Sermaye Piyasalarında Mevzuata Tam Uyum, Bağımsız Güvence
Sermaye Piyasası Kurulu (SPK) tarafından Bilgi Sistemleri Bağımsız Denetimi alanında yetkilendirilmiş olan kuruluşumuz; III-62.2 sayılı Bilgi Sistemleri Bağımsız Denetim Tebliği kapsamında, sermaye piyasası kurumlarının bilgi sistemleri kontrollerinin uyumluluğunu, etkinliğini ve yeterliliğini tarafsız bir gözle denetler.
Dijitalleşen sermaye piyasalarında artık sadece finansal verileriniz değil, bu verileri taşıyan bilgi sistemleriniz de en değerli varlığınız. SPK tarafından yetkilendirilmiş, CISA sertifikalı ve kıdemli denetçi kadromuzla, kurumunuzu III-62.2 ve VII-128.9 sayılı tebliğlerin gerekliliklerine tam uyumlu hale getiriyoruz.
Sermaye Piyasasının Dijital Güvencesi: SPK Yetkili Bilgi Sistemleri Bağımsız Denetimi
Yasal zorunluluğu kurumsal itibara dönüştüren, uluslararası standartlarda bağımsız denetim çözümleri sunuyoruz.
SPK’nın III-62.2 sayılı Tebliği kapsamında yetkilendirilmiş bağımsız denetim kuruluşu olarak, bilgi sistemlerinizin yalnızca çalıştığını değil; mevzuata uyumlu, etkin ve yeterli olduğunu uluslararası standartlarda belgeliyoruz.
VII-128.9 sayılı Tebliğ ile belirlenen yönetim ilkeleri rehber alınarak, dijital operasyonlarınız Sorumlu Başdenetçi seviyesinde ve CISA sertifikalı profesyonel bakış açısıyla incelenir.
Yönetim Kurulunun sorumluluğunda olan “Yönetim Beyanı” süreci, mevzuata uygunluk ve şeffaflık ilkeleri çerçevesinde denetim perspektifiyle ele alınır.
Denetim çalışmalarımız yalnızca bulgu tespitiyle sınırlı kalmaz; riskler önemlilik kriterine göre sınıflandırılarak kurumsal risk yönetimine veri sağlar.
Denetimlerimiz, VII-128.9 sayılı Bilgi Sistemleri Yönetimi Tebliği'nde yer alan kontrol hedeflerini esas alarak gerçekleştirilir.
Bilgi Sistemleri Yönetimi ve Gözetimi: Üst yönetimin bilgi sistemleri üzerindeki sorumlulukları ve risk yönetimi süreçlerinin etkinliği değerlendirilir.
Bilgi Güvenliği Kontrolleri: Varlık yönetimi, kimlik doğrulama, yetkilendirme ve ağ güvenliği gibi kritik güvenlik mekanizmalarının mevzuata uyumu incelenir.
Süreklilik ve Yedekleme: Birincil ve ikincil sistemlerin yurt içinde bulunma zorunluluğu ile iş sürekliliği ve yedekleme planlarının yeterliliği denetlenir.
Dış Kaynak Kullanımı: Bilgi sistemleri kapsamında dışarıdan alınan hizmetlerin yönetimi ve SPK’nın denetim hakkının korunması değerlendirilir.
Değişiklik ve Edinim Yönetimi: Yazılım geliştirme ve sistem değişiklik süreçlerinde görevler ayrılığı, kontrol mekanizmaları ve test protokollerinin işletilmesi incelenir.
Denetim İzleri (Logging): Tüm işlemlerin ve güvenlik olaylarının en az 5 yıl süreyle, bütünlüğü korunmuş şekilde kayıt altına alınması ve saklanması kontrol edilir.
Risk Odaklı ve Makul Güvence Yaklaşımı
Denetim sözleşmesini ilgili dönemin ilk dört ayı içinde imzalayarak, denetim riskini minimize eden kapsamlı ve risk odaklı bir plan oluştururuz.
Belirlenen kontrollerin tasarım ve işletim etkinliğini; yerinde inceleme, belge tetkiki ve teknik gözlemler yoluyla test ederiz.
Yönetim Kurulu tarafından hazırlanan ve bilgi sistemlerine ilişkin iç kontrollere güvence sağlayan Yönetim Beyanı’nı analiz ederiz.
Mevzuat kapsamında yaptırılan sızma testlerinin metodolojisini, sonuçlarını ve bulguların giderilme durumunu değerlendiririz.
Tespit edilen bulguları önem derecelerine göre (KZ, KD, ÖK) kodlayarak SPK formatına uygun şekilde raporlar ve bağımsız denetim görüşümüzü oluştururuz.
Mevzuata Uyum Süreçlerinizi Güvenle Yönetin
BT ekibiniz stratejiyi taşıyor mu?
Yapı, rol ve karar mekanizmalarını sadeleştirir; regülatör beklentileriyle hizalı, ölçülebilir bir yönetişim modeli kurarız.
Süreçleriniz var; peki kanıtınız var mı?
Kritik riskleri görünür kılar, KRI–KPI sistemleriyle denetlenebilir bir kontrol ortamı tasarlarız.
KeşfetBDDK, TCMB, SPK… Lisans başvurusu “form doldurmak” değildir.
Stratejiden mimariye, süreç dokümanından test senaryosuna kadar uçtan uca kurulum desteği sağlar, başvurunuzu denetime hazır hâle getiririz.
Uyumluyum demek yetmez; uyumunuzu gösterebilmelisiniz.
Yerel (BDDK, TCMB, GİB…) ve uluslararası (SOX, DORA…) mevzuatlara göre iç kontrol setleri kurar, güvence raporlarını hazırlarız.
KeşfetKesinti bir saniye sürer, itibar kaybı yıllar boyu...
BIA, BCP, DRP, tatbikat… Hizmet sürekliliği ekosistemini kurar, test eder, yaşatırız.
KeşfetHizmet dışarıda olabilir; sorumluluk sizde.
SLA-KRI panoları, SOC raporları, sözleşme güvenceleriyle tedarikçi riskinizi yönetilebilir kılar, denetimden önce sürprizleri elimine ederiz.
BT yönetişimi artık sadece süreçleri yürütmek değil, kanıtlanabilir şekilde yönetmekle ölçülüyor.
COBIT Danışmanlığı, kurumunuzun BT süreçlerini yönetişim, uyum, risk yönetimi ve denetime hazır yapılarla güçlendirir.
KeşfetBT süreçleriniz gerçekten işinize değer katıyor mu, yoksa sürekli yangın mı söndürüyorsunuz?
ITIL danışmanlığımızla, karmaşık süreçleriniz ölçülebilir, şeffaf ve denetime hazır hale gelir.
KeşfetBT Denetim ve BT Danışmanlık hizmeti almalısınız. Neden mi?
Çünkü güçlü BT denetimi, sürprizleri azaltır; öngörüyü artırır.
Denetim sayesinde riskler sorun olmadan fırsata dönüşür.
BT denetimi, güveni yükseltir; işin sürekliliğini garanti eder.
Çünkü riskleri raporda değil, işin içinde gördük; çözümü de masada değil, sahada ürettik.
Çünkü denetim sadece tespit değil, aksiyona dönüştürdüğümüzde anlamlı.
| No. | Sorun | Çözüm | Sıradaki Adım |
|---|---|---|---|
| 1 | ❝ Denetim gelince panik başlıyor. ❞ | Yıl boyu canlı kontrol izleme ve ön-denetim testleri | Denetime hazır bir demo görmek ister misiniz? |
| 2 | ❝ Regülasyon değişiyor, süreçler yetişmiyor. ❞ | Uyum takvimi & erken uyarı sistemi | Güncel kalmak için konuşalım. |
| 3 | ❝ Tedarikçi bulut’ta ama log bizde yok. ❞ | SOC 1/2/3 & erişim haritası | Dış riski içerde yönetin. |
| 4 | ❝ Felaket planı rafta, kimse bilmiyor. ❞ | BIA + canlı tatbikat döngüsü | Planı test etmeye hazır mısınız? |
| 5 | ❝ Kontroller var, ispat yok. ❞ | Otomatik denetim izi & rapor şeması | Kanıtı görünür kılalım. |
| 6 | ❝ BT bütçesi büyüyor, değer görünmüyor. ❞ | KPI-KRI panoları & yönetişim kurulları | Yatırımı değere çevirin. |
| 7 | ❝ Başvuru dosyası tamam, mimari eksik. ❞ | Kurumsal mimari & süreç seti kurulumu | Lisansa giden yolu kısaltalım. |
| 8 | ❝ Veri var, uyum yok. ❞ | Veri yönetişimi politikaları & anonimleştirme kontrolleri | Veriyi riske değil, güce dönüştürelim. |
Kullanılan Danışmanlık ve Güvence Teknikleri
Mevzuata karşı gerçek durumunuzu görünür hale getiririz.
Sahip, kontrol ve metrikleri netleştiririz.
Sürprizleri güvenli ortamda yakalarız.
Sektör içi/dışı örnekleri kurumunuza uyarlarız.
KPI/KRI verilerini güncel tutar, yönetici görünürlüğü sağlar.
Uyumun sürdürülebilir olması için ekipleri güçlendiririz.
Aşağıdaki çerçeveler, Bilgi Teknolojileri Denetim Hizmetlerimizin temel referans setini oluşturur. İlgili “Bilgi Sistemleri Bağımsız Denetim” Tebliğ/Talimat isimleri ve Resmî Gazete numaraları eklenmiştir.
| # | Düzenleyici Mevzuat | Türü | RG Tarih-Sayı | Kanun / Tebliğ & No | Kapsam (özet) |
|---|---|---|---|---|---|
| 1 | KVKK – 6698 sayılı “Kişisel Verilerin Korunması Kanunu” | Kanun | 7 Nisan 2016 – 29677 | Kanun No: 6698 | Kişisel verilerin işlenmesi, saklanması, güvenliği; finansal kuruluş BT ortamlarında “özel nitelikli” veri kontrollü. |
| 2 | BTK – “Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği” | Yönetmelik | 13 Temmuz 2014 – 29059 | — | Operatör, banka-fintech iş birliklerinde veri ve bağlantı güvenliği, kritik altyapı koruması. |
| 3 | BDDK – “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hk. Yön.” | Yönetmelik | 15 Mart 2020 – 31069 | — | Banka, dijital banka & servis bankacılığında BT yönetişimi, bulut, dış hizmet, siber risk, veri yönetimi. |
| 4 | BDDK – “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Rapor Formatı Tebliği” | Tebliğ | 5 Aralık 2006 – 26367 | Tebliğ (RG 26367) | Bankaların üç yılda bir zorunlu BT denetim raporu formatı ve içerik hükümleri. |
| 5 | BDDK – “Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ” | Tebliğ | 6 Nisan 2019 – 30737 | Tebliğ (RG 30737) | Leasing-faktoring-finansman şirketlerinde BT yönetimi ve bağımsız denetim (3 yılda 1). |
| 6 | TCMB – “Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile ÖHS Veri Paylaşım Servislerine İlişkin Tebliğ” | Tebliğ | 1 Aralık 2021 – 31676 | Tebliğ (RG 31676) | 6493 kapsamındaki ödeme/elektronik para kuruluşlarında BT yönetişimi, API-paylaşım & güvenlik, zorunlu BT denetimi. |
| 7 | SPK – “Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)” | Tebliğ | 5 Ocak 2018 – 30292 | Tebliğ No: III-62.2 | Aracı kurumlar, portföy yöneticileri, borsa, merkezi saklama-takasta zorunlu BT bağımsız denetim, rapor formatı & yetkilendirme. |
| 8 | SPK – “Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10)” | Tebliğ | 13 Mart 2025 – 32840 | Tebliğ No: VII-128.10 | Sermaye piyasası kurumlarında BT strateji, risk, süreklilik, veri ve üçüncü taraf yönetimi çerçevesi. |
| 9 | GİB – “Vergi Usul Kanunu Genel Tebliği (Sıra No: 509)” | VUK Gen. Tebliğ | 19 Ekim 2019 – 30923 | VUK Sıra No 509 | e-Fatura, e-Arşiv, e-İrsaliye, yeni nesil ÖKC/TSM; finans kuruluşlarında e-belge entegrasyonu & veri güvenliği. |
BT denetim ve uyum süreçlerimizde her düzenlemeyi dikkate alarak bütünleşik bir yaklaşım uygularız:
BT denetim planı hazırlarken yukarıdaki her Tebliğ/Yönetmelikte öngörülen denetim periyodu (çoğu 3 yıl, bazıları yıllık) ve rapor formatı dikkate alınmalıdır.
Yeni ürün geliştiren fintech / banka-dışı kuruluşlar için (ör. servis bankacılığı, açık bankacılık) TCMB 31676 sayılı Tebliğ ile BDDK 31069 sayılı Yönetmelik “API güvenliği”, “kimlik doğrulama” ve “dış hizmet (bulut) kontrolleri” yönünden birlikte ele alınmalıdır.
Çapraz yükümlülükler – Örneğin KVKK 6698 ve SPK III-62.2, “kişisel veriler için erişim kontrolleri” ve “log kayıtlarının bütünlüğü” hususunda eş zamanlı uyum ister; denetim testleri tek seferde tasarlanarak tekrar önlenebilir.
