Danıştay 13. Daire Başkanlığı         2018/1646 E.  ,  2020/2554 K.
T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No : 2018/1646
Karar No : 2020/2554

DAVACI: … Odaları Birliği (v)
VEKİLİ: Av. …
DAVALI: … Kurulu
VEKİLİ: Av. …

DAVANIN KONUSU :
05/01/2018 tarih ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)’nin 4. maddesinin birinci fıkrasının (b) bendinin, 5. maddesinin üçüncü fıkrasının, 6. maddesinin dördüncü ve altıncı fıkralarının, 7. maddesinin, 9. maddesinin ikinci, üçüncü ve dördüncü fıkralarının, 10. maddesinin, 11. maddesinin birinci fıkrasının (b) bendinin, 12. maddesinin, 13. maddesinin birinci fıkrasının (a) bendinin, 14. maddesinin birinci fıkrasının (f) bendi ile ikinci ve üçüncü fıkralarının, 15., 16., 17. maddesinin, 18. maddesinin ikinci, üçüncü, dördüncü ve beşinci fıkralarının, 19. maddesinin başlığında geçen “denetçilerin” ibaresi ile birinci, üçüncü, beşinci, altıncı, yedinci, dokuzuncu, onuncu, onbirinci, onüçüncü ve onbeşinci fıkralarının, 22. maddesinin ikinci, dördüncü, beşinci, altıncı ve yedinci fıkralarının, 23., 24., 25., 26. maddesinin, 27. maddesinin üçüncü fıkrasının (b) bendi ile dördüncü fıkrasının son cümlesinin, 28. maddesinin, 29. maddesinin birinci fıkrasının ilk cümlesinde geçen “…sorumlu bilgi sistemleri başdenetçisi tarafından…” ibaresinin ve 32. maddesinin iptali istenilmektedir.

DAVACININ İDDİALARI: Dava konusu Tebliğ ile üyelerinin mesleki menfaatlerinin ihlâl edildiği, mevzuata aykırı bir unvan ve yetkilendirme ihdas edildiği, 6102 sayılı Türk Ticaret Kanunu, 660 sayılı Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunun Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ile 6362 sayılı Sermaye Piyasası Kanunu hükümleri uyarınca bağımsız denetçinin, 3568 sayılı Kanun uyarınca ruhsat almış meslek mensupları arasından Kamu Gözetimi Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından yetkilendirilen kişilerden olacağı, bağımsız denetçiler tarafından kurulan ve bazı şartları taşıyan şirketlerin bağımsız denetim kuruluşu olarak yetkilendirileceği, Sermaye Piyasası Kurulu’nun da KGK tarafından yetkilendirilen bu kuruluşlardan bazı özel şartları taşıyanlara lisans vereceği, mevzuatın hiçbir yerinde denetçi olacak kişiler için ayrı bir unvan ya da nitelik öngörülmediği, buna karşılık dava konusu düzenleme ile “bilgi sistemleri denetçisi” unvanı altında ayrı bir denetçilik türü ihdas edildiği, Serbest Muhasebeci Mali Müşavir (SMMM) ve Yeminli Mali Müşavir (YMM) unvanına sahip olmayan ve KGK tarafından denetçi olarak yetkilendirilmeyen kişilerin denetçi olabileceğinin düzenlendiği, bilgi sistemleri bağımsız denetiminde uzman görüşü alınmasının mümkün ve gerekli olduğu, ancak dava konusu düzenlemeyle bunların denetçi olarak nitelendirildiği ve bunlara rapor imzalama yetkisi verildiği, dava konusu kuralların uluslararası denetim standartlarına aykırı olduğu, merkezi yurt dışında olan bir derneğe zorunlu olarak yönlendirme yapıldığı, bilgi sistemleri konusunda uluslararası kuruluş olarak genel kabul görmüş bir örgütlenmenin söz konusu olmadığı, uluslararası bilgi sistemleri uygulamasında ayrı bir bağımsız denetim lisanslamasının olmadığı, gerek uluslararası gerek ulusal denetim standartlarına göre bağımsız denetçilerin uzman görüşü alarak yapabileceği bir denetimin yeni ihdas edilen bir unvana sahip olanlara bırakılmasının açıkça hukuka aykırı olduğu, dava konusu Tebliğ’in rekabet ortamını ortadan kaldırdığı ve tekelleşmeyi körüklediği, bilgi sistemleri alanında bağımsız denetim yapacak kuruluşlar için yerine getirilmesi oldukça güç şartlar öngörüldüğü, yürürlük tarihine ilişkin olarak herhangi bir intibak hükmüne yer verilmediği, Geçici 1. maddede Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından bankaların bilgi sistemi denetimi ile yetkilendirilmiş bağımsız denetim kuruluşlarının altmış gün içinde davalı idareye başvurmak kaydıyla doğrudan yetkilendirilebileceklerinin düzenlendiği, maddede sözü edilen bağımsız denetim kuruluşlarının çok az sayıda olduğu, bunların büyük çoğunluğunun uluslararası firmaların Türkiye şubeleri olduğu, dava konusu düzenlemenin rekabeti kısıtlayıcı ve engelleyici etkileri bulunduğu, bilgi sistemlerinin bağımsız denetim faaliyetlerini yürütmek üzere denetim firmaları için öngörülen koşulların piyasada bu faaliyeti yürütebilecek firmaların sayısını ve rekabeti önemli ölçüde azaltacağı, mevcut milli ve yerli denetim firmalarının öngörülen şartları yerine getiremeyeceği ve denetim işlerinin muafiyet getirilen denetim firmaları tarafından üstlenileceği, hâlihazırda bilgi sistemleri denetimini de içine alan denetim yetkisini almış kuruluşların yeniden idareye başvurarak bilgi sistemleri denetim yetkisi almak zorunda kalacağı, bu durumun kazanılmış hakların ihlâli anlamına geldiği, dava konusu maddelerin iptali sonucu Tebliğin anlamını kaybedeceği ve tümünün iptalinin gerektiği ileri sürülmüştür.

DAVALININ SAVUNMASI :
Usule ilişkin olarak, davanın süresinde açılıp açılmadığının incelenmesi gerektiği, Tebliğ ile getirilen düzenlemelerin davacının kişisel, meşru ve aktüel menfaatini etkileyecek nitelikte olmadığı, davacının taraf sıfatını haiz bulunmadığı ileri sürülmüştür.
Esasa ilişkin olarak, dava konusu Tebliğin sermaye piyasasındaki ihtiyaçlar göz önünde bulundurulmak suretiyle Sermaye Piyasası Kurulu’na kanunla verilen görev ve yetki dahilinde tanzim edildiği, bilgi ve iletişim sektöründe yaşanan hızlı gelişmeler doğrultusunda sermaye piyasası faaliyetlerinin de bilişim sistemleri aracılığıyla yerine getirildiği, bu faaliyetler esnasında ortaya çıkan verilerin bilişim sistemleri aracılığıyla depolandığı, ortaya çıkan ihtiyaç doğrultusunda ve dayanak Kanun hükümlerine uygun olarak dava konusu Tebliğ’in çıkarıldığı, Tebliğin Mevzuat Hazırlama Yönetmeliği’ne uygun şekilde tanzim edildiği, kamuoyu görüşlerinin alındığı, Tebliğ’e ilişkin çalışmalara 2013 yılının Mayıs ayında başlandığı, düzenlemeye ilişin taslak metinlerin Kurul’un internet sitesi aracılığıyla ilgili kurum ve kuruluşların görüşlerine sunulduğu, çeşitli kurum ve kuruluşlar tarafından söz konusu taslaklara ilişkin görüş iletildiği, ayrıca internet sitesinden ayrı olarak Kurul’un hizmet birimlerinden ve Türkiye Sermaye Piyasası Aracı Kuruluşları Birliği, İstanbul Takas ve Saklama Bankası A.Ş., Bilgi Teknolojileri ve İletişim Kurumu, BDDK, KGK ve Merkezi Kayıt Kurulu A.Ş.’den yazılı görüş talep edildiği, iletilen tüm görüşler çerçevesinde Tebliğ taslaklarında değişikliklerin yapıldığı, bu süreçte davacı tarafından konuya ilişkin hiçbir görüşün beyan edilmediği, Tebliğ’de yer alan bilgi sistemleri denetçisi mesleği ile SMMM/YMM mesleğinin birbirinden tamamıyla farklı alanlara ilişkin olduğu, TÜRMOB’un görevi kapsamına giren yeni bir meslek ihdas edildiğine ilişkin iddiaların yerinde olmadığı, bilgi sistemleri denetiminin finansal denetimden tamamen farklı bir alan olduğu, kavramsal olarak denetçilik mesleğinin çok geniş bir anlam taşıdığı, her alana ve sektöre ilişkin denetçi unvanı altında faaliyette bulunan meslek mensupları bulunduğu, TÜRMOB’un üyeleri meslek grubunun faaliyet gösterdiği denetçilik alanının ise yalnızca finansal tabloların denetimini kapsadığı, uzmanlık gerektiren bilgi teknolojilerine yönelik denetimin salt finansal denetçi olan kişiler tarafından yapılmasının mümkün olmadığı, Tebliğ ile bilgi sistemlerinin denetiminde bu alanda bilgi ve tecrübeye ilişkin belli şartların getirildiği, ancak bilgi sistemleri bağımsız denetçilik şartlarının SMMM ya da YMM belgesine sahip olan meslek mensupları tarafından sağlanmasının da mümkün olduğu, bilgi sistemleri denetçisi unvanının dava konusu düzenlemeden daha önce de çeşitli mevzuatta yer aldığı, yurtdışında faaliyet gösteren bir meslek örgütüne zorunlu olarak yönlendirme yapılmadığı, Tebliğ’in 12. maddesinde bilgi sistemleri bağımsız denetçileri için Kurul tarafından esasları belirlenmekte olan Bilgi Sistemleri Bağımsız Denetim Lisansına (BSBDL) veya CISA belgesine sahip olma şartı getirildiği, CISA belgesinin zorunlu tutulmasının söz konusu olmadığı ve yalnızca alternatif olarak belirlendiği, Kurul tarafından verilecek BSBDL lisansının alınmasının da bu faaliyet için yeterli olduğu, anılan lisans ve belgelerin SMMM ve YMM olan kişiler tarafından alınmasının da mümkün olduğu, bilgi sistemleri denetimi konusunda uluslararası standartların mevcut olduğu, uzmanlık gerektiren bilişim sistemleri denetiminin gerekli lisanslara sahip olmayan SMMM/YMM’ler tarafından yapılabilmesinin mümkün olmadığı, Tebliğ’de bilgi sistemleri denetimini gerçekleştirebilecek bağımsız denetim kuruluşları arasında hukuka aykırı herhangi bir ayrıma gidilmediği, uyum süreci için gerekli düzenlemelere yer verildiği, bilgi sistemleri bağımsız denetim yükümlülüğünün sermaye piyasalarında faaliyet gösteren kurum ve kuruluşların tamamına getirilmediği, ilgili kurum ve kuruluşların kademeli şekilde denetim yükümlülüğüe tâbi tutulduğu, denetim yaptıracak kurum ve kuruluşların kapsamı dikkate alınarak BDDK tarafından bankaların bilgi sistemleri denetimi ile yetkilendirilmiş bağımsız denetim kuruluşlarının da sermaye piyasasında bilgi sistemleri bağımsız denetimi hususunda bir yıl süreyle geçici olarak yetkilendirilebileceklerinin düzenlendiği, düzenlemenin rekabeti engelleyen bir sonucunun bulunmadığı, Tebliğ’de düzenlenen koşulların tüm bağımsız denetim kuruluşları için geçerli olduğu, birbirinden bağımsız nitelikte olan finansal denetim ile bilgi sistemleri denetiminin farklı bağımsız denetim kuruluşlarına yaptırılmasının önünde herhangi bir engel bulunmadığı, bir bağımsız denetim şirketinin bilgi sistemleri denetim yetkisini haiz olmasının finansal denetim yapamaması anlamına gelmediği, dolayısıyla listede yer alan bağımsız denetim şirketlerinin haklarının alınmasının söz konusu olmadığı, dava konusu Tebliğ’in hukuka uygun olduğu savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …’IN DÜŞÜNCESİ: Davanın reddi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI …’UN DÜŞÜNCESİ : Dava; 05/01/2018 günlü, 30292 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Bilgi Sistemleri Bağımsız Denetim Tebliği”nin (III-62.2) 4. maddesinin birinci fıkrasının (b) bendinin, 5. maddesinin üçüncü fıkrasının, 6. maddesinin dördüncü ve altıncı fıkralarının, 7. maddesinin, 9. maddesinin ikinci, üçüncü ve dördüncü fıkralarının, 10. maddesinin, 11. maddesinin birinci fıkrasının (b) bendinin, 12. maddesinin, 13. maddesinin birinci fıkrasının (a) bendinin, 14. maddesinin birinci fıkrasının (f) bendi ile ikinci ve üçüncü fıkralarının, 15., 16., 17. maddesinin, 18. maddesinin ikinci, üçüncü, dördüncü ve beşinci fıkralarının, 19. maddesinin başlığında geçen “denetçilerin” ibaresi ile birinci, üçüncü, beşinci, altıncı, yedinci, dokuzuncu, onuncu, onbirinci, onüçüncü ve onbeşinci fıkralarının, 22. maddesinin ikinci, dördüncü, beşinci, altıncı ve yedinci fıkralarının, 23., 24., 25., 26. maddesinin, 27. maddesinin üçüncü fıkrasının (b) bendi ile dördüncü fıkrasının son cümlesinin, 28. maddesinin, 29. maddesinin birinci fıkrasının ilk cümlesinde geçen “…sorumlu bilgi sistemleri başdenetçisi tarafından…” ibaresinin ve 32. maddesinin, bu maddelerin iptali halinde uygulama olanağı kalmayacağından Tebliğ’in tamamının iptali istemiyle açılmıştır.
Davalı idarece, davacı TÜRMOB’un haklarını korumakla görevli olduğu Serbest Muhasebeci Mali Müşavir (SMMM) ve/veya Yeminli Mali Müşavir (YMM)’lerin faaliyet alanların, finansal konuların denetimi ile sınırlı olduğu, dava konusu Tebliğ ile düzenlenen alanın, TÜRMOB’un haklarını korumakla görevli SMMM ve/veya YMM’lerin faaliyet alanlarıyla tamamıyla farklı ve yeni bir alan olduğu dikkate alındığında davacının bu davayı açmakta ehliyetinin bulunmadığı öne sürülmekte ise de, davacının bu davayı, Tebliğ ile YMM ve SMMM unvanına sahip olmayan ve Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından denetçi olarak yetkilendirilmeyen kişilerin “denetçi” olabileceğinin düzenlendiği bunun da 6102 sayılı Türk Ticaret Kanunu’nun 400. maddesinin birinci, 660 sayılı Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunun Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 2. maddesinin 1. fıkrasının (a) bendi ve 6362 sayılı Sermaye Piyasası Kanunu’nun 62. maddesine aykırı olarak yeni bir unvan ve yetkilendirme ihdas edilmesine yol açtığı iddiasıyla açtığı göz önüne alındığında, davacının ehliyetli olduğu sonununa ulaşılmıştır. Öte yandan, davalı idarenin süreye yönelik iddiası da yerinde görülmemiştir.

İptali istenilen Tebliğin dayanakları arasında yer alan 6362 sayılı Sermaye Piyasası Kanunu’nun “Bağımsız Denetim, Derecelendirme ve Değerleme Kuruluşları” başlıklı 62. maddesinin 2. fıkrasında, “Kurul, bu Kanun hükümlerine tabi kuruluşların bilgi sistemleri denetimi, derecelendirme ve değerleme faaliyetlerinin güvenli ve bağımsız şekilde yürütülmesi ve bunu teminen kalite güvence sistemlerinin oluşturulması ile kamu yararını da gözetmek suretiyle uluslararası standartlara uyumunun sağlanması amacıyla düzenleme, gözetim ve denetim yapar. Bu kuruluşların yetkilendirilmesi, yönetici ve çalışanlarının lisanslanması ve bu kuruluşlar hakkındaki sicil bilgileri ile bu bilgilerin kamuya açıklanmasına ilişkin usul ve esaslar Kurul tarafından belirlenir.” kuralına; “Borsa ve piyasa işleticilerinin mali ve bilgi sistemleri denetimi” başlıklı 72. maddesinin 3. fıkrasında, “Borsaların ve piyasa işleticilerinin bilgi sistemleri denetimine ve bu denetimi yapacak kuruluşlara ilişkin usul ve esaslar Kurulca belirlenir.
” hükmüne; “Kurulun görev, yetki ve sorumlulukları” başlıklı 128. maddesinin 1. fıkrasının (c) bendinde, “Bu Kanun kapsamına giren kurum ve ortaklıkların bağımsız denetim, derecelendirme, değerleme ve bilgi sistemleri denetimi faaliyetine ilişkin şartları ve çalışma esaslarını belirlemek ve bu şartları taşıyanları listeler hâlinde ilan etmek”, (h) bendinde ise, “Sermaye piyasası kurumlarının, halka açık şirketlerin, borsaların ve öz düzenleyici kuruluşların bilgi sistemlerinin işletimine ve bu Kanun çerçevesindeki denetimine ilişkin usul ve esasları belirlemek” düzenlemesine yer verilmiştir.
Teknolojik gelişmeler doğrultusunda sermaye piyasasında faaliyet gösteren şirket, kurum ve kuruluşların da hızla bilişim sistemlerine adapte olmaları sonucunda sermaye piyasası faaliyetlerinin hemen hemen tamamının doğrudan ya da dolaylı olarak bilişim sistemleri aracılığı ile yerine getirildiği, bu faaliyetlerde ortaya çıkan verilerin bilişim sistemleri aracılığıyla depolandığı dikkate alındığında, söz konusu alanda düzenleme yapılması 6362 sayılı Yasa’nın 1. maddesinde yer alan “Bu Kanunun amacı; sermaye piyasasının güvenilir, şeffaf, etkin, istikrarlı, adil ve rekabetçi bir ortamda işleyişinin ve gelişmesinin sağlanması, yatırımcıların hak ve menfaatlerinin korunması için sermaye piyasasının düzenlenmesi ve denetlenmesidir.” yolundaki düzenlemenin bir gereği olduğuna kuşku bulunmamaktadır.
Nitekim, söz konusu Yasal düzenlemeler çerçevesinde çıkartılan dava konusu Tebliğin 1. maddesinde Tebliğin amacı, “Bu Tebliğin amacı, 2 nci maddede sayılan Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin bağımsız denetimi ile bu faaliyette bulunacak bağımsız denetim kuruluşlarının yetkilendirilmesine ve denetim sonuçlarının raporlanmasına ilişkin usul ve esasları belirlemektir.” şeklinde ifade edilmiş, “Bilgi sistemleri bağımsız denetiminin amacı ve kapsamı” başlıklı 5. maddesinin 1. fıkrasında, “Bilgi sistemleri bağımsız denetimi, bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ile bu sistem dâhilinde tesis edilen kontrollerin BSY Tebliğinde düzenlenen bilgi sistemleri yönetim ilkeleri doğrultusunda değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması aşamalarından oluşan süreçtir.” şeklinde tanımlanmıştır.
Yukarıda yer verilen Kanun ve Tebliğ hükümleri birlikte değerlendirildiğinde, Kurul’un bilişim sistemlerinin denetimini yerine getirecek bağımsız denetim kuruluşlarına ve bu kuruluşların çalışanlarına ilişkin düzenleme yapma yetkisinin bulunduğu sonucuna varılmaktadır.
Davacının diğer iptal gerekçeleri çerçevesinde dava konusu Tebliğ hükümleri incelendiğinde;
Tebliğin, Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmelik hükümlerine uygun olarak hazırlanmadığı, kamuoyu görüşlerinin alınmadığı iddiasına yönelik olarak;
Savunma dilekçesinin incelenmesinden; gelen görüşlerin dikkate alınması suretiyle hazırlanan Tebliğ ile ilgili çalışmalara 2013 Mayıs ayında başlandığı, taslak metinlerin 15/11/2013 tarihinde Kurulun internet sitesi aracılığıyla ilgili kurum ve kuruluşların görüşlerine açıldığı, aralarında Borsa İstanbul A.Ş., KGK, Türkiye Bankalar Birliği, çeşitli bankalar ile yatırım ve finans kuruluşlarının da bulunduğu kamu ve özel hukuk tüzel kişilerince taslak hakkındaki görüşlerin Kurula iletildiği, ayrıca, 18/11/2013 tarihinde Kurulun hizmet birimlerinden; 19/11/2013 tarihinde ise Türkiye Sermaye Piyasası Aracı Kuruluşları Birliği, İstanbul Takas ve Saklama Bankası A.Ş., Bilgi Teknolojileri İletişim Kurumu, Bankacılık Düzenleme ve Denetleme Kurumu, KGK ve Merkezi Kayıt Kuruluşu A.Ş.’den yazılı görüş talep edildiği, gelen görüşler çerçevesinde taslak metnin revize edilerek son halini aldığı ve Resmi Gazete’de yayınlandığı dikkate alındığında, davacının anılan iddiasında hukuki isabet görülmemiştir.
Tebliğ’de “Bilgi sistemleri denetçisi” unvanı ile ayrı bir denetçilik türünün ihdas edildiği; söz konusu unvana sahip denetçilerin Tebliğ’in 12. maddesinde yer alan nitelikleri taşıması gerektiğinin düzenlendiği, bu durumun KGK tarafından denetçi olarak yetkilendirilmeyen kişilerin denetçi olarak görev yapabilmesine yol açması nedeniyle mevzuata aykırı olduğu; Tebliğ’de denetçilerin, denetçi yardımcısı/denetçi/başdenetçi/sorumlu ortak şeklinde kategorize edildiği, ancak bu unvanların bağımsız denetçiler için öngörüldüğü; bilgi sistemleri denetçisine rapor imzalama yetkisinin verilmesinin 6362 sayılı Yasanın 62. maddesince verilen yetkinin aşılması sonucunu doğurduğuna ilişkin iddianın incelenmesinden;
6362 sayılı Sermaye Piyasası Kanununun
62. maddesinin 2. fıkrası, 72. maddesinin 3. fıkrası ve 128. maddesinin 1. fıkrasının (c) ve (h) bentlerindeki düzenlemeler dikkate alındığında, Kurul’un bilişim sistemlerinin denetimini yerine getirecek bağımsız denetim kuruluşlarına ve bu kuruluşların çalışanlarına ilişkin düzenleme yapma yetkisinin bulunduğu açıktır.
Öte yandan, denetçilik mesleği çok geniş bir anlam taşımakta olup, her alana ve sektöre ilişkin olarak denetçi unvanı adı altında faaliyette bulunan meslek mensupları bulunmaktadır. Bu çerçevede davacı TÜRMOB çatısı altında faaliyet gösteren SMMM ve YMM’lerin denetçilik alanı finansal tabloların denetimini kapsamakta, diğer bir anlatımla, davacının menfaatini korumakla yükümlü olduğu SMMM ve YMM’ler; Türk Ticaret Kanunu, KGK ve Sermaye Piyasası Kanunu düzenlemeleri kapsamında yetkilendirilen ve finansal tabloların standartlara uygun biçimde hazırlanıp hazırlanmadığınının denetimini gerçekleştiren bağımsız denetçileri kapsamaktadır. Oysa, bilgi sistemlerinin bağımsız denetimi ise, finansal tabloların denetiminden çok, bir işletmenin Bilgi Sistemleri Yönetimi Tebliği (BYS) ile getirilen ilkelere uyumunu denetleyen bir meslektir. Diğer bir anlatımla, bilgi sistemleri denetçisi, bilgi sistemleri altyapısının bilgi sistemleri yönetim ilkelerine uyumlu bir şekilde oluşturulup oluşturulmadığı ve ilgili sermaye piyasası kurum/kuruluşunun bu kapsamda çalışıp çalışmadığını denetlemekle görevli olup, her iki meslek gerek amaç gerekse kapsam bakımından birbirinden tamamen farklıdır. Bu çerçevede, bilgi sistemleri denetçisinin denetimini gerçekleştirdiği alan bilgi teknolojilerine yönelik olup, salt finansal denetçi olan kişiler tarafından, uzmanlık gerektiren söz konusu alanın denetiminin yapılması mümkün değildir. Zira, bu denetimin yerine getirilebilmesi için, bilgi teknolojileri alanında mesleki bilgi ve tecrübeye ihtiyaç olmasına rağmen, SMMM ya da YMM’lik unvanının kazanılması için aranan bilgi ve tecrübe koşulları arasında bilgi teknolojilerine ilişkin yeterlilikler bulunmamaktadır. Ayrıca, bilgi sistemleri bağımsız denetçilik şartlarının SMMM ya da YMM belgesine sahip meslek mensuplarınca yerine getirilmesine yönelik düzenlemelere dava konusu Tebliğ’de yer verilmiştir. Diğer yandan, yukarıda da açıklandığı üzere, bilgi sistemleri denetimi mesleği, zaman içerisinde bilgi sistemlerinin önemindeki artış sonucunda ortaya çıkan ihtiyaçlar çerçevesine oluşmuş olup, meslek mensuplarınca uluslararası düzeyde kar amacı gütmeyen meslek örgütü Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) kurulmuş, mesleğe giriş için Bilgi Sistemleri Denetçi Sertifikası (CISA) ISACA tarafından yapılan sınav sonucuna göre verilmekte olup, davacının bilgi sistemleri denetçiliği adı altrında yeni bir meslek alanı ihdas edildiği ve yukarıdaki diğer hususlara yönelik iddiaları yerinde görülmemiştir.
Davacının, ISACA Tarafından verilen CISA belgesine sahip olmanın bilgi sistemleri denetçiliği unvanı için şart koşulduğu, Tebliğ’de uluslararası uygulamalara uyum gerekçe gösterilerek yurt dışından alınmış ruhsatın esas alındığı, mütekabiliyet esasları dikkate alınmadan yetkilendirme yapılacağının düzenlendiği, buna karşın bilgi sistemleri denetimi konusunda uluslararası kuruluş olarak genel kabul görmüş bir kurumun olmadığı, ISACA’nın da meslek mensuplarının uzmanlık kapsamında gönüllü olarak oluşturdukları uluslararası bir dernek olduğu iddiasına gelince;
Dava konusu Tebliğ’in 12. maddesinin birinci fıkrasının (a) bendi incelendiğinde; bilgi sistemleri bağımsız denetçileri için, Kurul tarafından esasları belirlenmekte olan Bilgi Sistemleri Bağımsız Denetim Lisansına (BSBDL) veya CISA belgesine sahip olma şartının getirildiği görülmektedir. Dolayısıyla, CISA belgesi alınması bir zorunluluk değil bir alternatif olarak öngörülmüş, BSBDL lisansının alınması da bu faaliyet için yeterli görülmüştür. Nitekim davalı idarenin savunmasında, BSBDL’ye ilişkin mevzuat çalışmalarının tamamlanmasının ardından alınan lisansın Sermaye Piyasası Lisanslama ve Eğitim Kuruluşu A.Ş. tarafından gerçekleştirilecek sınavlar sonucunda başarılı olan adaylara verileceği ifade edilmiştir. Öte yandan, bilgi sistemleri bağımsız denetçilik şartlarının SMMM ya da YMM belgesine sahip meslek mensuplarınca yerine getirilmesine yönelik düzenlemelere dava konusu Tebliğ’de yer verildiği ve CISA belgesi alınması için belli bir meslek ruhsatına sahip olma zorunluluğu bulunmadığı dikkate alındığında, TÜRMOB üyesi SMMM ya da YMM’lerin gerekli koşulları sağlayarak, ilgili sınavda başarılı olmak koşuluyla CISA ya da BSBDL belgelerini almaları ve sermaye piyasası alanında faaliyet gösteren kurum/kuruluşların bilgi sistemlerini de denetlemeleri mümkündür. Öte yandan, ISACA’nın hukuki statüsüne ilişkin bilgilere yukarıda yer verildiğinden, davacının ISACA’ya yönelik iddialarının yeniden değinilmesine gerek görülmemiştir.
Davacı tarafından, Bilgi Sistemleri Denetimi Tebliğ’inde bağımsız denetim standartlarının kıyasen uygulanmasının öngörüldüğü ifade edilerek, bilgi sistemleri denetimi konusunda uluslararası standartların bulunmadığı ve bu konuda bağımsız denetim standartlarının kullanıldığı öne sürülmekte ise de; dava konusu Tebliğ’de bağımsız denetim standartlarına yapılan atıfların, yalnızca denetim faaliyetinin usulüne ve denetimin sürecine ilişkin olduğu, söz konusu düzenlemeler uyarınca yapılan denetimlerin içeriklerinin birbirinden farklı olduğu, öte yandan, ISACA tarafından yayımlanan ve bilgi sistemlerinin denetimi bağlamında global anlamda uygulama alanı bulan Bilgi Sistemleri Denetim ve Güvence Standartları (ISAAS)’ın mevcut olduğu ve bilgi sistemlerinin denetiminde söz konusu standartlardan faydalanıldığı, nitekim bu çerçevede 660 sayılı KHK’nın 9. maddesinin birinci fıkrasının (c) bendi uyarınca bilgi sistemleri de dahil Türkiye Denetim Standartlarını düzenleme yetkisi bulunan KGK tarafından bilgi sistemleri denetimine ilişkin bir standart oluşturulmadığı göz önününe alındığında, söz konusu iddialarda hukuki isabet görülmemiştir.
Davacının, uluslararası uygulamalarda bilgi sistemlerinin denetiminde yalnızca bir uzman görüşünün yeterli olduğu, bağımsız denetçiler tarafından, uzman görüşü alınmak suretiyle bilgi sistemlerinin denetiminin SMMM ya da YMMM’ler tarafından yapılabileceği iddiasına yönelik olarak;
Daha önce de ifade edildiği üzere, finansal tabloların bağımsız denetimi ile bilgi sistemlerinin bağımsız denetiminin birbirlerinden farklı iki denetim alanı olduğu dikkate alındığında, bilgi sistemleri denetimi gibi teknik bilgi gerektiren bir denetimin eğer bu konuda yetkilendirilmemiş ise (yani CISA ya da BSBDL belgesi yoksa), SMMM ve YMM gibi finansal denetçiler tarafından uzman görüşü alınmak suretiyle yerine getirilemeyeceği açıktır. Bilgi sistemleri alanındaki denetimin, bu alanda sorumluluk alınması suretiyle gerçekleştirilmesi Tebliğ’in amacına da uygun olacaktır.
Dava konusu Tebliğ’in bilgi sistemleri alanında bağımsız denetim yapacak kuruluşlar için yerine getirilmesi güç şartlar getirdiği, buna karşın Tebliğ’in Geçici 1. maddesi dışında bir geçiş hükmine yer verilmediği, anılan maddede ise, yabancı bağımsız denetim kuruluşları lehine düzenleme yapılması suretiyle regülasyon yoluyla piyasadaki rekebetin engellendiği, zira bilgi sistemlerinin denetimi faaliyetini yürütecek bağımsız denetim firmalarına getirilen koşulların, piyasada bu faaliyeti yürütebilecek firmaların sayısını, dolayısıyla da rekabeti önemli ölçüde azaltacağı, bu durumun, idari otoritelerin yeni bir düzenleme yaparken piyasadaki rekabeti gözetme göreviyle bağdaşmadığı, tüm bunların sonucu olarak, Tebliğ’in muafiyet tanınan çok az sayıdaki denetim firmasından başka denetim firmasının piyasaya girememesine yol açacağı iddiasına ilişkin olarak;
Dava konusu Tebliğin 30. maddesine göre; (1) Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas kuruluşları, merkezi saklama kuruluşları ve veri depolama kuruluşları yılda bir kez; (2) Kısmi ve Geniş Yetkili Aracı Kurumlar, asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketlerinin 2 yılda bir kez; (3) Asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. üç yılda bir kez bu Tebliğ uyarınca bilgi sistemleri bağımsız denetimi yaptırmak zorundadır.
Anılan düzenleme uyarınca Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş.nin bu yükümlülüğü 31/12/2018; Kısmi ve Geniş Yetkili Aracı Kurumlar’ın, 31/12/2019 ve asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketleri ile Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.nin 31/12/2020 tarihinde başlamakta olup, mevcut durumda Tebliğ kapsamında olan halka açık şirketlerin ve diğer sermaye piyasası kurumlarının bilgi sistemleri bağımsız denetimi yaptırma yükümlülüğü bulunmamaktadır.
Görüldüğü üzere denetimle ilgili en erken yükümlülüğün 31/12/2018 tarihi olduğu ve Tebliğ’in 05/01/2018 tarihinde yürürlüğe girdiği dikkate alındığında, yaklaşık bir yıllık bir süre boyunca hiçbir kurum/kuruluşun bilgi sistemleri denetleme yükümlülüğü bulunmamaktadır.
Yine Tebliğin Geçici 1. maddesinde, Bankacılık Düzenleme ve Denetleme Kurumu tarafından bankaların bilgi sistemleri ile bankacılık süreçlerinin denetimi ile yetkilendirilmiş bağımsız denetim kuruluşlarının, iptali istenilen Tebliğin yürürlüğe girdiği tarihten itibaren 60 gün içinde Kurula başvurmak kaydıyla sermaye piyasasında bilgi sistemleri bağımsız denetim yapma yetkisi olmaksızın Kurum, Kuruluş ve Ortaklıkların bilgi sistemleri bağımsız denetimini 1 yıl süreyle gerçekleştirmek üzere geçici olarak yetkilendirilebilecekleri düzenlenmek suretiyle, uygulamada ortaya çıkacak boşluğun giderilmesi amaçlanmıştır.
Öte yandan, bilgi sistemleri denetiminin, mesleki açıdan yeterli kişiler tarafından bağımsız denetim kuruluşları bünyesinde yerine getirilmesi gerekmekte olup, bu faaliyeti yerine getirecek bağımsız denetim kuruluşlarında çeşitli yeterlilik koşullarının aranacağı tabiidir. Nitekim söz konusu yeterliliklere Tebliğ’in 11. maddesinde yer verilmiştir. Buna göre,”(1) Bilgi sistemleri bağımsız denetimi yapmak üzere yetkilendirilecek bağımsız denetim kuruluşlarının; a) Sermaye piyasasında bağımsız denetimle yetkili kuruluşlar listesinde yer alması, b) Bilgi sistemleri bağımsız denetimi faaliyetlerini yürütecek düzeyde yeterli sayı ve nitelikte bilgi sistemleri denetçisi istihdam etmesi, c) Yeterli teknik donanım, belge ve kayıt düzenine sahip olması” gerekmekte olup, söz konusu koşullara bakıldığında yaklaşık bir yıllık (kaldı ki, bu bir yıllık süre yukarıda da açıklandığı üzere yalnızca 3 kurum için geçerlidir. Diğerleri için bu süre daha uzundur.) hazırlık süresinde yerine getirilemeyecek nitelikte olmadıkları açıktır.
Dolayısıyla, Tebliğ’in 11. maddesinde yer alan şartların, bağımsız denetim kuruluşları tarafından yerine getirilebilmesi için, söz konusu kuruluşlara tanınan sürenin makul olmadığından bahsedilemeyeceği ve ayrım yapılmaksızın tüm bağımsız denetim şirketlerine, bilgi sistemlerini denetleyebilme yetkisi için gerekli şartları sağlama olanağının verildiği tartışmasızdır.
Diğer yandan, yukarıda da ifade edildiği üzere, bilgi sistemleri bağımsız denetimi ile finansal tabloların bağımsız denetiminin ayrı ayrı faaliyetler olduğu ve dava konusu Tebliği ile bilgi sistemleri bağımsız denetimi ile ilgili usul ve esaslara yer verildiği, buna göre, bir bağımsız denetim şirketinin bilgi sistemleri denetimi yetkisini haiz olmaması, o bağımsız denetim şirketinin finansal denetim yapamayacağı anlamına gelmediğinden, hali hazırda bilgi sistemleri denetimini de içine alan denetim yetkisini almış kuruluşların, yeniden, davalı idareye başvurarak bilgi sistemleri denetim yetkisini almak zorunda olduğu, aksi takdirde söz konusu kuruluşların bağımsız denetim yetkilerinin zımnen ortadan kalkacağı, bu durumun ise, kazanılmış hakların ihlali sonucunu doğuracağına yönelik davacı iddiasında da hukuki isabet bulunmamaktadır.
Açıklanan nedenlerle, davanın reddi gerektiği, düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesince duruşma için taraflara önceden bildirilen 13/10/2020 tarihinde, davacı vekilinin gelmediği, davalı idare vekili Av. …’in geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Gelen tarafa usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra gelen tarafa son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

MADDİ OLAY VE HUKUKİ SÜREÇ :
05/01/2018 tarih ve 30292 sayılı Resmî Gazete’de Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) yayımlanarak yürürlüğe girmiş; bakılan dava Tebliğ’in 4. maddesinin birinci fıkrasının (b) bendinin, 5. maddesinin üçüncü fıkrasının, 6. maddesinin dördüncü ve altıncı fıkralarının, 7. maddesinin, 9. maddesinin ikinci, üçüncü ve dördüncü fıkralarının, 10. maddesinin, 11. maddesinin birinci fıkrasının (b) bendinin, 12. maddesinin, 13. maddesinin birinci fıkrasının (a) bendinin, 14. maddesinin birinci fıkrasının (f) bendi ile ikinci ve üçüncü fıkralarının, 15., 16., 17. maddesinin, 18. maddesinin ikinci, üçüncü, dördüncü ve beşinci fıkralarının, 19. maddesinin başlığında geçen “denetçilerin” ibaresi ile birinci, üçüncü, beşinci, altıncı, yedinci, dokuzuncu, onuncu, onbirinci, onüçüncü ve onbeşinci fıkralarının, 22. maddesinin ikinci, dördüncü, beşinci, altıncı ve yedinci fıkralarının, 23., 24., 25., 26. maddesinin, 27. maddesinin üçüncü fıkrasının (b) bendi ile dördüncü fıkrasının son cümlesinin, 28. maddesinin, 29. maddesinin birinci fıkrasının ilk cümlesinde geçen “…sorumlu bilgi sistemleri başdenetçisi tarafından…” ibaresinin ve 32. maddesinin hukuka aykırı olduğu iddialarıyla açılmıştır.

İNCELEME VE GEREKÇE:
USUL YÖNÜNDEN:
Davalı tarafından, davacının hukuken korunması gereken bir menfaati olmadığı, dava açma ehliyeti bulunmadığı ileri sürülmüştür.
2577 sayılı İdari Yargılama Usulü Kanunu’nun 2. maddesinin 1/a fıkrasında; iptal davaları, idari işlemler hakkında yetki, şekil, sebep, konu ve maksat yönlerinden biri ile hukuka aykırı olduklarından dolayı iptalleri için menfaatleri ihlâl edilenler tarafından açılan davalar olarak tanımlanmaktadır.
İptal davasının gerek anılan maddede, gerekse içtihat ve doktrinde belirlenen hukukî nitelikleri göz önüne alındığında, idare hukuku alanında tek taraflı irade açıklamasıyla kesin ve yürütülmesi zorunlu nitelikte tesis edilen idari işlemlerin ancak bu idari işlemle meşru, kişisel ve güncel bir menfaat ilgisi kurabilenler tarafından iptal davasına konu edilebileceğinin kabulü gerekmektedir.
Taraf ilişkisinin kurulması için gerekli olan kişisel, meşru ve güncel bir menfaat alâkasının varlığı ise, davanın niteliğine ve özelliğine göre idari yargı yerlerince belirlenmekte, davacının idari işlemle ciddî ve mâkûl, maddî ve manevî bir ilişkisinin bulunduğunun anlaşılması, dava açma ehliyeti için yeterli sayılmaktadır.
Ayrıca, iptal davaları ile idari işlemlerin hukuka uygun olup olmadığının tespitine, hukukun üstünlüğünün sağlanmasına, böylece de idarenin hukuka bağlılığının belirlenmesine, sonuçta hukuk devleti ilkesinin gerçekleştirilebilmesine imkân sağlandığından, bu davalarda menfaat ilişkisinin bu amaç doğrultusunda yorumlanması gerekmektedir.
Bu itibarla, davacının dava konusu düzenleme ile üyelerinin meslekî menfaatlerinin ihlâl edildiği, yeni bir unvan ihdas edilerek üyelerini oluşturan meslek mensupları dışındaki kişilerin denetçi olabilmesine imkân sağlanmasının mevzuata aykırı olduğu yönündeki iddiaları dikkate alınarak dava konusu işlem ile mâkûl menfaat alâkasının, dolayısıyla dava açma ehliyetinin bulunduğunun kabulü gerekmektedir.
Öte yandan, davalı idare tarafından, davanın yasal süresi içinde açılıp açılmadığının incelenmesi gerektiği ileri sürülmüştür.
2577 sayılı İdari Yargılama Usulü Kanunu’nun “Dava açma süresi” başlıklı 7. maddesinin birinci fıkrasında, dava açma süresinin, özel kanunlarında ayrı süre gösterilmeyen hâllerde Danıştay’da ve idare mahkemelerinde altmış ve vergi mahkemelerinde otuz gün olduğu; dördüncü fıkrasında ise, ilanı gereken düzenleyici işlemlerde dava süresinin, ilan tarihini izleyen günden itibaren başlayacağı, ancak bu işlemlerin uygulanması üzerine ilgililerin, düzenleyici işlem veya uygulanan işlem yahut her ikisi aleyhine birden dava açabileceği kurala bağlanmıştır.
Dava konusu Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)’nin 05/01/2018 tarih ve 30292 sayılı Resmî Gazete’de yayımlandığı, davacı tarafından 06/03/2018 tarihinde kayıtlara giren dilekçeyle dava açıldığı anlaşıldığından, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 7. maddesi uyarınca yasal süresi içinde açılan davada süre aşımı bulunmadığı sonucuna varılmıştır.

ESAS YÖNÜNDEN:
İlgili Mevzuat:
6362 sayılı Sermaye Piyasası Kanunu’nun bağımsız denetim, derecelendirme ve değerleme kuruluşlarına ilişkin “Faaliyet esasları
” başlıklı 62. maddesinde, “Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından bu Kanun uyarınca bağımsız denetim faaliyetinde bulunacaklardan istenilecek ilave şartlar Kurul tarafından belirlenir ve bu şartları haiz bağımsız denetim kuruluşlarına ilişkin liste kamuoyuna açıklanır. Kurul, listede yer alan bağımsız denetim kuruluşlarının bu Kanun kapsamındaki bağımsız denetim faaliyetlerine ilişkin yapacağı kalite kontrol ve denetim çalışmaları neticesinde standart ve mevzuata aykırılıkları tespit edilenleri listeden çıkarmaya yetkilidir. Kurul, yapacağı kalite kontrol ve denetim çalışmalarının sonuçlarını Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumuna bildirir. Kurul, bu Kanun hükümlerine tâbi kuruluşların bilgi sistemleri denetimi, derecelendirme ve değerleme faaliyetlerinin güvenli ve bağımsız şekilde yürütülmesi ve bunu teminen kalite güvence sistemlerinin oluşturulması ile kamu yararını da gözetmek suretiyle uluslararası standartlara uyumunun sağlanması amacıyla düzenleme, gözetim ve denetim yapar. Bu kuruluşların yetkilendirilmesi, yönetici ve çalışanlarının lisanslanması ve bu kuruluşlar hakkındaki sicil bilgileri ile bu bilgilerin kamuya açıklanmasına ilişkin usul ve esaslar Kurul tarafından belirlenir.”; “Borsa ve piyasa işleticilerinin mali ve bilgi sistemleri denetimi
” başlıklı 72. maddesinin üçüncü fıkrasında, “Borsaların ve piyasa işleticilerinin bilgi sistemleri denetimine ve bu denetimi yapacak kuruluşlara ilişkin usul ve esaslar Kurulca belirlenir.” kurallarına yer verilmiş; 128. maddesinin birinci fıkrasının (c) bendinde, “Kanun kapsamına giren kurum ve ortaklıkların bağımsız denetim, derecelendirme, değerleme ve bilgi sistemleri denetimi faaliyetine ilişkin şartları ve çalışma esaslarını belirlemek ve bu şartları taşıyanları listeler hâlinde ilan etmek”, (h) bendinde ise, “Sermaye piyasası kurumlarının, halka açık şirketlerin, borsaların ve öz düzenleyici kuruluşların bilgi sistemlerinin işletimine ve bu Kanun çerçevesindeki denetimine ilişkin usul ve esasları belirlemek” Kurul’un görev, yetki ve sorumlulukları
arasında sayılmıştır.
660 sayılı Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunun Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin “Tanımlar” başlıklı 2. maddesinin birinci fıkrasında, “…a) Bağımsız denetçi: Bağımsız denetim yapmak üzere, 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanununa göre yeminli mali müşavir ya da serbest muhasebeci mali müşavirlik ruhsatını almış meslek mensupları arasından Kurum tarafından yetkilendirilen kişileri; b) Bağımsız denetim: Finansal tablo ve diğer finansal bilgilerin, finansal raporlama standartlarına uygunluğu ve doğruluğu hususunda, makul güvence sağlayacak yeterli ve uygun bağımsız denetim kanıtlarının elde edilmesi amacıyla, denetim standartlarında öngörülen gerekli bağımsız denetim tekniklerinin uygulanarak defter, kayıt ve belgeler üzerinden denetlenmesi ve değerlendirilerek rapora bağlanmasını, … ifade eder.” kuralı yer almıştır.
05/01/2018 tarih ve 30292 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Bilgi Sistemleri Bağımsız Denetim Tebliği’nin (III-62.2) 1. maddesinde, Tebliğin amacının, 2. maddede sayılan kurum, kuruluş ve ortaklıkların bilgi sistemlerinin bağımsız denetimi ile bu faaliyette bulunacak bağımsız denetim kuruluşlarının yetkilendirilmesine ve denetim sonuçlarının raporlanmasına ilişkin usul ve esasları belirlemek olduğu; 3. maddesinde ise, Tebliğ’in, 6362 sayılı Kanun’un 62. maddesinin ikinci fıkrası, 72. maddesinin üçüncü fıkrası ile 128. maddesinin birinci fıkrasının (c) ve (h) bentlerine dayanılarak hazırlandığı belirtilmiştir.
Dava Konusu Tebliğin İncelenmesi:
Sözlük anlamı ile “düzenli hâle koymak, düzen vermek, tanzim ve tertip etmek” olarak tanımlanan “düzenleme”, kamu hukukunda kural koyma ile eş anlamlıdır. Kural ise; sürekli, soyut, nesnel, genel (kişilik dışı) durumları belirleyen ve gösteren norm olarak tanımlanmaktadır (ÖZAY İl Han, Günışığında Yönetim, 2004, İstanbul, s.426). Yasama organının yasama tasarrufları dışında, idare, Anayasa ve kanunlardan aldığı yetki ile, kural koyma (düzenleme yapma) yetkisine sahiptir. “Kural işlemler” (ya da diğer adıyla “genel düzenleyici işlemler”), üst hukuk kurallarına uygun olarak hukuk düzenine yeni kural getiren ya da mevcut bir kuralı değiştiren veya kaldıran tek yanlı idarî işlemlerdir. Düzenleme yetkisini kullanarak tüzük, yönetmelik, tebliğ, genelge gibi genel düzenleyici işlemleri yapan idarenin bir işleminin düzenleyici nitelik taşıdığının kabul edilebilmesi için, söz konusu işlemin sürekli, soyut, nesnel, genel durumları belirleyen ve gösteren hükümler içermesi, başka bir anlatımla, belirtilen nitelikte kurallar konulmuş olması zorunlu olup, bu genel düzenlemelerin üst hukuk kurallarına aykırı hükümler içermemesi gerekir.
Düzenleyici kurumlar, ilgili bulundukları piyasada düzenleme ve denetleme görevi üstlenmekte olup, bu kuruluşların temel işlevi, toplumsal ve ekonomik hayatın temel hak ve özgürlükler ile yakından ilişkili alanlarındaki kamusal ve özel kesim etkinliklerini, birtakım kurallar koyarak düzenlemek, konulan kurallara uyulup uyulmadığını izlemek ve denetlemektir. Sermaye piyasası ile ilgili olarak kanuna aykırı olmayan düzenlemeler yapma yetkisine sahip olan davalı Kurumun, ilgili bulunduğu piyasada, 6362 sayılı Kanun’la kendisine tanınan yetkiyi dava konusu Tebliği çıkarmak suretiyle kullandığı anlaşılmaktadır.
İdarelerin düzenleme yapma yetkisine sahip olduğu alanlarda, bu alanları düzenleyici işlemler ile objektif bir şekilde düzenlemesi gerekmektedir. İdarelerin, işlem tesis ederken kendilerine Anayasa ve yasalarla çizilen çerçeve içinde takdir yetkilerini kullanmaları ve bu yetkilerini kullanırken kamu hizmetinin gereklerini ve kamu yararını göz önünde bulundurmaları gerektiği açıktır. Bu itibarla, kamu hizmetinin etkin ve düzenli bir şekilde yürütülmesi açısından, davalı idare tarafından düzenleme yapılırken 6362 sayılı Kanun’un 1. maddesinde öngörülen sermaye piyasasının güvenilir, şeffaf, etkin, istikrarlı, adil ve rekabetçi bir ortamda işleyişinin ve gelişmesinin sağlanması, yatırımcıların hak ve menfaatlerinin korunması için sermaye piyasasının düzenlenmesi ve denetlenmesine yönelik kurallara yer verilmesi gerekmektedir.
Davacı tarafından, “bilgi sistemleri denetçisi” adı altında mevzuata aykırı olarak yeni bir unvan ve yetkilendirme ihdas edildiği, bağımsız denetçilerin yeminli mali müşavir ya da serbest muhasebeci mali müşavirlik ruhsatı almış meslek mensupları arasından Kamu Gözetimi Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından yetkilendirilen kişilerden olması gerektiği, bağımsız denetçiler tarafından kurulan ve bazı şartları taşıyan şirketlerin bağımsız denetim kuruluşu olarak yetkilendirileceğinden bahisle dava konusu Tebliğin, başta “bilgi sistemleri denetçisi” kavramının tanımını düzenleyen 4. maddesinin birinci fıkrasının (b) bendi olmak üzere, anılan kavramın içinde geçtiği tüm maddelerinin hukuka aykırı olduğu ileri sürülerek iptali istenilmiştir.
6362 sayılı Kanun’un 62. maddesinin birinci fıkrası uyarınca, KGK tarafından yetkilendirilen bağımsız denetim kuruluşlarından bu Kanun uyarınca bağımsız denetim faaliyetinde bulunacaklardan istenilecek ilave şartların Kurul tarafından belirlenerek bu şartları haiz bağımsız denetim kuruluşlarına ilişkin listenin kamuoyuna açıklanacağı, Kurul’un, listede yer alan bağımsız denetim kuruluşlarının bu Kanun kapsamındaki bağımsız denetim faaliyetlerine ilişkin yapacağı kalite kontrol ve denetim çalışmaları neticesinde standart ve mevzuata aykırılıkları tespit edilenleri listeden çıkarmaya yetkili olduğu anlaşılmaktadır. 6102 sayılı Türk Ticaret Kanunu’nun 400. maddesinde, denetçinin, bağımsız denetim yapmak üzere, 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu’na göre ruhsat almış yeminli mali müşavir veya serbest muhasebeci mali müşavir unvanını taşıyan ve Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunca yetkilendirilen kişiler ve/veya ortakları bu kişilerden oluşan sermaye şirketi olabileceği ifade edilmiştir. 660 sayılı KHK’da ise bağımsız denetçilerin, 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanununa göre yeminli mali müşavir ya da serbest muhasebeci mali müşavirlik ruhsatını almış meslek mensupları arasından KGK tarafından yetkilendirileceği belirtilmiştir.
Bu durumda, 6362 sayılı Kanun’un 62. maddesinde, bağımsız denetim faaliyetinde bulunacaklardan istenilecek ilave şartların Kurul tarafından belirleneceği ifade edilmekle birlikte, bu şartlara muhatap olacak kişilerin sermaye piyasasında faaliyet göstermek üzere öncelikli olarak KGK’dan yetki belgelerini almış olmaları gerektiği açıktır.
Bu bağlamda, uyuşmazlığın çözümü için öncelikle “bağımsız denetim” ve “bilgi sistemleri denetimi” kavramlarının anlam ve içeriğinin ortaya konulması gerekmektedir.
660 sayılı KHK’nın “Tanımlar” başlıklı 2. maddesinin birinci fıkrasının (b) bendinde, bağımsız denetim, finansal tablo ve diğer finansal bilgilerin, finansal raporlama standartlarına uygunluğu ve doğruluğu hususunda, makul güvence sağlayacak yeterli ve uygun bağımsız denetim kanıtlarının elde edilmesi amacıyla, denetim standartlarında öngörülen gerekli bağımsız denetim tekniklerinin uygulanarak defter, kayıt ve belgeler üzerinden denetlenmesi ve değerlendirilerek rapora bağlanması olarak tanımlanmıştır.
Dava konusu Tebliğ’in 5. maddesinin birinci fıkrasında, bilgi sistemleri bağımsız denetimi, bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ile bu sistem dâhilinde tesis edilen kontrollerin Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)’nde düzenlenen bilgi sistemleri yönetim ilkeleri doğrultusunda değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması aşamalarından oluşan süreç olarak ifade edilmiştir.
Mevzuatta yer alan tanımlar çerçevesinde, bağımsız denetimin, finansal tablo ve diğer finansal bilgilerin denetlenmesi ve değerlendirilmesine yönelik olduğu, anlam ve içerik olarak farklı nitelikte olan bilgi sistemleri denetiminin ise bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ile bu sistem dâhilinde tesis edilen kontrollere yönelik yapılacak değerlendirmeyi ifade ettiği anlaşılmaktadır. Nitekim, iki kavram arasındaki farklılıktan hareketle kanun koyucu tarafından 6362 sayılı Kanun’un 62. maddesinde, sermaye piyasasında gerçekleştirilecek olan bağımsız denetim ve bilgi sistemleri denetimi konuları iki ayrı fıkrada düzenlenmiş, bağımsız denetimi konu olan birinci fıkrada bağımsız denetim kuruluşlarının KGK tarafından yetkilendirilmiş olanlar arasından belirleneceği ifade edilirken, bilgi sistemleri denetimine ilişkin ikinci fıkrada bu yönde bir şart öngörülmemiştir.
Bu durumda, bilgi ve iletişim teknolojilerinde yaşanan gelişmelerin sonucu olarak sermaye piyasası faaliyetlerinde bilişim sistemlerinin kullanılmasının ayrı bir uzmanlık gerektiren bilgi sistemleri denetimi ihtiyacını ortaya çıkardığı, davacı odanın üyelerini oluşturan serbest muhasabeci mali müşavirlik ve yeminli mali müşavirlik meslek mensuplarının meslek konularının finansal tabloların denetlenmesine ilişkin olduğu, bu itibarla, bağımsız denetimden ayrı bir denetimi ifade eden bilgi sistemleri denetiminin bilgi sistemleri denetçisi unvanına sahip kişilerce gerçekleştirilmesi için öngörülen düzenlemelerde hukuka aykırılık bulunmadığı sonucuna ulaşılmıştır.
Davacı tarafından, merkezi yurt dışında olan bir derneğe zorunlu olarak yönlendirme yapıldığı iddia edilmiş ise de, dava konusu Tebliğ’in 12. maddesinin birinci fıkrasının (a) bendinde, bilgi sistemleri bağımsız denetimi yapmak üzere görevlendirilecek denetçi yardımcısı dışında kalan denetçilerin, Bilgi Sistemleri Bağımsız Denetim Lisans Belgesi veya Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından verilen Bilgi Sistemleri Denetçisi Sertifikasına (CISA) sahip olmalarının şart olduğu kuralına yer verildiği, uluslararası bir kuruluş olan ISACA tarafından verilen belgenin alınmasının zorunluluk değil seçenek olarak düzenlendiği, Kurul tarafından verilen Bilgi Sistemleri Bağımsız Denetim Lisans Belgesi’ne sahip olunmasının bilgi sistemleri denetçisi olmak için yeterli olduğu anlaşıldığından, davacının iddiasının yerinde olmadığı sonucuna ulaşılmıştır.
Dava konusu Tebliğ ile bağımsız denetim standartlarına ilişkin olarak KGK tarafından yürürlüğe konulmuş olan Türkiye Denetim Standartları ile bunlara ilişkin ek ve yorumlara atıfta bulunulduğu, Tebliğ’in Geçici 1. maddesinde geçiş hükümlerine yer verildiği, bilgi sistemleri denetimini gerçekleştirebilmek için Tebliğ’de düzenlenen ve özel uzmanlık gerektiren ve teknik bir alana ilişkin olması sebebiyle gerekli olan şartların tüm bağımsız denetim kuruluşları için geçerli olduğu ve rekabeti engelleyecek herhangi bir düzenlemeye yer verilmediği, Tebliğ’de aranan şartları yerine getiren herkesin bilgi sistemleri denetimini gerçekleştirebileceği, dava konusu Tebliğ’in hazırlanması sürecinde mevzuat hazırlama ilke ve usullerine uyularak kamuoyu ve piyasa görüşlerinin alındığı anlaşıldığından, davacının sair iddialarına da itibar edilmemiştir.
Bu itibarla, Kurul tarafından, 6362 sayılı Sermaye Piyasası Kanunu’nun 62. maddesinin ikinci fıkrası, 72. maddesinin üçüncü fıkrası ile 128. maddesinin birinci fıkrasının (c) ve (h) bentlerinde kendisine verilen görev ve yetki çerçevesinde ve Kanun’un amacına uygun olarak hazırlanan dava konusu Tebliğ’de hukuka aykırılık bulunmadığı sonucuna ulaşılmıştır.

KARAR SONUCU:
Açıklanan nedenlerle;
1. DAVANIN REDDİNE,
2. Ayrıntısı aşağıda gösterilen toplam …-TL yargılama giderinin davacı üzerinde bırakılmasına,
4. Avukatlık Asgari Ücret Tarifesi uyarınca …-TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,
5. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
6. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kurulu’na temyiz yolu açık olmak üzere, 14/10/2020 tarihinde oybirliğiyle karar verildi.