanan ortaklıklarda tespit edilen bulgular.
Yürürlükten kaldırılan düzenlemeler
MADDE 17 – (1) 5/12/2006 tarihli ve 26367 sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ yürürlükten kaldırılmıştır.
Yürürlük
MADDE 18 – (1) Bu Tebliğ 31/12/2009 tarihinden itibaren geçerli olmak üzere yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 19 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
Kaydol:
Kayıtlar (Atom)