Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
1
GTAG®
GLOBAL TEKNOLOJİ DENETİM REHBERİ
Bilgi Teknolojisi Hizmetinin Dış Kaynaklardan Alınması
2. Baskı
Uluslararası İç Denetçiler Enstitüsü
2
Global Teknoloji Denetim Rehberi (GTAG®) 7
Bilgi Teknolojisi Hizmetinin Dış Kaynaklardan Alınması
2. Baskı
Haziran 2012
3
İçindekiler Tablosu 3
Yönetici Özeti 4
Giriş 5
Bölüm 1 - Dış Kaynak Yoluyla Alınan BT Hizmeti Türleri 7
Bölüm 2 - Dış Kaynak Yoluyla BT Hizmet Alımına İlişkin Yaşam Dönemi 11
Bölüm 3 -
Dış Kaynak Yoluyla BT Hizmetinin Sunumu: Risk ve Kontrol Değerlendirmeleri 25
EK A - Dış Kaynak Yoluyla BT Hizmet Alımı Yaşam Dönemi Denetim Programı 45
EK B - Dış Kaynak Yoluyla BT Hizmet Sunumu Denetim Programı 48
Yazarlar 53
Gözden Geçirenler ve Katkı Sağlayanlar 53
4
Yönetici Özeti
Bilgi Teknolojisi (BT) Hizmetinin Dış Kaynaklardan Alınması başlıklı bu Global Teknoloji
Denetim Rehberinin amacı, iç denetim yöneticileri (İDY’ler) ve onların denetim ekiplerine
kurumlarındaki BT hizmetlerinin kısmen ya da tamamen dış kaynak yoluyla alındığı
durumlarda iç denetçinin süreçte ne ölçüde yer alacağını belirlemede yardımcı olmaktır. Bu
rehber; BT hizmetinin dış kaynak yoluyla alınmasının türlerine (ITO), BT hizmetinin dış
kaynak yoluyla alınmasına ilişkin yaşam dönemine ve BT’nin dış kaynak yoluyla alındığı
durumlarda iç denetçilerin bağlantılı riskleri nasıl ele alması gerektiğine dair bilgiler sağlar.
BT hizmetinin dış kaynak yoluyla alınması, önceden kurum içinde gerçekleştirilen BT
işlevlerinin dış bir hizmet sağlayıcı kuruma sözleşme karşılığında yaptırılmasıdır. Kendi ana
işlerine odaklanmak için giderek artan sayıda kurum, BT süreçlerinin bazı kısımlarını dış
kaynağa yaptırma yolunu ekonomik açıdan tercih etmektedir. Bazı kamu çevrelerinde de BT
işlevi, çok sayıda kamu kurumuna BT hizmetleri vermek de dâhil olmak üzere ortak hizmetler
sunan bir kamu organı vasıtasıyla dış kaynak yoluyla alınmaktadır. Bazı kurumlar tek bir
hizmet sağlayıcı kullanırken bazı kurumlar çok kaynaklı bir yapı kullanırlar. Yani bu yapıda
iş ve BT hizmetleri, iç ve dış hizmet sağlayıcıların en iyi karışımından oluşan bir yapıyla
karşılanır ve harmanlanır. Çoklu kaynak kullanımı süreci karmaşık hale getirebilir.
BT hizmetinin dış kaynak yoluyla alındığı kurumların denetimi sırasında göz önünde
bulundurulması gereken temel sorular şunlardır:
Dış kaynak yoluyla alınan BT kontrol faaliyetlerinin ticari süreçlerle bağlantısı nasıl?
İç denetçiler, dış kaynak yaşam döneminin temel aşamalarında uygun şekilde yer
alıyorlar mı?
İç denetçiler riskleri değerlendirmek ve doğru girdiyi sağlamak için yeterli BT bilgisi
ve deneyimine sahipler mi?
BT kontrol faaliyetleri bir BT hizmet kurumuna aktarılmışsa, hizmet sağlayıcıları iç
denetim paydaşlarının rolleri ve beklentilerinin farkındalar mı? İç denetçiler BT
risklerini görebiliyor ve dış kaynağa verilen süreçlere ilişkin tavsiyeler sunabiliyorlar
mı?
İç denetim ekipleri dış kaynak hizmet alım sözleşmelerinin yeniden müzakere
edilmesi, iadesi ve yenilenmesi süreçlerinde ne gibi roller üstleniyorlar?
5
Giriş
Teknoloji hizmeti veren kurumların dış kaynak olarak kullanılmasının, uzmanlık, maliyetin
yeniden yapılandırılması, kapasite yönetimi ve risk yönetimi gibi çok çeşitli sebepleri vardır;r
ancak yine de kontrol faaliyetleri ve operasyonel sonuçlara ilişkin sorumluluk hâlâ kullanıcı
kuruma aittir ve onun yönetimindedir.
Temel finansal ve operasyonel süreçler çoğu zaman dış kaynak yoluyla alınan teknolojiye
bağlıdır. BT süreçleri – güvenlik, değişiklik yönetimi ve temel ticari süreçleri destekleyen
işlemler gibi - dış kaynak yoluyla alındığında iç denetçinin bunun kontrol faaliyetleri
üzerindeki etkisini düşünmesi gerekir. Hizmet sağlayıcı kurum, devam eden kontrol
işlemlerine ilişkin kullanıcı kurum görünürlüğünü nasıl sağlayacaktır? Bulut bilişim gibi
teknolojiler kullanıcı kurumun stratejisine ulaşmasını kolaylaştırabilir ancak kontrol
faaliyetlerinin etkinliğinin görünürlüğünü sınırlandırabilir.
Dış kaynak yoluyla alınan süreçlerin yapısına bağlı olarak iç denetim faaliyetinin, hizmet
sağlayıcı tarafından yürütülen BT kontrollerinin etkinliğini ve yeterliliğini Performans
Standardı 2130 A1: Kontrol belgesi uyarınca değerlendirmesi gerekebilir. Bunun neticesinde
çoğu zaman hizmet sağlayıcı tarafından yürütülen süreçlere ilişkin yeterli iç kontrolün olup
olmadığını belirlemek için güvence verilmesi gerekebilir, çünkü BT genel kontrolleri; bilgi
güvenirliği, işlemler ve uygunluk amaçlarına ilişkin risklerin değerlendirilmesinin ayrılmaz
bir parçasıdır.
BT işlevinin karmaşıklığı, teknolojide gözlemlenen değişiklikler ve uzmanlık boyutu gibi
unsurlar kullanıcı kurum İDY’sini hizmet sağlayıcı tarafından yürütülen kontrol
faaliyetlerinin ticari ve operasyonel etkinliğine ilişkin riskleri değerlendirmeye zorlar.
İç denetçinin süreçte ne derece yer alacağı aşağıdaki unsurlara bağlı olarak değişiklik gösterir:
1. Ticari riskler ve BT risklerini ele almak için mevcut yönetim kapasitesi ve yönetişim
yapısı
2. Yönetimin karmaşık faaliyetleri dış kaynağa yaptırma ve büyük projeleri yönetme
deneyimi
3. Risk yönetimi, uygunluk grupları veya başka iç denetim işlevleri gibi diğer
faaliyetlerinin varlığı
4. BT hizmet sağlayıcısı tarafından sunulan kontrol faaliyetlerinin yapısı
5. Ana iç denetim paydaşlarının beklentileri
6
Bu denetim rehberi,
BT hizmetinin dış kaynak yoluyla alındığı durumlarda İDY’nin göz önünde
bulundurması gereken yaygın riskleri ve güvence sağlayacak mekanizmaları
özetleyecektir.
BT hizmetinin dış kaynak yoluyla alındığı durumların en yaygın türlerini iç denetçiye
gösterecek ve BT hizmetinin dış kaynak yoluyla alındığı durumların
değerlendirilmesinde sıklıkla kullanılan yedi yaşam dönemine ilişkin tartışmaları
sunacaktır:
1. Stratejik uyum ve kaynakların değerlendirilmesi
2. Karar alma süreçleri ve iş durum tespiti
3. İhale süreci ve sözleşmenin imzalanması
4. Uygulama ve geçiş
5. İzleme ve raporlama
6. Yeniden müzakere etme
7. Tersine çevrilebilirlik
Bir işlevin BT hizmet sağlayıcı kurumdan dış kaynak yoluyla alınmasına karar verme
aşamasında göz önünde bulundurması gereken riskler ve kontroller konusunda
kullanıcı kuruma rehberlik edecektir.
Dış kaynak yoluyla verilen hizmetlerin sunumunda hizmet sağlayıcının göz önünde
bulundurması gereken riskler ve kontrollere ilişkin rehberlik sunacaktır.
Performans Standartları
2130 – Kontrol: İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli
gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır.
2130.A1 – İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde bulunan
risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak
değerlendirmek zorundadır:
• Kurumun stratejik hedeflerine ulaşması,
• Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
• Faaliyetlerin ve programların etkinlik ve verimliliği,
• Varlıkların korunması,
• Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
7
Ekler bölümünde Dış kaynak yoluyla BT hizmet alımı yaşam dönemi ve Dış Kaynak Yoluyla
BT Hizmet Sunumuna ilişkin bir denetim programı sunulmuştur.
Bu rehber, dış kaynak yoluyla alınan BT riskleri ve süreçlerine özgüdür. Ticari işlemlerin
birbiriyle bağlantılı olduğu ya da “dış” ve “kapsamlı” ticari ilişkilerin mevcut olduğu
durumlarda iç denetçilerin Dış Ticari İlişkilerin Denetimine ilişkin Mesleki Uygulama
Rehberine de başvurması faydalı olabilir.
1- Dış Kaynak Yoluyla Alınan BT Hizmeti Türleri
Dış kaynak yoluyla alınan BT hizmetleri; uygulama geliştirme ve BT yardım masası
faaliyetleri gibi geleneksel hizmetlerden ürün geliştirme, uzmanlaşmış araştırma & geliştirme
(R&D) ve dağıtılmış bilgisayar desteği gibi son teknoloji ürünü hizmetlere doğru
kaymaktadır. Yeni teknolojiler ortaya çıktıkça kurumlar BT hizmetlerini dış kaynak yoluyla
almaya devam edeceklerdir.
Dış kaynağa yaptırma terimi çoğu zaman ülke dışında yaptırma terimiyle karıştırılmaktadır.
Bu iki terim arasındaki fark şudur:
Dış kaynağa yaptırma (Outsourcing): Spesifik ticari işlevlerin ya da bilgi esaslı işlerin bir
dış hizmet sağlayıcıya sözleşme karşılığında yaptırılmasıdır.
Dış ülkeye yaptırma (Off-shoring): Daha önce ülke içinde yönetilen kaynakların yeniden
konumlandırılması faaliyetidir.
Bu rehberin kapsamı, ister ülke içerisinde olsun ister dış ülkelerde olsun BT hizmetinin dış
kaynak yoluyla alınmasıdır. Ancak dış kaynak yoluyla alınacak ticari işe ilişkin risk
değerlendirmeleri ülke içindeki ve ülke dışındaki hizmet sağlayıcılar için ayrı ayrı
yapılmalıdır. Pek çok benzer nokta olmasına rağmen bu rehber iç off-shoring faaliyetleri için
uygulanmaz.
Dış kaynak yoluyla alınan en yaygın BT hizmetleri şunlardır:
Uygulama geliştirme ve bakım
Altyapı yönetimi
Yardım masası
Bağımsız test ve validasyon
Veri merkezi yönetimi
Sistemlerin entegrasyonu
8
Ar&Ge
Yönetilen güvenlik
Bulut bilişim
Hizmet sağlayıcılar ve kullanıcı kuruluşlar dış kaynak yoluyla alınan hizmet türleri için farklı
isimler kullanabilir. Kullanıcı kuruluşlar, bu hizmetlerin bir ya da daha fazlası için de çoklu
hizmet sağlayıcılardan hizmet alabilir ya da bunları dış kaynak yoluyla yaptırabilirler.
Uygulama Geliştirme & Bakım
Bir yazılım uygulamasının geliştirilmesinin ya da bu uygulama içindeki spesifik işlevler ya da
modüllerin dış kaynak yoluyla alınması durumunda, kullanıcı kurumlar müşteri
spesifikasyonlarını karşılamak için teknik bilgi ve deneyime sahip üçüncü şahıs yazılım
geliştirme şirketlerine öncelik verebilirler. Kodlama süreci, servis sağlayıcının standart kalite
süreci kapsamında geliştirilmiş sıkı bir yazılım geliştirme yaşam dönemini (SDLC) takip
etmek zorundadır. Bazı belirli düzenlemelerde SDLC aşamaları doğrudan doğruya kullanıcı
kuruluş tarafından belirlenir, izlenir ve yönetilir. Kullanıcı gereksinimleri ya da iş tanımı, iş
geliştirme fazının ilk resmi aşamalarından itibaren açıkça belirlenmelidir. İç denetçilerin
süreçte yer alması durumunda GTAG 12: BT Projelerinin Denetlenmesi başlıklı rehberde yer
alan şu durumların da göz önünde bulundurulması gerekir:
• Stratejik projelerde süreç boyunca devamlı tavsiye verilmesi
• Temel risklerin ve konuların en baştan belirlenmesi
Hizmet sağlayıcı süreçten sadece birim testi tamamlanıncaya kadar sorumlu olsa da, SDLC
süreci, çoğu durumda müşterinin kullanıcı kabul testinin başarıyla tamamlanmasıyla son
bulur. Sistem, entegrasyon ve kullanıcı testi fazları sistemin müşteri gereksinimlerini
karşıladığına dair güvence sağlayan temel bileşenlerdir. Test süreci müşteri ekibiyle ya da
müşteri ve hizmet sağlayıcının birlikte çalışmasıyla gerçekleştirilebilir. Her iki durumda da
test aşamasında gözlemlenen herhangi bir sorun ya da konu, düzeltilmesi için hizmet
sağlayıcıya geri bildirilir.
Mevcut uygulamaların süregelen bakımları ve uygulama güncellemeleri, ticari süreç
kullanıcıları ve paydaşları tarafından yapılan geliştirme tavsiyelerine yanıt vermelidir.
Tavsiyeler, yeni alanların ya da raporların yaratılması gibi küçük değişiklikler için olabileceği
gibi yeni modüllerin yaratılması gibi büyük değişiklikler için de olabilir.
Altyapı Yönetimi
9
BT altyapısının idaresi ve bakımı için sunulan hizmetler, altyapı yönetimi başlığı altında
sınıflandırılabilir. Ağ yönetimi, genel altyapı performansı ve kullanılabilirliği, acil kurtarma
stratejileri ve kapasiteleri, sorun giderme hataları, veri tabanlarının bakımı, yedekleme ve geri
yükleme hizmetleri bu hizmetlerdir. BT altyapı faaliyetlerinin ve kapasite yönetiminin
izlenmesi, arıza analizlerinin yapılması ve kritik sistem hataları ve bunların etkilerinin rapor
edilmesi bu kategori altında sınıflandırılan daha yeni ve katma değer katan hizmetlerdir.
Yardım Masası
Sorun giderme problemleri, üretim desteği ve altyapı yönetimi gibi herhangi bir bakım
hizmeti, yardım masası hizmeti altında sınıflandırılabilir. Bu düzende, hizmet sağlayıcı kurum
personeli müşteriye alanda (yani müşterinin tesislerinde) ya da alan dışında (yani servis
sağlayıcının tesislerinden) çeşitli BT problemlerine ilişkin destek sağlar. Daha sonra her bir
hizmet seviyesi için dönüş süreleri (Turn Around Time-TAT) (yani yanıtlar ve çözümler)
belirlenir.
Hizmet seviyelerine ilişkin kritik uygunluk koşulları, belirlenen TAT’ların karşılanması ve
sağlanan hizmetin kalitesinden oluşur. Ek olarak, beklenen hizmet seviyesi parametrelerine
kıyasla mevcut performansı ölçen ve kıyaslayan prosedürlerin devam eden izleme süreci için
yönetimin beklentileri belirlenir. Son olarak, performans sonuçları, bunlarda gözlemlenen
eksiklikler ve bunlara ilişkin iyileştirmeler tedarikçinin devam eden değerlendirme süreci için
temel kriterler olarak kullanılmalıdır.
Bağımsız Test ve Validasyon
Çoğu kurum, şirket içi ya da üçüncü şahıslar tarafından geliştirilen yazılımların test ve
validasyonlarını dış kaynak yoluyla yaptırır. Sistemin performansını izlemek ve çözülmesi
gereken programlama hataları ya da problemlerini tanımlamak ve takip etmek için geliştirilen
sistem özgün/uzmanlaşmış testlere tâbi tutulur.
Veri Merkezi Yönetimi
Daha fazla BT sanayi sektörü, tedarikçisi ve hizmet sağlayıcısı pazara girdikçe dış kaynak
yoluyla hizmet anlayışında da değişiklikler gözlemlenmektedir. Dış kaynak yoluyla hizmet
alma amaçları, maliyet azaltma gibi basit düşüncelerden operasyonel verimliliğin daha üst
seviyelere taşınması, uzmanlaşmış ürünler sağlanması ve dinamik büyüme gibi amaçlara
doğru kaymıştır. Tedarikçiler, sanayi sektörüne bakmaksızın çoklu müşteriler tarafından
10
geliştirilebilecek uzmanlaşmış hizmetler sunmaya başlamıştır. Veri merkezi işlemleri bunun
örneklerinden biridir.
Veri merkezlerinin bugün genel olarak verdiği hizmetler şunlardır:
Ana sistemler, dağıtılmış sunucular ve diğer BT varlıklarına fiziki ev sahipliği
Donanım, yazılım, işletim sistemlerinin planlanması, spesifikasyon, tedarik, kurulum,
konfigürasyon, bakım, güncelleme ve yönetim
Sunucu performansı ve operasyonel durumların sürekli izlenmesi
Kapasite planlama, yük dengeleme, ayar ve yeniden konfigürasyon dahil sunucu /
anasistem kapasitesinin yönetimi
Müşteri ile hizmet sağlayıcının üzerinde anlaştığı yapım prosedürlere uygun
sunucuların inşası ve uygulama yazılımlarının kurulumu ve güncellemesi
Yedekleme ve geri yükleme
Uygulanan TAT’lara müteakip bir arıza durumunda sunucu sistemlerin kurtarılması
Sistem Entegrasyonu
Merkezi olmayan bir yapıda, çeşitli işlevler, birbirinden bağımsız ayrı sistemler ve
uygulamalar tarafından organize edilir. Merkezi olmayan ortamlar sistem ve uygulama
güncellemeleri, denge koşullarının belirlenmesi, veri kaynakları ve hatalı sonuçlarının
saptanması için daha fazla insan müdahalesine ihtiyaç duyarlar. Sistem entegrasyon hizmetleri
çoklu uygulama ve sistemleri entegre etmek için komut dizisi, modüller, araçlar ve
programların geliştirilmesine ihtiyaç duyar. Böylece mevcut uygulamaların bir diğeriyle
sorunsuzca iletişim kurması sağlanarak konsolide bir sistem oluşturulur. Sistemlerin
entegrasyonuyla ilgili temel bir sınırlama, veri kaynaklarının birlikte çalışabilirlik prensibine
bağlılığı ve veri kaynaklarının doğruluğudur.
Ar&Ge
Bir yandan ticari istihbarat veri tabanları inşa edip bunların sürdürülebilirliğini sağlarken bir
yandan da pazarın ihtiyaçlarına uyum sağlamak ve bunlara ilişkin yeni çözümler üretmek için
çoğu kurum farklı teknolojiler, çözümler, süreçler ve sistemlerin araştırılması ve geliştirilmesi
işlemlerini dış kaynak yoluyla yaptırmaktadır. Belirli ürünler için temel sanayi sektörlerindeki
eğilimleri ve duyarlılıkları saptamak için yapılan pazar analizlerinde üçüncü şahıs
tedarikçilerin kullanılması da dış kaynak yoluyla yaptırılan araştırma çalışmalarına dâhildir.
Yönetilen Güvenlik
11
Birçok kurum güvenlik hizmetlerini dış kaynak yoluyla almaktadır. Kurumun üçüncü şahıs
güvenlik gereksinimlerinin yönetiminin hizmet sağlayıcı tarafından gerçekleştirilmesinden
dolayı dış kaynak yoluyla alınan bu hizmet yönetilen güvenlik hizmetleri (Managed Security
Services-MMS) olarak da tanımlanır. MMS; BT altyapısı, veri varlıkları ve kullanıcı yönetim
faaliyetlerinin tümü üzerindeki kurum güvenliğini denetleyen hizmet olarak tanımlanır.
İnternet güvenlik hizmetleri, dış kaynak kullanımı yoluyla güvenlik, istihbarat hizmetleri,
güvenlik danışmanlık hizmetleri, ağ güvenlik hizmetleri, güvenlik yönetim hizmetleri,
güvenlik değerlendirme hizmetleri, güvenlik danışmanlığı ve BT güvenlik hizmetleri
kavramları bu işlevi tanımlamak için kullanılan diğer terimlerdir.
Müşterinin ihtiyaçlarına bağlı olarak sözleşme koşullarına uçtan uca güvenlik inşa tasarımı ve
desteği (tasarım danışmanlığı, uygulama, güvenlik yönetimi, kullanıcı doğrulama ve teknik
destek) ya da belirli bir sistemdeki spesifik güvenlik işlemlerinin yönetimi (güvenlik
duvarının takibi, veri aktarımı, içerik filtreleme, virüs koruması, saldırı tespiti ve saldırıya
yanıt verme, ağ hassasiyet değerlendirmesi) de dahil edilebilir.
Bulut Bilişim
Bulut bilişim teknolojisi, talep edilen bir ticari ihtiyacı karşılamak için ölçeklenebilir ve çoğu
zaman sanal bilişim kaynakları sunar. Bulut bilişim; sunucu, saklama ve bilgisayar gücü
faaliyetlerini bir üründen daha çok bir hizmet olarak sunar. Kaynaklar, yazılım ve diğer
bilgiler bir ağ ya da internet üzerinde dinamik bir program gibi sunulur. Bulut bilişim
hizmetleri özel amaçlı bulut, kamusal amaçlı bulut, karma bulut ya da topluluk bulut bilişim
hizmetleri şeklinde olabileceği gibi şu hizmetlerden biri ya da bir kaçı şeklinde de olabilir:
Bir hizmet olarak yazılım (Software as a Service-SaaS), bir hizmet olarak altyapı
(Infrastructure as a Service-IaaS) ya da bir hizmet olarak platform (Platform as a Service-
PaaS).
Bulut bilişim teknolojisi, ticaretle uğraşanlara pazarlarını esnek tutma ve pahalı BT
kapasitesini satın almadan ya da bunlara sahip olmadan bir programı ya da inisiyatifi başlatma
imkânı verir. Bulut bilişimle ilgili göz önünde bulundurulması gereken diğer bir husus ise
bulut bilişimin “kullan ve öde” modeliyle büyük sermaye satın alımı ticaretine imkân
vermesidir.
2 - Dış Kaynak Yoluyla BT Hizmet Alımına İlişkin Yaşam Çevrimi:
Risklere ve Kontrollere İlişkin Değerlendirmeler
Kullanıcı Kurum için
12
Bu bölümde, bir görevi ya da işlevi dış kaynak yoluyla alan kullanıcı kurum yönetiminin
izlemesi gereken riskler ve aşamalar ele alınmaktadır. Hizmetin dış kaynak yoluyla
alınmasına ilişkin atılan adımların arkasında stratejik ya da taktiksel iş planlama
değerlendirmeleri olabilir. Ancak dış kaynak yoluyla hizmet alımı taahhüdüne girmeden önce
yönetim sahiplik yapısını açıkça belirlemeli, ticari amaçları ortaya koymalı ve stratejik
planlarıyla uyumu sağlamalıdır. Dış kaynak yoluyla hizmet alımı kararı, uygulama ve geçiş
işlemleri de dâhil yatırım getirisini ve projelendirilen yararların gerçekleşmesi sırasında
karşılaşılabilecek riskleri değerlendiren bir iş durum tespitiyle desteklenmelidir. Dış kaynak
yoluyla hizmet alımı riskleri çoğu zaman bütünüyle değerlendirilmez ve niceliği şeffaf bir
şekilde ölçülemez.
Bu bölüm, dış kaynak yoluyla hizmet alımı yaşam dönemine, dış kaynak yoluyla hizmet
alımına yönelik verilen kararı destekleyen süreçlere ve bu fazlarda yönetim tarafından yapılan
başlıca faaliyetlere odaklanmaktadır. Yaşam dönemi fazları şunlardır:
Stratejik uyumun ve kaynak kullanımının değerlendirilmesi
Karar alma süreci ve iş durum tespiti
İhale süreci ve sözleşmenin imzalanması
Uygulama ve geçiş
İzleme ve raporlama
Yeniden müzakere etme
Tersine çevrilebilirlik
Bu bölümün sonunda lütfen aşama aşama riskleri ve bu risklere dayanarak süreçte olası iç
denetçi varlığını gösteren Tablo 1’e bakınız.
Stratejik Uyum ve Kaynak Kullanım Değerlendirmesi
Hizmet sağlayıcı için stratejik uyumu belirleyen iş bağlamını ve unsurları anlamak için şu
sorular sorulabilir:
Kurumsal stratejiler, BT hizmetinin dış kaynak yoluyla alınmasının arkasında yatan
temel unsurlar mı? Dış kaynak yoluyla hizmet alımı inovasyonu teşvik ediyor ve
pazardaki BT kapasitelerini geliştirecek büyük çözümlerin (yani tek başına iç
geliştirme yoluyla mümkün olmayan) bulunması konusunda işe imkân tanıyor mu?
Dış kaynak yoluyla hizmet alımının yapısı – kurumun liderliğinde ya da BT
13
liderliğinde - farklı yönetişim değerlendirmelerinin yapılmasını gerektirebilir ve hesap
verebilirliğin nasıl sağlanacağını ve takip edileceğini etkileyebilir.
Ana unsurları anlamak:
o Hizmet sağlayıcının ekonomik ölçeğiyle sağlanan maliyet azalması
o Hizmet sağlayıcının uzmanlığı ve çözümlere yaptığı yatırımla elde edilen artan
süreç etkinliği
o BT uzmanlığını içerden sürdürmek ve yönetmek zor olduğu için insan/beceri
düzeyinde zorluklar
Pazarda ne tür seçenekler mevcut?
Kullanıcı kurumun BT hizmetini dış kaynak yoluyla almaya ilişkin geçmiş
deneyimlerine ek olarak kapasite olgunluk düzeyi ne?
Kurum kavramı kanıtlamaya ya da pazarda ilk olmaya hazır mı? Yoksa bunlar kurum
için riskli mi?
Hizmet sağlayıcı sayısı ve “tedarikçi yaşam” oranı tek bir sağlayıcıya bağımlı olmayı
önlemeye yetecek sayıda mı?
Süreç dış kaynak yoluyla hizmet alımına gidilemeyecek kadar stratejik açıdan önemli
mi? Bazı belirli BT faaliyetleri bazı kurumlar için kritik rekabet avantajına sahip
olabilir.
Bir taban çizgisi belirlemek, amacı saptamak ve kıyaslama yapmak için modelleme ve
iş sürecinin haritalamasına ilişkin ihtiyaçlar çıkarıldı mı?
Analizin sponsoru ve bağlantıların sahibi kim? İş durum tespitinin geliştirmesinde
kimler yer alıyor?
İç denetime ilişkin değerlendirmeler:
Stratejik bağlamın ve kıyaslamaya ilişkin diğer destekleyici pazar bilgilerinin
güvenilirlik ve tamlığının değerlendirilmesi
Dış kaynak yoluyla hizmet alımına ilişkin değerlendirmelere rehberlik edecek yeterli
BT yönetişim süreçlerinin varlığının ve bunların işin dışa yaptırılmasına ilişkin
amaçlarla uyumunun değerlendirilmesi
Süreçte paydaşların olup olmadığının ve sürecin sahipliğinin açık ve uyumlu olup
olmadığının değerlendirilmesi
Hizmet sağlayıcının müşteri tabanının, deneyiminin ve itibarının değerlendirilmesi
Karar Alma Süreci – İş Durum Tespiti
14
Dış kaynak yoluyla hizmet alım seçeneği, güvenilir bilgiler ve projeksiyonlar ışığında uzun
dönemde iş becerisini artırmalı ve değer yaratmalıdır (yani riskler anlaşılmalıdır).
Temel fayda ve riskleri ele alan iyi bir iş durum tespitinin yapılması. Dış kaynak
yoluyla hizmet alımı ticari riskleri ele alan bir çözüm olabilir ya da yeni ticari riskler
yaratabilir ancak yapılan değerlendirmeler, uygulama risklerini ve dış kaynak yoluyla
hizmet alımının başarısız olması durumunda gözlemlenecek olası riskleri de ele
almalıdır.
Sponsor ve ana paydaşların süreçte yer alması ve nihai kararda dikkate alınmalarına
ilişkin güvence sağlamak.
Diğer seçenek ve varyasyonların düşünülmesi. En iyi çözüm seçilmelidir. Dış kaynak
yoluyla hizmet alım yoluna gidip gitmemekten daha önemli olan doğru kararı
vermektir.
İç denetim yükümlülüklerine saygı duymak. Kabul edilen nihai risk düzeyi kurumun
risk iştahıyla uyumlu olmalıdır.
Değişiklik gereksinimlerinin yönetiminin düşünülmesi. Birisi, kurum içinde dış
kaynak yoluyla hizmet alma ortamı sağlayacak bir ortamı nasıl yaratabilir. (örnek:
politikalarda değişiklik, operasyonel prosedürler, altyapı desteği)
İç denetim değerlendirmeleri:
Detaylı analizlerde sunulan bilgilerin doğruluğunun, güvenirliğinin ve bütün ticari
riskleri ve uygulama risklerini ele alıp almadığının değerlendirilmesi
Yönetişim ve onay süreçlerinin şeffaf olup olmadığının, bunların belgelendirilip
belgelendirilmediğinin ve tamamlanıp tamamlanmadığının belirlenmesi
Uygun taraf ve uzmanların değerlendirme sürecinde yer alıp almadığının belirlenmesi
Diğer ana paydaşların bilgilendirilip bilgilendirilmediğinin belirlenmesi
Dış kaynak yoluyla hizmet alım inisiyatifi çeşitli aşamalarda başarısızlığa uğrarsa
yönetimin beklenmedik durum planlarının değerlendirilmesi
Başarısızlık hesaplamalarının ve olası etki/maliyetlerin iş durum tespitinde yer alıp
almadığının değerlendirilmesi ya da hizmet sağlayıcılar arasında seçeneklerin
karşılaştırılıp karşılaştırılmadığının değerlendirilmesi
Maliyet/yararların varsayımlara kıyasla hassasiyetinin değerlendirilmesi
Temel performans ölçümleri ve veri kaynaklarının belirlenmesi
İhale Süreci ve Sözleşmenin İmzalanması
15
Teklif taleplerinin alınması, tedarikçinin seçimi ve iş durum tespitine uygun bir sözleşmenin
imzalanması:
Hizmet sağlayıcıların bilgilendirilmiş teklifler yapabilmesi için iş kapsamının detaylı
bir şekilde sunulması ve diğer ilgili konuların vurgulanması
Tekliflerin iş durum tespitinde genellikle kullanılan ilgili kriterler ya da gerekli
spesifik değerlendirmeler esasında değerlendirilmesi
Yeni oluşan risklerin ya da onaylanan iş durum tespitine kıyasla gözlemlenen anlamlı
sapmaların detaylandırılması
Hizmet sağlayıcının kriterler ve sunulan teklifler/önerilere göre seçilmesi
Operasyonel durum tespit gözden geçirmesi için deneyimli bir ekibin işe alınması ve
temel performans göstergelerinin – hizmet seviyesi anlaşmaları (SLA’lar) ve
operasyonel hizmet seviyesi anlaşmaları (OLA’lar) - sözleşmede yer almasının
sağlanması
Olası kayıplar, arızalar ve performansla bağlantılı olmayan sonuçların
değerlendirilmesi. Tolerans eşiğinin belirlenmesi ve sapmalar gözlemlenirse ne
olacağının (nereye başvurulacağının) belirlenmesi
Sapma veya yeni risklere vurgu yaparak sponsorun onayının alınması ve ana
paydaşların bilgilendirilmesi. Bağlayıcı bir sözleşmeyi bitirmek için gerekli yasal
uygunluk gözden geçirmeleri ve gerekli yasal aşamalar da dâhil. (feshedilir ya da
yenilenmezse mevcut stratejiler ve planlar da dâhil)
İç denetim değerlendirmeleri:
Teklif değerlendirme sürecinin, zamanının, kriterlerinin tamlığının ve onay sürecinin
şeffaflığının değerlendirilmesi
Yönetiminin kontrol güvence yükümlülüklerinin hizmet sağlayıcı denetçisinin raporu
(yani Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından yayımlanan
Tasdik Hizmetleri Standartlarına (SSAE) ilişkin Beyan No. 16: Hizmet Sağlayıcı
Kurumda Kontrollerin Rapor Edilmesi başlıklı belge ya da Uluslararası Muhasebeciler
Federasyonu’nun (IFAC) Uluslararası Muhasebe ve Güvence Standartları Kurulu
(IAASB) tarafından yayımlanan Güvence Hizmetlerine İlişkin Uluslararası Standartlar
(ISAE) 3402 başlıklı belge) ya da devam eden değerlendirmeler uyarınca gözden
geçirilmesi; kurumunun denetim paragrafının uygun biçimde yazımı aşamasına dâhil
olma hakkının verilmesi
16
Proje ekibinin deneyiminin ve kapasitesinin değerlendirilmesi ve bunların ihtiyacı
karşılayacak şekilde karşılanıp karşılanmadığının değerlendirilmesi
Gerekli durumlarda risk yönetimi, hukuk, insan kaynakları (İK) ve finans işlevlerinin
süreçte yer alıp almadığının değerlendirilmesi
Durum tespit gözden geçirmelerinin yapılması ya da yönetimin hizmet sağlayıcının
işlemlerine ilişkin yaptığı gözden geçirmelerin değerlendirilmesi
Performans kapasite kontrol verimliliğine ilişkin diğer güvence sağlayıcılar tarafından
yapılan süregelen ya da periyodik değerlendirilmelerin gözden geçirilmesi.
Performans ölçütlerinin tanımlanması ve güvenilir olmasını sağlamak için SLA’lar ve
OLA’ların gözden geçirilmesi. Bu en başta yönetim tarafından yapılmalıdır ancak iç
denetim faaliyeti, risk/kontrol performans beklentilerine ve ana hizmet sağlayıcılara
ilişkin standartlara ya da müşteriler tarafından özellikle talep edilen ya da cari
mevzuatta öngörülenlere odaklanarak da güvenirliği değerlendirebilir.
Uygulama / Geçiş
Bir geçiş planının oluşturulması, gerekli fonların güvenceye alınması ve program/proje
yönetiminin sponsorluğu, desteklenmesi gibi unsurlara ve diğer kaynaklara resmiyet
kazandırılması.
Önemli bir süreç ya da işlemin dış kaynak yoluyla hizmet alımı şeklinde
gerçekleştirilmesi halinde planlara resmiyet kazandırılması ve yönetişim amaçlarının
belirlenmesi. Sözleşmeye yönetişime ilişkin bir takvim/plan konulmasının ve iş durum
analizine bütçe kalemi konulmasının değerlendirilmesi ve sözleşme uygunluk
denetimlerini planlanması.
Temel süre, fonlar, teslim tarihleri, test etme ve devam eden izlemelerin belirlenmesi.
Kritik başarı faktörleri olarak insan kaynakları konuları ve kültürel düzenlemelerin
geçiş sürecinden önce, geçiş süreci sırasında ve geçiş sürecinden sonra ele alınması.
Hizmet sağlayıcı kaynak akreditasyonunun sağlanması. Birisi hizmet sağlayıcı
kaynaklarının o işi yapmak için yetkin olduğunu operasyonel olarak ve sözleşme
uyarınca nasıl gösterebilir?
Planlanmamış zararların maliyetini içerecek şekilde sapmalar ve teslim edilmeme
durumlarına ilişkin beklentilerin yönetilmesi
Geçiş sürecinden önce süreçlerin standart hale getirilmesi. Bunun için önemli ölçüde
çaba ve yatırım gerekebilir.
17
Uygulama sonrası analizinin yapılması ve ilgili konuların izleme ve raporlama fazında
incelenmesi (gözden geçirme sonrası değerlendirilecek konular). Geçiş sürecinin
sözleşmeye ve iş durum analizine uygun gerçekleştirildiğine dair güvence sağlanması.
İç denetim değerlendirmeleri:
Projenin standart kurallara uygun yürütüldüğünü görmek için bir ön uygulama gözden
geçirmesi yapılması
Geçiş süreci gerekli etkiyi sağlamazsa olası durum planlarının gözden geçirilmesi
Risklerin ve eylemlerin uygulama sürecinde tanımlanıp tanımlanmadığını, azaltılıp
azaltılmadığını ve paydaşlara uygun ve hızlı bir şekilde bildirilip bildirilmediğinin
belirlenmesi
“Faaliyete geçme/geçmeme” kararlarının usulüne uygun ve güvenilir bilgiler esasında
alınıp alınmadığını belirlenmesi
“Faaliyete geçme” kararı desteklenmeden önce yönetim tarafından uygun testlerin
yapılıp yapılmadığını değerlendirilmesi
Süreçte uygun paydaşların yer alıp almadığının ve bunların bilgilendirilip
bilgilendirilmediğinin belirlenmesi
Proje yönetimine ve üst yönetime karar alma için gerekli olacak uygun bilgilerin olup
olmadığının belirlenmesi
İzleme & Raporlama
Geçiş sürecinin ardından işlemlerin iş yükümlükleri, temel performans göstergeleri (KPI’lar)
ve SLA’larda tanımlanan iş yükümlülüklerini karşılamasını sağlamak için işlemleri izlenmesi.
Bu faz işlemlerin ve performans izleme sürecinin en iyi düzeyde olmasını sağlar ve süreçte ve
dış kaynak yoluyla hizmet alımı ilişkilerinde iyileştirmeler sağlar.
Temel performans ölçütlerini belirlenmesi ve geliştirilmesi. Bunların sözleşme fazının
ve SLA’ların bir parçası olarak değerlendirilmesi ve tasarlanması daha iyidir ancak
bunların hepsi önceden öngörülemeyebilir. İdeal olan ölçütlerin, ön koşul hizmetlerin
sunumunu sağlaması ve genel uygunluk / uygun olmama durumunu göstermesidir.
İşlemlerin kontrol edildiği devam eden güvencelere ilişkin diğer kaynaklara ulaşılması
ve bunlar arasında bütünlüğün sağlanması (SSAE 16, ISAE 3402, işlemlere ilişkin
kalite güvence uygunluk raporları ya da bağımsız ya da iç denetçilerden raporlar).
18
Sözleşme uygunluğu için devam eden ya da periyodik değerlendirmelerin
değerlendirilmesi.
Performans ve sözleşmeye ilişkin konularda hizmet sağlayıcılar tarafından gösterilen
yapıların, sebeplerin ve yanıtların izlenmesi. Bu bilgilerin paylaşılmasının sağlanması
ve bu bilgiler ışığında geliştirilmiş hizmet sunumu veya daha titiz yeniden müzakere
süreçlerine imkân verilmesi. Mevcut ve gelecek ilişkilerin artan bilgiler ışığında
yönetilmesi.
Risk görünürlüğüne ve işin gelişimine imkân verecek inovasyonların hizmet
sağlayıcıda aranması
İç denetim değerlendirmeleri:
Hizmet sağlayıcının performansının ve sözleşmeye uygun davranıp davranmadığının
yönetim tarafından nasıl değerlendirileceği ve düzenli olarak nasıl gözden
geçirileceğinin anlaşılması
BT işlemleri, değişiklikler ve güvenliğe ilişkin riskleri ölçmek ve bunları yönetmek
için kullanılan ölçütlerin güvenirliğinin değerlendirilmesi
Mevcut ve gelecekteki işlemlerin / sözleşmelerin geliştirilmesi için tereddüt edilen
konuların ve geliştirilmesi gereken alanların nasıl bildirileceği ve aktarılacağının
değerlendirilmesi
Dış kaynak yoluyla hizmet alımı faaliyetinin denetim ortamının bir parçası olmasının
sağlanması ve risk değerlendirmelerinin düzenli yapılması
İç denetim faaliyetinin gelecekte ilişkilerde meydana gelebilecek değişikliklere ne
ölçüde hassas olduğunun belirlenmesi
Planlama aşamasında belirlenen KPI’lara kıyasla performansının değerlendirilmesi
Yeniden müzakere etme
Sözleşme dönemi sona yaklaştıkça fiili yararlar ve problemlerin, pazardaki ve kıyaslama
ölçütlerindeki değişikliklerin, yapılan yeniden müzakereler sonucunda süreci geri almanın ya
da başka bir tedarikçiyle çalışmanın maliyetinin değerlendirilmesi. Problem ya da olay rapor
etme düzeyinin verimliliğinin sağlanması.
Durağan duruma erişmiş işlemlerin orijinal iş durum analiziyle karşılaştırılması ve
alınan derslerin valide edilmesi
Kıyaslama ölçütlerinin diğer hizmet sağlayıcılarla karşılaştırılması
19
Pazar alternatiflerinin ve mevcut faydalara kıyasla sürecin şirket içine taşınmasının
faydalarının araştırılması
Yeni bir risk, maliyet ya da yarar analizi/değerlendirmesinin yapılması
Daha etkili kuralların izlenmesi. Gelişmeyi sürdürmek için kurumun alternatifleri
olmalı ve bu seçeneklerin etkilerini bilmelidir. (Gelecek bölümdeki tersine
çevrilebilirlik başlığını inceleyiniz).
İç denetim değerlendirmeleri:
Gelecek müzakerelerde en iyi sonucun elde edilmesi için gerekli strateji ve bilgilerin
anlaşılması
Tersine çevrilebilirlik ve izlenebilirlik durumunun ya da performans sonuçlarının
anlaşılması
Uzmanların ve süreç sahiplerinin yeniden müzakerelerde iyileşmeleri yönlendiren
olmasının sağlanması
Yıllık risk değerlendirme sürecinde denetim için ilgili tarihlerin belirlenmesinin
sağlanması
Yeterli tam/doğru eski bilginin ve performans ölçütünün olmasının sağlanması
Tersine çevrilebilirlik
İşlemlerin başka bir hizmet sağlayıcıya verilmesi ya da kurum-içi çözümlere geri
dönülmesinden kaynaklanabilecek maliyetlerin ve aksaklıkların anlaşılması.
Dış kaynak yoluyla hizmet alımı düzenlemesinin başarısızlığa uğrama olasılığının
hesaplanması – Tarihsel açıdan bakıldığında bu yönde yapılan birçok düzenleme
başarısız olmuştur.
İşlemlerin kurum-içi sisteme geri dönülerek yapılması halinde oluşacak toplam
maliyet ve etkinin belirlenmesi, bunun sözleşme döneminde ya da sözleşme
döneminin sonunda gerçekleşmesi halinde “olası maliyetin” (dönem masrafları
olasılığı) belirlenmesi. Bunun iş durum analizinde, orijinal sözleşmede ve yeniden
müzakere halinde belirlenen yatırım getirisine faktörlenmesi
Başka seçeneklerin ve kısmi tersine çevrilebilirlik senaryolarının anlaşılması
Kurumu, hizmet sağlayıcının rücu hakkı olmaksızın ücretleri artırabileceği bir
ilişkiye bağlı kalmaktan koruyacak sözleşme unsurlarının öngörülmesi. Enflasyon
20
gibi ekonomik koşullar ve pazar koşulları esas alınarak ne kadar ücretlendirme
yapılabileceğine dair anlaşmaya mümkünse bir bilginin konulması
İç denetim değerlendirmeleri:
Dış kaynak yoluyla hizmet alım düzenlemesi işlemezse beklenmedik durum
planlarının yeterliliğinin değerlendirilmesi
Yönetimin hesaplanan maliyetler ve başarısızlık olasılığını ölçüp ölçmediğinin
değerlendirilmesi
İş durum analizi ve ROI ihtiyaçlarında başarısızlığının değerlendirilip
değerlendirilmediğinin belirlenmesi
Gereksiz bağımlılıkları önlemek için başka hizmet sağlayıcıların kullanımının
yönetim tarafından değerlendirilip değerlendirilmediğinin sorulması
Hizmet sağlayıcının yaşama kabiliyetinin yönetim tarafından nasıl
değerlendirildiğinin belirlenmesi. İç denetim faaliyeti, bu değerlendirmenin
güvenirliğini teyit etme ya da değerlendirme ihtiyacı duyabilir.
Hizmet sağlayıcıda değişiklik yaratabilecek ya da değişiklik yapılmasını
düşündürecek tetikleyici noktaların anlaşılıp anlaşılmadığının ve önceden
belirlenip belirlenmediğinin saptanması
Sürecin kurum-içi sisteme geri dönülerek sürdürülmesini gerektirecek başka
risklerin (makroekonomik ve politik/coğrafi endişeler dâhil) değerlendirilmesi –
bunların değerlendirilip değerlendirilmediğinin belirlenmesi.
Hizmet sağlayıcının iyi, sürdürülebilir iş devamlılık planlama (BCP) kapasitesinin
olup olmadığının değerlendirilmesi
Sözleşmede uygun bir fesih maddesinin olup olmadığının belirlenmesi
Tablo 1: Dış Kaynak Yoluyla BT Hizmet Alımına ilişkin Yaşam Dönemi: Aşamalara
Göre Riskler ve Denetçi Varlığı
Bu tabloda dış kaynak yoluyla hizmet alımı karar sürecinde değerlendirilmesi gereken riskler
detaylı olarak ele alınmaktadır. Riskleri azaltmak ve gerekli ilgili kontrollerin kurulmasını
sağlamak için kullanıcı kuruma ilişkin roller ve sorumluluklar vurgulanmıştır. Temel
faaliyetlerle bağlantılı riskler ve odaklanılması gereken olası alanlar iç denetçi için
vurgulanmıştır. – Bunlar kurumun ve yönetimin olgunluk seviyesine (dış kaynak yoluyla
hizmet alımına ilişkin tecrübeleri), risk yönetiminin süreçteki varlığına, proje yönetim
ofislerine ve diğer güvence işlevlerine bağlı olarak anlamlı ölçüde değişiklik gösterebilir. –
21
İDY, kurul1 ve ana paydaşların beklentilerini anlamalıdır ancak yönetimin
stratejik/operasyonel kararlarından mevcut bağımsızlığını korumak için onay sürecinin bir
parçası gibi görülmemelidir.
Aşamalar Amaçlar Temel Faaliyetler İdareci Rolleri*2
Riskler Denetçinin Varlığı3
A: Stratejik Uyum veKaynakların Değerlendirilmesi
Kaynakseçeneklerinin veamaç tabançizgisininbelirlenmesi
İş model süreçlerininharitalanması
Yarar ve riskleresasında seçeneklerinöncelik sırasına konulması
Pazar analizi vekıyaslamalarının yapılması
Süreç sahibi*,tedarikuzmanları (teknik, risk,BCP ve şirket stratejisi) ticaribirim yönetimive yöneticisponsorluk
Kurumsalstratejilerleuyumlu değil
Kötü karar Varlıklarda kayıp
ya da düşük ROI
Gerekli görüldüğü takdirde stratejik bağlamın ve destekleyici bilginingüvenilir ve tam olupolmadığının anlaşılması
B: Karar AlmaSüreçleri ve İş Durum Tespiti
Güvenilir bir iş durum tespitihazırlanması
Detaylı bir ticari risk ve yararanalizinin yapılması
Uygulamarisklerinin vebaşarısızlık etkisininfaktörlenmesi
En iyi seçeneği seçilmesi veyarar/faydaların detaylandırılması
Strateji veyönetişim arasındaki ilişkilerin tanımlanması
Süreçsahibi*,yöneticisponsor*,finans, hukuk,BT, insankaynakları ve diğer uzmanlar
En iyi tedarikçininseçilmemesi
Hizmetlerinkalitesi düştüğü için varlıklarda ve ROI’de kayıp ya da itibarzedelenmesi
Olumsuzdüzenleyici etkisi
Detaylı analizlerdeki bilgilerin güvenilir olupolmadığının değerlendirilmesi ve tüm ticari riskler veuygulama riskleriningöz önündebulundurulması
Yönetişim ve onay mekanizmasının şeffaf ve güvenilir olupolmadığının belirlenmesi
Doğru tarafların ve uzmanların tayin edilip edilmediğinin belirlenmesi, Anapaydaşların sürekli bilgilendirilipbilgilendirilmediğinin değerlendirilmesi
C: İhale Süreci ve Sözleşmenin İmzalanması
Hizmetsağlayıcının seçilmesi vebaşarıyı teşvik eden birsözleşmenin hazırlanması
Yükümlülüklerin,amacın ve teklif taleplerinindetaylandırılması
Hizmet sağlayıcının seçilmesi ve durumtespitinin özenli birbiçimde yapılması
Sözleşmenin müzakere edilmesi
Fesih planının geliştirilmesi
Süreç sahibi*,tedarikçi*,proje ekibi,yöneticisponsor,hukuki vefinansal uzman
İşin optimize edilmemesi ya dakurumun kalite,uygunluk veentegre gizlilikihtiyaçlarında gözlemlenebilecekboşluklara karşı korunmaması
Varlıklarda, ROI’de kayıp ve itibar zedelenmesi
Uygun bir onay vetedarik sürecinin olupolmadığının değerlendirilmesi
Hizmet sağlayıcının sözleşme ve kontrol güvence ihtiyaçlarının gözden geçirilmesi
(yani hizmet sağlayıcının SSAE 16 ya da başka mevcut DenetimStandartları Beyanı
1Bu rehberde kullanılan “kurul” kelimesi Standartlar sözlüğünde şöyle tanımlanmaktadır: Kurul; yönetim
kurulu, denetim kurulu, daire başkanı ya da yasama organı, kâr amacı gütmeyen bir kurumun yöneticiler kurulu
ya da tröstler kurulu gibi bir kurumun yönetim organıdır ya da iç denetim yöneticisinin işlevsel olarak rapor
vermesi gereken denetim komitesi de dâhil bir kurumun atanmış organıdır.
2 * işareti o aşamanın genel sahibinin kim olduğunu ve temel sorumluluğun kimde olduğunu göstermektedir.
3 Süreçte iç denetçi varlığı; risklere, paydaşların ve kurulun beklentilerine, yönetim kapasitelerine ve diğer
güvence işlevlerinin ve mevcut uzmanların varlığına bağlı olarak değişiklik gösterebilir.
22
Olumsuzdüzenleyici etkisi
(SSAE) Tip 70 güvenceraporlarına duyulanihtiyaç) ve kurumunundenetim paragrafının uygun şekilde yazımı aşamasına katılım hakkını kullanıp kullanmadığının değerlendirilmesi
D: Uygulama ve Geçiş Geçiş sürecinin planlandığı şekilde gerçekleştirilmesi. Yeni işlemlerin başlatılması
Geçiş sürecinin açıklanması
Kaynakların aktarılması/
yönetimi Süreçlerin
dönüştürülmesi
Proje ekibi*,süreç sahibi*,Yöneticisponsor, finans,İK ve risk
Verimsizlik veyönetilmemiş risklere bağlı olarak varlıklarda ve ROI’de kayıp
Hizmetlerin zarargörmesi ve bununmüşteriler üzerinde etkisi
Operasyonelkaliteninprojelendirilenkaliteye kıyasla düşük olması
Projenin standartdisiplinlere uygun olupolmadığını belirlemek için ön uygulamagözden geçirmelerininyapılması
Geçiş usulüne uygun gerçekleşmediyse beklenmedik durumplanlarının gözden geçirilmesi
Proje yönetişimi ve ifasının bir parçası olarak risklerin veeylemlerin tanımlanıp tanımlanmadığının, azaltılıp azaltılmadığının ve paydaşlara uygun biçimde bildirilipbildirilmediğinin belirlenmesi
E: İzleme ve Raporlama
Dış kaynak yoluyla yürütülenişlemlerin izlenmesi vekontrol edilmesi
İlişkilerin idare edilmesi
Sonuçların ve performansın değerlendirilmesi
Devam edenraporlama ve süreçgeliştirme modelinintasarlanması
Süreç sahibi*,tutulan ekip,proje sponsoru,finans, İK, risk ve diğer uzmanlar
Müşteri zararı ve varlıklarda ve ROI’de kayıpla oluşan ilişkiler ve hizmetler
Süreç planlandığı gibi devam veoptimizeettirilememiştir.
Hizmet sağlayıcının performansının ve sözleşmeye uygun davranıp davranmadığının yönetim tarafından değerlendirilmesi ve periyodik olarak gözdengeçirilmesinin nasıl yapılacağının belirlenmesi
Hangi ölçütler ve diğer performansgöstergelerininkullanıldığının sorulması
Mevcut ve gelecekteki
işlemlerin /
sözleşmelerin
geliştirilmesi için
tereddüt edilen
konuların ve
geliştirilmesi gereken
alanların nasıl
bildirileceği ve
aktarılacağının
sorulması
F: Yeniden MüzakereEtme
Yenilenenilişkilerin oluşması ve gelişmesinin sağlanması
Tüm operasyonel,maliyet, kalite veilişkisel konuların toplanması
Mevcut pazararaştırmalarının kıyaslanması ve gözden geçirilmesi
Süreç sahibi*,tedarik*,yönetici sponsor,hukuki,finansal vediğer uzmanlar
ROI ve gelecekoperasyonelkalitede kayıpla optimizasyonsağlanmıştır.
Daha iyialternatiflerbulunmamış ya da
Gelecek müzakerelerinoptimum seviyedeolması için gerekli ve kullanılabilir strateji ve bilgilerin tanımlanması
Tersine çevrilebilirlikve izleme/raporlamaaşamasından elde edilen
23
Sözleşmeyi geliştirecek yeni hedeflerinkonulması
maliyet artışları gerekçelendirilmemiştir
bilgilerin anlaşılması. Uzmanların ve süreç sahiplerinin yenidenmüzakereleriiyileştirecek unsurları başlatıp başlatmadığının belirlenmesi
G: TersineÇevrilebilirlik
Düzenlemeninsorunsuzolmasının ve iş durum/stratejisindedeğerlendirilmesi-nin sağlanması
Süreci kurum içiyapıya geri döndürme kararını almak ve bu yolagidildiğinde gözlemlenebileceketkileri saptamak
Tedarikçinin nasıl değiştirileceğinin belirlenmesi
İş durum etkisinin belirlenmesi
Süreç sahibi*,tedarik*,yönetici sponsor, risk,BCP ve diğer uzmanlar
Olumsuzdurumlara vebaşka fırsatlara karşı tepki verememe
Gelecekmüzakerelerdebildirim eksikliği
Hizmetler kurumiçine taşındığında ya da başka bir tedarikçiyeverildiğinde varlıklarda kayıp ve hizmetlerinaksaması
Düzenleme çalışmazsa acil durum planlarının belirlenmesi; tahminedilen maliyetlerin vebunların gerçekleme olasılığının belirlenmesi
Maliyetler veolasılıkların iş durum tespiti ve ROIihtiyaçlarında değerlendirilip değerlendirilmediğinin sorulması
Başka hizmet sağlayıcıların verimli bir şekilde kullanıp kullanılmayacağının sorulması. Hizmet sağlayıcının yaşam kabiliyetinin sorulması
Hizmet sağlayıcıda
değişiklik yaratabilecek
ya da değişiklik
yapılmasını
düşündürecek tetikleyici
noktaların anlaşılıp
anlaşılmadığının ve
önceden belirlenip
belirlenmediğinin
saptanması
Sürecin kurum-içi
sisteme geri dönülerek
sürdürülmesini
gerektirecek başka
risklerin
(makroekonomik ve
politik/coğrafi endişeler
dâhil) değerlendirilip
değerlendirilmediğinin
belirlenmesi.
Hizmet sağlayıcının iyi,
bir BCP kapasitesinin
olup olmadığının
değerlendirilip
değerlendirilmediğinin
sorulması
Tedarikçinin BCP
çabalarının
sürdürülebilir olup
olmadığının
belirlenmesi
Sözleşmede uygun bir
fesih maddesinin olup
24
olmadığının
belirlenmesi
* işareti o aşamanın genel sahibinin kim olduğunu ve temel sorumluluğun kimde olduğunu göstermektedir.
25
3- Dış Kaynak Yoluyla BT Hizmetinin Sunumu: Risk ve Kontrol
Değerlendirmeleri
Hizmet Kurumları için
Bu bölümde BT hizmetinin dış kaynak yoluyla hizmet sağlayıcı tarafından diğer kuruluşlar
için sunulmasına ilişkin riskler ele alınmaktadır. Kullanıcı kurum ile müzakere edilen SLA
uyarınca hizmet sağlayıcının BT kontrol faaliyetlerini BT riskleriyle orantılı yürütmesi
beklenmektedir. Uygun bir denetim yaklaşımı geliştirmek için İDY, ITO sunum durumu ve
yapısını anlayarak işe başlamalıdır. Daha sonra İDY hizmet sunum riskini ve bu riskleri
karşılamak için tasarlanan kontrolleri ele almalı ve uygun bir ITO güvence yöntemi
belirlemelidir.
ITO Sunum Durumunun Anlaşılması
Genellikle hizmetler işlev olarak adlandırılan bir kapasite ya da bir grup kapasite şeklinde
organize edilir ve sunulur. Hizmet kapasitesi, projeleri ve hizmetleri gerçekleştirmek için
gerekli bir beceri kümesi – beceri, süreç, araçlar, teknolojiler ve deneyimlerin kombinasyonu
– olarak tanımlanır (yani ana bilgisayar hizmetleri, orta ölçekli bilişim hizmetleri ve saklama
ve yedekleme hizmetleri). İşlevler yatay süreçlerdir ve süreçlerin, araçların ve çoklu hizmet
kapasitelerindeki çıktıların (yani veri merkezi hizmetleri ve program/proje yönetimi)
entegrasyonu hizmet kapasitelerini kapsayan operasyonel işlevler aracılığıyla sağlanır.
Yukarıda tanımlanan temel kavramlar dikkate alındığında, aşağıda sunulan çerçevede verilen
işlevleri anlamak önemlidir. İç denetçi; temel güvenlik prensipleri, değişiklik yönetimi ve
26
işlemlere ilişkin hizmet kapasiteleriyle bağlantı kurarak iş süreciyle ilgili riskleri ve yapılan
çıkarımların kapsamını daha iyi anlayabilir. Ticari Risklere ve BT Risklerine ilişkin BT Genel
Kontrollerinin Değerlendirilmesine ilişkin IIA Mesleki Uygulama Rehberi (GAIT-R) ticari
risklerin yönetilmesi ve azaltılması için esas olan kritik BT özelliklerini daha detaylı
tanımlamaktadır.
Bölüm 2’de daha önce tanımlandığı gibi yatay sunulan işlevler genellikle şunlardır:
Uygulama geliştirme ve yönetim
Altyapı yönetimi
Yardım masası
Bağımsız test ve validasyon hizmetleri
Veri merkezi yönetimi
Sistemlerin entegrasyonu
Ar&Ge
Yönetilen güvenlik
Bulut bilişim (örneğin SaaS, IaaS, Paas)
Dış kaynak yoluyla alınan kapasiteler ve işlevleri değerlendirirken kurumların göz önünde
bulundurduğu birçok seçenek vardır:
Dış kaynak yoluyla alınan hizmetlerin BT işlevleriyle birleştirilmesi (bazen iç tedarik
ya eş kaynak olarak da adlandırılır)
Diğer kapasite ya da hizmetleri şirket içinde tutarken bir kapasite ya da işlevi tümüyle
dış kaynak yoluyla almak
Teknoloji kaynaklarını yerinde yönetecek tedarikçilere her şeyi dış kaynak yoluyla
yaptırmak (Makineler, ağlar ve insan kaynağı dâhil)
Yazılım, donanım ve iletişimleri “Bir hizmet olarak X” modeliyle kuruma
“kiralayacak” tedarikçilere her şeyi dış kaynak yoluyla yaptırmak
Hangi teknolojilerin dış kaynak yoluyla alındığına ya da hangi dış kaynak alım modelinin
kullanıldığına bakılmaksızın kullanıcı kurum ya da hizmet sağlayıcı tarafından anlaşılması
gereken ortak süreç alanları, temel risk alanları, kontrolleri ve denetim amaçları vardır. IIA’in
GAIT rehberi, riskin boyutunu değerlendirmek ve çeşitli hizmet kapasitelerinde temel
kontrollerin test edildiğini göstermek için yatay sunulan işlevleri süreçler şeklinde - güvenlik,
değişiklik yönetimi ve işlemler - sınıflandıran uygun bir yaklaşım sunar.
27
Temel ITO İnşa Alanları
Bu bölümde ITO inşasını oluşturan BT katmanları ya da alanları belirlenmekte ve
tanımlanmaktadır. Bunlar BT hizmet işlevleri ve kapasitelerinin inşa edildiği ve yönetildiği
alanlar için temel sağlayan BT teknik alanları ve genel denetim yapılarıdır.
1. Kurum: Bir ITO düzenlemesinde hizmetlerin başarılı sunumu için gerekli olan
önemli unsurlardan biri hizmet sağlayıcı kurum ve onun profilidir. Kurum doğru
becerilere sahip doğru insana doğru rolleri verecek şekilde iyi yapılanmalıdır. Hizmet
sağlayıcının müşteri memnuniyet endeksini değerlendiriniz. Hizmet sağlayıcının
müşterileri onu etkili buluyor mu? En son ne zaman beceri boşluk analizi yapılmış?
Bu tür sorular kullanıcı kurumun doğru hizmet sağlayıcıyla iş yapıp yapmadığını
değerlendirmesi ve hizmet sağlayıcının da müşteri beklentilerini karşılamak için iyi
konumlanıp konumlanmadığını ölçmesi için önemli sorulardır.
2. İşletim Sistemi: Bir işletim sistemi (OS) bilgisayarları çalıştıran, bilgisayar donanım
kaynaklarını yöneten ve çeşitli uygulama yazılım programlarını çalıştırmak için ortak
hizmetleri gören bir yazılımdır. OS, uygulama programları ile bilgisayar yazılımı
arasında aracı görevi üstlenir. Ayrıca OS şunları yapar:
Bilgisayar performansını, hata ayıklama problemlerini izlemek ya da sistem
parçalarını sürdürmek için kullanılan sistem araçları (programları)
Bilgisayar sistem bileşenleriyle ara yüz bağlantısını sağlayan spesifik görevleri
icra etmek için programlar tarafından kullanılan bir dizi kitaplık ya da işlev.
İşletim sistemleri özellikle kritik yama ya da güncellemeler eksik olduğunda sıklıkla
saldırıya uğrayan yerlerdir. Bunun bir sonucu olarak performans ve kullanılabilirlik
konuları gün yüzüne çıkabilir, sistem yetkisiz erişime maruz kalabilir ya da hassas
veya gizli bilgiler ifşa edilebilir.
3. Ağ: İnternet ve intranet dışında bağlantı ihtiyacından dolayı ağ; işletmeden müşteriye
(B2C) ve işletmeler arası (B2B) işlem süreçleri, devletlerarası (B2G) işlemler, e-
öğrenme, ortak müşteri hizmetleri ve gerçek zamanlı ve zengin medya temelli
telekonferans gibi yeni iş modellerini ve hizmet tekliflerini sürekli uyarlamaktadır.
Çok sayıda çalışan evden, yoldan ya da sürekli bağlandıkları sanal ortamlardan
çalışmaya devam etmektedir. Güvenli, düzgün ve maliyet düşürücü iletişim benzersiz
bir ihtiyaçtır ve bu ihtiyaç artmaya devam edecektir. Şirket güvenlik duvarlarının
28
dışında bir konumda yer alan Web sanal bir işletim sistemi olarak ortaya çıkmaktadır
ve giderek artan sayıda kurum için tercih edilen platform olmaktadır.
4. Veri tabanı: Tüm ticari modellerin temelinde veri yatar. Özellikle farklı şekillerdeyse
“Operasyonel veri”, kurum içindeki çoğu kişinin kullanabileceği şekillere
dönüştürülür. Önemli miktarda hassas ve gizli verilerin, kişisel bilgilerin, fikri
mülkiyet haklarının ve ticari sırların kötü niyetli saldırılardan ve kazayla olan
kayıplardan korunması BT yönetiminin karşılaştığı en önemli zorluklardan biridir.
Stratejik olarak yapılandırılmamış verilere daha fazla, geleneksel hiyerarşik dosya
sistemlerine – bugünkü ölçeklerde işlem yapacak şekilde tasarlanmamış olan – daha az
önem verilmesi genel olarak gözlemlenen bir yaklaşımdır
5. Uygulama: Uygulama inşaları; entegre ve birlikte çalışabilme niteliğine sahip arka
büro, ön büro, sanal büro, masaüstü, dizüstü, kişisel dijital asistanlar ve mevcut ve
gelecekteki ticari stratejileri destekleyen diğer küçük istemci uygulamalarından oluşur.
Fiziki olarak nerede olduklarına ya da nasıl hareket ettiklerine bakılmaksızın
uygulamalar; faaliyetleri, süreçleri, çalışanları, müşterileri, tedarikçileri ve ortakları
destekleyecek şekilde standartlaştırılmalıdır. Büyük ve orta ölçekli kurumların çoğu,
ERP ve müşteri ilişki yönetim (CRM) sistemleri gibi büyük kurum uygulamalarına
sahiptirler. Ayrıca müşteriler, tedarikçiler ve ortaklarla etkileşim halinde olan tescilli
uygulamalar, İnternet ve Web tabanlı uygulamalar vardır. Son olarak, kurumlara
uygulama ve bilişim ve iletişim altyapılarını (yani ağ ve sistem yönetim uygulamaları)
yönetmede yardımcı olan uygulamalar da vardır.
6. Ölçütler & Raporlama: SLA, performansı ölçmek için kullanılan temel ölçütlerden
biridir ve yönetime müşteri/tedarikçi ilişkisine dair değerlendirme yapmak için
kanıtlar sunar. OLA, SLA’yı destekler ve SLA’ya ulaşmak için spesifik proses
amaçları sağlar. BT hizmetinin dış kaynak yoluyla alınması ilişkisinde yer alan
kurumlar, hizmet sağlayıcının performansının dış kaynak yoluyla hizmet alımı
sözleşmesine uygun olduğunu göstermek için devam eden bir izleme sürecine sahip
olmalıdır. Müşteri ve hizmet sağlayıcının ticari amaçları karşılamasını sağlamaya
yardım etmek için KPI’ler ve temel risk göstergeleri (KRI’ler) kurulmalıdır.
7. Program/ Proje Yönetimi: Belirlenen amaçlara ulaşmak için bir proje ihtiyatlı bir
başlangıç ve sona sahip olmalı, amaç, kalite ve maliyet açısından belirlenen
kısıtlamalar dâhilinde hareket etmelidir. Projeler ölçek ve kapsam açısından farklılık
gösterir ve yeni altyapı inşası, yeni ürün geliştirilmesi ve yeni ticari süreçlerin
uygulanması ya da ticari dönüşümler gibi unsurlar içerebilir. Bu tür projelerin farklı
29
aşamalarda değerlendirilmesi için temel risklerin anlaşılması ve bir temel kriterler
kümesi geliştirilmesi gereklidir.
Temel ITO Hizmet Sunum Risk Alanları
Bu bölümde BT hizmet sunumu inşasıyla bağlantılı genel ITO riskleri özetlenmektedir. Dış
kaynak yoluyla hizmet alımının temelinde hizmet sunumu (operasyonel sorumluluk) hizmet
sağlayıcıya aktarılsa da politikaların, prosedürlerin ve düzenleyici koşulların yönetimi ve
bunlara uyma sorumluluğunun kullanıcı kurumda kaldığı düşüncesi yaygındır. Bu ITO riski
olarak adlandırılır. Bu riski yönetmek için kullanıcı kurum dış kaynak yoluyla hizmet alımına
ilişkin süreç alanı risklerini tanımlamak, ölçmek, izlemek ve kontrol etmek için bir yönetim
çerçevesiyle birlikte etkili bir dış kaynak denetim programına sahip olmalıdır. Dış kaynak
yoluyla alınan BT hizmetiyle bağlantılı risk dış kaynak yoluyla yaptırılan sürece, hizmet
sağlayıcıyla olan ilişkiye ve hizmet sağlayıcı tarafında kullanılan teknolojiye tâbidir.
Hizmet sağlayıcının uygun kontrolleri, güvenceyi sağlamada ve dış kaynak yoluyla yaptırılan
hizmetlere ilişkin devam eden izlemeyi başaramaması durumunda şunlar gözlemlenebilir:
Kabul edilemez sayıda hata ve arızayla birlikte kötü hizmet kalitesi
Kurumun müşteri yükümlülüklerini karşılama konusunda verdiği hizmetlerde bozulma
ve arıza
Gizlilik ve güvenilirlik konuları
Yavaş yanıt verme, sistem uygunluğunda azalma, bilgi entegrasyonun sorgulanması,
güvenlik ve gizlilikten ödün verme
Ölçeklenebilirlik, kapasite ve performansa ilişkin hizmet sağlayıcı teknoloji ve sistem
mimarisi sorunları
Uygun iç operasyonel ve BT kontrollerinin sürdürülememesi ve Avrupa Birliği Veri
Koruma Direktifi (EU DPD), ABD Graham-Leach Bliley Kanunu (GLBA), ABD
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPPAA), Uluslararası Finansal
Raporlama Standartları (IFRS), King III Yönetişim Raporu ve 2002 tarihli ABD
Sarbanes-Oxley (SOX) Kanunu ve Ödeme Kartı Endüstrisi (PCI) gibi düzenleyici ve
sektörel koşulların karşılanamaması
Kötü acil kurtarma ve iş devamlılık kapasiteleri
Alternatif hizmet sağlayıcı bulunması ya da dış kaynak yoluyla alınan hizmetin kurum
içine geri döndürülmesi konusunda kullanıcı kurumun çaba ve masrafları.
30
ITO riskleri kullanıcı kurum ve hizmet sağlayıcı perspektifinden tanımlanabilir ve bunlara
öncelik verilebilir. Bunlar üç kategoriye ayrılır.
Karma ITO riskleri (hem müşteri hem de tedarikçiye özgü)
Müşteriye özgü ITO riskleri
Tedarikçiye özgü ITO riskleri
Bir ITO denetim risk değerlendirmesinde ortak ilgi alanına sahip konular üst sıralarda yer
almalıdır.
Tablo 2: ITO Risk Etki Ölçütü (örnek)
Risk Kategorisi ITO Riskleri
Karma Sözleşme koşullarının ihlalinden dolayı taraflar arasında ihtilaf
Müşteriye özgü Hizmet sağlayıcının sözleşmeye uymaması
Müşteriye özgü Dış kaynak yoluyla hizmet alımı maliyetlerinde beklenmedik
artış
Müşteriye özgü Veri gizliliğinin kaybolması
Tedarikçiye özgü Personel sayısında yetersizlik
Hizmet Sunumu Yönetişim Riskleri (Metodoloji, model, sözleşme)
Dış kaynak ortamındaki riskler değerlendirilirken kullanıcı kurum hizmet sağlayıcı tarafından
kullanılan ITO yönetişim modelini göz önünde bulundurmalıdır. Eski modelde (halen
kullanılan) tek bir kabiliyet genelde lokasyon olarak kullanılan bir silo aracılığıyla yönetilir ve
burada farklı ekipler farklı süreçler ve araçları kullanır. Bunun tam zıttı olan yeni modelde ise
kabiliyet açısından daha az sorumlu liderlere odaklanılır. Bu yeni model küresel olarak
entegredir, otomatikleştirilmiştir ve hizmet kapasiteleri boyunca tutarlı süreçlere sahiptir.
ALAN YAKLAŞIMI KALDIRAÇ YAKLAŞIMI
31
Bölge 1 Bölge 2 Bölge 3
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
Alt Bölge 1 Alt Bölge 2 Alt Bölge 3
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
En iyi kıyı 1 En iyi kıyı 2 En iyi kıyı 3
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
AnasistemSaklama
&YedeklemeVeri Merkezi
HizmetleriDiğer Hizmetler
→
Her iki modelde de iyi tanımlanmış detaylı bir sözleşme kullanıcı kurum ve servis sağlayıcı
için risklerin yönetimini sağlayacaktır. Dış kaynak hizmetinin başarısına ilişkin teknik
olmayan riskler en iyi hizmet sunumunun mükemmelliğine ilişkin prensipler üzerine
kurulmuş bir ilişkiyi destekleyen iyi tanımlanmış bir yönetişim modeli ve güçlü sözleşme
koşullarıyla yönetilir.
Tablo 3: Ortak Yönetişim Riskleri (örnek)
Risk Tanım ve Azaltma
Hizmet sağlayıcının SLA
koşullarını yerine
getirememesi
Düşük performans ya da hizmetlerin kalitesinin kötü olması bu başlığa
dâhildir. Kullanıcı kurum hizmet sağlayıcıların performansını
izleyebilir, düşük performansı bildirebilir ve gerekliyse sözleşmedeki
ceza hükümlerini uygulayabilir. Hizmet sağlayıcılar da SLA’ları
izleyebilir ve bunları karşılamak için hizmet sunum süreçlerinde
değişikliğe gidebilir. Değişiklik süreçlerinden sonra bile hizmet
sağlayıcılar için SLA’ları karşılamak hâlâ zorsa, hizmet sağlayıcılar
kullanıcı kurumu bilgilendirebilir ve gerekliyse bu SLA’ları müzakere
edebilir.
BT hizmet sağlayıcılarının
proje kaynaklarına ilişkin
beceri/bilgi seviyelerinin
yetersiz olması
BT projelerinin başarısı için yetkin kaynakların kullanımı esastır.
Kullanıcı kurumlar, belirli roller için uygunluk kriterlerini açık ve
belirgin bir biçimde belirleyerek bu riski azaltabilir. Hizmet sağlayıcılar
ise yeterli uzmanlık bilgisi sunarak, eldeki yetkin kaynakları koruyarak
ve önemli müşteriler için kaynak havuzları sunarak bu riski azaltabilir.
Kullanıcı kurum ve hizmet
sağlayıcılar arasında
iletişim boşluğu; belirsiz
Kullanıcı kurum ve hizmet sağlayıcılar, bu riski dış kaynak yoluyla
alınan projeler için açık ve belirgin bir yönetim yapısı/iletişim kanalı
oluşturarak ve proje planlarında bildirim planına yer vererek birlikte
32
iletişim/bildirim yolu azaltabilirler. Kullanıcı kurumlar ve hizmet sağlayıcılar düzeltme için
yanıt zamanlarını birlikte belirleyebilirler. Son olarak her iki taraf da
amaçlarını, süreçlerini, zaman aralıklarını uyumlaştırmalı ve mevcut
durumu planlara kıyasla düzenli olarak gözden geçirmelidir.
BT Genel Kontrol Riskleri (GAIT: Güvenlik, Değişiklik Yönetimi, İşlemler)
Bir ITO düzenlemesinde kaliteli hizmetlerin sunumu ve müşterinin ticari verilerinin
korunması için BT genel kontrolleri kritik öneme sahiptir. BT genel kontrollerinin kapsamının
değerlendirilmesi ve temel kontrollerin çeşitli altyapı tabakalarında (uygulama, veri tabanı,
işletim sistemi ve ağ altyapısı) test edilmesinin sağlanması için GAIT risk temelli bir yaklaşım
sağlar
Güvenlik
Güvenlik, ITO modelinin temelidir ve kullanıcı kurumun varlıklarının (donanım, yazılım ve
veri) korunması için gerekli temel unsurdur. Sözleşme, ITO düzenlemesini hangi güvenlik
politikaları ve standartlarının yönettiğini açıkça tanımlamalı – kullanıcı kurum ya da hizmet
sağlayıcının – veri erişimi, uygulama erişimi, ağ erişimi, yazılım, gizlilik ve BCP‘yi ele
almalıdır. Ek olarak kurumlar şu konuları anlamalıdır:
Güvenlik duvarı teknolojisi
Antivirüs teknolojisi
Sertifika yetki teknolojisi
Biyometrik teknoloji
Veri kaybının korunması
Düzenleyici koşullar (EU DPD, HIPAA, IFRS, King III vb.)
PCI standartları
Şifreleme teknolojisi
Gizlilik-uygunluk teknolojisi
Doğrulama yöntemleri
Yönlendirici yapılar
Saldırıya açıklık ve tehdit yönetimi
Veri Koruma
33
Hizmet sağlayıcılar müşterileriyle aynı kanun ve düzenlemelere tâbi olmayabileceği için gizli,
kişisel ve diğer hassas verilerin korunması bunlar hizmet sağlayıcılara geçtiğinde zordur. Dış
kaynak yoluyla hizmet alımının diğer bütün yanlarına ek olarak en kritik yanı bilgilerin
korunmasıdır. Gizliliğin ön koşul olduğu yargı ve güvenlik gibi kamu sektörlerinde ve
genelde kötü niyetli saldırılara maruz kalan finans ve sağlık sektörlerinde verilerin korunması
özellikle önemlidir.
Kullanıcı kurum ve hizmet sağlayıcı özellikle farklı bölgeler ya da ülkelerde faaliyet
gösteriyor ve farklı kanun ve düzenlemelere tabilerse ya da aynı ülke içerisinde farklı
kanunlara tabilerse sorunlar ortaya çıkar. Sert kanuni düzenlemelerin olduğu sektörlerde
faaliyet gösteren kurumlar, kendileri adına çalışan hizmet sağlayıcıların da ilgili kanun ve
yönetmeliklere uymaları konusunda ilave çaba göstermelidir.
Güvenlik ve veri koruma, uygulamalara ve verilere erişimin yetkili olmasını ve varlıkların
usulüne uygun korunmasını sağlar. Geçersiz varlıklar, farazi işlemler ya da hassas bilgilerin
yetkisiz ifşası ve güvenlik kontrolleriyle bağlantılı risklerin ele alınması doğrudan doğruya
yönetimin varlıkların ve işlemlerin mevcudiyeti ve meydana geliş sıklığıyla ilgili yaptığı
çıkarımlara bağlıdır.
Değişiklik Kontrolü
ITO düzenlemesinde değişiklikler, bir hizmet ilişkisi başlatıldığında ya da sözleşme
döneminde başka dönüşüm projeleri yürütüldüğünde ilk işlemin ya da dönüşümün bir parçası
olarak gerçekleşir (Bir ITO denetiminde ele alınması gereken ilgili riskler ve tavsiye edilen
kontrollere ilişkin detaylar için bu bölümdeki Proje Yönetimi başlığına bakınız).
Uygulama yazılımının tam ve doğru olmasını sağlamak için değişiklik kontrol süreçleri temel
unsurlardır. Finansal bilgilerin yanlış kaydedilmesi ya da yanlış zaman aralığında
kaydedilmesi riskini ele almak için uygulama sistemindeki kayıt belgelendirilmeli, test
edilmeli ve onaylanmalıdır. Bu nedenle, değişiklik kontrolleri doğrudan doğruya yönetimin
değer veya ölçüm çıkarımlarıyla bağlantılıdır.
İşlemler
İşlemlerin yönetimi, uygulamaların veya sistemlerin işletilmesi ya da çalıştırılması süreci
olarak tanımlanır. Bu süreç genellikle uygulamaların amaçlandığı şekilde çalışmasını
sağlayan kontroller, vaktinde belirlenen işlem hataları ve istisnaları, yedeklenen kritik
34
uygulama verileri ya da sistem dosyaları ve veri merkezi işlemlerinin fiziki güvenlik
özellikleri ve diğer özelliklerinden oluşur.
Sistemin mevcut olmaması ya da yetersiz olması riski operasyonel kontrollerle karşılanır.
Operasyonel sorunlar, programların sıra dışı çalışmasına yol açarak dengesizliklere neden
olur. Operasyonel süreçler, bilgilerin tam olmasını ve karar vericilere zamanında
ulaştırılmasını sağlarlar. Kontrol faaliyetleri yeniden yükleme sırasında gözlemlenebilecek
beklenmedik müdahalelere ya da tanılama hatalarına karşı sistemi korur. Operasyonel
yönetim, doğrudan doğruya yönetimin tamlık iddiasına – fiili işlemler atılmaz, yanlışlıkla
kopyalanmaz ya da eksik toplanmaz- bağlıdır.
Olay ve Problem Yönetimi
Olay ve problem yönetimi en iyi birbirleri arasında bağlantı kurulduğunda tanımlanır. Olay
yönetimi, hizmet kesintilerinin ya da diğer olayların hızla çözüme kavuşturulması gibi
“yangın söndürme” faaliyetleriyle bağlantılıdır. Problem yönetimi ise problemlerin temelinde
yatan sebepleri tanımlamak ve bunların çözümü için yapılan uygulamalarla yani “yangını
önleme” faaliyetleriyle bağlantılıdır. Olay yönetimi sürecinin temel odak noktası hizmetleri
mümkün olduğu sürece çabuk geri yükleme olmalıdır. Müşteri olaylarına öncelik verilmeli,
bunlar koordine edilmeli ve hizmet masası aracılığıyla çözülmelidir.
Veri Kalitesi
Veri ancak uçtan uca işlem-proses zincirindeki tüm bağlantılar güçlü ve sağlamsa iyidir.
İşlemin doğru ve tam olması ticari açıdan kritik öneme sahiptir. Kullanıcı kurum veriye sahip
olmasına rağmen veri kalitesini etkileyebilecek birçok kontrol sürecinin olduğu BT ortamının
oluşturulması ve yönetiminden hizmet sağlayıcı sorumludur. Veri, uçtan uca veri zincirindeki
bir bağlantının verinin kaynak sisteme girdiği, bir sistemden diğerine aktarıldığı ya da
çıkarım, dönüşüm ve yükleme (ETL) sürecindeki bir noktada ise veri kalitesi risk altındadır.
Veri Merkezi İşlemleri
İster atanmış veri merkezi hizmetleri sağlasın ister geliştirilmiş ya da merkezi bir ortam
aracılığıyla ITO hizmetleri versin veri merkezi işlemleri (DC) ITO düzenlemesinde en yüksek
doğal risk faktörünü barındıran işlemlerdir. Riskler DC hizmetleri portföyü ve standart
operasyonel alanları kapsar. Bunlar şunlardır:
Yönetilen ana çerçeve hizmetleri
Yedekleme ve saklama hizmetleri
35
Web barındırma hizmetleri
Sunucu yönetim hizmetleri
Bulut bilişim hizmetleri
Veri merkezi modernizasyon işlemleri
Fiziksel güvenlik
Tesis ortamına ilişkin kontroller
Güvenlik uygunluk kriterlerinin izlenmesi
Varlık yönetimi
GAIT, ticari risk – BT riski ticari riskin bir alt kümesidir- için haritalanması gereken doğal
BT risklerinin tanımlanması ve değerlendirilmesine yardımcı olur. Bilgi sürecine ilişkin
amaçlar, Treadway Komisyonu Sponsor Kurumlar Komitesi’nin (COSO) İç Kontrol –
Entegre Çerçevesinde atıf yapılan iş süreci kontrol faaliyetleriyle ilgilidir. GAIT kontrol
faaliyetlerinin bilgi süreciyle bilinçli bir şekilde uyumlaştırılması halinde İDY, BT hizmet
sunum riskinin değerlendirilmesine ilişkin bütüncül ve optimize bir yaklaşıma sahip olabilir.
Proje Yönetim Riskleri
Başarısız olan ya da zorlu geçen projeler, projenin temelinde yatan iş ihtiyacına bağlı olarak
bir kurum üzerinde önemli etkilere neden olabilir. Olası etkiler şunlardır:
Müşterilere verilen hizmetlerde aksama
Rekabet avantajının kaybolması
Düzenleyici koşullara uyamamadan kaynaklanan cezalar
Gelir kaybı
İtibarın olumsuz etkilenmesi
Kritik stratejik inisiyatifleri, ürünleri ya da süreçlerinin uygulanmasının ertelenmesi
Beklenen ROI’de kayıp
Tesisin kapanması ya da zarar görmesi
Sonuç olarak projedeki başarısızlıklardan dolayı hizmet sağlayıcı cezalandırılabilir ancak
projenin başarılması ve beklenen yararların elde edilmesinden yönetim sorumludur. Projeye
ilişkin risklerin gözden geçirilmesi projenin başarısına katkı sağlayabilir. Gözden geçirme ne
kadar erken yapılırsa o kadar iyidir. Projenin başlangıç fazlarında yapılan gözden geçirmeler
en değerli gözden geçirmelerdir çünkü projenin sonunda ya da uygulama sonrası
gözlemlenecek sorunlara kıyasla nispeten daha az maliyetle çözülebilecek sorunlar bu
aşamada saptanabilir.
36
Temel ITO Hizmet Sunum Kontrol Kategorileri
BT hizmet sunumun geniş ölçekli alanları çeşitlidir ve kurumdan kuruma değişiklik gösterir.
Bu alanlar hizmet kabiliyetlerini (örneğin orta ölçekli sunucu ortamı ve yarar/bulut) ve hizmet
sunum işlevlerini (örneğin DC işlemleri ve ITO desteği) kapsar. Kontrollerin yönetilebilir
kategorilere ayrılması yönetimin bir güvence yöntemi belirlemesini ve risklere ilişkin detaylı
bir bakış elde etmesini sağlar.
Daha önce de belirtildiği gibi GAIT spesifik ana kontrolleri tanımlamaz. GAIT, BT genel
kontrol (ITGC) süreçlerini ve bağlantılı kontrol amaçlarını tanımlar. Bunlar için risk
değerlendirme sürecinde ana kontrollerin tanımlanması ve geliştirilmesi gerekir. Bilgi ve
Bağlantılı Teknolojiler için Kontrol Amaçları (COBIT) ya da Bilgi Teknolojisi Altyapı
Kitaplığı (ITIL) gibi diğer araçlar spesifik BT ana kontrollerini tanımlamak ve daha sonra
değerlendirmek için kullanılabilir.
Birleşik Krallık Ticaret Bakanlığı tarafından geliştirilen ITIL, BT hizmet yönetimi için en
yaygın kabul gören referans çerçevelerden biridir ve hem kamu hem de özel sektörden
toplanan en iyi uygulamaları içermektedir. Birçok kurum kendi hizmet sunumlarını bu
çerçeveye göre şimdiden şekillendirmiştir. ITIL yaklaşımı esasında yapılacak bir hizmet
sunum denetimi, BT hizmet yönetimi ve sunumunu geliştirmek için çok iyi düşünülmüş
global standartlar esas alınarak belirlenen değerli girdilere sahip bir BT yönetimi sunmalıdır.
BT Hizmet Yönetimi Bileşenleri
BT hizmet sunumuyla bağlantılı operasyonel inşa ortamının anlaşılması, kullanıcı kurum ve
hizmet sağlayıcı açısından kritik öneme sahiptir. Yapılacak herhangi bir gözden geçirmede
temel odak noktası hizmetin kalitesi ve kullanıcı kurum ile hizmet sağlayıcı arasındaki ilişki
olmalıdır.
Konfigürasyon ve Değişiklik Yönetimi
Konfigürasyon yönetiminde altyapı ve hizmetlere ilişkin bileşenler konfigürasyon öğeleri
(CI’lar) olarak adlandırılır ve bunlar konfigürasyon yönetim veri tabanı (CMDB) olarak
adlandırılan bir veri tabanında tutulur. Bu veri tabanı, varlıkların kayıt altına alındığı bir veri
tabanından daha fazlasını içerir. Bakım, hareketlilik ve konfigürasyon öğelerine ilişkin
gözlemlenen problemler ve CI’lar ile bunlarla bağlantılı destekleyici veri unsurları (örneğin
insanlar ve kurumlar) arasındaki ilişkiler burada tutulur. CMDB fiziksel tek bir veri tabanı
olabileceği gibi çoklu yapıda fiziksel bir veri tabanı da olabilir.
37
İyi korunan bir CMDB:
• Merkezi mantıksal bir veri tabanındaki diğer ITIL ve operasyonel süreçlere tam CI
verileri (bağımlılıklar ve ilişkiler dâhil) sağlayabilmelidir.
• Tüm CI’lar ve bunların kontrollü özelliklerinden sorumlu olmalıdır.
• Verilerin kurumun BT, finans, hukuk ve güvenlik yükümlülüklerini desteklediğini
doğrulamalıdır.
• CMDB’de tutulan fiili CI verilerini yetkili (değişiklik yönetimi aracılığıyla) ve
keşfedilen (envanter/keşif araçları aracılığıyla) durumlara karşı doğrulama, uygunluk
ve denetim kontrolleri vasıtasıyla valide etmelidir.
Değişiklik yönetimi, konfigürasyon öğelerinde yapılan tüm değişikliklerin planlı ve yetkili bir
şekilde yapılmasını sağlayan bir uygulamalıdır. Her bir değişikliğin altında yatan ticari ya da
teknolojik değişikliğin bulunması, değişiklikten etkilenen spesifik konfigürasyon
maddelerinin ve BT hizmetlerinin tanımlanması, uygun ticari ve teknik uzmanlardan
değişiklik için usulüne uygun izinlerin alınması, değişikliğin planlanması, değişikliğin test
edilmesi, değişikliğin konfigürasyon öğesinin durumunda beklenmedik bir duruma sebep
olması halinde bir geri çekme planının olması değişiklik yönetimi kapsamında yürütülen
işlemlerdir. Yönetilen BT ortamında yapılan bir değişiklik, bu ortama bir bileşen (CI) ya da
hizmet eklenmesi, çıkarılması ya da bunların ikame edilmesi işlemlerinin tümü değişiklik
olarak adlandırılır.
Kapasite Yönetimi ve Hizmetlerin Sürekliliği
İş geliştikçe BT sistemlerine olan talep artar. Ağların, saklama, bilişim ve destek sistemlerinin
kapasitesinin artan taleplere uygun olarak geliştirilmesi gerekir. Bir ITO denetimi,
kapasitelerin izlenmesinin ve ileri kapasitelerin planlamasının çok önceden işin sürece
katılımıyla yapıldığını ve bu planların periyodik olarak gözden geçirildiğini sağlayacak bir
sürecin olduğunu teyit etmelidir. İyi kapasite yönetimi, hizmet kalitesinin sürekli olmasını
sağlar.
Süreklilik yönetimi, kritik ticari işlemlerin hizmetlere bir müdahale olması ya da hizmetlerin
aksaması durumunda da devam etmesini sağlar. Süreklilik planına ilişkin detaylar iş süreklilik
ve acil kurtarma planlarıyla belgelendirilmelidir. Bu bağlamda süreklilik planının kapsamı
açık olmalı, gerçekçi kurtarma amaçları ve kurtarma süresine ilişkin çerçeveler içermelidir.
38
Süreklilik planı kritik ticari işlevlerin kurtarılmasının destekleyecek şekilde tasarlanmalı,
geliştirilmeli ve gözden geçirilmeli, güncellenmeli ve düzenli olarak prova edilmelidir.
SLA Yönetimi
SLA, hizmet sözleşmesinin bel kemiğidir ve açıkça ölçülebilir nitelikte olmalıdır. SLA’lara
ilişkin tüm istatistikler sistem tarafından üretilen ve dışarıdan müdahale edilemeyen nitelikte
olmalıdır. ITO denetimi, SLA raporlarının uygun yönetim kademelerine sunulup
sunulmadığını ve anlamlı gözden geçirmelerin yapılıp yapılmadığını teyit etmelidir.
Belgelendirme, işleme ve izleme faaliyetleriyle müşteri şikâyetlerinin, övgülerinin ve geri
dönüşlerinin yönetimi faaliyetleri de SLA yönetimi kapsamında ele alınan konulardır.
Ek olarak ITO denetiminde aşağıda sayılan konular da ele alınmalıdır. Hizmet seviye
hedeflerinin tümü,
• Açık ve belirgin olmalıdır.
• Müşteri ve hizmet sağlayıcı arasında anlaşılmalı ve taraflarca onaylanmalıdır.
• Ölçülebilir olmalıdır.
OLA’lar ya da destek sözleşmelerindeki (UC’lar) tüm hedefler SLA ile uyumlu olmalıdır.
Olay ve Problem Yönetimi
Olay yönetimi süreçleri; etkilenen kullanıcıların sayısı, personelin kayıp zaman süresi,
karmaşıklık, iş getirilerine etki ve düzenleyici koşullara uygunluğa etki de dâhil olmak üzere
tüm olayların etkilerini açık ve ölçülebilir şekilde kaydetmelidir. Yapılan bir denetim olay
raporlarının tümünü incelemeli ve bunların tatmin edici bir şekilde karara bağlanıp
bağlanmadığını, sorunun temelinde yatan etmenlere ilişkin analizlerin yapılıp yapılmadığını
ve sorunun yeniden oluşmasını engelleyecek önleyici tedbirlerin alınıp alınmadığını kontrol
etmelidir.
Olay yönetimine ilişkin kritik başarı unsurları şunlardır:
Merkezi olay yönetim verisi
CMDB bilgisine erişim
39
Performans göstergeleri
Duruma ilişkin sahipliğin açık olması
Durum görev dağılımlarının yönetimi
Standart olay sınıflandırması
SLA’lara erişim
Problem yönetim süreci şu prosedürleri içermelidir:
• Problemin tanımlanması ve sınıflandırılması
• Problemin incelenmesi ve teşhis edilmesi
• Hata değerlendirmesi
• Problemin/hatanın kapatılması
• Durum/güncelleme bildirimleri
Program/Proje Yönetimi
ITO denetimi kapsamında yapılacak bir proje gözden geçirmesi şu beş temel alana
odaklanmalıdır (Bakınız: GTAG 12: BT Projelerinin Denetlenmesi).
• İş ve BT arasında uyum
• Proje yönetimi
• BT’nin çözüme hazır bulunma düzeyi
• Değişiklik yönetimi
• Uygulama sonrası süreç
Proje gözden geçirmesi, aşağıdaki başarı unsurları dâhilinde kontroller içermelidir:
1. Kullanıcının Varlığı: Ticari kullanıcılar ve BT kullanıcıları karar alma ve bilgi
toplama süreçlerinde yer alırlar.
2. Yönetici Desteği: Ana yöneticiler iş stratejisi ile finansal veriler arasında uyum
sağlarlar ve uyuşmazlıkların çözümüne ilişkin destek sunarlar.
3. Açık ve Belirgin Ticari Amaçlar: Paydaşlar projenin temel değerini ve ticari
stratejiyle nasıl uyum sağladığını anlarlar.
40
4. Hızlı ve Çevik Optimizasyon: Gereksiz özelliklerin kullanılmasını önlemek için
tekrarlayan geliştirme ve optimizasyon süreçlerinin kullanılması ve kritik özelliklerin süreçte
yer almasının sağlanması.
5. Proje Yönetim Uzmanlığı: Temel beceri ve uygulamaları bilen ve Proje Yönetim
Enstitüsünden alınan Proje Yönetim Mesleği sertifikası gibi sertifikalara sahip proje
müdürlerinin kullanılması.
6. Finansal Yönetim: Finansal kaynakların yönetimi, risklerin değerlendirilmesi ve
projenin değerinin kanıtlanması yeteneği.
7. Yetkin Kaynaklar: Devir ve personele ilişkin diğer engeller karşısında ilerleme
sağlayacak yetenekli proje personelinin işe alınması, yönetilmesi ve kontrolü.
8. Resmi Metodoloji: Olayların ne zaman, nasıl ve ne sırayla olacağına ilişkin bir yol
haritası sunan önceden belirlenmiş süreç temelli teknik kümesi.
9. Araçlar ve Altyapı: Görevlerin, kaynakların, yükümlülüklerin, değişikliklerin,
risklerin, tedarikçilerin ve kalite yönetiminin idaresine imkân tanıyan araçlar içeren proje
altyapısının inşası ve idaresi.
Tablo 4: Aşama Aşama Proje Kontrol Değerlendirmeleri (örnek)
Proje Aşaması Kontrole İlişkin Değerlendirmeler
Tasarım ve Geliştirme Açık ve sağlam bir iş durum tespiti
Maliyet ve yararlara ilişkin gerçekçi ve detaylı
değerlendirmeler
Tüm ana paydaşların erken aşamada süreçte yer alması
Güvenlik ve entegrasyona ilişkin kontrollerin ayrıntılı
değerlendirmesi
Proje Yönetimi Proaktif liderlik ve gerçek zamanlı raporlama
Tüm ana paydaşların süreçte yer alması
Sorun tanımlama ve bildirim
Gerçek zamanlı ölçekler ve belirgin hedefler
Uygulamaya geçmeden önce sıkı test ve pilot
41
uygulama
Uygulama Değişiklik yönetimi ve eğitim
Yararların düzenli ve güvenilir takibi
Müşteri memnuniyet değerlendirmelerinin sürekliliği
ITO Hizmet Sunumu Güvence Yöntemleri
Bu bölümde ITO ile bağlantılı risklere ilişkin güvence sağlamak için yönetim tarafından
kullanılan çeşitli yöntemler özetlenmektedir. ITO riskinin yönetilmesi, hizmet sağlayıcı ve
kullanıcı kurum tarafından yapılması gereken bir konudur. Her iki taraf arasında güçlü bir
ilişki varsa bu konu daha başarılı bir şekilde çözülür. Denetim ve izleme yoluyla güvence
sağlama ve verme ihtiyacına değer vermeyen hizmet sağlayıcılar, müşterinin güvence
ihtiyacını anlayan hizmet sağlayıcılara kıyasla önemli bir rekabet dezavantajına sahiptirler.
Hizmet Sunumunda İç Denetçinin Rolü
Etkili hizmet sunum mekanizmaları olmadan bir kurumun amaçlarına ulaşması mümkün
değildir. Kurumun amaçlarına ulaşmasının izlenmesi ve maruz kaldıkları risklerin
tanımlanması ve yönetilmesi açısından mevcut politika, prosedür ve işlemleri değerlendirmek
için iç denetçiler eşsiz bir kavrayışa ve iyi bir konuma sahiptirler.
İç denetçiler:
• Hizmet sunumuna ilişkin risklerin tanımlanması ve etkili yönetimi için yönetim
sistemlerinin gözden geçirilmesini sağlayarak güvence sağlarlar.
• Hizmet sunumunun yönetimine ilişkin yaptıkları sık ve detaylı gözden geçirmelerle
güvence sağlarlar.
• Hedeflere erişimin izlenmesi ve yönetimi için kullanılan sistemleri ve performans
raporlama sistemlerini gözden geçirerek güvence sağlarlar.
• Diğer güvence sağlayıcılara güvenerek güvence sağlarlar.
• Hizmet sunumu sürecinin tümünün farklı yönlerine ilişkin proaktif bir danışmanlık
rolü üstlenirler. Örneğin sistemlerin tasarımının başlangıç aşamalarında yer alarak
kullanıcı kurum ihtiyaçlarının tanımlanmasını sağlarlar ya da yönetimin eylemlerini
takip ederler.
42
ITO Denetimi
Dış kaynaklardan hizmet alım süreci, müşterileri ve hizmet sağlayıcıları onların faaliyetlerini
ciddi şekilde etkileyebilecek bir dizi riske maruz bırakabilir. İç kontrolün kalitesini ve
etkinliğini artırarak bu risklerin idare edilmesi, bu süreçte yer alan tüm kurumlar için ITO
denetimini gerekli bir bileşen haline getirmiştir. Kurumsal düzeyde ITO denetimi sadece bir iç
süreç olarak değil aynı zamanda bir dış denetim sürecinden de oluşur. Ayrıca karşılıklı
işbirliği yoluyla ITO denetimi kullanıcı kurumdan hizmet sağlayıcıya kadar genişletilebilir.
Gözden geçirme ya da sürekli izleme gibi alternatif denetim yaklaşımları hizmet sağlayıcı ile
müşteri arasındaki işbirliğini artırır ve denetim yoluyla elde edilen güvencenin düzeyini
artırır.
ISAE 3402/SSAE 16
ISAE 3402 yaygın bilinen bir standarttır ve hizmet sağlayıcının kendi kontrol amaçları ve
faaliyetlerinin bağımsız bir muhasebe ve denetim firması tarafından incelendiğini gösterir.
Hizmet kurumlarındaki iç kontrollere ilişkin üçüncü şahıs raporları, hizmet sağlayıcı
tarafından sunulan hizmetlerdeki kontrol süreçlerini tanımlar. Bu tür raporlar kullanıcılara dış
kaynak yoluyla alınan bir hizmetle bağlantılı riskleri değerlendirmek ve ele almak için gerekli
bilgileri sunar. Hizmet sağlayıcı ISAE 3402 gözden geçirmesini yaptırdıysa müşterinin
muhasebe ve düzenleyici koşullara uygunluk ihtiyaçlarını karşılamada daha iyi bir
kredibiliteye sahip olacaktır. Hizmet sağlayıcı denetimleri, kullanıcı kurumun işleri Sarbanes-
Oxley Kanununun 404 (b) paragrafı kapsamında yönettiğine dair uygun denetim ve kontrol
prosedürlerine sahip olup olmadığını bilmesi açısından gereklidir.
Standartlar
Uluslararası Standartlar: Aralık 2009’da IAASB, hizmet kurumlarının BT ve süreç
kontrollerine uyumunun değerlendirilmesi için ISAE 3402 başlıklı belgeyi bir “onay”
prosedürü olarak yayımladı. Onay süreci, finansal beyanların adilliği ve düzgünlüğü dışında
incelenen konuya ilişkin denetçinin mesleki çıkarımlarını içerir. Onay belgesi, denetime
kıyasla daha yumuşak bir metindir. Kurum müşterilerinden gelecek özel talep doğrultusunda
hizmet denetçi raporlarının verilmesine devam edilebilir.
ABD Standartları: Nisan 2010’da AICPA’in Denetim Standartları Kurulu (ASB) SSAE 16
başlıklı belgeyi yayımladı. ISAE 3402’ye benzer şekilde SSAE 16’da bir onay raporudur.
43
AICPA Hizmet Kurumu Kontrolleri Raporu: SSAE 16’yı uygularken AICPA, CPA’lar
tarafından hizmet denetçisi olarak incelenen konuların kapsamını genişletmek için üç tane
hizmet kurum kontrol (SOC) raporu çıkardı. Bu belge kurumların hizmet sunum süreçlerine
daha fazla güven duymasını sağlamaktadır. SOC etiketi altında üç ayrı hizmet denetim
kategorisi vardır. Bu kategoriler, hizmet sağlayıcıların spesifik ihtiyaçlarını karşılaması ve
boşta kalan risklerine yeniden odaklanmalarını sağlayacak şekilde tasarlanmıştır:
• SOC 1 Raporu: Kullanıcı Kurumların Finansal Raporlara ilişkin İç Kontrollerle ilgili
Hizmet Kurum Kontrollerine ilişkin Rapor
• SOC 2 Raporu: Güvenlik, Uygunluk, Süreç Bütünlüğü, Gizlilik ve Mahremiyete
ilişkin Hizmet Kurum Kontrollerine ilişkin Rapor
• SOC 3 Raporu: Hizmet Kurumları için Güvence Hizmetleri Raporları
Hizmet Denetçisinin İç Denetim İşlevine Güveni:
İşlev: Yeni onay standartları, hizmet denetçisinin sadece yönetim tarafından yapılan süreç
tanımlarına değil aynı zamanda hizmet sağlayıcının iç denetçilerine de güvenmesine imkân
vermektedir.
Aşırı güven kaynaklı sorunlar
Sarbanes-Oxley Paragraf 404 (b) “denetim ve kontrol” ifşa koşullarını karşılamak için kamu
tarafından işletilen kurumlar standart olarak SAS 70 Tip II denetimleri geçmişte genellikle
kullanılırdı. Bu denetim dış kaynak yoluyla hizmet alımı sözleşmelerini de içerir. Ancak yeni
“onay” raporları kullanıcılar için rahatlık veren katmanlardan birini kaldırmaktadır çünkü
hizmet denetçileri, SAS 70 Tip II belgesi uyarınca yaptıkları kadar kritik değerlendirmeler
yapmamaktadırlar. Kısaca belirtmek gerekirse kullanıcı kurum, onay raporlarının kabul
edilebilirliğine ilişkin kendi düşüncelerini sunmaktadır ve kullanıcı tarafından tanımlanan
“kontrol amaçlarına” ilişkin spesifik bir kontrol raporu isteyebilmektedir. Şimdi kullanıcı
kurumlar, risk analizlerini gerçekleştirmek için hizmet sağlayıcılara daha fazla güvenmek
zorunda kalacaklar ve kullanıcılar bu raporlardaki boşlukları belirleme ihtiyacı duyacaklardır.
Yeni güvence standartları uyarınca belirlenen kontrol amaçlarına ulaşılmasını sağlamak için
riskleri tanımlama ve bu risklerinin nasıl izleneceği ve azaltılacağını belirleme sorumluluğu
hizmet sağlayıcılara aittir.
44
KRI’leri İzleme
Ortaya çıkan riskleri izleme ve bunlara derhal yanıt verme ileri bir yöntemdir. KRI, bir
faaliyetin ne derece riskli olduğunu göstermek için yönetimde kullanılan bir ölçüttür. KPI bir
şeyin ne kadar iyi yapıldığını ölçerken KRI gelecekte gözlemlenebilecek olumsuz etkilerin
olasılığını gösterir. KRI’ler bir kurumun risk profilinde meydana gelen olumsuzlukları
göstererek erken uyarı sinyalleri verir. Bu nedenle, KRI’ler tam kapsamlı risk ve kontrol
çerçevesinin ve iyi risk yönetim uygulamasının temel bileşenleridir. KRI’ler kurumun kendi
risk eşiğini – yani adım atılmadan önce ne yapılması kabul edilebilir – aşan bir riske maruz
kalıp kalmadığını ya da maruz kalma olasılığının yüksek olup olmadığını gösterme
kabiliyetine sahip ölçütlerdir. KRI’leri izlemek bir olay fiili olarak gerçekleşmeden önce riskli
durumu proaktif bir şekilde ele alarak kayıpların azaltılması ve maruziyetin önlenmesi için
yararlı olabilir. Kullanıcı kurum ve hizmet sağlayıcı, kendi risk yönetim sürecinin bir parçası
olarak kişiselleştirilmiş KRI’ler geliştirmelidir.
BT risk göstergeleri için sürekli yapılmakta olan değerlendirmeler ve sürekli izleme
faaliyetleri, güvence sağlamakta ve daha da önemlisi yönetimin meydana gelen olayları
zamanında ele alması ve riskleri önceden görmesine imkân vermektedirler.
EK A:
Dış Kaynak Yoluyla BT Hizmet Alımı Yaşam Dönemi Denetim Programı
Bu, dış kaynak yoluyla hizmet alımına karar verilirken kullanıcı kurumun risk ve süreç
değerlendirmesi için kullanılan bir taban çizgisi denetim programıdır. İç denetçinin dış
kaynak yoluyla hizmet alımı yaşam döneminde yer alması; başka güvence işlevleri ya da dış
denetçilerin varlığı, yönetimin dış kaynak yoluyla hizmet alımı ve proje disiplinlerine ilişkin
deneyimi ya da denetim için verilen sürenin miktarına bağlı olarak anlamlı ölçüde değişiklik
gösterebilir. Bu programda iki örneğe yer verilmektedir: tüm fazların tam kapsamlı gözden
geçirilmesi ya da denetimin kısıtlı zaman tanıdığı yüksek değerli alanların veya bağımsız bir
görüşün yönetime daha fazla kolaylık tanıdığı yüksek değerli alanların gözden geçirilmesi.
Denetim paydaşlarının beklentilerine ve risk iştahlarına ya da toleranslarına bağlı olarak
çeşitli değişiklikler yapılabilir.
DIŞ KAYNAK YOLUYLA BT HİZMET ALIMINA İLİŞKİN YAŞAM DÖNEMİ
Denetim Aşaması TamKapsamlı GözdenGeçirme
YüksekDeğerli AlanlaraOdaklanma
Stratejik Uyum ve Kaynak Değerlendirmesi
45
Denetim Amacı: Kaynak seçenekleri ve amacın belirlenmesi Riskler: Kurumsal stratejilerle uyumlu değil; kötü karar; varlıkların kaybı; düşük yatırım getirisi (ROI)
Stratejik bağlamın anlaşılması ve destekleyici bilgilerin güvenilir ve tam olup olmadığının görülmesi (gerekli durumlarda)
x
o İş modeliyle ilgili bir süreç haritalaması yapılmış mı? x
o Yararlar ve riskler esas alınarak seçenekler öncelik sırasına konulmuş mu?
x
o Pazar analizi ve kıyaslama çalışmaları yapılmış mı? x Sonuçların özetlenmesi ve kararların belgelendirilmesi x Karar Alma Süreci – İş Durum Tespiti Denetim Amacı: Kurumun güvenilir bir iş durum tespitinin olup olmadığının değerlendirilmesi Riskler: En iyi tedarikçinin kullanılmaması kararı; varlıklarda ve ROI’de kayıp ya da hizmetlerin kalitesi düştüğü için itibar kaybı, olası düzenleyici otorite etkisi
Detaylı analizlerdeki bilgilerin güvenilir olup olmadığının, bütün ticari riskleri ve uygulama risklerini ele alıp almadığının değerlendirilmesi
x x
o Detaylı ticari risk ve yarar analizi uygulama riskleri ve başarısızlık etkisine karşı faktörlenmiş mi?
o Maliyet/yarar ilişkisi temelinde en iyi seçenek seçilmiş mi?
Yönetişim ve onay süreçlerinin şeffaf ve güvenilir olup olmadığının belirlenmesi
x x
o Kurumsal ticari strateji ve yönetişim arasında bir ilişki var mı?
Uygun taraf ve uzmanların süreçte yer alıp almadığının değerlendirilmesi x
Ana paydaşların devamlı bilgilendirilip bilgilendirilmediğinin değerlendirilmesi
x x
Sonuçların özetlenmesi ve kararların belgelendirilmesi x
İhale Süreci ve Sözleşme Denetim amacı: Hizmet sağlayıcının başarıyı teşvik eden bir sözleşme esasında seçilip seçilmediğinin belirlenmesi Riskler: İşin en iyi duruma getirilmemesi ya da kurumun kalite, kullanılabilirlik ve entegre/gizlilik ihtiyaçlarının sunumunda oluşacak boşluklara karşı korunmaması; varlıklarda ve ROI’de kayıp; itibar zedelenmesi; düzenleyici, uygunluk ihtiyaçları üzerinde etkili olabilir.
Uygun bir onay ve tedarik sürecinin izlenip izlenmediğinin değerlendirilmesi
x
Hizmet sağlayıcının sözleşme ve kontrol güvencelerinin gözden geçirilmesi (yani SAS 70 tipi güvence ihtiyacı ya da yeni SSAE No. 16 veya ISAE 3402) ve kurumun denetim paragrafının yazımı aşamasında etkin yer alma hakkının olup olmadığı ve nihai sözleşmede yer alıp almadığı
x x
o Detay koşulların, kapsamın ve RFP’lerin gözden geçirilmesi
Proje ekibinin kurulup kurulmadığının ve uygulama ihtiyaçları için kaynak verilip verilmediğinin gözden geçirilmesi
x
o Proje ekibinde yer alan personelin seviyelerinin ve niteliklerininbelirlenmesi
Risk yönetimi, İK ve finans birimlerinin gerektiğinde süreçte yer alıp almadığının belirlenmesi
x x
Müzakere sözleşmeleri, belgeleri ve fesih planı belgelerinin gözden geçirilmesi
x x
Operasyonel yönetim ve proje ekibi tarafından gerçekleştirilen durum tespit belgelerinin ve sonuçlarının gözden geçirilmesi. Bunların yeterlilik ve tamlığının değerlendirilmesi
x x
Hizmet sağlayıcı tarafından ve uygunluk seviyeleri uyarınca gerçekleştirilen kontrol standartlarının yeterliliğine özel olarak odaklanarak gerekli olduğu düşünülen ek aşamaların gerçekleştirilmesi
Sonuçların özetlenmesi ve belgelendirilmesi x
46
Uygulama ve Geçiş Denetim amacı: Geçiş sürecinin yeni operasyonları başlatacak şekilde plana uygun gerçekleşip gerçekleşmediğinin belirlenmesi Riskler: Verimsizlik ve yönetilemeyen risklere bağlı olarak varlıklarda ve ROI’de kayıp; hizmetlerin aksaması ve bunların müşterilere etkileri; operasyonel kalitenin projelendirilenden daha düşük olması
Projenin standart disiplinlere uygunluğunu sağlamak için ön uygulama gözden geçirmelerinin yapılması ve denetim yönetişim toplantılarına katılımın sağlanması
x x
Durum tespit gözden geçirmelerinin yapılması ya da yönetimin hizmet sağlayıcı işlemlerine ilişkin yaptığı gözden geçirmelerin değerlendirilmesi, hizmet sağlayıcının kapasitesine ve yüksek kaliteli hizmetler sunma geçmişine ilişkin güvence sağlama yollarının değerlendirilmesi
x x
Geçiş başarılı olmazsa beklenmedik durum planlarının gözden geçirilmesi x
o Risklerin ve eylemlerin tanımlanıp tanımlanmadığının, azaltılıp azaltılmadığının ve paydaşlara uygun yoldan bildirilip bildirilmediğinin belirlenmesi
Sonuçların özetlenmesi ve belgelendirilmesi x
İzleme ve Raporlama Denetim amacı: Dış kaynak yoluyla yapılan işlemin denetimi ve kontrolünün değerlendirilmesi Riskler: Müşteri zararı, varlıklarda ve ROI’de kayıp ile ilişkilerde ve sunulan hizmetlerde bozulma, sürecin planlandığı gibi sürdürülememesi ya da optimize edilememesi.
Hizmet sağlayıcının performansının ve sözleşmeye uygun davranıp davranmadığının nasıl değerlendirileceği ve yönetim tarafından nasıl düzenli kontrol edileceğinin belirlenmesi
x x
Kullanılan ölçütler ve diğer temel performans göstergelerinin (KPI’ler) gözden geçirilmesi
x
Mevcut ve gelecekteki işlemler/sözleşmelerin geliştirilmesi için endişe duyulan ve geliştirilmesi gereken alanların nasıl bildirileceğinin gözden geçirilmesi
x
Sonuçların özetlenmesi ve belgelendirilmesi x Yeniden müzakere etmeDenetim amacı: Yenilenen ilişkilerin oluşmasının ve gelişmesinin sağlanıp sağlanmadığının değerlendirilmesi Riskler: Optimizasyon, ROI ve gelecek operasyonel kalitede kayıpla sağlanmıştır; Daha iyi alternatifler bulunmamış ya da maliyet artışları gerekçelendirilmemiştir
Gelecek müzakerelerin optimum seviyede olması için gerekli ve kullanılabilir strateji ve bilgilerin tanımlanması
x
Kullanılan ölçüt ve başka KPI’lerin gözden geçirilmesi x
o Yeni kıyaslama ölçütleri ve Pazar araştırmalarının gözden geçirilmesi ve karşılaştırılması
x
o Yönetimin performansa dayalı yeni hedefler belirleyip belirlemediğinin saptanması
x
Müzakerelere başlamadan önce uzmanların ve süreç sahiplerinin iyileştirici unsurları başlatmasını sağlamak için tersine çevrilebilirlik haklarının, izleme faaliyetlerinin ve fiili performans sonuçlarının anlaşılması
x
Sonuçların özetlenmesi ve belgelendirilmesi x
Tersine ÇevrilebilirlikDenetim amacı: Düzenlemenin tersine çevrilebilir ve iş durum tespiti/stratejisinin bir parçası olarak değerlendirilebilir nitelikte olup olmadığının değerlendirilmesi Riskler: Olumsuz durumlara ve başka fırsatlara karşı tepki verememe; Gelecek müzakerelerde bildirim eksikliği; Hizmetler kurum içine taşındığında ya da başka bir tedarikçiye verildiğinde varlıklarda kayıp ve hizmetlerin aksaması ; Dış kaynak yoluyla alım faaliyeti başarısız olursa beklenmedik maliyetler
Düzenleme çalışmazsa beklenmedik durum planının anlaşılması x
Hesaplanan maliyetler ve başarısızlık olasılığının belirlenmesi. Bunların iş x x
47
durum tespiti ve ROI ihtiyaçlarında değerlendirilip değerlendirilmediğinin belirlenmesi
o Olası boşlukları etkili şekilde doldurabilecek başka hizmet sağlayıcılar var mı?
x
o Hizmet sağlayıcının yaşama kabiliyeti ne ölçüde? o Hizmet sağlayıcıda değişiklik yaratabilecek ya da değişiklik
yapılmasını düşündürecek tetikleyici noktaların yönetim tarafından önceden belirlenmiş mi?
x
o Sürecin kurum-içi sisteme geri dönülerek sürdürülmesinigerektirecek başka riskler (makroekonomik ve politik/coğrafi endişeler dâhil) değerlendirilmiş mi?
x
o Hizmet sağlayıcının BCP kapasitesi iyi mi? BCP çabalarının sürdürülebilir nitelikte mi?
x x
İş ilişkilerinin feshinin sözleşmede nasıl ele alındığının belirlenmesi x x
Sonuçların özetlenmesi ve belgelendirilmesi x
EK B:
Dış Kaynak Yoluyla BT Hizmet Sunumu Denetim Programı
Bu, hizmet kurumlarını değerlendirmek için tasarlanmış bir taban çizgisi denetim
programıdır. Sunulan ve kullanılan spesifik hizmetler tanımlanmalı ve ilgili kontroller
programa eklenmelidir. Bu program, tam kapsamlı bir denetim ya da bir kontrol tasarımlı
çözüm ile bağlantılı şekilde risk alanlarını ele almak için tasarlanmıştır. Kontrol
faaliyetlerinin operasyonel verimliliğine ilişkin güvence sağlamak için tam kapsamlı bir
denetim amaçlanmıştır. Kontrol faaliyetlerinin tasarımına ilişkin yönetime bir değerlendirme
yaptırmak için bir kontrol tasarımlı gözden geçirme amaçlanmıştır. Görev; kaynak, bütçe veya
zaman bakımından kısıtlanabilir düşüncesiyle gözden geçirme aşamalarına öncelik verilmiştir.
Dış Kaynak Yoluyla BT Hizmet Sunumu Denetim Programı
Denetim Aşaması Tam Kapsamlı Denetim KontrolTasarımlı Gözden Geçirme
YönetişimDenetim amacı: Müşteri ve hizmet sağlayıcı arasındaki ilişkide (sözleşmede) yeterli yönetişim ve denetimin olup olmadığının değerlendirilmesi
x x
Riskler: Müşteri ve hizmet sağlayıcı arasındaki ilişkinin bozulması
x x
Sözleşme sorumluluk dağılımlarını belirlemeli, x x
48
hangi güvenlik politikalarının ve standartlarının izleneceğini tanımlamalı ve hizmet seviyesi amaçlarını açık ve belirgin bir şekilde ortaya koymalıdır
Kaynak beceri düzeyi sunulan hizmete uygunolmalıdır
x
Hizmet sağlayıcı ve müşteri arasındaki bildirimler resmi olmalı ve sözleşme ilişkisini destekleyecek yeterlilikte olmalıdır.
x x
GüvenlikDenetim amacı: Her bir BT altyapı katmanındaki güvenlik durumunun değerlendirilmesi
x x
Riskler: Müşteri sistemlerine yetkisiz erişim olabilir ya da veriler kaybolabilir, sızdırılabilir ya da yetkisiz kişilerce ifşa edilebilir.
x x
Güvenlik politikaları ve prosedürleri mevcuttur ve bunlara uyulmaktadır.
x x
Hassas veriler tanımlanmış ve korunmaktadır. x
Tüm katmanlarda erişim kontrol altındadır (yani belgelendirilmiş, yetkilendirilmiş, gözden geçirilmiş ve kaldırılmıştır)
x
Düzenleyici ve yasal yükümlülükler tanımlanmış ve bunlara uyulmaktadır.
x
Sistemler onarılmıştır x
Güvenliği proaktif bir şekilde izleyen bir süreç vardır
x x
Veri KalitesiDenetim amacı: Veri kalitesini sağlayacak yeterli kontrollerin olup olmadığının belirlenmesi
x x
Riskler: Veriler eksiktir, yeterli değildir ya da geçmiş zamanlıdır
x x
Ara yüzler, karma algoritma ve kayıt hesabı gibi veri bütünlük kontrollerine sahiptir.
x
Veri işleyen süreçler başarı ve başarısızlık açısından izlenmektedir. Başarısızlıkları ele alan bir süreç vardır.
x x
Güvenilir sınırlardan geçen veri transferleri uygun şekilde (yani şifreli) korunmaktadır
x
Konfigürasyon YönetimiDenetim amacı: Konfigürasyon veri tabanının varlığının, tamlığının ve doğruluğunun değerlendirilmesi
x
Riskler: Veri tabanı operasyonel süreçleri desteklememektedir.
x
Merkezi bir mantıksal veri tabanındaki diğer ITIL ve operasyonel süreçlere doğru ve tam konfigürasyon maddesi (CI) verisinin sağlanması
x
Tüm CI ve bunların kontrollü özelliklerinden sorumlu olması
x
Verilerin bir kurumun BT, finansal, hukuki vegüvenlik yükümlülüklerini desteklediğinin teyit edilmesi
x
Kapasite yönetim veri tabanında (CMDB) tutulan fiili CI verilerini yetkili (değişiklik yönetimi aracılığıyla) ve keşfedilen (envanter/keşif araçları aracılığıyla) durumlara karşı doğrulama, uygunluk ve denetim kontrolleri vasıtasıyla valide edilmesi
x
Değişiklik YönetimiDenetim amacı: Değişikliklerin planlandığı ve yetkilendirildiği şekilde yapılıp yapılmadığının
x x
49
belirlenmesiRiskler: Yetkisiz ve plansız değişiklikler, sistem performansı ve işlevsellik konularına yol açar.
x x
Değişiklik üretim ortamına aktarılmadan önce değişikliğin işlevselliğini valide etmek için değişiklik test edilir.
x
o Değişiklikler, üretim ortamına aktarılmadan önce onaylanır ve belgelendirilir.
x x
o Üretim ortamında yapılabilecek yetkisiz program değişikliklerini önlemek için görevlerin ayrımı yeterli bir biçimde yapılır.
x
Değişikliklerin uygun olduğunu göstermek için program kitaplıkları – hem uygulama kütüphaneleri hem de veri şemaları (varsa) - gözden geçirilir
x
Kapasite YönetimiDenetim amacı: Sistem kapasitesinin ticari taleplerle uyumunun izlenip izlenmediğinin ve idare edilip edilmediğinin belirlenmesi
x
Riskler: Sistem kapasitesi ticari talepleri karşılamaz x
Kapasitelerin izlenmesi ve gelecek kapasiteleriçin planlamanın yapılmasını sağlayacak bir süreç mevcuttur.
x
Planlama ticari unsurların katılımıyla ve fiili talepler gelmeden çok önce yapılmaktadır
x
Kapasite planları periyodik olarak gözden geçirilmektedir.
x
Kapasite izlenmekte ve sonuçlar eğilim belirlemek için saklanmakta ve gözdengeçirilmektedir.
x
Hizmetlerin Devamlılığı Denetim amacı: Kurumun etkili bir iş devamlılık planı ve acil durum kurtarma planının olup olmadığının değerlendirilmesi
x x
Riskler: Ticari açıdan kritik öneme sahip işlemlere, acil bir durum ya da ticari bir aksaklıktan sonra devam edilemez.
x x
Belgelendirilmiş bir ticari devamlılık planı vardır.
x x
Belgelendirilmiş bir acil durum kurtarma planı vardır.
x x
Planlar gözden geçirilmiş ve onaylanmıştır ve periyodik olarak gözden geçirilmektedir.
x x
Planlar düzenli olarak test edilmekte/provaedilmektedir (en az yılda bir kez).
x x
Planlar gerçekçi kurtarma amaçları ve kurtarma zamanı çerçeveleri içermektedir.
x
Planlar kritik ticari işlevlerin kurtarılmasını desteklemek için geliştirilmiştir.
x
Hizmet Seviyesi Anlaşması (SLA) Yönetimi Denetim amacı: Sözleşmenin SLA içerip içermediğinin ve kurumun SLA ölçütlerine göre izleme ve raporlama yapıp yapmadığının değerlendirilmesi
x x
Riskler: Müşteri memnuniyeti olumsuz açıdan etkilenmiştir, ceza verilmesi düşünülebilir, sözleşme yenilenmeyebilir ya da iptal edilebilir.
x x
Hizmet seviyesi hedeflerinin tümü açık ve belirgindir.
x
50
Hizmet seviyesi hedeflerinin tümüne kullanıcı kurum ve hizmet sağlayıcı birlikte karar vermiş ve onaylamıştır.
x
Hizmet seviyesi hedeflerinin tümü ölçülebilirniteliktedir.
x
Operasyonel hizmet seviyesi anlaşmalarındaki hedeflerin tümü ya da destekleyici sözleşmeler, SLA’lar ile uyumludur
x
Ölçütler sistem tarafından üretilmiştir ve dışarıdan müdahale edilemez niteliktedir.
x
SLA raporları gözden geçirme için yönetime (ve müşteriye) sunulmaktadır.
x x
Müşteri şikâyetlerinin ele alındığı bir süreç vardır.
x
Olay YönetimiDenetim amacı: Kurumun olayları ele aldığı bir sürecin olup olmadığının değerlendirilmesi
x x
Riskler: Ticari aksaklıklar ve performans konuları x x
Olayları ele alacak bir araç ve sürecin varlığı x x
Olay yönetim verileri merkezi ve erişilebilir niteliktedir.
x
Olay yönetimi (IM) operatörleri CMDBbilgilerine erişebilir
x
Olaylar performans göstergelerini açıklığa kavuşturmak için yönetilir: Sahiplik zamanı (TTO) ve düzeltme zamanı (TTF)
x
Ölçütler yönetim tarafından gözden geçirilir ve gerektiğinde düzenleyici adımlar atılır.
x x
IM operatörleri eğitimden geçirilmiştir. x
Olaylar ticari işlemleri destekleyecek şekilde sınıflandırılmış ve öncelik sırasına konulmuştur.
x
Problem YönetimiDenetim amacı: Kurumun problemleri yönetmek için bir sürece sahip olup olmadığının belirlenmesi
x
Riskler: Problemlerin temelindeki nedenlertanımlanmamıştır ve ticari aksaklıklara neden olay devam etmektedir
x
Problemler tanımlanmış ve sınıflandırılmıştır. x
Problemler incelenmiş ve teşhis edilmiştir. Problemin temelinde yatan nedenbelgelendirilmiştir.
x
Problemler düzeltilmiş ve durum/güncellemeler yönetime bildirilmiştir.
x
Veri Merkezi İşlemleri Denetim Amacı: Hizmeti etkileyen veri merkezlerinin kesinti ya da hizmet aksamalarının (Uptime Enstitüsü tarafından genelde Tier III olarak tanımlanan) önlenmesini sağlayacak yeterli altyapıya sahip olup olmadığının belirlenmesi
x x
Riskler: Hizmet sağlayıcı hizmet sunumunu gerçekleştirme ve sürdürmede başarısızdır.
x x
Fiziksel ve mantıksal güvenlik mevcuttur ve uygun şekilde yönetilmektedir.
x x
Sıcaklık ve nem seviyeleri izlenmektedir x
Tek noktalı arıza, kesinti ya da hizmet aksaklıklarını önlemek için güç/evrensel güç kaynağı ve topraklama sistemi kurulmuştur.
x
Duman detektörü kurulmuş, yangın önleyici önlemler alınmıştır. Bunlar periyodik olarak test edilmektedir.
x
51
Program/Proje YönetimiDenetim Amacı: Kurumun projeleri yönetmek için standart bir metodoloji izleyip izlemediğinin belirlenmesi
x
Riskler: Proje denetim amaçlarını karşılamaz; Proje planı ve bütçeyi aşmaktadır.
x
Tasarım ve geliştirme – Aşağıdaki kriterlerin karşılanıp karşılanmadığının belirlenmesi
x
Proje için açık ve sağlam bir iş durum tespitinin olması
x
Maliyet ve yararların gerçekçi ve kapsamlı bir şekilde değerlendirilmesi
x
Tüm ana paydaşların erken aşamalarda süreçte yer alması
x
Güvenlik kontrolleri ve entegre kontrollereilişkin kapsamlı değerlendirmelerin varlığı
x
Proje yönetimi – Aşağıdaki unsurların olup olmadığının değerlendirilmesi
x
Proaktif liderlik ve gerçek zamanlı raporlama x
Tüm ana paydaşların süreçte yer alması x
Sorunun saptanması ve bildirilmesi x
Gerçek zamanlı ölçekler ve belirgin hedefler x
Uygulamaya geçirmeden önce sıkı test etme ve pilot uygulama
x
Uygulama - Aşağıdaki unsurların olup olmadığının değerlendirilmesi
x
Değişikliklerin ve eğitimin yönetimi x
Yararların düzenli ve güvenilir takibi x
Devamlı müşteri memnuniyet değerlendirmeleri x
52
Yazarlar
Bradley C. Ames, CPA, CISA
Frederick Brown, CISA, CRISC, ITIL –F
Jeanot Deboer
Dragon Tai, CIA, CCSA, CISA, CFE
Micheal Lynn, CPA
Cesar L. Martinez, CIA, CGAP
Gözden Geçirenler ve Katkı Sağlayanlar
Steven Stein, CIA, CISA, CISSP, CFE, CGEIT
Steve Hunt, CIA, CRMA
Steve Jameson, CIA, CCSA, CFSA, CRMA
GTAG®
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet
gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur.
IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel
eğitmenidir.
Mesleki Uygulama Rehberleri Hakkında
Mesleki Uygulama Rehberleri, iç denetim faaliyetlerinin icra edilmesi için detaylı bilgiler
sunarlar. Araçlar ve teknikler, programlar, aşama aşama izlenmesi gereken yaklaşımlar gibi
süreç ve prosedürlere ilişkin detaylı bilgilere ek olarak örneklere de bu rehberlerde yer verilir.
Mesleki Uygulama Rehberleri IIA’in yayımladığı IPPF’in bir parçası değildir. Israrla tavsiye
edilen rehberler kısmında yer aldığı için bu rehbere uyulması zorunlu değildir ancak uyulması
önemle tavsiye edilir. Bu rehber, resmi bir gözden geçirme ve onay sürecinin ardından IIA
tarafından tasdik edilmiştir.
Global Teknolojiler Denetim Rehberi (GTAG); bilgi teknolojisi yönetimi, kontrolü ve
güvenliğine ilişkin güncel konuları ele almak için sade bir ticari dille yazılmış bir tür Mesleki
Uygulama Rehberidir.
53
IIA tarafından yayımlanan diğer kabul görmüş rehberlere ulaşmak için lütfen internet
sayfamızın www.globaliia.org/standards-guidance bölümünü ziyaret ediniz.
Sorumluluk Reddi
Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit
koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya
belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu
rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez.
Telif Hakkı
Copyright ® 2013 The Institute of Internal Auditors.
Çoğaltmak için lütfen IIA’in guidance[at]theiia.org e-posta adresine başvurunuz.
Uluslararası İç Denetçiler Enstitüsü
www.globaliia.org