BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi) Sayı: BDDK.BYD.138/1 13.11.2007 Konu: Bankaların konsolidasyona tabi ortaklıklarında gerçekleştirilecek bilgi sistemleri denetimi ve rapor formatı GENELGE BSD.2007/1 Bağımsız denetim kuruluşları tarafından bankalarda gerçekleştirilecek bilgi sistemleri denetimlerine ve bu denetimler sonucu hazırlanacak raporlara ilişkin usul ve esaslar, 16/5/2006 tarihli ve 26170 sayılı Resmi Gazete de yayımlanarak yürürlüğe giren Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik (Yönetmelik) ve 5/12/2006 tarihli ve 26367 sayılı Resmi Gazete de yayımlanarak yürürlüğe giren Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine Đlişkin Rapor Formatı Hakkında Tebliğ (Tebliğ) ile belirlenmiştir. Yönetmeliğin 2 nci maddesi ve 4 üncü maddesinin birinci fıkrasının (g) bendi uyarınca, bankaların konsolidasyon kapsamındaki ortaklıkları (ortaklık), bağımsız denetim kuruluşlarınca gerçekleştirilecek bilgi sistemleri denetimi kapsamına girmektedir. Konsolidasyon kapsamındaki bu kuruluşların denetimine Yönetmeliğin geçici 1 inci maddesi uyarınca 1/1/2007 tarihinden itibaren başlanmıştır. Ortaklıkların bilgi sistemleri denetimi Yönetmelik ve Tebliğ ile belirlenen esaslar çerçevesinde gerçekleştirilecek olup, söz konusu denetimlere ilişkin olarak bağımsız denetim kuruluşları ile imzalanacak sözleşmeler ve konsolide bilgi sistemleri denetiminin kapsamının belirlenmesi hakkında açıklayıcı hususların belirtilmesi ile konsolide bilgi sistemleri denetiminin raporlanmasına ilişkin içerik ve şekil şartlarının belirlenmesi bu Genelge ile gerçekleştirilmiştir. Bu Genelge ile, 20/3/2007 tarih BDDK.BYD.138/4008 sayılı ve Konsolide Bilgi Sistemleri Denetimi konulu yazı ile duyurulan hususlar hükümsüz kalmıştır. 1)Sözleşmeler Bağımsız denetim kuruluşları ile bankalar arasında bilgi sistemleri denetiminin gerçekleştirilmesine yönelik olarak imzalanan sözleşmelerin bilgi sistemleri denetimi gerçekleştirilecek ortaklıkları ve bu ortaklıklarda gerçekleştirilecek denetimlere ilişkin bilgileri içermeleri durumunda, her bir ortaklık için ayrı sözleşme imzalanması zorunlu değildir. 2)Denetim kapsamı Konsolide bilgi sistemleri denetimi kapsamında denetime tabi tutulacak kuruluşlar, 8/11/2006 tarihli ve 26340 sayılı Resmi Gazete de yayımlanarak yürürlüğe giren Bankaların 1 / 4
Konsolide Finansal Tablolarının Düzenlenmesine Đlişkin Tebliğ in 5 inci maddesinde yer alan ve konsolide finansal tabloların düzenlenmesi çalışmalarına dahil edilecek kuruluşların tespitinde de esas alınan hükümler doğrultusunda belirlenir. Bağımsız denetim kuruluşu, ortaklıklarda yapılacak bilgi sistemleri denetiminin kapsamını, önemlilik kriterini kullanarak ve konsolidasyona esas finansal bilgiyi üreten bilgi sistemleri ve/veya süreçler üzerindeki kontrollerin etkinliğinin ve yeterliliğinin tespit edilmesini sağlayacak şekilde belirler. Bankaların konsolide bazda finansal denetime tabi tutulmaları esnasında, ortaklıklar farklı bağımsız denetim şirketleri tarafından denetlenebilmekte ve hazırlanan denetim raporları, 01/11/2006 tarihli ve 26333 sayılı Resmi Gazete de yayımlanarak yürürlüğe giren Bankalarda Bağımsız Denetim Gerçekleştirecek Kuruluşların Yetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik in Diğer Bağımsız Denetçiler ile Đşbirliği başlıklı 41 inci maddesi ile Diğer Denetçinin Çalışmalarından Faydalanma başlıklı UDS 600/Uluslararası Denetim Standardı ndaki usul ve esaslar çerçevesinde, konsolide finansal denetimi gerçekleştiren bağımsız denetim şirketleri tarafından kullanılabilmektedir. Ortaklıklarda bilgi sistemleri denetiminin ifası sürecinde de aynı usul ve esaslar çerçevesinde hareket edilir. Buna göre ortaklıkların her birinin bilgi sistemleri denetimi, ortaklığın finansal denetimini gerçekleştiren bağımsız denetim şirketi tarafından yürütülebileceği gibi bankanın denetimini gerçekleştiren bağımsız denetim şirketi tarafından da yürütülebilir. Denetim yılı içerisinde satın alma, birleşme veya satılma gibi sebeplerle konsolidasyon kapsamına giren ya da konsolidasyon kapsamından çıkan ortaklıkların, konsolide bilgi sistemleri denetiminin kapsamına girip girmediklerinin belirlenmesinde, yıl sonu konsolide finansal tablolara ilişkin denetimlerin kapsamlarının belirlenmesindeki usul ve esaslar kullanılır. 3)Rapor formatı Bu Genelge, Tebliğ ile düzenlenen solo bilgi sistemleri denetimi raporundan ayrı hazırlanacak olan konsolide bilgi sistemleri denetimi raporuna ilişkin hususları düzenlemektedir. Bağımsız denetim kuruluşu, denetim sonucunda banka ve ortaklıkları ile ilgili konsolide bilgi sistemleri denetimi raporu hazırlar. Raporda, banka ve ortaklıklarda tespit edilen bulguların nde, bulguların konsolide mali tablonun gerçek durumu yansıtması, bu tablodan yararlanılarak ölçülen konsolide yasal yükümlülükler üzerindeki etkileri ile 1/11/2006 tarihli ve 26333 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Bankaların Đç Sistemleri Hakkında Yönetmelik uyarınca banka yönetiminin konsolide bazda da tesis etmek durumunda olduğu sistemlerle ilişkisine (bulgunun, böyle bir sistemin kurulmamasından, kurulu bir sistemin çalışmamasından veya yetersizliğinden dolayı ortaya çıkması vb.) yer verilir. Konsolide bilgi sistemleri denetimi raporu aşağıdaki bölümleri içerir. 3.1)Denetim mektubu Tebliğ in 13 üncü maddesinin beşinci fıkrası uyarınca görüş bildirilir. 2 / 4
3.2)Yönetici Özeti Tebliğin 14 üncü maddesinin birinci fıkrasının (a) ve (b) bentlerinde belirtilen bilgiler, banka ve ortaklıklarında tabloya etkileri bakımından öne çıkan bulgular ve bu bulguların değerlendirmeleri sunulur. Konsolide edilecek finansal bilgiyi üreten bilgi sistemi ve/veya süreç ile banka ve ortaklıklar arasında finansal bilgi akışı hakkında genel bir değerlendirme yapılır. 3.3)Đçindekiler Đçindekiler bölümü hazırlanır. 3.4)Banka iştirakleri ile ilgili tablo Denetlenen bankanın pay sahibi olduğu tüm kuruluşların isimleri, konsolidasyon kapsamına girip girmedikleri, konsolide finansal denetime ve bilgi sistemleri denetimine tabi tutulup tutulmadıkları bilgilerini içeren Ek-1 de sunulan tablo doldurulur. 3.5)Denetim metodolojisi Ortaklılıklarda gerçekleştirilen denetim sırasında uygulanan denetim metodolojisi açıklanır. 3.6)Banka ve ortaklıkların tabloya etkileri açısından değerlendirilmeleri Banka ve ortaklıklarda tespit edilen hususlar ve bu hususların tabloya etkileri bu bölümde sunulur. 3.6.1)Bankanın etkisi Bankada tespit edilen bulgular, değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-2, Ek-3, ve Ek-4 te yer alan tablolardan uygun olanları doldurularak sunulur. 3.6.2)Ortaklıkların etkileri Bilgi sistemleri denetimine dahil edilen her ortaklık için aşağıdaki bilgiler sunulur. 3.6.2.1)Ortaklığa ilişkin genel bilgi Ortaklığın adı, ortaklık yapısı (iştirak, bağlı ortaklık ya da birlikte yönetilen ortaklık olma durumu), faaliyetleri ve bilgi sistemleri denetimine dahil edilme sebepleri hakkında bilgi verilir. 3.6.2.2)Denetim kapsamı Ortaklıkta, uygulama kontrolleri ve genel kontroller denetimlerinden hangilerinin gerçekleştirildiği, hangi süreçlerin/kontrol hedeflerinin denetlendiği ve bu süreçlerin/kontrol hedeflerinin seçilmesinde kullanılan önemlilik değerlendirmesi sunularak denetim kapsamı hakkında bilgi verilir. 3.6.2.3)Genel Değerlendirme Gerçekleştirilen bilgi sistemleri denetimi sonucunda, konsolide finansal bilgilerinin tanımlanması, üretilmesi, kullanılması, doğruluk, bütünlük ve güvenilirliğinin sağlanması konularında, bilgi sistemleri denetimine tabi tutulan ortaklığın etkisinin yapılır. Denetim kapsamı ile sınırlı olmak üzere, uygulama kontrolleri bölümünde denetlenen süreçlerin etkinlik ve yeterliliğinin ve genel kontroller bölümünde denetlenen kontrol hedeflerinin yapılır. 3 / 4
3.6.2.4)lar Ortaklıklarda tespit edilen bulgular, değerlendirilerek sınıflandırılır. Kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırılan bulgular Ek-2, Ek-3, ve Ek-4 te yer alan tablolardan uygun olanları doldurularak sunulur. Tebliğ olunur. EKLER: 1- Banka iştirakleri ile ilgili tablo. 2- tablosu (Đç kontrol ve iç denetim yapısı). 3- tablosu (Uygulama kontrolleri). 4- tablosu (Genel kontroller). Tevfik BĐLGĐN Başkan 4 / 4
Ek-1: Bankanın pay sahibi olduğu kuruluşlar ile ilgili tablo 1 2.. Kuruluş Finansal kuruluş olma durumu Konsolide finansal denetime tabi Bilgi sistemleri denetimine tabi Not: Đkinci, üçüncü ve dördüncü sütunlarda hücreler olumlu durumlarda işareti ile, olumsuz durumlarda ise boş bırakılarak doldurulur.
Ek-2: tablosu (Đç kontrol ve iç denetim yapısı) Đç kontrol ve iç denetim yapısı a. Önemli Kontrol Eksiklikleri nun No 2 Süreç / Uygulama b. Kayda Değer Kontrol Eksiklikleri nun No 2 Süreç / Uygulama
Uygulama Kontrolleri a. Önemli Kontrol Eksiklikleri nun No 2 Süreç / Uygulama b. Kayda Değer Kontrol Eksiklikleri nun No 2 Süreç / Uygulama Ek-3: tablosu (Uygulama kontrolleri)
Genel Kontroller a. Önemli Kontrol Eksiklikleri nun No 2 Süreç / Uygulama b. Kayda Değer Kontrol Eksiklikleri nun No 2 Süreç / Uygulama Ek-4: tablosu (Genel kontroller)