Denetim bulgusu, denetçinin ulaştığı kanaatin raporda açık, kanıta dayalı ve anlaşılır biçimde ifade edilmesidir. Bilgi sistemleri denetimi raporlarında bulgunun rapora alınabilmesi için yeterli ve uygun denetim kanıtlarıyla desteklenmesi gerekir (Bankacılık Düzenleme ve Denetleme Kurumu, 2006).
Bir denetim bulgusunun yazımında temel yapı, kriter, durum, sebep, etki unsurlarına dayanır (Bankacılık Düzenleme ve Denetleme Kurumu, 2006);
Kriter: Denetlenen faaliyet, süreç veya kontrol alanında olması gereken durumu ifade eder.
Durum: Denetim sırasında tespit edilen mevcut uygulama veya fiili durumu ifade eder.
Sebep: Kriter ile mevcut durum arasındaki farkın neden ortaya çıktığını ifade eder.
Etki: Bu farkın doğurabileceği mevcut veya potansiyel sonucu ifade eder.
Öneri: Bağımsız denetim raporlarının zorunlu unsurları arasında yer almamakla birlikte iç denetim, kamu denetimi veya genel bilgi sistemleri denetimlerinde bulgunun giderilmesine yönelik önerilere yer verilebilmektedir (İç Denetim Koordinasyon Kurulu, 2013).
Bu temel yapıyla birlikte, bulguların yalnızca tespit olarak kalmasını değil, denetim amacıyla bağlantılı ve izlenebilir bir unsura dönüşmesi sağlanmaktadır.
Bulgu yazımında inandırıcılık, denetim sonucunun denetim amaçlarını karşılamasına, bulguların ikna edici biçimde sunulmasına ve rapordaki yargıların gerçeklerle desteklenmesine bağlıdır. Bu nedenle denetçi, bulgunun geçerliliği ve kendi yargısının makullüğü hakkında yeterli ve ikna edici bilgi vermelidir. Raporda yalnızca çalışma kâğıtlarında yeterli delille desteklenen bilgi, bulgu ve yargılara yer verilmesi de raporun doğruluğu açısından zorunludur (Bankacılık Düzenleme ve Denetleme Kurumu, 2006).
Bulgunun sonuç değerlendirmesinde denetçi, bulguyu aynen tekrar etmek yerine denetim amacı, bulgunun içeriği ve varsa denetlenenin görüşleri çerçevesinde açıklayıcı bir değerlendirme yapar. Denetlenenin görüşüne katılmaması veya düzeltme çalışmalarını uygun bulmaması hâlinde bu durumu ayrıca belirtir. Bulgunun rapor tarihinden önce düzeltildiği beyan edilirse, bu beyanı doğrular ve bulgunun ortadan kalktığı kanaatine ulaşırsa bunu sonuç değerlendirmesine yansıtır (Bankacılık Düzenleme ve Denetleme Kurumu, 2006).
Tablo 1: Bilgi Sistemleri Denetimi Bulgusu Örneği (Yazar tarafından oluşturulmuştur.).
| Bulgu No | ISO-BS-01 |
| Kontrol Referansı | ISO/IEC 27001:2022 – A.8.13 Bilgi Yedekleme |
| Bulgu Başlığı | Yedek Geri Dönüş Testlerinin Yapılmaması |
| Uygunsuzluk Sınıfı | Majör Uygunsuzluk / Önemli Kontrol Eksikliği |
| Kriter | Kritik sistemlere ait yedeklerin düzenli alınması ve geri dönüş testleriyle doğrulanması gerekir. |
| Durum | Denetimde yedeklerin günlük olarak alındığı, ancak son bir yıl içinde geri dönüş testi yapılmadığı görülmüştür. |
| Sebep | Yedekleme prosedüründe test sıklığı ve sorumlu birim açık olarak belirlenmemiştir. |
| Etki | Veri kaybı veya sistem arızası durumunda yedeklerden geri dönüş sağlanamayabilir. |
| Öneri / Düzeltici Faaliyet | Yedek geri dönüş testleri belirli aralıklarla yapılmalı, sonuçlar kayıt altına alınmalı ve prosedür güncellenmelidir. |
| Denetlenen Kurum Görüşü | Kurum, yedeklerin alındığını ancak geri dönüş testlerinin planlı şekilde yapılmadığını kabul etmiş, üçer aylık test planı oluşturulacağını belirtmiştir. |
| Sonuç Değerlendirmesi | Bulgu devam etmektedir. |
Kaynaklar
Bankacılık Düzenleme ve Denetleme Kurumu. (2006). Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Hakkında Tebliğ. https://www.lexpera.com.tr/resmi-gazete/metin/bankalarda-bagimsiz-denetim-kuruluslarinca-gerceklestirilecek-bilgi-sistemleri-denetimine-iliskin-1
İç Denetim Koordinasyon Kurulu. (2013). Kamu İç Denetim Rehberi (Versiyon 1.0). Hazine ve Maliye Bakanlığı. https://ms.hmb.gov.tr/uploads/sites/23/2024/06/Kamu-Ic-Denetim-Rehberi.pdf