III-62.2 Bilgi Sistemleri Bağımsız Denetim Tebliği

Kapsam

(1) Bu Tebliğ, aşağıdaki Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin bağımsız denetiminde uygulanır:

a) Borsa İstanbul A.Ş.,

b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,

c) Emeklilik yatırım fonları,

ç) İstanbul Takas ve Saklama Bankası A.Ş.,

d) Merkezi Kayıt Kuruluşu A.Ş.,

e) Portföy saklayıcısı kuruluşlar,

f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,

g) Sermaye piyasası kurumları,

ğ) Halka açık ortaklıklar,

h) Türkiye Sermaye Piyasaları Birliği,

ı) Türkiye Değerleme Uzmanları Birliği.

i) Kripto Varlık Hizmet Sağlayıcılar.

(2) Birinci fıkrada sayılan Kurum, Kuruluş ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanunu uyarınca finansal kiralama, faktoring, finansman ve tasarruf finansman şirketlerinin bilgi sistemlerinin kendi özel mevzuatında belirlenen ilkeler çerçevesinde denetlenmesi, bu Tebliğde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir. Söz konusu Kurum, Kuruluş ve Ortaklıklar, kendi özel mevzuatına aykırı olmamak kaydıyla bilgi sistemleri bağımsız denetimi raporlarının Kurula sunulmasında bu Tebliğ hükümlerine tabidirler.

(3) Bilgi sistemleri bağımsız denetimi, Kurul tarafından sermaye piyasasında bilgi sistemleri bağımsız denetimi yapmakla yetkilendirilmiş bağımsız denetim kuruluşları tarafından gerçekleştirilir.

Dayanak

(1) Bu Tebliğ, 6362 sayılı Kanunun 62 nci maddesinin ikinci fıkrası, 72 nci maddesinin üçüncü fıkrası ile 128 inci maddesinin birinci fıkrasının (c) ve (h) bentlerine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

(1) Bu Tebliğde geçen;

a) BDS: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yürürlüğe konulmuş olan Türkiye Denetim Standartları ile bunlara ilişkin ek ve yorumları,

b) Bilgi sistemleri denetçisi: Yetkili kuruluş tarafından görevlendirilmiş ve 15 inci maddede belirtilen unvanlarına yer verilen denetçileri,

c) BSY Tebliği: Kurul’un VII-128.9 sayılı Bilgi Sistemleri Yönetimi Tebliği’ni,

ç) Kanun: 6362 sayılı Kanunu,

d) KGK: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunu,

e) Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin gerçekleştirilmesi, istenmeyen olayların engellenmesi, belirlenmesi ve düzeltilmesine ilişkin yeterli derecede güvenceyi oluşturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,

f) Kurul: Sermaye Piyasası Kurulunu,

g) Kurum, Kuruluş ve Ortaklıklar: 2 nci maddenin birinci fıkrasında sayılan kurum, kuruluş ve ortaklıkları,

ğ) Seri:X No:22 Tebliği: 12/6/2006 tarih ve 26196 Mükerrer sayılı Resmî Gazete’de yayımlanan Seri:X No:22 sayılı Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğini,

h) Sermaye Piyasası Kurumları: Kanunun 35 inci maddesinde sayılan kurumları,

ı) Yetkili kuruluş: Sermaye piyasasında bilgi sistemleri bağımsız denetimi faaliyetinde bulunmak üzere Kurulca yetkilendirilmiş bağımsız denetim kuruluşunu,

ifade eder.

İKİNCİ BÖLÜM

Bilgi Sistemleri Bağımsız Denetim Faaliyetlerine İlişkin Genel Esaslar

Bilgi sistemleri bağımsız denetiminin amacı ve kapsamı

(1) Bilgi sistemleri bağımsız denetimi, bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ile bu sistem dâhilinde tesis edilen kontrollerin BSY Tebliğinde düzenlenen bilgi sistemleri yönetim ilkeleri doğrultusunda değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması aşamalarından oluşan süreçtir.

(2) Bilgi sistemleri bağımsız denetiminin temel amacı denetlenen Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin ve bu sisteme ilişkin iç kontrollerinin BSY Tebliğinde düzenlenen bilgi sistemleri yönetim ilkeleri doğrultusunda uyumluluk, etkinlik ve yeterliliği hakkında görüş oluşturulmasıdır.

(3) Bilgi sistemleri denetçisi, bilgi sistemleri kapsamında inceleyeceği sistem, faaliyet ve kontrol mekanizmalarını, risk odaklı bir bakış açısıyla ve önemlilik kriterini esas alarak yazılı bir plan dahilinde belirler. Bununla birlikte bilgi sistemleri denetçisi, önemlilik kriteri çerçevesinde belirlediği denetimlerin kapsamının, bu Tebliğ kapsamında oluşturacağı denetim görüşüne makul güvence sağlamak için yeterli denetim kanıtı elde edecek şekilde olmasını temin eder.