SPK bilgi sistemleri bağımsız denetiminde tespit edilen bulgular bağımsız denetim kuruluşları tarafından aşağıdaki şekilde kodlanır;
Kodlama: [Denetim Yılı].[K/S].[Kontrol Alanı].[Bulgu Sıra No].[Önemlilik Derecesi].[Önemlilik Derecesi 2]
Örnek: 2025.S.BSY-1.003.ÖK.KD
Kodlamada kullanılan alanların tanımlamaları;
Denetim Yılı: Bulgunun tespit edildiği denetim yılıdır. Dört hane şeklinde (2024, 2025, vb.) yazılır.
K/S: Konsolide bilgi sistemleri denetimi bulgularında “K” harfi, solo bilgi sistemleri denetimi bulgularında
“S” harfi kullanılır.
Kontrol Alanı: Bulgunun kontrol edildiği kontrol alanının kısaltması yazılır.
| Kısaltma | Kontrol Alanı |
|---|---|
| BSY | Bilgi Sistemlerinin Yönetilmesi |
| BSY-1 | Bilgi sistemleri yönetiminin oluşturulması ve hayata geçirilmesi |
| BSY-2 | Bilgi güvenliği politikası |
| BSY-3 | Üst yönetimin gözetimi ve sorumluluğu |
| BSY-4 | Bilgi sistemleri risk yönetimi |
| BSY-5 | Güvenlik testi |
| BSY-DGR | Diğer |
| BSK | Bilgi Sistemleri Kontrollerine İlişkin Esaslar |
| BSK-1 | Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi |
| BSK-2 | Varlık yönetimi |
| BSK-3 | Görevler ayrılığı prensibi |
| BSK-4 | Fiziksel ve çevresel güvenlik |
| BSK-5 | Ağ güvenliği |
| BSK-6 | Kimlik doğrulama |
| BSK-7 | Yetkilendirme |
| BSK-8 | İşlemlerin, kayıtların ve verilerin bütünlüğü |
| BSK-9 | Veri gizliliği |
| BSK-10 | Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi |
| BSK-11 | Müşteri bilgilerinin gizliliği |
| BSK-12 | Müşterilerin bilgilendirilmesi |
| BSK-13 | Üçüncü taraflarla bilgi değişimi |
| BSK-14 | Denetim izlerinin oluşturulması |
| BSK-15 | Zaman senkronizasyonu |
| BSK-16 | Bilgi güvenliği ihlali |
| BSK-17 | Bilgi sistemleri edinimi, geliştirilmesi ve idamesi |
| BSK-18 | Bilgi sistemleri sürekliliği |
| BSK-19 | Değişiklik yönetimi |
| BSK-DGR | Diğer |
Bulgu Sıra No: Konsolide bilgi sistemleri denetim raporunda yer alan bulgular, ait olduğu ortaklık, süreç ya da denetim alanı fark etmeksizin, her denetim yılı için 1’den başlayıp sıralı biçimde numaralandırılır. Benzer olarak, solo bilgi sistemleri denetim raporlarında yer alan tüm bulgular da sürece veya denetim alanına bakılmaksızın, ilgili yıl özelinde 1’den başlayıp sıralı biçimde numaralandırılır.. Her bulguya ait sıra numarası üç haneli formatta (001, 002, vb.) gösterilir.
Önemlilik Derecesi: Bulgu ilk tespit edildiğinde, bulguya verilen önemlilik derecesidir. Söz konusu değer takip eden dönemlerde değiştirilmez. Kontrol zayıflığı olarak sınıflandırılan bulgular “KZ” kısaltması ile kayda değer kontrol eksikliği olarak sınıflandırılan bulgular “KD” kısaltması ile önemli kontrol eksikliği olarak sınıflandırılan bulgular “ÖK” ile kısaltılarak kodlanır.
Önemlilik Derecesi 2: Önceki dönemlerde tespit edilen bir bulgunun önemlilik derecesinde cari dönem itibarıyla bir değişiklik varsa, güncel önemlilik derecesi bu alana yazılır. Eğer bulgunun önemlilik derecesi birden fazla kez değiştirilmişse, bu alanda yalnızca en son belirlenen önemlilik derecesine yer verilir. Önceki döneme göre herhangi bir değişiklik yoksa bu alan boş bırakılır.
Kaynaklar
Sermaye Piyasası Kurulu. (2018). Bilgi Sistemleri Bağımsız Denetim Tebliği (III‑62). https://spk.gov.tr/data/636df0c51b41c61a944eb99a/III-62.pdf