BSD Rapor Formatı Tebliği_Değişmiş Hali - Bankacılık Düzenleme ...

a) Önemlilik ilkesi çerçevesinde denetime tabi tutulan tüm kontrollerin tasarımlarınınetkin olduğunu,b) Bu kontrollerin; iş hedefleri, Kanun ve bu Kanuna istinaden yayımlanan altdüzenlemeler ve talimatlar çerçevesinde kendilerinden beklenen sonucu üretebilecek vemaruz kalınabilecek riskleri telafi edebilecek şekilde tasarlandıklarınıifade eder.(5) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindekikontrollerin etkin olması,c) Önemlilik ilkesi çerçevesinde denetime tabi tutulan tüm kontrollerin işletimlerininetkin olduğunu,d) Bu kontrollerin, kendilerinden beklenen işlevleri ve kontrol hedeflerini layıkıylayerine getirdikleriniifade eder.(6) Denetçi, tasarım ve işletim etkinliğini test edeceği kontrollerin kapsamını, önemlilikilkesini gözeterek ve test edeceği kontrol kümesinin bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemler üzerindeki kontrollerin bütününün yeterliliği ve etkinliği hakkındakendisine makul bir güvence sağlayacağı şekilde belirler.ÖnemlilikMADDE 6 – (1) Önemlilik kavramı mesleki tecrübeye dayalı bir yargı konusudur veönemlilik, kontrol zayıflıkları sonucu ortaya çıkan hataların, ihmallerin, prosedürlereaykırılıkların ve yasa dışı fiillerin, bankaların finansal verilerini raporlamalarına, güvenli vekesintisiz hizmet sağlamalarına olan etkisinin değerlendirilmesidir. Bilgi sistemleri denetimisürecinde önemlilik kavramı, denetimin planlanması, gerekli alanlarda yoğunlaştırılması,bulguların değerlendirilmesi ve raporlanması için kullanılabilir. Finansal verilerin bütünlüğü,tutarlılığı, güvenilirliği, gereken durumlarda gizliliği ve faaliyetlerin sürekliliği önemlilikkavramı kapsamında dikkate alınması gereken temel unsurlardır. Finansal raporları etkileyenkontrollerin değerlendirilmesinde, süreç veya sistem tarafından yürütülen finansal işlemindeğeri, işlem sıklığı gibi öğeler kullanılırken, finansal işlemlere ilişkin olmayan kontrollerindeğerlendirilmesinde ise iş sürecinin kritikliği, sistem ve operasyonların maliyeti, hatalarınmuhtemel sonuçlarının büyüklüğü, bir zaman aralığında gerçekleşen işlem/sorgu sayısı,tutulan dosyaların ve üretilen raporların niteliği, zamanlaması ve kapsamı, hizmet seviyesianlaşmalarının gerekleri ve ceza maddelerindeki para cezası tutarları gibi öğeler kullanılır.(2) Denetçi, raporu hazırlarken kontrol zayıflık ve eksikliklerini önemlilik kavramınagöre tasnif etmede aşağıda belirtilen kriterleri kullanır:a) Kontrol zayıflığı: Bir kontrolün tasarımının veya işletilmesinin, hataları zamanındaönleme ve tespit etmeye olanak sağlamaması durumudur.1) Tasarımdaki kontrol eksikliği, bir kontrol hedefinin gerçekleşmesini sağlayacakkontrolün bulunmamasından kaynaklanabileceği gibi, var olan bir kontrolün tasarlandığışekilde çalışıyor olsa bile tasarımındaki hatalardan dolayı kendisinden beklenen kontrolhedefini gerçekleştirememesinden de kaynaklanabilir.2) Đşletimdeki kontrol eksikliği, düzgün tasarlanmış bir kontrolün tasarlandığı şekildeçalışmamasından kaynaklanabileceği gibi, kontrolü gerçekleştiren personelin, kontrolün etkinbir şekilde yerine getirilmesi için gerekli yetki ve yeterliliğe sahip olmamasından dakaynaklanabilir.b) Kayda değer kontrol eksikliği: Bankanın finansal verilerinin bütünlüğünün,tutarlılığının, güvenilirliğinin ve gereken durumlarda gizliliğinin sağlanmasına, faaliyetlerinindevamlılığının teminine olumsuz etki yapması muhtemel bir kontrol zayıflığı veya birkaçkontrol zayıflığının bir araya gelmesi sonucu oluşan önemsiz sayılamayacak eksiklik olaraktanımlanır. Banka finansal verilerinin güvenilir bir şekilde genel kabul görmüş muhasebestandartlarına uygun olarak kaydedilmesi, kayıtların yetkilendirilmesi, işlenmesi veya3

Anahtar kontrollerMADDE 7 – (1) Anahtar kontroller, bir sürecin sahibine kontrol hedeflerininkarşılandığına dair en fazla güvence veren kontrollerdir. Bir kontrolün anahtar kontrol olupolmadığı değerlendirilirken aşağıdaki kriterler kullanılabilir:a) Anahtar kontroller genellikle, önemli riskleri azaltmak ve ilişkili kontrol hedeflerinigerçekleştirmek için yönetim açısından önemlilik arz eden politika, prosedür, uygulama veorganizasyon yapısı gibi unsurları içerir.b) Anahtar kontroller genellikle birden fazla kontrol hedefini destekleyen kontrollerdir.c) Önemli risklere hitap eden veya bir kontrol hedefinin gerçekleşmesini doğrudansağlayan kontroller genellikle anahtar kontrollerdir.ç) Bir hatayı veya riski gerçekleştikten sonra tespit etmek yerine gerçekleşmeden öncetespit etmeye yönelik olan kontroller genellikle anahtar kontrollerdir.Đş akış diyagramlarıMADDE 8 – (1) Đş akış diyagramları, denetlenen tarafından hazırlanan ve iş akışsüreçlerinde;a) Süreç adımlarının,b) Otomatik/manuel kontrollerin,c) Sürecin özel durumlarını da gösteren alternatif akış yollarının ve özelleşmişsüreçlerin,ç) Paralel işleyen adımların,d) Aktörlerin,e) Anahtar kontrollerin,gösterildiği diyagramlardır. Bu diyagramlar oluşturulurken, diyagramların anlaşılırolmasına, farklı akış yollarının gösterilmesine ve gerekli yerlerde referansların belirtilmesineözen gösterir.BulgularMADDE 9 – (1) Denetçi, yeterli ve uygun denetim kanıtlarıyla desteklenecek şekildeve 6 ncı maddenin ikinci fıkrasının (b) ve (c) bentlerinde belirtilen kayda değer kontroleksikliklerini ve önemli kontrol eksikliklerini, sınıflandırarak raporunda yer verir.(2) Denetçi, bulguları ifade ederken, denetim amaçlarının gerektirdiği kadarıyla bubulgulara dair kriter, durum, sebep ve etki gibi unsurlara yer verir.a) Kriter: Bulgunun ilişkili olduğu alanla/faaliyetle ilgili olarak bu faaliyetin/alanınolması gerektiği durumu veya bu faaliyetten/alandan ne beklendiğini,b) Durum: Bulgunun ilişkili olduğu alanın/faaliyetin mevcut uygulanma şekli veyadurumunu,c) Sebep: Kriter ile durum arasındaki farkın temel sebeplerini,ç) Etki: Kriter ile durum arasındaki farklılıkların potansiyel etkisini,ifade eder.(3) Tek başına önemlilik arz etmeyen bulgular, başka bulgularla birleştiğinde deönemlilik arz etmiyorsa, denetçi bu bulguları denetlenenin yetkililerine yazı ile iletir ve böylebir yazının denetlenenin yetkililerine iletildiği ifadesine raporunda yer verir.(4) Denetçi, topladığı denetim kanıtlarına dayanarak sahtecilik, kanun dışı uygulamalar,sözleşme ihlali, suiistimal, çift kayıt sistemi veya mükerrer bilgi sistemleri gibi hallerden birveya birkaçının bulunduğu kanaatine varırsa, bunları raporda bulgu olarak ifade eder.Denetlenenin görüşleriMADDE 10 – (1) Denetçi bulgular, sonuçlar ve varsa planlanan düzeltme çalışmalarıhakkında denetlenenin görüşlerini raporlar.(2) Denetlenenin görüş bildiremediği veya görüş bildirmeyi reddettiği durumlara,nedenleriyle birlikte raporunda yer verir.5

Bulgularla ilgili sonuç değerlendirmesiMADDE 11 – (1) Denetçi, raporda denetim amaçları, denetim bulguları ve varsadenetlenenin görüşlerini yorumlayarak kendi çıkarımları ve görüşleri doğrultusundadeğerlendirmelere yer verir. Bu değerlendirmelerde denetimde ortaya çıkan bulgulara kendigözlemlerini de katarak ve bulguların aynen tekrarından kaçınarak, bulguların nasılanlaşılması gerektiği hakkında yorum yapar.(2) Denetçi, denetlenenin görüşlerine katılmadığı veya planlanan düzeltmeçalışmalarının uygun olmadığını düşündüğü takdirde buna sonuç değerlendirmesinde ayrıcayer verir. Denetçi, denetlenen tarafın görüşlerini haklı bulması halinde, raporda ilgilidüzeltmeleri yapar.(3) Herhangi bir bulgunun düzeltildiğine dair bir beyanın rapor tarihinden öncedenetlenen tarafından denetçiye ulaşması durumunda, tespit edilen her bir bulgu için birerdefaya mahsus olmak koşuluyla, denetçi denetlenenin beyanını doğrulamak için bu bulgununson durumunu tahlil eder, bulgunun ortadan kalktığı kanaatine ulaşırsa bulgunundüzeltildiğine dair yargısına raporun bulguya ilişkin sonuç değerlendirmesi bölümünde yerverir.ÜÇÜNCÜ BÖLÜMRapor ĐçeriğiĐçerikMADDE 12 – (1) Denetçinin hazırlayacağı rapor aşağıdaki unsurları içerecek şekildedüzenlenir :a) Başlık,b) Raporun sunulduğu merci,c) Denetim mektubu,ç) Yönetici özeti,d) Đçindekiler,e) Denetim metodolojisi,f) Denetlenenin bilgi sistemleri hakkında genel bilgi,g) Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirme,ğ) Uygulama kontrolleri denetimi bölümü,h) Genel kontroller denetimi bölümü,ı) Denetim ekibi ve süresi,i) Kısaltmalar,j) Sözlük.Denetim mektubuMADDE 13 – (1) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgisistemleri denetimi raporunu imzalamaya yetkili kişiler, yapılan denetim sonucunda herhangibir önemli kontrol eksikliğinin bulunmaması ve denetim kapsamında herhangi bir kısıtlamaya da engelleme ile karşılaşılmaması durumunda, kendilerine bağlı bağımsız denetimekiplerinin de görüşlerini alarak, ek-5’te yer alan örneğe uygun olarak olumlu görüşbildirirler.(2) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimiraporunu imzalamaya yetkili kişiler, kendilerine bağlı bağımsız denetim ekiplerinin degörüşlerini alarak;a) Yapılan bilgi sistemleri denetimi sonucunda en az bir önemli kontrol eksikliğiylekarşılaşmalarına rağmen, bu eksikliklerin denetlenenin bilgi sistemleri ile finansal veriüretimine ilişkin süreç ve sistemlerinin bütününü veya büyük bir kısmını etkilemediğinidüşündükleri durumda veya,6

) Görüş bildirmekten kaçınmayı gerektirecek önemde olmamakla birlikte, bilgisistemleri denetim faaliyetlerini sınırlayan herhangi bir hususun varlığı veya yeni tesis edilmişbir sistem veya süreç hakkında yeterince bilgi edinememeleri durumundaek-6’da yer alan örneğe uygun olarak şartlı görüş bildirirler.(3) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimiraporunu imzalamaya yetkili kişiler, yapılan bilgi sistemleri denetimi sonucunda denetleneninbilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerinin bütününü veya büyükbir kısmını etkileyen en az bir önemli kontrol eksikliğiyle karşılaşmaları durumunda,kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, ek-7’de yer alan örneğeuygun olarak olumsuz görüş bildirirler.(4) Yönetmeliğin 28 inci maddesinin üçüncü fıkrası uyarınca bilgi sistemleri denetimiraporunu imzalamaya yetkili kişiler, bağımsız denetim çalışmalarında karşılaşılan belirsizlikve sınırlamaların görüş belirtilmesini engelleyecek derecede önemli olduğunu düşündükleridurumlarda, kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, bilgisistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindeki kontroller hakkındagörüş bildirmekten kaçınabilirler. Bu durumda denetim mektubu ek-8’de yer alan örneğeuygun olarak düzenlenir. Görüş bildirmekten kaçınma durumunda düzenlenecek raporda,kaçınmaya yol açan nedenlere ilişkin denetçi görüşlerine yer verilmesi şarttır.(5) Bankalarda ve konsolidasyona tabi ortaklıklarında gerçekleştirilen bilgi sistemleridenetimi sonucunda bu Tebliğin 5 inci ve 6 ncı maddelerinde belirtilen hükümler ile bumaddede belirtilen görüş çeşitleri çerçevesinde; olumlu, şartlı veya olumsuz görüşe varılmasıhallerinde, sırasıyla ek-9, ek-10, ek-11 de yer alan örneklere uygun olarak denetim mektubudüzenlenir. Görüş bildirmekten kaçınmayı gerektirecek şartların varlığı halinde ise, denetimmektubu ek-12’de yer alan örneğe uygun olarak düzenlenir.(6) Bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemler üzerindekikontroller, kontrol hedeflerinin gerçekleştirilmesine dair mutlak bir güvence veremezler. Sözkonusu kontroller, içinde insan faktörünü ve insan muhakemesini barındırdığından hatalaraaçıktır. Kontrollerin doğasında bulunan bu gibi kısıtlar dolayısıyla bilgi sistemleri ile finansalveri üretimine ilişkin süreç ve sistemler üzerinde kontrol zayıflıkları bulunabilir ve zamanındatespit edilemeyebilir. Bu hususlar iç kontroller için doğal kısıtlar olarak kabul edilmeklebirlikte, iç kontrolleri etkin bir şekilde tasarlayarak ve işleterek bu riskleri azaltmakmümkündür.Yönetici özetiMADDE 14 – (1)Yönetici özeti aşağıda belirtilen şekilde hazırlanır:a) Denetçi, bu bölümde denetimin amaçlarını tanımlar ve bu denetim amaçlarınaerişmek için uyguladığı denetimin kapsam ve metodolojisini özet olarak açıklar.1) Denetçi, neden bu görevi üstlendiğini ve bu raporun hazırlanış amacını içerecekşekilde, denetim amaçlarını açık ve net olarak ifade eder.2) Denetçi, denetim çalışmasının önemlilik kavramı çerçevesinde belirlenen kapsamınıaçık ve net bir şekilde ifade eder. Denetim kapsamı ifade edilirken, denetçiyi bu kapsamıseçmeye zorlayan herhangi bir sınırlama varsa, bu sınırlamalar da açık bir şekilde ifade edilir.b) Yapılan denetim çalışmasına ilişkin olarak genel bir değerlendirmeye yer verilir.c) Denetçinin tespit ettiği bulgular arasından öne çıkanlar ve bu bulguların taşıdıkları işrisklerine yer verilir.ç) Uygulama kontrollerine ve yapıldıysa genel kontrol alanlarına ilişkin denetimsonucunda ortaya çıkan bulgular da dikkate alınarak, denetlenenin durumu hakkında genel birdeğerlendirmeye yer verilir.d) Denetim dönemi içerisinde genel kontrol alanları denetimi yapılmışsa, Yönetmeliğin14, 15, 16 ve 17 nci maddelerinde açıklanan genel kontrol alanlarının her biri içindenetlenenin bir önceki yıla ait denetiminde tespit edilen olgunluk seviyeleri ile7

karşılaştırmalı olarak ek–1’de tanımlanan şekliyle olgunluk seviyesi grafiği hazırlanarak, bubölüme eklenir.Denetim metodolojisiMADDE 15 – (1) Denetçi, denetim amaçlarını gerçekleştirmek için yapılan denetimçalışmasını, kanıt toplama ve analiz tekniklerini de ihtiva edecek şekilde ve raporuokuyanların hangi denetim amaçlarının hangi yöntemlerle karşılandığını anlayabileceğidetayda, açık ve net bir şekilde denetim metodolojisi başlığı altında ifade eder. Bu çerçevededenetim metodolojisi bölümü asgari olarak aşağıdaki hususları içerir:a) Denetim çalışması yürütülürken dikkate alınan önemli varsayımlar,b) Denetim sırasında kullanılan denetim kanıtı toplama ve analiz teknikleri,c) Örneklemenin kullanıldığı durumlarda; kullanılan örnekleme yöntemi, neden buyöntemin kullanıldığı ve kullanılan bu örnekleme yöntemi sonucunda elde edilen bulgularınpopülasyonun bütününe genellenip genellenemeyeceği hakkında bilgi.Denetlenenin bilgi sistemleri hakkında genel bilgiMADDE 16 – (1) Bilgi sistemlerinin değerlendirilmesi kısmı aşağıdaki hususları içerir:a) BT bölümü çalışan profili hakkında bilgi,b) BT bölümünün organizasyon yapısına dair bilgi,c) Ana bankacılık faaliyetlerinin yürütülmesinde kullanılan uygulamalar/sistemler/araçlar hakkında genel bilgi,ç) Denetlenenin bilgi sistemi mimarisi hakkında özet bilgi,d) Denetlenenin ağ altyapısının anlatılması ve ağ topolojisi,e) Ana bankacılık faaliyetleri ile ilgili yazılımların ve araçların bilgi sistemlerimimarisi üzerinde gösterimi,f) Genel kontrol alanları denetimi yapılmışsa, değişiklik yönetimi, güvenlik yönetimivb. gibi kritik kontrol hedeflerini destekleyen araçlar hakkında özet bilgi.Denetlenenin iç kontrol ve iç denetim yapısına ilişkin değerlendirmeMADDE 17 – (1) Denetçi, raporun bu bölümünde aşağıdaki hususlara yer verir:a) Đç denetim biriminin, finansal raporlama sistemlerine ilişkin iç kontrollerinindenetimi kapsamında yapmış olduğu planlamaların, faaliyetlerin ve denetim sonuçlarınıntakibinin değerlendirilmesi,b) Yönetimin finansal raporlama sistemlerine ilişkin iç kontrollerin tesis edilmesi vesağlıklı bir şekilde işletilmesine verdiği önem, söz konusu kontrollerin yeterliğini veetkinliğini ölçmedeki performansının değerlendirilmesi,c) Yöneticilerin finansal raporlama sistemlerine ilişkin iç kontrollerle ilgili riskdeğerlendirme sürecinin değerlendirilmesi.(2) Denetçi, BT denetim ekibiyle ilgili olarak:a) Ekibin profilini,b) Faaliyetlerini,c) Yapmış oldukları denetim çalışmalarını,ç) Organizasyon içerisindeki yerlerini,raporunda belirtir.(3) Denetçi, bu bölümün sonunda bu bölüm kapsamında tespit ettiği her bir bulguyailişkin; bulgunun içerdiği iş risklerine, denetlenenin görüşüne ve sonuç değerlendirmesine yerverir.Uygulama kontrolleri denetimiMADDE 18 – (1) Bu madde kapsamında kullanılan denetçi kavramı Yönetmeliğin 12nci maddesinin üçüncü fıkrasında bahsi geçen yetkili meslek personelini ve bilgi sistemleridenetçisini ifade eder.8

(3) Denetçi, bu kapsam dahilinde seçilen kontrol hedeflerine ilişkin denetlenenindurumuna ve yapmış olduğu denetim çalışmasına ilişkin bir genel değerlendirme yapar.Ayrıca, denetlenenin BT bölümünde COBIT veya varsa diğer standartlara uyum için yapmışolduğu çalışmalar hakkında bilgi verir.(4) Denetçi, Yönetmeliğin 14, 15, 16 ve 17 nci maddelerinde açıklanan genel kontrolalanlarının her biri için aşağıdaki bilgilere raporunda yer verir:a) Kontrol alanına ilişkin denetlenenin durumu hakkında genel bir değerlendirme,b) Geçmiş dönemlerde yapılan denetimlerdeki seviye ile karşılaştırma vedeğerlendirme,c) Geçmiş dönemlerdeki bulgulardan halen devam edenler ile çözülmüş olanlarındeğerlendirilmesi ve bu bulgulara ilişkin denetlenenin görüşü,ç) Kontrol alanına ait bulguların, bu bulguların içerdiği BT ile iş risklerinin ve bubulguların ait oldukları kontrol hedefinin belirtildiği bir liste.(5) Denetçi, kontrol alanlarının altında yer alan ve önemlilik kriterine göre seçtiği herbir kontrol hedefi için aşağıda yer alan unsurlara raporunda yer verir:a) Seçilen kontrol hedefinin ismi,b) Kontrol hedefinin sorumlusu,c) Kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünündeğerlendirilmesiyle elde edilen, kontrol hedefine ilişkin olgunluk seviyesi,ç) Denetçi tarafından belirlenen olgunluk seviyesinin, denetlenen tarafından nasıl vehangi kontrollerle sağlandığı ve/veya hangi kontrollerin eksik olduğu.(6) Denetçi, önemlilik kriterine göre seçtiği her bir kontrol hedefine ait bütün detaylıkontrol hedefleri için ek–4’de yer alan tabloya raporunda yer verir.DÖRDÜNCÜ BÖLÜMÇeşitli ve Son HükümlerYürürlükMADDE 21 – (1) Bu Tebliğin 18 inci maddesinin altıncı fıkrasının (b) bendi 1/1/2007tarihinde, diğer hükümleri yayımı tarihinde yürürlüğe girer.YürütmeMADDE 22 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme KurumuBaşkanı yürütür.10

EK – 1Geçmiş Dönemle Karşılaştırmalı Kontrol Hedefleri Olgunluk Seviyesi GrafiğiDeğerlendirilenOlgunlukseviyeleri5 –4 –GeçmişDönemCariDönemdeSaptananGeçmişDönemCariDönemdeSaptananKontrol AlanıAdı3 –2 –1 –0 –KontrolHedefi –1KontrolHedefi –2KontrolHedefleri1- Denetçi, dört kontrol alanı için de ayrı ayrı bu tabloyu düzenler.2- Kontrol alanları içerisinde önemlilik kriteri değerlendirilerek seçilen her bir kontrolhedefine ilişkin sütun tabloya eklenir.3- Geçmiş dönemdeki denetimde ilgili kontrol hedefinin denetlenmediği durumlardadenetçi sadece cari döneme ilişkin sütuna yer verir.11

EK -2 : Uygulama Kontrolleri TablosuSüreç :Uygulama Adı :Kontrol Genel AlanıKontrol NoktalarıKontrolNumarasıKontrol TanımıAnahtarKontrolTestVeri Oluşturma YetkilendirmeKontrolleriGirdi KontrolleriVeri Đşleme KontrolleriÇıktı KontrolleriSınır KontrolleriVeri hazırlama prosedürleriKaynak belge yetkilendirme prosedürleriKaynak belge verilerinin toplanmasıKaynak belgelerdeki hataların ele alınmasıKaynak belgelerin muhafazasıGirdi yetkilendirme prosedürleriDoğruluk, bütünlük ve yetkilendirme kontrolleriVeri girdilerindeki hataların ele alınmasıVeri işlemede bütünlükVeri işlemede onaylama ve değiştirmeVeri işlemedeki hataların ele alınmasıÇıktıların ele alınması ve muhafazasıÇıktıların dağıtımıÇıktı uyumluluğu ve mutabakatıÇıktıların gözden geçirilmesi ve hataların ele alınmasıÇıktı raporlarının güvenliğinin sağlanmasıAslına uygunluk ve bütünlük kontrolleriHassas bilginin iletim ve nakil esnasında korunması....SüreçUygulama AdıÖnemlilik kriterine göre seçilen ve denetlenen süreç adıSüreci destekleyen uygulama adı. Süreci destekleyen her bir uygulama için ayrı ayrı doldurulması gerekmektedir.Kontrol Numarası Đş akış diyagramları üzerinde yer alan kontrole ait numara. Kontrolün iş akış diyagramında denk geldiği yerin tespit edilebilmesini sağlayacak şekilde ve anlamlı bir numara (*)Kontrol TanımıAnahtar KontrolTestKontrol işlevinin anlatıldığı kısa ve öz bir tanımDenetçinin kontrolü anahtar kontrol olarak tespit edip etmediğine dair tikDenetçinin bu kontrol üzerinde test gerçekleştirip, gerçekleştirmediği (Test Edildi/Edilmedi). Test edildiyse gerçekleştirilen testte kullanılan örneklem sayısını da ifade edecekşekilde. Örneğin; 'Test Edildi - 25' veya 'Test Edilmedi'(*) Uygulamaya ait bazı kontrol noktalarında birden fazla kontrol olması durumunda şekilde gösterildiği kontrol numarası bölümünden itibaren kontrol noktasına dair satırlarçoklanır. Kontrol noktalarına ilişkin herhangi bir kontrolun var olmadığı durumlarda kontrol noktasının sağında kalan hücreler birleştirilerek kontrol bulunmadığı belirtilir.12

EK -3 : Bulgu Saptanan Anahtar Kontrollere Đlişkin TabloSüreçKontrole Đlişkin BilgilerNumarasıĐşleviAktörBulguya Đlişkin BilgilerTürüÇalışma SıklığıSahibiBulguĐş RiskiNumarasıTürüĐşleviÇalışma SıklığıAktörSahibiBulguĐş RiskiĐş Akış Diyagramlarında ve Uygulama Kontrolleri Tablosunda belirtilen kontrol numarasıKontrolün Türü (Otomatik/Manuel)Kontrolün işlevinin kısa ve öz bir şekilde tanımıKontrolün çalışma sıklığıKontrolü tetikleyen veya çalıştıran aktör, kişi veya uygulamaKontrolün sahibi, kontrolü oluşturan ve çalışmasına ilişkin hususları düzenleyen birimve/veya kişiBu Tebliğin 9 uncu maddesinde tanımlanan şekliyle bulgunun ifadesiKontrolün düzgün çalışmaması durumunda meydana getirebileceği iş riskleri13

Kontrol HedefiDetaylı Kontrol HedefiEK -4: Detaylı Kontrol Hedeflerine Đlişkin TabloDenetlenenin KontrolleriKontroller ve TestlerGerçekleştirilen TestlerTest SonuçlarıBulgularSonuç (**)RisklerDenetlenenin GörüşüSonuç DeğerlendirmesiKontroller ve Testler Bölümünde;Denetlenenin KontrolleriDenetlenen tarafından bu kontrol hedefini sağlamaya yönelik oluşturulan kontrollerGerçekleştirilen TestlerTest SonuçlarıDenetçinin denetlenenin kontrollerini doğrulamak için gerçekleştirmiş olduğu testler(*)Denetçinin gerçekleştirdiği testlerin sonuçlarıSonuç bölümünde;BulgularRisklerDenetlenenin GörüşüSonuç DeğerlendirmesiBu Tebliğin 9 uncu maddesinde tanımlandığı şekliyle bulgularBulguların meydana getirdiği BT ve iş riskleriBu Tebliğin 10 uncu maddesinde açıklandığı şekliyle denetlenenin görüşleriBu Tebliğin 11 inci maddesinde açıklandığı şekliyle sonuç değerlendirmesi(*) Denetçi gerçekleştirdiği testlere ilişkin olarak; örneklem uzayı,seçilen örneklem sayısı ve seçim metodubilgilerine de yer verir.(**) Sadece bulgu bulunduğu durumlarda yer verilecektir.14

EK-5BĐLGĐ SĐSTEMLERĐ DENETĐM RAPORUOlumlu Görüş.................................................... A.Ş. Yönetim Kuruluna:.................................... A.Ş.’nin ...../...../..... tarihi itibarıyla ...../...../..... tarih ………. sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik kapsamında bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemleri üzerindeki uygulama kontrollerini (ve genel kontrolleri) * denetlemeklegörevlendirilmiş bulunuyoruz.[Banka Yönetim Kurulunun Sorumluluğuna Đlişkin Açıklama:]Genel kontrollerin ve uygulama kontrollerinin denetlenen nezdinde ...../...../.....tarih ve …….sayılı Resmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak ĐlkelereĐlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak oluşturulmasının, etkin olarak işletilmesininve yeterli bir kontrol ortamı tesis edilmesinin sağlanması …………………………………. A.Ş.Yönetimi’nin sorumluluğundadır.[Yetkili Denetim Kuruluşunun Sorumluluğuna Đlişkin Açıklama:]Bağımsız denetimi yapan kuruluş olarak üzerimize düşen sorumluluk, yaptığımız denetimçalışmasına istinaden görüş bildirmektir. Yapmış olduğumuz denetim, denetlenenin bilgi sistemleri ilefinansal veri üretimine ilişkin süreç ve sistemleri üzerinde var olan önemli kontrol eksikliklerinintespit edilmesine dair makul güvence sağlayacak şekilde planlanmış ve ...../...../..... tarih ve ……….sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Gerçekleştirecek KuruluşlarınYetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik ile ...../...../.....tarih ve ………..sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik’te belirtilen usul ve esaslara uygun olarakgerçekleştirilmiştir. Denetim, bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerüzerindeki kontrollerin tasarım ve işletim etkinliğinin önemlilik ilkesi çerçevesinde test edilmesini,değerlendirilmesini ve ihtiyaç duyduğumuz ölçüde benzeri diğer denetim tekniklerinin uygulanmasınıiçermektedir. Gerçekleştirilen denetimin, görüşümüzün oluşturulmasına makul ve yeterli bir dayanakoluşturduğuna inanıyoruz.[Doğal Kısıtlar]Kontrollerin doğasında bulunan kısıtlamalar nedeniyle bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemler üzerinde kontrol zayıflıkları bulunabilir ve tespit edilemeyebilir. Bununyanında, bulgularımıza dayanılarak elde edilen sonuçların gelecek dönemleri kapsayacak şekildedeğerlendirilmemesi gerekmektedir. Mevcut şartların değişmesi, sistemlerde veya kontrollerdedeğişiklik yapılması veya kontrollerin etkinlik derecesinin bozulması gibi sebeplerden ötürü; busonuçların zaman içerisinde değişme riski bulunmaktadır.[Bağımsız Denetçi Görüşü]Görüşümüze göre, bütün önemli taraflarıyla, ........................................................ A.Ş.’nin...../...../..... tarihi itibarıyla bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemleriüzerinde, ...../...../.....tarih ve …… sayılı Resmi Gazete’de yayımlanan Bankalarda Bilgi SistemleriYönetiminde Esas Alınacak Đlkelere Đlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak yeterlive etkin uygulama kontrolleri (ve genel kontroller) * tesis edilmiştir.Raporun DüzenlemeYeri ve TarihiSorumlu Bilgi Sistemleri Baş DenetçisininAdı ve Soyadı, ĐmzasıKuruluşun Ticari UnvanıSorumlu Ortak Baş DenetçininAdı ve Soyadı, ĐmzasıKuruluşun Ticari Unvanı* Gerçekleştirilen denetimin kapsamına göre uygun ifade tercih edilir.15

EK-7BĐLGĐ SĐSTEMLERĐ DENETĐM RAPORUOlumsuz Görüş.................................................... A.Ş. Yönetim Kuruluna:.................................... A.Ş.’nin ...../...../..... tarihi itibarıyla ...../...../..... tarih ………. sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik kapsamında bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemleri üzerindeki uygulama kontrollerini (ve genel kontrolleri) * denetlemeklegörevlendirilmiş bulunuyoruz.[Banka Yönetim Kurulunun Sorumluluğuna Đlişkin Açıklama:]Genel kontrollerin ve uygulama kontrollerinin denetlenen nezdinde ...../...../.....tarih ve …….sayılı Resmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak ĐlkelereĐlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak oluşturulmasının, etkin olarak işletilmesininve yeterli bir kontrol ortamı tesis edilmesinin sağlanması …………………………………. A.Ş.Yönetimi’nin sorumluluğundadır.[Yetkili Denetim Kuruluşunun Sorumluluğuna Đlişkin Açıklama:]Bağımsız denetimi yapan kuruluş olarak üzerimize düşen sorumluluk, yaptığımız denetimçalışmasına istinaden görüş bildirmektir. Yapmış olduğumuz denetim, denetlenenin bilgi sistemleri ilefinansal veri üretimine ilişkin süreç ve sistemleri üzerinde var olan önemli kontrol eksikliklerinintespit edilmesine dair makul güvence sağlayacak şekilde planlanmış ve ...../...../..... tarih ve ……….sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Gerçekleştirecek KuruluşlarınYetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik ile ...../...../.....tarih ve ………..sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik’te belirtilen usul ve esaslara uygun olarakgerçekleştirilmiştir. Denetim, bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerüzerindeki kontrollerin tasarım ve işletim etkinliğinin önemlilik ilkesi çerçevesinde test edilmesini,değerlendirilmesini ve ihtiyaç duyduğumuz ölçüde benzeri diğer denetim tekniklerinin uygulanmasınıiçermektedir. Gerçekleştirilen denetimin, görüşümüzün oluşturulmasına makul ve yeterli bir dayanakoluşturduğuna inanıyoruz.[Doğal Kısıtlar]Kontrollerin doğasında bulunan kısıtlamalar nedeniyle bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemler üzerinde kontrol zayıflıkları bulunabilir ve tespit edilemeyebilir. Bununyanında, bulgularımıza dayanılarak elde edilen sonuçların gelecek dönemleri kapsayacak şekildedeğerlendirilmemesi gerekmektedir. Mevcut şartların değişmesi, sistemlerde veya kontrollerdedeğişiklik yapılması veya kontrollerin etkinlik derecesinin bozulması gibi sebeplerden ötürü; busonuçların zaman içerisinde değişme riski bulunmaktadır.(Denetlenenin bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemleri üzerindekikontrollerin etkin ve/veya yeterli bulunmama sebepleri )[Bağımsız Denetçi Görüşü]Görüşümüze göre, yukarıda (...ncı paragrafta) açıklanan husus(lar) nedeniyle,........................................................ A.Ş.’nin ...../...../..... tarihi itibarıyla bilgi sistemleri ile finansal veriüretimine ilişkin süreç ve sistemleri üzerinde, ...../...../.....tarih ve …….. sayılı Resmi Gazete’deyayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak Đlkelere Đlişkin Tebliğ’debelirtilen usul ve esaslara uygun olarak yeterli ve etkin uygulama kontrolleri (ve genel kontroller) *tesis edilmemiştir.Raporun DüzenlemeYeri ve TarihiSorumlu Bilgi Sistemleri Baş DenetçisininAdı ve Soyadı, ĐmzasıKuruluşun Ticari UnvanıSorumlu Ortak Baş DenetçininAdı ve Soyadı, ĐmzasıKuruluşun Ticari Unvanı* Gerçekleştirilen denetimin kapsamına göre uygun ifade tercih edilir.17

EK-8BĐLGĐ SĐSTEMLERĐ DENETĐM RAPORUGörüşten Kaçınma.................................................... A.Ş. Yönetim Kuruluna:.................................... A.Ş.’nin ...../...../..... tarihi itibarıyla ...../...../..... tarih ………. sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik kapsamında bilgi sistemleri ile finansal veri üretimineilişkin süreç ve sistemleri üzerindeki uygulama kontrollerini (ve genel kontrolleri) * denetlemeklegörevlendirilmiş bulunuyoruz.[Banka Yönetim Kurulunun Sorumluluğuna Đlişkin Açıklama:]Genel kontrollerin ve uygulama kontrollerinin denetlenen nezdinde ...../...../.....tarih ve …….sayılı Resmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak ĐlkelereĐlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak oluşturulmasının, etkin olarak işletilmesininve yeterli bir kontrol ortamı tesis edilmesinin sağlanması …………………………………. A.Ş.Yönetimi’nin sorumluluğundadır.[Yetkili Denetim Kuruluşunun Sorumluluğuna Đlişkin Açıklama:]Bağımsız denetimi yapan kuruluş olarak üzerimize düşen sorumluluk, yaptığımız denetimçalışmasına istinaden görüş bildirmektir. Yapmış olduğumuz denetim, denetlenenin bilgi sistemleri ilefinansal veri üretimine ilişkin süreç ve sistemleri üzerinde var olan önemli kontrol eksikliklerinintespit edilmesine dair makul güvence sağlayacak şekilde planlanmış ve ...../...../..... tarih ………. sayılıResmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim Gerçekleştirecek KuruluşlarınYetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik ile ...../...../.....tarih ve ………..sayılı ResmiGazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek BilgiSistemleri Denetimi Hakkında Yönetmelik’te belirtilen usul ve esaslara uygun olarakgerçekleştirilmiştir. Denetim, bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerüzerindeki kontrollerin tasarım ve işletim etkinliğinin önemlilik ilkesi çerçevesinde test edilmesini,değerlendirilmesini ve ihtiyaç duyduğumuz ölçüde benzeri diğer denetim tekniklerinin uygulanmasınıiçermektedir.(Denetçinin görüş bildirmemesinin nedenleri )[Bağımsız Denetçi Görüşü]Yukarıda (...ncı paragrafta) açıklanan husus(lar) nedeniyle .........................................................A.Ş.’nin ...../...../..... tarihi itibarıyla bilgi sistemleri ile finansal veri üretimine ilişkin süreç vesistemleri üzerinde tesis edilen uygulama kontrollerinin (ve genel kontrollerin) * yeterliliği ve etkinliğihakkında görüş bildirmiyoruz.Raporun DüzenlemeYeri ve TarihiSorumlu Bilgi Sistemleri Baş DenetçisininAdı ve Soyadı, ĐmzasıKuruluşun Ticari UnvanıSorumlu Ortak Baş DenetçininAdı ve Soyadı, ĐmzasıKuruluşun Ticari Unvanı* Gerçekleştirilen denetimin kapsamına göre uygun ifade tercih edilir.18

EK-9KONSOLĐDE BĐLGĐ SĐSTEMLERĐ DENETĐM RAPORUOlumlu Görüş.................................................... A.Ş. Yönetim Kuruluna:.................................... A.Ş.’nin ve konsolidasyona tabi ortaklıklarının ...../...../..... tarihiitibarıyla …./…./….. tarih ve ……. sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız DenetimKuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik çerçevesinde,konsolide finansal veri üretimine ilişkin bilgi sistemleri ve/veya bu kapsamdaki süreçler üzerindekikontrollerini denetlemekle görevlendirilmiş bulunuyoruz.[Banka Yönetim Kurulunun Sorumluluğuna Đlişkin Açıklama:]Banka ve konsolidasyona tabi ortaklıklarının süreç ve bilgi sistemleri üzerinde, konsolidefinansal tabloların ../../…. tarih ve ….. sayılı Resmi Gazete’de yayımlanan Bankaların KonsolideFinansal Tablolarının Düzenlenmesine Đlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak vehata ya da suiistimal dolayısıyla önemlilik arz eden ölçüde yanlış bilgi içermeyecek şekildehazırlanmasını ve sunulmasını sağlayacak kontrollerin ../../…. tarih ve ….. sayılı Resmi Gazete’deyayımlanan Bankaların Đç Sistemleri Hakkında Yönetmelik’te belirtilen kapsamla sınırlı olmak üzeretesis edilmesi …………………………… A.Ş. Yönetimi’nin sorumluluğundadır.[Yetkili Denetim Kuruluşunun Sorumluluğuna Đlişkin Açıklama:]Bağımsız denetimi yapan kuruluş olarak üzerimize düşen sorumluluk, yaptığımız denetimçalışmasına istinaden görüş bildirmektir. Yapmış olduğumuz denetim, banka ve ortaklıklarındakonsolide finansal veri üretimine ilişkin bilgi sistemleri ve bu kapsamdaki süreçler üzerinde var olanönemli kontrol eksikliklerinin tespit edilmesine dair makul güvence sağlayacak şekilde planlanmış ve…./…./….. tarih ve …… sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız DenetimGerçekleştirecek Kuruluşların Yetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik, …./…./….tarih ve …….. sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim KuruluşlarıncaGerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik ve Bankacılık Düzenleme veDenetleme Kurumu tarafından …./…./….. tarihinde yayınlanan …….. sayılı ve “Bankalarınkonsolidasyona tabi ortaklıklarında gerçekleştirilecek bilgi sistemleri denetimi ve rapor formatı”konulu Genelge’de belirtilen usul ve esaslara uygun olarak gerçekleştirilmiştir. Denetim, konsolidefinansal veri üretimine ilişkin bilgi sistemleri ve bu kapsamdaki süreçler üzerinde yer alan kontrollerintasarım ve işletim etkinliğinin önemlilik ilkesi çerçevesinde test edilmesini, değerlendirilmesini veihtiyaç duyduğumuz ölçüde benzeri diğer denetim tekniklerinin uygulanmasını içermektedir.Gerçekleştirilen denetimin, görüşümüzün oluşturulmasına makul ve yeterli bir dayanak oluşturduğunainanıyoruz.[Doğal Kısıtlar]Kontrollerin doğasında bulunan kısıtlamalar nedeni ile konsolide finansal veri üretimine ilişkinbilgi sistemleri ve bu kapsamdaki süreçler üzerinde kontrol zayıflıkları bulunabilir ve tespitedilemeyebilir. Bunun yanında, bulgularımıza dayanılarak elde edilen sonuçların gelecek dönemlerikapsayacak şekilde değerlendirilmemesi gerekmektedir. Mevcut şartların değişmesi, sistemlerde veyakontrollerde değişiklik yapılması veya kontrollerin etkinlik derecesinin bozulması gibi sebeplerdenötürü; bu sonuçların zaman içerisinde değişme riski bulunmaktadır.[Bağımsız Denetçi Görüşü]Görüşümüze göre, bütün önemli taraflarıyla, ........................................................ A.Ş. vekonsolidasyona tabi ortaklıklarında …./…./……. tarihi itibariyle, konsolidasyona esas finansal bilgiyiüreten bilgi sistemleri ve/veya bu kapsamdaki süreçler üzerinde, ...../...../.....tarih ve …….. sayılıResmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak Đlkelere ĐlişkinTebliğ’de belirtilen usul ve esaslar çerçevesinde, konsolide finansal tabloların gerçek durumuyansıtmasını sağlayacak yeterli ve etkin kontroller tesis edilmiştir.Raporun DüzenlemeYeri ve TarihiSorumlu Bilgi Sistemleri Baş DenetçisininAdı ve Soyadı, ĐmzasıKuruluşun Ticari UnvanıSorumlu Ortak Baş DenetçininAdı ve Soyadı, ĐmzasıKuruluşun Ticari Unvanı19

EK-10KONSOLĐDE BĐLGĐ SĐSTEMLERĐ DENETĐM RAPORUŞartlı Görüş.................................................... A.Ş. Yönetim Kuruluna:.................................... A.Ş.’nin ve konsolidasyona tabi ortaklıklarının ...../...../..... tarihiitibarıyla …./…./….. tarih ve ……. sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız DenetimKuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik çerçevesinde,konsolide finansal veri üretimine ilişkin bilgi sistemleri ve/veya bu kapsamdaki süreçler üzerindekikontrollerini denetlemekle görevlendirilmiş bulunuyoruz.[Banka Yönetim Kurulunun Sorumluluğuna Đlişkin Açıklama:]Banka ve konsolidasyona tabi ortaklıklarının süreç ve bilgi sistemleri üzerinde, konsolidefinansal tabloların ../../…. tarih ve ….. sayılı Resmi Gazete’de yayımlanan Bankaların KonsolideFinansal Tablolarının Düzenlenmesine Đlişkin Tebliğ’de belirtilen usul ve esaslara uygun olarak vehata ya da suiistimal dolayısıyla önemlilik arz eden ölçüde yanlış bilgi içermeyecek şekildehazırlanmasını ve sunulmasını sağlayacak kontrollerin ../../…. tarih ve ….. sayılı Resmi Gazete’deyayımlanan Bankaların Đç Sistemleri Hakkında Yönetmelik’te belirtilen kapsamla sınırlı olmak üzeretesis edilmesi …………………………… A.Ş. Yönetimi’nin sorumluluğundadır.[Yetkili Denetim Kuruluşunun Sorumluluğuna Đlişkin Açıklama:]Bağımsız denetimi yapan kuruluş olarak üzerimize düşen sorumluluk, yaptığımız denetimçalışmasına istinaden görüş bildirmektir. Yapmış olduğumuz denetim, banka ve ortaklıklarındakonsolide finansal veri üretimine ilişkin bilgi sistemleri ve bu kapsamdaki süreçler üzerinde var olanönemli kontrol eksikliklerinin tespit edilmesine dair makul güvence sağlayacak şekilde planlanmış ve…./…./….. tarih ve …….. sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız DenetimGerçekleştirecek Kuruluşların Yetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik, …./…./……tarih ve ……… sayılı Resmi Gazete’de yayımlanan Bankalarda Bağımsız Denetim KuruluşlarıncaGerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik ve Bankacılık Düzenleme veDenetleme Kurumu tarafından …./…./…… tarihinde yayınlanan ……… sayılı ve “Bankalarınkonsolidasyona tabi ortaklıklarında gerçekleştirilecek bilgi sistemleri denetimi ve rapor formatı”konulu Genelge’de belirtilen usul ve esaslara uygun olarak gerçekleştirilmiştir. Denetim, konsolidefinansal veri üretimine ilişkin bilgi sistemleri ve bu kapsamdaki süreçler üzerinde yer alan kontrollerintasarım ve işletim etkinliğinin önemlilik ilkesi çerçevesinde test edilmesini, değerlendirilmesini veihtiyaç duyduğumuz ölçüde benzeri diğer denetim tekniklerinin uygulanmasını içermektedir.Gerçekleştirilen denetimin, görüşümüzün oluşturulmasına makul ve yeterli bir dayanak oluşturduğunainanıyoruz.[Doğal Kısıtlar]Kontrollerin doğasında bulunan kısıtlamalar nedeni ile konsolide finansal veri üretimine ilişkinbilgi sistemleri ve bu kapsamdaki süreçler üzerinde kontrol zayıflıkları bulunabilir ve tespitedilemeyebilir. Bunun yanında, bulgularımıza dayanılarak elde edilen sonuçların gelecek dönemlerikapsayacak şekilde değerlendirilmemesi gerekmektedir. Mevcut şartların değişmesi, sistemlerde veyakontrollerde değişiklik yapılması veya kontrollerin etkinlik derecesinin bozulması gibi sebeplerdenötürü; bu sonuçların zaman içerisinde değişme riski bulunmaktadır.(Bağımsız denetim faaliyetine getirilen sınırlandırma ve bu nedenle denetlenemeyen süreçler,uygulamalar, kontroller ve finansal veri üretimine ilişkin bilgi sistemleri ve bu kapsamdaki süreçlerüzerinde tespit edilen önemli kontrol eksikleri yazılacaktır)[Bağımsız Denetçi Görüşü]Görüşümüze göre, yukarıda (....ncı paragrafta) açıklanan hususun/hususların (husus(lar)nedeniyle denetleyemediğimiz süreç(ler)in ve/veya kontrol(ler)in) * , konsolide finansal veri üretimineilişkin bilgi sistemleri ve bu kapsamdaki süreçler üzerinde muhtemel etkileri haricinde bütün önemlitaraflarıyla, ........................................................ A.Ş. ve konsolidasyona tabi ortaklıklarında…./…./……. tarihi itibariyle, konsolidasyona esas finansal bilgiyi üreten bilgi sistemleri ve/veya bukapsamdaki süreçler üzerinde, ...../...../.....tarih ve …….. sayılı Resmi Gazete’de yayımlananBankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak Đlkelere Đlişkin Tebliğ’de belirtilen usul veesaslar çerçevesinde, konsolide finansal tabloların gerçek durumu yansıtmasını sağlayacak yeterli veetkin kontroller tesis edilmiştir.Raporun DüzenlemeYeri ve TarihiSorumlu Bilgi Sistemleri Baş DenetçisininAdı ve Soyadı, ĐmzasıKuruluşun Ticari UnvanıSorumlu Ortak Baş DenetçininAdı ve Soyadı, ĐmzasıKuruluşun Ticari Unvanı* Uygun ifade tercih edilir.20