GDS 3402, uluslararası kökeni itibarıyla Uluslararası Muhasebeciler Federasyonu (IFAC) tarafından yayımlanan ISAE 3402 (International Standard on Assurance Engagements 3402) standardının Türk mevzuatına uyarlanmış hâlidir. Türkiye’de bu standart, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından ilk kez 2015 yılında yayımlanmış, ardından 2018 yılında yenilenmiştir. Revizyon sonrası, 1 Ocak 2018 ve sonrasında başlayan denetim dönemlerinde uygulanması zorunlu hale gelmiştir. GDS 3402, özellikle hizmet kuruluşlarının finansal raporlamayı etkileyen kontrollerine ilişkin güvence sağlamak amacıyla yürütülen denetimlerde kullanılır. Bu standart, GDS 3000 (genel güvence denetimleri) ve BDS 200 serisi (bağımsız denetim standartları) ile birlikte değerlendirilerek, denetim sürecinin bütünsel ve uyumlu bir şekilde yürütülmesini sağlar.
GDS 3402 standardının amacı, hizmet kuruluşlarının (örneğin dış kaynak hizmet sağlayıcıları, bilgi işlem destek firmaları, bordro ve çağrı merkezi hizmetleri, veri işleme merkezleri gibi) kendi müşterilerine sundukları hizmetlerde yer alan iç kontrol sistemlerinin tasarımı ve işleyiş etkinliğine güvence sağlamaktır. Bu güvence, hizmet alan işletmelerin finansal raporlamalarını veya iş süreçlerini doğrudan etkileyen kontrollerin güvenilirliğini değerlendirme imkânı sunar.
Standardın kapsamı, hizmet kuruluşunun kontrol ortamı, risk yönetim sistemleri ve bilgi teknolojisi kontrolleri gibi unsurları içerir. Denetim, bu kontrollerin tasarımının doğruluğunu (yani kontrollerin amaca uygun şekilde kurgulanıp kurgulanmadığını) ve işleyiş etkinliğini (kontrollerin süreklilik ve tutarlılıkla çalışıp çalışmadığını) değerlendirir. Bu süreçte, müşteri işletmelerin finansal raporlamasını veya operasyonel süreçlerini doğrudan etkileyen kontroller öncelikli olarak ele alınır.
Ancak bu standardın sınırları nettir; hizmet kuruluşunun kontrol süreçleri hakkında güvence raporu üretir. Bu yönüyle, bağımsız denetim standartlarından ayrılır ve hizmet alan işletmelere dolaylı fakat kritik bir denetim katkısı sunar.
Hangi kurum/kuruluşlar için uygundur?
GDS 3402 uygulamaları, bağımsız denetim firmaları veya kamu gözetimi tarafından yetkilendirilmiş tetkikçiler tarafından yürütülür. Bu süreç, bankalara operasyon desteği, veri saklama, bordro ve insan kaynakları yönetimi, çağrı merkezi veya BT gibi kritik hizmetler sunan kuruluşlar için geçerlidir. Müşteri işletmeler ise, bu hizmetlerden faydalanırken kendi tetkikçilerine güvence sağlamak için raporları kullanır. Özellikle finans, sigorta, üretim, lojistik, bilişim, bulut hizmetleri ve büyük ölçekli kamu/özel şirketlerde, dış kaynak kullanılan tüm süreçlerde GDS 3402 raporları güvence aracı olarak tercih edilir.
Raporlama Türleri ve Formatı
GDS 3402 raporlaması, hizmet kuruluşlarının kontrol yapısına ilişkin güvenceyi standart bir formatta sunar ve kullanıcı işletmelerin risk yönetimi ile denetim süreçlerinde güvenilir kanıt sağlamayı amaçlar.GDS 3402 raporları iki tiptir:
- Tip I Raporu: Hizmet kuruluşunun kontrol sistemlerinin herhangi bir tarihte tasarımının uygunluğu değerlendirilir.
Kontrollerin işletilip işletilmediğine dair test yapılmaz.
Örn: “1 Ocak 2025 tarihi itibarıyla mevcut kontroller.”
- Tip II Raporu: Belirli bir dönem boyunca (genelde 6–12 ay) kontrollerin hem tasarımı hem de işleyiş etkinliği değerlendirilir. Tetkikçi, test yaparak kontrollerin sürekliliğini doğrular, daha güçlü güvence sağlar.
Rapor formatında yer alan ana bölümler:
- Yönetimin beyanı (sistem ve kontrollerin tanımı).
- Denetçinin raporu (amaç, kapsam, kriterler, sonuç).
- Sistem açıklaması (organizasyon, süreçler, bilgi teknolojisi, iç kontrol yapısı).
- Denetim bulguları, testler ve sonuçlar.
- Sınırlamalar ve sorumluluk açıklamaları.
TIP 1 ve TIP 2 Arasındaki Farklar
|
| Tip 1 | Tip 2 |
Kapsam | Şirket kontrollerin sadece kâğıt üzerinde doğru tasarlanıp tasarlanmadığına bakılır. | Şirket kontrollerin hem tasarımı hem de gerçekte işleyip işlemediği incelenir. |
Zaman aralığı | Herhangi tarihte mevcut durum değerlendirilir. | 6 –12 ay boyunca kontrollerin sürekli çalışıp çalışmadığı test edilir. |
Güvence Derinliği | Sadece “tasarım doğru mu?” sorusuna cevap verir. | Hem tasarımın hem de uygulamanın doğru işlediğine dair kontrol sağlar. |
Kullanım Örneği | Kontrol sistemlerinin ilk kez kurulmuşsa veya başlangıç seviyesindeki soruları yanıtlar. | Kuruluş kontrollerinin uzun vadede düzenli çalıştığını göstermek için kullanılır. |
Farklı Standartlarla Karşılaştırma
SOC 1 / GDS 3402 (ISAE 3402) → Finansal raporlamayı etkileyen kontrollerin doğru çalıştığını gösterir.
SOC 2 → Bilgi güvenliği, gizlilik, kullanılabilirlik ve işlem bütünlüğü gibi kriterlere odaklanır. SOC 2 genellikle ISAE 3000’e dayandırılır.
Özellikle finans, BT, bulut ve SaaS sektörlerinde giderek önem kazanan bu standart, bağımsız tetkikçilere ve işletmelere önemli kolaylıklar sunar. GDS 3402 standardı, dış kaynak hizmet sağlayıcılarının kontrol güvenilirliğini belgeleyerek müşteri işletmelerin risklerini azaltır ve denetim süreçlerinde şeffaflık sağlar. Dış kaynak kullanımının arttığı günümüzde, GDS 3402 raporları kurumların güvenilirlik ve şeffaflık vizyonunu belgeleme aracıdır.
CFECERT Eğitim ve Belgelendirme Hizmetleri, uluslararası yönetim sistemleri konusunda uzmanlaşmış profesyonel kadrosuyla kurumlara güvenilirlik, kalite ve sürdürülebilirlik odaklı hizmetler sunmaktadır. GD 3402 Denetim ve Raporlama hizmetlerimiz hakkında bizlere info@cfecert.co.uk adresinden ulaşabilirsiniz.
