Denetim sürecinde elde edilen çalışma kağıtlarının, denetim kanıtlarının ve dijital kayıtların belirli bir süre boyunca güvenli olarak gizlilik, bütünlük ve erişilebilirlik ilkelerini sağlayacak biçimde saklanması; yalnızca denetim standartlarının değil, aynı zamanda yasal düzenlemelerin, bilgi güvenliği ilkelerinin ve kurumsal sorumlulukların da ortak gerekliliğidir.
Türkiye’de yürürlükte bulunan Bağımsız Denetim Yönetmeliği’nin 35. maddesi, denetim kuruluşları ile denetimi üstlenen bağımsız denetçilerin, denetim sürecine ilişkin tüm belge ve kayıtları, “elektronik, manyetik ve benzeri ortamlarda tutulanlar dahil olmak üzere” on yıl süreyle saklamakla yükümlü olduklarını açıkça hükme bağlamaktadır (Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu, 2012). Aynı maddenin ikinci fıkrasında, bu belgelerin yalnızca saklanması değil, talep edilmesi hâlinde ibraz edilmesi ve incelenmesine uygun ortamın sağlanması da zorunlu kılınmıştır (Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu, 2012).
Ayrıca, Kalite Kontrol Standardı 1 (KKS 1) kapsamında da denetim belgelerinin saklanmasına yönelik ilkelere yer verilmiştir. Standart metnin A60. maddesinde “Denetim şirketinin çalışma kâğıtlarını saklama ihtiyacı ve süresi denetimin niteliğine ve şirketin içinde bulunduğu şartlara göre farklılık gösterecektir. Çalışma kâğıtlarının gelecek denetimlerde de önemini devam ettirecek konuların kaydını içermesi, bu şartlara örnek olarak gösterilebilir. Saklama süresi ayrıca mevzuatın belirli tür denetimler için özel saklama süreleri öngörüp öngörmediği; mevzuatta bu hususa ilişkin hükümlerin bulunmadığı hâllerde Kurum tarafından belirlenen saklama sürelerinin bulunup bulunmadığı gibi başka etkenlere de bağlı olabilir.” ile A61. maddesinde “Bağımsız denetimde saklama süresi, denetçi raporu tarihinden veya daha sonra olması hâlinde topluluk denetçisi raporu tarihinden itibaren başlamak üzere Kurum tarafından belirlenen süreden daha kısa olmaz” ibarelerine yer verilmiştir (Kalite Kontrol Standardı 1, 2018)
Bağımsız Denetim Yönetmeliği’ne benzer olarak Türk Ticaret Kanunu (TTK) 82. Maddesi’nin 5. fıkrası gereğince; Ticari defterlerini, envanterleri, açılış bilançolarını, ara bilançolarını, finansal tablolarını, yıllık faaliyet raporlarını, topluluk finansal tablolarını ve yıllık faaliyet raporlarını ve bu belgelerin anlaşılabilirliğini kolaylaştıracak çalışma talimatları ile diğer organizasyon belgeleri ve alınan ticari mektuplar on yıl süreyle saklamalıdır (Resmî Gazete, 2011).
Denetim süreci kapsamında kişisel veri içeren belgeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hükümlerine tabi olmakla birlikte, belirli şartlar altında açık rıza aranmaksızın işlenebilir ve saklanabilir. KVKK’nın 4. maddesinin ikinci fıkrasının (d) bendinde belirtilen ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ve 5. maddesinin ikinci fıkrasında açıkça belirtildiği üzere, kişisel verilerin işlenmesi; (a) kanunlarda açıkça öngörülmesi, (ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi ve (e) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hallerinde, ilgili kişinin açık rızasına gerek kalmaksızın hukuka uygun sayılmaktadır (Kişisel Verilerin Korunması Kurumu, 2016).
Bunun yanı sıra denetlenen kuruluş için ise, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu (2019) tarafından yayımlanan Bağımsız Denetim Standardı 500 kapsamında, denetim sürecine konu olan bilgi ve belgelerin dijital doğası nedeniyle zamanla erişilemez hâle gelebileceği ifade edilmekte ve şu uyarıya yer verilmektedir:
“Bazı elektronik bilgiler, belli bir süre sonra (örneğin, dosyalar değiştirilmişse ve yedek dosyalar mevcut değilse) geri kullanılabilirliğini kaybedebilir. Dolayısıyla, işletmenin veri saklama politikalarının bir sonucu olarak denetçi, gözden geçirmek için bazı bilgilerin saklanmasını talep etmeyi veya bilgilere erişilebildiği bir zamanda denetim prosedürlerini uygulamayı gerekli bulabilir.” (Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu, 2019).
Kaynaklar
Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu. (2012). Bağımsız Denetim Yönetmeliği. Resmî Gazete (Sayı: 28509). https://www.resmigazete.gov.tr/eskiler/2012/12/20121226-5.htm
Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu. (2019). Bağımsız Denetim Standardı 500: Bağımsız denetim kanıtları. https://www.kgk.gov.tr/Portalv2Uploads/files/Duyurular/v2/BDS/BDS_500_kurumsitesi.pdf
Resmî Gazete. (2011). Türk Ticaret Kanunu (Kanun No: 6102). Sayı: 27846. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6102&MevzuatTur=1&MevzuatTertip=5
Kişisel Verilerin Korunması Kurumu. (2016). 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kalite Kontrol Standardı 1. (2018). https://www.kgk.gov.tr/Portalv2Uploads/files/PDF%20linkleri/standartlar%20ve%20ilke%20kararlar%C4%B1/KAL%C4%B0TE%20KONTROL%20STANDARTLARI/kks1.pdf