Bilgi sistemleri bağımsız denetimi sonucunda düzenlenen raporlar, denetçinin denetim sürecinde elde ettiği bulgulara dayalı olarak kurum, kuruluş veya ortaklıkların bilgi sistemlerinin genel yapısı ve işleyişi hakkında ulaştığı kanaati yansıtan önemli belgelerdir.
Sermaye Piyasası Kurulu tarafından yayımlanan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) kapsamında, bilgi sistemleri bağımsız denetim raporunun yapısal ve içeriksel olarak taşıması gereken bazı temel unsurlar belirlenmiştir.
Tebliğin 26. maddesi uyarınca, bilgi sistemleri bağımsız denetim raporu; bilgi sistemleri denetçisinin denetlediği bilgi sistemleriyle ilgili oluşturduğu profesyonel görüşü içerir. Bu görüş, bilgi sistemlerinin ve bu sistemler üzerinde kurulu olan kontrollerin etkinliği, yeterliliği ve mevzuata uyumu açısından açık ve net bir şekilde ifade edilmelidir. Denetçi bu değerlendirmeyi, söz konusu tebliğin belirlediği denetim ilkeleri ve kriterleri çerçevesinde gerçekleştirir.
Raporun yapısal çerçevesi ise Tebliğin 28. maddesinde detaylandırılmıştır. Buna göre, bilgi sistemleri denetçisinin hazırlayacağı raporda aşağıdaki temel unsurlar yer almalıdır:
Başlık: Raporun türünü ve konusunu tanımlayan açık bir başlık.
Raporun Sunulduğu Merci: Denetim raporunun hangi kurum veya kurula sunulduğunu belirten ifade.
Giriş Paragrafı: Denetimin kapsamı, amacı ve uygulanan standartlara ilişkin açıklayıcı giriş.
Denetim Çalışmasına İlişkin Bilgi: Denetimin nasıl yürütüldüğüne dair yöntemsel bilgiler.
Genel Bilgi: Denetlenen kurum, kuruluş veya ortaklıkların bilgi sistemlerinin yapısı hakkında genel bilgiler.
İç Kontrol ve İç Denetim Değerlendirmesi: Kurumların bilgi sistemleriyle ilgili iç kontrol ve iç denetim yapılarının genel değerlendirmesi.
Yönetim Beyanı Hakkında Bilgi: Denetlenen kurumun yönetim kurulu tarafından onaylanan ve iç kontrol sistemine dair güvence veren beyanın rapora yansıması. Tebliğ tarafından bir raporun temel unsuru olarak belirtilmese de Yönetim Beyanı almak zorunlu kılınmıştır.
Geçmiş Denetim Bulguları ile Karşılaştırma: Önceki denetim dönemlerinde tespit edilen kontrol eksikliklerinin mevcut durum itibarıyla değerlendirilmesi. Tebliğ tarafından bir raporun temel unsuru olarak belirtilmese de Tebliğ denetçinin önceki yıl raporlarındaki bulguların değerlendirilmesini istemektedir. Denetçi, bu tespitlere ilişkin sonuç değerlendirmesi bölümünde konunun çözümüne ilişkin olarak denetlenen tarafından aksiyon planına uyumla beraber, zayıflık ve eksikliğin devam durumunu; “devam etmektedir”, “kısmen düzeltilmiştir” ya da “düzeltilmiştir” şeklinde raporunda ifade eder.
Denetlenen Kurum Tarafından Sunulan Aksiyon Planı: Denetim raporunda tespit edilen eksikliklere ilişkin olarak kurum tarafından oluşturulan ve uygulanmak üzere taahhüt edilen planın özeti. Tebliğ tarafından bir raporun temel unsuru olarak belirtilmese de Tebliğ kurum, kuruluş veya ortaklıkların aksiyon planı hazırlamak ve uygulamakla yükümlü olduğunu belirttiğinden raporda yer alabilir.
Denetçi Görüşü: Bilgi sistemlerinin etkinlik, yeterlilik ve uyumluluğu konularındaki denetçi görüşü. Tebliğ ayrıca, denetçi görüşünün “olumlu” olmaması yani “şartlı”, “olumsuz” veya “görüş bildirmekten kaçınma” şeklinde olması durumunda, bu görüşün gerekçeleriyle birlikte yazılı olarak kurum yönetimine iletilmesi gerektiğini hükme bağlamaktadır. Bu süreçte, ilgili yönetim kurulları bilgilendirilmekle yükümlüdür ve gerekli düzeltici adımların atılmasında asli sorumluluğa sahiptir. Denetçi görüşünü Sorumlu Bilgi Sistemleri Başdenetçisi verir.
Kısaltmalar ve Sözlük: Rapor boyunca kullanılan teknik terimlerin ve kısaltmaların açıklamaları.
Ek veya Dipnot Dizini: Raporun bütünlüğünü destekleyen ek belgeler ya da açıklayıcı dipnotlar.
Örnek Bilgi Sistemler Bağımsız Denetim Raporu PDF;
Örnek Bilgi Sistemleri Bağımsız Denetim Raporu Word Şablonu;
Kaynaklar
Sermaye Piyasası Kurulu. (2018). Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2). Resmî Gazete (Sayı: 30292). https://www.resmigazete.gov.tr/eskiler/2018/01/20180105-8.htm