Vergi Başmüfettişi Ali Durmaz Gayrimenkul Sermaye Gelirlerinde Özellikli Bazı Durumlar (11.07.2025)

E-bültenimize kayıt olun, yeni yazılar e-posta adresinize gelsin! Üye olmak için tıklayın.

EDİTÖRÜN SEÇTİKLERİ

YAZARLARIMIZ

Dr. Onur Bayram
onurbayram@baticim.com.tr

Bağımsız Denetim Raporlarında Siber Güvenlik Risklerinin Raporlanması: Türkiye’de Mevzuat Altyapısı Var mı?

Dijitalleşmenin hız kazandığı çağımızda işletmeler, sadece finansal performanslarıyla değil, aynı zamanda bilgi teknolojileri altyapılarının güvenliğiyle de değerlendirilmektedir. Siber saldırılar, şirketlerin operasyonel süreçlerini aksatmanın yanı sıra finansal sonuçlarını da doğrudan etkileyebilmektedir. Bu durum, yatırımcılar, düzenleyici kurumlar ve diğer paydaşlar için siber güvenlik risklerinin finansal raporlar ve bağımsız denetim süreçleri kapsamında ele alınmasını kaçınılmaz hale getirmiştir. Türkiye’de ve dünyada finansal raporlamaya ilişkin mevzuatlar incelendiğinde, siber güvenlik risklerinin doğrudan finansal tablolara etkisi henüz tam anlamıyla standartlaştırılmamış olsa da, gelişen teknoloji ve artan dijital tehditler, bu alanda daha kapsamlı düzenlemelere ihtiyaç duyulduğunu ortaya koymaktadır.

Uluslararası Uygulamalar ve Standartlar

Uluslararası denetim standartlarında bilgi sistemleri kontrollerinin değerlendirilmesi uzun zamandır zorunlu bir unsur olarak yer almakla birlikte, siber güvenlik risklerinin bağımsız bir raporlama konusu olarak ele alınması yeni yeni gündeme gelmektedir. Uluslararası Denetim ve Güvence Standartları Kurulu (IAASB) tarafından yayımlanan ISA 315 “Önemli Yanlışlık Risklerinin Belirlenmesi ve Değerlendirilmesi” ve ISA 330 “Değerlendirilen Risklere Yanıt Verme” standartlarında bilgi teknolojileri kontrollerinin finansal raporlamaya etkisinin dikkate alınması gerektiği vurgulanır. Ancak bu standartlarda siber güvenlik risklerine özgü bir raporlama yükümlülüğü henüz yer almamaktadır.

Bununla birlikte, Amerika Birleşik Devletleri'nde SEC tarafından 2023 yılında kabul edilen düzenlemeler, halka açık şirketlerin önemli siber güvenlik olaylarını 4 iş günü içerisinde kamuya açıklamalarını zorunlu kılmıştır. Avrupa Birliği ise NIS2 Direktifi ile başta finans, enerji ve sağlık gibi sektörlerde faaliyet gösteren kuruluşlara siber risk yönetimi ve raporlama yükümlülükleri getirmiştir. Tüm bu gelişmeler, bağımsız denetçilerin denetim kapsamlarını siber güvenlik risklerini de kapsayacak şekilde genişletme gerekliliğini ortaya çıkarmaktadır.

Türkiye’de Mevzuat Durumu

Türkiye’de bağımsız denetim faaliyetleri, Kamu Gözetimi Kurumu (KGK) tarafından yayımlanan Türk Bağımsız Denetim Standartları (BDS) çerçevesinde yürütülmektedir. BDS’lerde bilgi teknolojileri kontrollerinin değerlendirilmesine dair genel hükümler bulunmakla birlikte, siber güvenlik risklerinin bağımsız bir rapor konusu olarak ele alınmasına yönelik özel bir düzenleme mevcut değildir.

Sermaye Piyasası Kurulu (SPK) ve Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) gibi düzenleyici kurumlar ise, finansal kuruluşlar için bilgi sistemleri yönetimi ve siber güvenlik önlemleri konusunda ayrı regülasyonlar yayımlamıştır. Örneğin, SPK’nın Bilgi Sistemleri Tebliği ve BDDK’nın Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği, kurum içi kontrollerin ve bilgi güvenliği yönetim sistemlerinin oluşturulmasını zorunlu kılmaktadır. Ancak bu düzenlemeler kurumların kendi iç raporlama ve denetim süreçlerine odaklanmakta, bağımsız denetim raporlarında yer alacak açıklamalar konusunda bağlayıcı hükümler içermemektedir.

Türkiye’den Sektör Bazlı Analizler

1. Finans Sektörü

Türkiye’de bankalar ve finansal kuruluşlar, BDDK ve SPK tarafından getirilen düzenlemelere uyum sağlamak amacıyla siber güvenlik altyapılarını güçlendirmiştir. Finans sektörü, siber güvenlik konusunda en yüksek olgunluğa sahip sektörlerden biridir. Bankaların bağımsız denetim raporlarında henüz siber güvenlik riskleri bağımsız bir başlık altında yer almamakla birlikte, bilgi sistemleri denetim sonuçları yönetim beyanlarında ve faaliyet raporlarında açıklanmaktadır.

2. Enerji Sektörü

Enerji sektöründe özellikle elektrik dağıtım şirketleri, kritik altyapı olarak kabul edildikleri için Ulusal Siber Olaylara Müdahale Merkezi (USOM) koordinasyonunda siber güvenlik önlemleri almaktadır. Ancak bu önlemler daha çok operasyonel güvenlik odaklıdır ve finansal denetim raporlarına doğrudan yansımamaktadır. Sektörde, siber risklerin maliyet etkisinin artmasıyla birlikte önümüzdeki dönemde bağımsız denetim raporlarında daha fazla yer alması beklenmektedir.

3. Sağlık Sektörü

Sağlık sektörü, hasta verilerinin korunması açısından kritik öneme sahiptir. Ancak finansal bağımsız denetim raporlarında siber güvenlik risklerine yönelik özel açıklamalara henüz yer verilmemektedir. Kişisel Verileri Koruma Kurumu (KVKK) tarafından yapılan denetimler sonucu sağlık kuruluşları veri ihlallerini açıklamak zorunda kalmış, fakat bu durum bağımsız finansal denetim raporlarına yansıtılmamıştır.

4. Üretim ve Perakende Sektörleri

Üretim ve perakende sektörlerinde siber güvenlik bilinci son yıllarda artmakla birlikte, bağımsız denetim raporlarına yansıyan özel bir uygulama bulunmamaktadır. Özellikle tedarik zinciri saldırıları ve e-ticaret sistemlerine yönelik tehditlerin artması, bu sektörlerde de önümüzdeki dönemde bağımsız denetim süreçlerinde siber risk değerlendirmesinin önem kazanacağını göstermektedir.

Bağımsız Denetçilerin Yaklaşımı

Türkiye’de faaliyet gösteren bağımsız denetim firmaları, global denetim ağlarına bağlı olmaları nedeniyle uluslararası standartları ve uygulamaları yakından takip etmektedir. Bu doğrultuda, özellikle bilgi sistemleri kontrolleri zayıf olan şirketlerde denetim planlarına siber güvenlik riskleri de dahil edilmektedir. Denetçiler, finansal tabloların hazırlanmasını destekleyen bilgi sistemlerinin güvenliğini, verilerin bütünlüğünü ve erişilebilirliğini etkileyen riskleri dikkate almak zorundadır.

Bununla birlikte, bağımsız denetçiler siber risklere ilişkin yalnızca finansal tablolarda yanlış beyan riski yaratabilecek unsurları dikkate almakta; operasyonel düzeyde kalan siber riskleri bağımsız denetim görüşü kapsamına almamaktadır. Bu nedenle, siber güvenlik riskleriyle ilgili ayrıntılı açıklamalar daha çok şirketlerin yıllık faaliyet raporlarında veya sürdürülebilirlik raporlarında yer bulmaktadır. Bağımsız denetim görüşlerinde ise yalnızca bu risklerin finansal tablolar üzerindeki olası etkileri raporlanmaktadır.

Gelecek Perspektifi

Dijitalleşmenin artması ve regülatör baskılarının yükselmesiyle birlikte, önümüzdeki yıllarda bağımsız denetim standartlarında siber güvenlik risklerine dair daha açık hükümler yer alması beklenmektedir. KGK’nın sürdürülebilirlik ve dijitalleşme odaklı yeni düzenleme çalışmaları kapsamında, siber güvenlik risklerinin finansal raporlamaya etkisinin daha somut şekilde ele alınması muhtemeldir. Ayrıca, uluslararası gelişmeler doğrultusunda, SPK’nın sürdürülebilirlik raporlaması kapsamında şirketlerin bilgi güvenliği risklerini de açıklamalarını zorunlu kılması gündeme gelebilir.

Bağımsız denetim firmalarının bu süreçte bilgi teknolojileri uzmanlarıyla daha sıkı iş birliği yapmaları ve denetim ekiplerine siber güvenlik alanında uzmanlık kazandırmaları önem taşımaktadır. Denetçiler, yalnızca mevcut kontrollerin etkinliğini değil, aynı zamanda siber saldırı senaryolarının finansal raporlamayı nasıl etkileyebileceğini de analiz etmek zorundadır.

Sonuç

Bağımsız denetim raporlarının kapsamı, yalnızca finansal tabloların doğruluğu ve bütünlüğü ile sınırlı kalmamalı, işletmelerin dijital altyapılarında oluşabilecek riskleri de içermelidir. Mevzuat henüz bu konuda kesin bir yönlendirme sunmasa da, global standartlar ve piyasa beklentileri doğrultusunda bağımsız denetçilerin sorumluluk alanı genişlemektedir. Şirketlerin bilgi teknolojileri altyapıları ve siber güvenlik önlemleri, artık yalnızca operasyonel başarıyı değil, finansal güvenilirliği de doğrudan etkileyen unsurlar haline gelmiştir. Bu nedenle, önümüzdeki dönemde bağımsız denetim raporlarında siber güvenlik risklerinin daha açık ve detaylı şekilde yer alması kaçınılmaz görünmektedir.

Bu gelişmeler doğrultusunda, şirketlerin yönetim kurulları ve üst yönetimleri de siber güvenlik konusunu yalnızca teknik bir mesele olarak görmemeli, kurumsal risk yönetimi çerçevesinde stratejik bir öncelik haline getirmelidir. Finansal raporlamada şeffaflık ve doğruluk sağlanabilmesi için, bilgi teknolojileri altyapısına yönelik yatırımların artırılması, çalışanların siber farkındalıklarının yükseltilmesi ve düzenli penetrasyon testleri yapılması gerekmektedir. Ayrıca, olası bir siber saldırının finansal tablolara etkisini azaltmak için etkin kriz yönetimi planlarının oluşturulması önem arz etmektedir.

Son olarak, düzenleyici kurumların da bu alandaki gelişmeleri yakından takip ederek mevzuatlarını güncellemesi beklenmektedir. Türkiye’de KGK, SPK ve BDDK gibi kurumlar, bağımsız denetim raporlarında siber güvenlik risklerinin açıkça yer alması için standartlar oluşturabilir. Bu düzenlemeler, yatırımcıların ve diğer paydaşların şirketlerin dijital risklere karşı ne kadar hazırlıklı olduğunu anlamalarına yardımcı olacak ve piyasaların daha şeffaf ve güvenilir hale gelmesini sağlayacaktır. Bağımsız denetim raporlarının kapsamı, yalnızca finansal tabloların doğruluğu ve bütünlüğü ile sınırlı kalmamalı, işletmelerin dijital altyapılarında oluşabilecek riskleri de içermelidir. Mevzuat henüz bu konuda kesin bir yönlendirme sunmasa da, global standartlar ve piyasa beklentileri doğrultusunda bağımsız denetçilerin sorumluluk alanı genişlemektedir. Şirketlerin bilgi teknolojileri altyapıları ve siber güvenlik önlemleri, artık yalnızca operasyonel başarıyı değil, finansal güvenilirliği de doğrudan etkileyen unsurlar haline gelmiştir. Bu nedenle, önümüzdeki dönemde bağımsız denetim raporlarında siber güvenlik risklerinin daha açık ve detaylı şekilde yer alması kaçınılmaz görünmektedir.

11.07.2025

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)