BT’de risk odaklı, kontrollü ve sürdürülebilir yönetim şart

EY Türkiye’nin Borsa İstanbul işbirliğiyle, SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği’ne uyum sürecine ilişkin düzenlediği iki etkinlikle, şirketlerin BT süreç ve sistemlerini ilgili düzenlemelere uyumlu hale getirme çalışmaları ele alındı. 12 Mart ve 14 Mart 2019 tarihlerinde Borsa İstanbul ev sahipliğinde gerçekleştirilen etkinliklere 300’ü aşkın halka açık şirket, ayrıca aracı kurum ve portföy yönetim şirketlerinin üst düzey temsilcileri katıldı. Etkinliklerde şirketlerin SPK Bilgi Sistemleri Düzenlemeleri kapsamındaki gereksinimleri ve atmaları gereken adımlar EY Teknoloji Uyum Programı kapsamında değerlendirildi

Operasyonel ve teknolojik dönüşüm ihtiyaçları ve yol haritası ile ilgili olarak uyum planları ve denetim çerçevesinin aktarıldığı etkinliklerde, şirketlerin SPK Bilgi Sistemleri Düzenlemeleri gereksinimleri ve almaları gereken aksiyonlar EY Türkiye Teknoloji Uyum Programı kapsamında değerlendirildi. Borsa İstanbul A.Ş. Denetim ve Gözetim Kurulu Başkanı (V.) Serkan Karabacak, şu bilgileri paylaştı:

“Tüm iş planlarımız bilişim teknolojileri üzerinden yürütülüyor. Bu da bilişim sistemlerinin doğru kullanılmasının ve yönetilmesinin önemini artırıyor. Sermaye Piyasası Kurulu (SPK), Bankacılık Düzenleme ve Denetleme Kurulu’nun (BDDK) bankalarda gerçekleştirdiğine benzer şekilde sermaye piyasamızın paydaşlarının kullandığı bilişim teknolojilerine yönelik olarak birtakım düzenlemeler getirdi ve 5 Ocak 2018 tarihinde Bilgi Sistemleri Yönetim Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği olmak üzere iki farklı düzenlemeyi yürürlüğe soktu. Bu düzenlemelerle sermaye piyasalarında faaliyet gösteren borsamız, Takas Bank ve Merkezi Kayıt Kuruluşu ile birlikte halka açık şirketlerin de dâhil olduğu geniş bir yelpazede yer alan birçok sektör katılımcısının bilgi sistemleri yönetimine ilişkin olarak yerine getirmesi gereken bir dizi usul ve esaslar belirledi. Ayrıca, belirlenen bu usul ve esaslarla belirli periyotlarda bağımsız denetim yaptırmaları ve oluşacak bağımsız denetim raporunun SPK’ya gönderilmesi öngörüldü. Bu düzenlemelerin hayata geçirilmesi ile birlikte temel olarak sermaye piyasalarında BT yönetiminde dünya ve ülke çapında kabul gören öncü uygulamaların kullanımına destek sağlanması, BT kullanımından kaynaklanan risklerin etkin yönetimi, bilgi güvenliği, veri gizliliği gibi hususlar ile ilgili Kişisel Verilerin Korunması Kanunu’na (KVKK) uyumluluğun sağlanması amaçlanıyor.”

Bilgi sistemleri yönetimi ve işletimi faaliyetleri denetim kapsamında

EY Türkiye Ülke Başkanı Metin Canoğulları şu değerlendirmeleri yaptı: “SPK’nın şirketlerin sürdürülebilir büyüme yolculuğunu güvence altına almak amacıyla yayımlamış olduğu Bilgi Sistemleri Düzenlemeleri ile birlikte, Sermaye Piyasası Kanunu kapsamında faaliyet gösteren şirketlerin bilgi teknolojileri süreç ve sistemlerini düzenlemelere uyumlu hale getirme yükümlülüğü doğdu. Bu gelişmeyle birlikte şirketlerin iş yapma biçimlerinde önemli değişiklikler yaşanacak. Şirketlerin kapsamlı bir teknolojik uyum süreci gerektiren bu yolculuğunda metodolojilerimiz, uluslararası ve yerel iş ortaklıklarımız, risk, siber güvenlik ve teknoloji birimlerinden oluşan yetkinliklerimizle, şirketlerimizi desteklemeyi hedefliyoruz.”

Halka açık şirketlere kademeli bir şekilde denetim yükümlülüğü getirileceğini dile getiren SPK Muhasebe Standartları Dairesi Başuzmanı Hüseyin Yurdakul, Bilgi Sistemleri Denetim Tebliği ile ilgili şunları söyledi:

“Bilişim sistemleri yoğun kullanılıyor ve bunun neticesinde de yönetim, finansal ve operasyonel anlamda önemli riskler ortaya çıkıyor. Denetim Tebliği ise temel olarak bilgi sistemleri denetimi, bu denetimi gerçekleştirecekler ve bu denetim sonucunun raporlanmasına ilişkin esasları düzenliyor ve kapsam olarak da sermaye piyasasında yer alan hemen hemen tüm paydaşları kapsıyor. Bilgi sistemleri bağımsız denetimi ise bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım, donanım gibi bilgi sistemleri unsurları ile bu sistem dâhilinde tesis edilen kontrollerin Bilgi Sistemleri Yönetim Tebliği ile uyumluluğu konusunda güvence sağlamak üzere yürütülen denetimi oluşturuyor. Temel olarak bilgi sistemlerinde şirketlerimizin yeterlilik, etkinlik ve uyumluluk alanlarında belirlenen kriterleri sağlayarak, bilgi güvenliği risklerini en aza indirgemelerini amaçlıyoruz.”