Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimine İlişkin Rapor Hakkında Tebliğ

Dayanak

(1) Bu Tebliğ; Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmeliğin 38 inci maddesinin ikinci fıkrası uyarınca düzenlenmiştir.

Tanımlar ve kısaltmalar

(1) Bu Tebliğde geçen;

a) Bilgi sistemleri bağımsız denetimi: Yönetmeliğin 24 üncü maddesinde yer alan denetimi,

b) BT: Bilgi Teknolojilerini,

c) Denetçi: Yönetmeliğin 4 üncü maddesinin birinci fıkrasında tanımlanan denetçiyi,

ç) Denetim alanı: Ek-1’de verilen denetim başlıklarını,

d) Denetlenen: Yönetmeliğin 4 üncü maddesinin birinci fıkrasında tanımlanan denetleneni,

e) İş süreçleri bağımsız denetimi: Yönetmeliğin 25 inci maddesinde yer alan denetimi,

f) Kayda değer kontrol eksikliği: Yönetmeliğin 6 ncı maddesinin birinci fıkrasında tanımlanan kayda değer kontrol eksikliğini,

g) Kontrol: Yönetmeliğin 4 üncü maddesinin birinci fıkrasında tanımlanan kontrolü,

ğ) Kontrol hedefi: Yönetmeliğin 4 üncü maddesinin birinci fıkrasında tanımlanan kontrol hedefini,

h) Kontrol zayıflığı: Yönetmeliğin 6 ncı maddesinin birinci fıkrasında tanımlanan kontrol zayıflığını,

ı) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,

i) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,

j) Önemli kontrol eksikliği: Yönetmeliğin 6 ncı maddesinin birinci fıkrasında tanımlanan önemli kontrol eksikliğini,

k) Yönetmelik: Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmeliği,

ifade eder.

İKİNCİ BÖLÜM

Genel Kavramlar

Rapor hazırlanırken uyulması gereken ilkeler

(1) Denetçi, raporun tam, doğru, objektif, inandırıcı ve konunun müsaade ettiği ölçüde açık ve öz olmasına aşağıdaki hususları dikkate alarak özen gösterir:

a) Denetçi, raporun tam olmasını raporda denetim amaçlarının tamamını karşılayan bilgilere yer vererek; raporlanmış hususları, bu hususların yeterli ve doğru bir şekilde anlaşılmasını sağlayacak biçimde sunarak ve raporun içeriğine ilişkin bu Tebliğde ifade edilen gereksinimleri sağlayarak temin eder.

b) Denetçi, raporun doğru olmasını; sunulan bulguların gerçekten var olmasıyla ve bu bulguların doğru bir şekilde sunulmasıyla temin eder. Raporun doğruluğu ve güvenilirliği, raporda sunulan bütün bulguların doğru bir şekilde aktarılmasıyla sağlanır. Raporda sadece denetçinin çalışma kağıtlarında konuyla alakalı yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilir. Denetim açısından önemli görülen verilerden bazılarının denetlenmemesi veya denetlenememesi durumunda denetçi bunu raporunda açıkça belirtir, varsa verinin kısıtlamalarını rapora ekler ve bu konuya ilişkin raporda herhangi bir yargıda bulunmaz.

c) Denetçi, raporun objektif olmasını, raporun içeriğinde yer alan unsurları dengeli bir şekilde sunarak ve sunum yaklaşımında tarafsız bir duruş sergileyerek sağlar. Raporun inandırıcılığı açısından rapordaki delillerin tarafsız bir şekilde sunulması gereklidir. Denetçi, raporun tarafsız olmasını ve yanıltıcı olmamasını sağlamakla yükümlüdür. Rapor, raporda yer alan bulgulara dayanılarak hareket edilebilecek bir yaklaşımla sunulur. Denetçi raporunda savunmaya ya da suçlamaya yönelik bir dil kullanmamaya özen gösterir.

ç) Denetçi, raporunun inandırıcı olmasını; denetim sonuçlarının denetim amaçlarını karşılaması, bulguların ikna edici bir şekilde sunulması ve raporda yer verdiği yargıların denetim kanıtları tarafından iyi bir şekilde desteklenmesi ile sağlar. Denetçi, raporunda bulgularının geçerliliği ve yargılarının makullüğü hakkında yeterli ve ikna edici bilgilere yer verir.

d) Denetçi, raporunun açık olmasını, akıcı ve anlaşılır ifadeler kullanarak temin eder. Raporda herhangi bir şeyi saklamayan, açık, yalın ve mümkün olduğunca teknik olmayan bir dil kullanılır. Teknik terimlerin veya kısaltmaların kullanıldığı durumlarda, bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Raporda kısa ve etken fiilli cümleler kullanılmasına özen gösterilir. Denetçi raporda gerekli gördüğü yerlerde konunun daha iyi anlaşılmasını sağlamak amacıyla grafik, tablo ve resim gibi görsel araçlardan faydalanır.

e) Denetçi raporunda ifade etmek istediklerini mümkün olduğunca kısa ve öz bir şekilde ifade eder, vermek istediği mesajı gölgeleyebilecek gereksiz detaylardan ve tekrarlardan kaçınır.

Bulgular

(1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekilde kayda değer kontrol eksikliklerini ve önemli kontrol eksikliklerini sınıflandırır ve Ek-2’de belirlenen esaslara göre kodlayarak raporunda yer verir.