Bilgi Sistemleri Risk Yönetimi Bölümü (IRM)

Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimi ve bağımsız denetimine ilişkin usul ve esasların belirlenmesi amacıyla “Bilgi Sistemleri Yönetimi Tebliği” ve “Bilgi Sistemleri Bağımsız Denetim Tebliği” 05.01.2018 tarihinde Sermaye Piyasası Kurulu tarafından Resmi Gazete’de yayımlandı.

Yayımlanan mevzuat ile birlikte; tabi olan Kurum, Kuruluş ve Ortaklıklar, yönetim ve denetim tebliğleri içerisinde belitilen bilgi sistemleri yönetim ve denetim ilkelerine karşı yükümlü hale geldiler.

SPK Mevzuat Kapsamı

Yayımlanan mevzuat kapsamında yükümlü olan kuruluşların denetçileriyle düzenleyecekleri sözleşmeler, bilgi sistemleri denetiminin kapsamı, sızma testi ve yönetim beyanı çalışmalarına ilişkin detay bilgilere yer verilmiştir:

Bilgi Sistemleri Bağımsız Denetim Sözleşmesi

  • Denetim döneminin ilk 4 ayı içerisinde imzalanır
  • Sözleşmenin imzalanmaması halinde, konu en geç durumun ortaya çıktığı tarihi izleyen ilk iş gününde Kurula bildirilir
  • İmzalanan sözleşmeler en geç 6 iş günü içinde Kurul’a gönderilir

Bilgi Sistemleri Denetimi

  • Bilgi sistemlerinin yönetilmesi ve kontrol edilmesi amacıyla Tebliğ’de belirtilen maddeler kapsamında denetim çalışmaları gerçekleştirilir
  • Denetim çalışmaları 1 Ocak – 31 Aralık dönemini kapsayacak şekilde gerçekleştirilir
  • Gerçekleştirilen denetim çalışması sonucunda denetim raporu hazırlanır

Sızma Testi

  • Sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testi yaptırılır
  • Sızma testi çalışmaları «Bilgi Sistemleri Sızma Testleri Usul ve Esasları» kapsamında gerçekleştirilir
  • Sızma testi raporları bilgi sistemleri raporundan ayrı olarak hazırlanır ve tamamlanmasını müteakip bir ay içinde Kurula gönderilir

Yönetim Beyanı

  • Kuruluşlar bilgi sistemlerine ilişkin iç kontrolleri hakkında denetim dönemi itibariyle güvence veren ve yönetim kurulu tarafından onaylanmış olan yönetim beyanını bilgi sistemleri denetçisine sunar
  • Yönetim beyanı sadece bilgi sistemlerine ilişkin iç kontroller hakkında düzenlenir
  • Yönetim Beyanı çalışmaları «Yönetim Beyanına İlişkin Esaslar» kapsamında gerçekleştirilir

SPK tarafından yayımlanan tebliğ kapsamında denetime tabi olan Kurum, Kuruluş ve Ortaklıkların denetim periyotları ve denetim başlangıç tarihleri aşağıdaki tabloda yer almaktadır.

Kurum, Kuruluş ve Ortaklıkları Denetim Periyodu Denetim Başlangıç Tarihi
Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas kuruluşları, merkezi saklama kuruluşları ve veri depolama kuruluşları Her yıl 2018
Kısmî ve Geniş Yetkili Aracı Kurumlar, asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketleri 2 Yılda bir 2019
Asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. 3 Yılda bir 2020
Dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları, Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği, bağımsız denetim, derecelendirme ve değerleme kuruluşları, halka açık ortaklıklar, varlık finansmanı fonları, kolektif yatırım kuruluşları, emeklilik yatırım fonları, konut finansmanı fonları Periyodik denetim zorunluluğu bulunmamaktadır

KPMG Size Nasıl Yardımcı Olabilir?

SPK’ya tabi Kurum, Kuruluş ve Ortaklıkların yükümlü olduğu düzenlemeye ilişkin hizmetlerimiz, SPK tarafından yayımlanan tebliğ ile belirlenmiş olan kontrol hedefleri doğrultusunda mevcut uyum durumunun analiz edilmesini, tespit edilen eksikliklere göre iyileştirme aktivitelerinin gerçekleştirilmesini, denetim çalışmasının gerçekleştirilerek denetim raporunun oluşturulmasını, sızma testi çalışmasını ve yönetim beyanı danışmanlık hizmetlerini kapsamaktadır.

Bize ulaşın