Bağımsız denetim kuruluşlarında bilgi güvenliğinin önemi

YAYINLAMA
GÜNCELLEME

 

Yılmaz SEZER / Güncel & Laviale Türkiye Yönetim Kurulu Başkanı

"Bağımsız Denetim", ülkemizde 2012 Temmuz ayında yürürlüğe giren yeni TTK hükümleri ile yeni bir boyut, anlam ve önem kazanmıştır. Başta Kamu Gözetim Kurumu olmak üzere, düzenleyici kurumlar bağımsız denetimin usul ve esaslarına ilişkin birçok düzenlemeler yapmaktadırlar. Daha önce SPK, BDDK, EPDK’dan almış oldukları yetkiyle; şimdi ise KGK'dan almış oldukları yetki ile bağımsız denetimleri gerçekleştiren; denetçiler ve bağımsız denetim kuruluşları, denetledikleri firmaların tüm mali ve finansal bilgilerine ulaşabilmekte ve yaptıkları analiz ve değerlendirmelerle firmaların geleceklerini belirleyecek yorumlar yapabilmektedirler. Dolayısıyla tek sermayesi bilgi olan ve elde ettiği bilgiyi değerlendirerek sonuca ulaşan bağımsız denetim kuruluşlarında, elde edilen bilginin gizliliği ve korunması büyük bir önem taşımaktadır. Globalleşen dünya ve hızla gelişen teknoloji, hizmet sektörüne olan ilgiyi ve buna bağlı olarak ihtiyacı da arttırmıştır. Bu durum ise bilgi teknolojilerinin fonksiyonunu arttırmış ve bilgi alt yapılarının emniyetini sağlamak da hayati bir önem kazanmıştır. Yaşanılan gelişmeler ve artan ihtiyaç doğrultusunda ISO (International Organization for Standardization) tarafından Bilgi Güvenliği Yönetim Sistemi geliştirilmiştir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı (ISO 27001 BGYS ) istisnasız tüm kuruluşlara uygulanabilmektedir. Örneğin; ticari kuruluşlar, kamu kurumları ve kâr amacı gütmeyen kuruluşlar. Bu standart, dokümante edilmiş bir Bilgi Güvenliği Yönetim Sistemi'ni kuruluşun tüm ticari risklerini kapsayacak şekilde kurmak, gerçekleştirmek, izlemek, aksayan yönlerini gözden geçirmek, sürdürmek ve iyileştirmek için gerekenleri açıklar. Bağımsız denetim kuruluşlarının ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için izlenecek yolu belirler. Açıklanan bu sistem sayesinde kurumlar, bilgi alt yapılarını tanımlar, olası tehlikeleri öngörür, analiz eder ve bu risklerin karşılarına çıkması halinde uygulanacak ve uygulanmayacak kontrol sistemlerine karar verirler. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, özellikle kurumsallaşma süreci içinde olan firmalar için önemli bir unsur olarak öne çıkmaktadır.

Bağımsız denetçilik mesleği, 3065 sayılı kanuna göre yetki almış meslek mensupları yani SMMM’ler ve YMM’ler tarafından icra edilmektedir. Mesleki etik ilkelerinin başında ise sır saklamak gelmektedir. Meslek mensupları zaten kanundan gelen bir hüküm ile mesleki faaliyetleri sırasında müşterileriyle ilgili edindiği bilgileri ve sırları müşterilerinin izni olmadıkça, mesleki faaliyetleri son bulsa dahi açıklayamazlar. Meslek mensupları, sır saklama prensibine çalışanlarının da uymalarını sağlamakla yükümlüdürler. Ayrıca Türk hukukunda sır saklamaya ilişkin hükümler 213 Sayılı Vergi Usul Kanunu'nun 5. maddesinde Vergi Mahremiyeti, 6183 Sayılı Amme Alacaklarının Tahsili Usulü Hakkındaki Kanun'un 107. maddesinde sırrın ifşası ve Kara Paranın Aklanmasının Önlenmesine Dair Kanun'un 6. maddesinde sır saklama mükellefiyeti başlıklarında düzenlenmiştir.

Dolayısıyla bağımsız denetçiler için yapmış oldukları iş nedeniyle elde etmiş oldukları 3.kişilere ilişkin bilgileri saklamak kanuni bir yükümlülüktür. Bu aşamada devreye giren ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bağımsız denetim kuruluşlarının bilgi güvenliğini sağlamak üzere kuracakları sisteme ilişkin usul ve esasları belirlemekte ve uygulanılmasına yönelik de rehberlik etmektedir. Dolayısıyla bağımsız denetim faaliyetin icra edilmesi aşamasında ve sonrasında büyük bir önem arz eden, sır saklama ve bilgi güvenliği konularının disipline edilmesi ve belirli usul ve esaslara bağlanılabilmesi için Bilgi Güvenliği Yönetim Sisteminin uygulanılması gerekmektedir. Bu durum bağımsız denetim kuruluşlarının yetkilendirilmesi aşamasında, Bilgi Güvenliği Yönetim Sistemi'nin ön koşul olarak yerini alması beklentisini büyük ölçüde artırmaktadır.