Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
GTAG®
GLOBAL TEKNOLOJİ DENETİM REHBERİ
GTAG 4-Bilgi Teknolojisi (BT) Denetimi Yönetimi
2. Baskı
Uluslararası İç Denetçiler Enstitüsü
2
Global Teknoloji Denetim Rehberi (GTAG®) 4
Bilgi Teknolojisi (BT) Denetimi Yönetimi
2. Baskı
Ocak 2013
3
GTAG – İçindekiler Tablosu
1. Yöneticiler İçin Özet 4
2. Giriş 5
3. İş Stratejisi, Süreçler ve Projeler 7
4. Teknoloji Altyapısı ve Süreçler 8
5. Risk Temelli Yaklaşım 13
6. Denetim Alanı 14
7. Yeterlilikler ve Beceriler 15
8. BT Denetim İşleminin İcrası 17
9. Raporlama 18
10. Denetim Araçları 20
11. Sonuç 22
12. Yazarlar ve Gözden Geçirenler 23
EK A: Standartlar için Kaynaklar 24
EK B: BT İnşa Modelleri 25
4
1 Yöneticiler İçin Özet
Bilgi Teknolojisi (BT), iç denetim işlevi üzerinde önemli bir etkiye sahiptir. Yeni riskler
ortaya çıktıkça bu riskleri yeterince ele alacak yeni prosedürlere ihtiyaç duyulmaktadır. BT
denetim işleminin icra süreci, diğer denetim işlemlerinin icra süreciyle genelde aynıdır.
Denetçi, denetim işlemini planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımın ve
kontrollerin işleyiş verimliliğini test eder, bu işlemleri sonuçlandırır ve rapor eder. İç Denetim
Yöneticileri (İDY’ler), BT denetim işlemine ilişkin sonuçları yönetim kurulu, icra kurulu,
düzenleyici otoriteler ve dış denetçiler gibi ana paydaşlara ve Bilgi İşlemleri Yöneticisine
(BİY) düzenli olarak rapor ederler. Bu rehber, BT denetim işlemini daha etkili ve verimli
planlaması ve yönetmesi için İDY’ye yardımcı bir kaynaktır. Bu rehberde aşağıdaki hususlar
ele alınmıştır:
BT denetim kaynaklarına nerede ihtiyaç duyulduğunun belirlenmesi: İç denetim
planının hangi kısımlarında BT denetim uzmanlarına ihtiyaç vardır? İDY, kapsama
alanının yeterli olduğundan emin olmak için BT denetçilerinin planlı kullanılıp
kullanılmadığını burada sunulan rehberlere kıyasla ölçebilmelidir. BT denetim
kaynakları genelde kısıtlı, BT denetim talepleri ise fazladır. BT denetim ihtiyaçlarının
belirlenmesi, iç denetim planı dâhilinde etkili bir BT kapsamının nasıl inşa
edileceğinin anlaşılması konusunda İDY’ye yardımcı olur. İç denetim çalışma
grubunun boyutuna bakılmaksızın belirli bir denetim işlemi için doğru becerilere sahip
kişilere işin yaptırılması ön plana çıkan bir kavramdır. Bu denetim işlemleri, kurumun
kapasitesine göre iç kaynaklarla yapılabileceği gibi dışarıya da yaptırılabilir.
BT bağlantılı risklerin değerlendirilmesi: Teknoloji ilerledikçe BT riskleri de
değişmeye devam eder. Bu risklerden bazıları teknolojinin kendisiyle, bazıları ise iş
esnasında BT’nin kullanılma yöntemiyle ilgilidir. Bu rehber, BT bağlantılı risklerin
nasıl değerlendirileceği ve nasıl ölçüleceği konusunda İDY’ye yardımcı bir kaynaktır.
Bu yolla, BT denetim kaynaklarının kuruma en yüksek değeri katan alanlara
yönlendirilmesi sağlanır.
BT denetim işleminin icra edilmesi: BT’nin karmaşık ve yaygın yapısı, denetim
planı sırasında tanımlanan spesifik riskleri ele almak için yapılan rutin işletme ve süreç
denetimlerine entegre edilebilecek uygun BT denetim prosedürlerine olan ihtiyacı
artırır. Kontrol listesi ya da sorgulama yönetimiyle yapılan bir denetim yetersiz kalır.
5
Ayrıca, bu rehber, BT uzmanlarının denetim işlevine gerekli bilgi ve uzmanlığı katabilmeleri
için sahip olmaları gereken beceriler ve BT bağlantılı testlerin yapılması ve spesifik rapor
beklentilerinin karşılanmasında denetçiye yardımcı olacak araçlar hakkında İDY’ye fikir de
verir. Bu rehberin odak noktası, sade bir İngilizce ile yararlı bilgiler vermek ve İDY’nin hızla
uygulayabileceği özgün tavsiyeler vermektir. Rehber hazırlanırken İDY’nin BT denetim
kapasitelerinin olgunluğunu değerlendirmek ve iç denetim ekibinin yüksek standartlara uygun
çalışmasını sağlamak için kullanacağı kriterlerin gösterilmesi için gereken önem verilmiştir.
2. Giriş
Kurumların karşılaştığı riskler, yapılması gereken denetimlerin türleri, denetim alanlarından
hangisine öncelik verileceği, elde edilen bulguların nasıl sunulacağı konularının tümü
İDY’lerin karşılaştığı zorluklardır. Bu Global Teknoloji Denetim Rehberi (GTAG); İDY’ler,
BT temelli denetimlerin gözetiminden sorumlu iç denetim yönetim kademesi ve yapılan başka
denetim işlemlerine entegre edilmiş BT testlerinden sorumlu yöneticiler için hazırlanmıştır.
Bu rehberin amacı, BT denetim işinin planlanması, uygulanması ve raporlanmasına ilişkin
stratejik konuların sınıflandırılmasına yardımcı olmaktır. Bu rehber hazırlanırken temel
konulara ek olarak ileride ortaya çıkabilecek konular da dikkate alınmıştır. BT bağlantılı
riskleri ele almayan bir denetim planı geliştirmek için yapılan yıllık risk değerlendirmesi
eksik bir değerlendirmedir (Bakınız: Standartlar 1210.A3, 1220.A2 ve 2110.A2). İç denetim
aşağıda sayılan şu üç konuyu ele almalıdır:
• Kurumun bel bağladığı temel iç kontrollerin büyük çoğunluğunun teknoloji odaklı
olması muhtemeldir. Örneğin, kurumsal politika, tedarikçiye ödeme yapılmadan önce üç
yollu bir eşleştirmenin yapılmasını öngörür. Üç yollu eşleştirme; sipariş emri, teslim
makbuzu ve faturanın karşılaştırılmasından oluşan bir süreçtir. Tarih boyunca da bir satıcı
önce fiziki olarak kâğıt parçalarını eşleştirmiş, sonra bunları zımbalamış ve dosyalamıştır.
Şimdi, tüm bu eşleştirmeler kurumun işletme kaynak planlama (ERP) sisteminde
yapılabilmektedir. Sistem, önceden yapılandırılmış kurallar ve tolerans seviyelerini esas
alarak bu eşleştirmeleri otomatik olarak yapabilir ve değişkenleri tanımlanmış değişken
hesaplarına otomatik olarak gönderebilir. Bu kontrolün etkin şekilde denetlenebilmesi için
denetçinin ERP sisteminin cari konfigürasyon ayarlarına erişiminin olması ve kural ve
ayarları değerlendirmesi gerekir. Bu, her denetçinin sahip olamayacağı, ciddi düzeyde
uzmanlık becerisi isteyen bir iştir.
6
• Kurumlar, karmaşık BT ortamlarından kaynaklanan stratejik riskleri anlamak
zorundadırlar. BT’nin işi kolaylaştıran bir unsur olarak kullanılması kurumun stratejik
risklerini de değiştirecektir. Kurumun bu değişikliği anlaması ve bu tür riskleri yönetmek
için gerekli uygun adımları atması gerekir.
• BT genel ve uygulama kontrolleri, BT risklerini yeterince ele alacak şekilde
geliştirilmelidir. Kurumun işlemlerini korumak ve rekabet edici bir hazırlık düzeyi
sağlamak için etkili BT kontrollerine ihtiyaç vardır. Beklenen düzeyde çalışmayan
sistemlerin büyük itibar kayıplarına ve zararlara neden olması olasıdır. Satış emrinin web
sitesi aracılığıyla geldiği ve ERP sistemi aracılığıyla doğrudan doğruya depo katına
iletildiği yukarıda tanımlanan otomatik süreci örnek olarak ele alalım. Bir müşteri 100
adet sipariş verecekken yanlışlıkla 100 palet sipariş verirse ne olur? Kurum ilgili
proseslerini ERP sistemiyle tam olarak optimize ettiyse, sistem envanteri kontrol edecek,
100 palet ürünün olmadığını görecek, üretim programını 100 palet üretecek şekilde
ayarlayacak ve sipariş edilen ürüne ait ham maddeleri elektronik veri değişim (EDI)
sistemi aracılığıyla otomatik olarak gönderecektir. Düzgün çalışan önleyici kontroller
olmadan, bu hatanın müşteri malı teslim alıncaya kadar fark edilmesi mümkün değildir.
Anlaşılması gereken konulardan bir tanesi de BT kontrolleri ile finansal raporlama, yolsuzluk,
işlemler, uygunluk denetimleri ve diğer temel konular arasındaki bağlantıdır. Bir uygulama
sistemi (yani daha önce bahsedilen üç yollu eşleştirme ayarları) değerlendirilirken bunu
anlamak nispeten kolaydır. Ancak bir tek uygulama ya da prosese özgü BT kontrollerine
kıyasla kurum üzerinde çok daha fazla etkiye sahip destek teknolojilerini değerlendirirken bu
daha da zordur.
Örneğin, bir kurumun tedarikçilerine gönderdiği elektronik ödemeleri oluşturduğu sistemi ele
alalım. Bu ödemeler, Tüm Dünya Bankalararası Mali İletişim Topluluğu (SWIFT) sisteminde
yer alan banka hesaplarına her bir tedarikçi hesabı için bir yönlendirme numarasıyla birlikte
elektronik olarak yönlendirilir. Otomatik Takas Merkezine (ACH) ilişkin tüm numaralar
kurum veri tabanının bir yerinde bir tabloda saklanır. Veri tabanına erişim yetkisi olan bir veri
tabanı yöneticisi ya da erişim yetkisi olmayan ancak veri tabanına usulsüz erişmek için gerekli
teknik becerilere sahip şahıslar bu tabloda yer alan girdileri kendi hesaplarına ait ACH
yönlendirme numarasıyla değiştirebilirler. Elektronik ödeme ileride yeniden yapıldığında,
paralar bu kez bu failin hesabına yatar. Bu, ticari süreçler ve ticari uygulamalar bünyesinde
mevcut tüm güvenlik, kontrol ve denetim yolu mekanizmalarını bütünüyle atlatan bir olaydır.
7
Yukarıda bahsi geçen senaryo, veri tabanı düzeyinde gözlemlenen bir kontrol eksikliğinin üç
yollu eşleştirme ayarlarında gözlemlenen bir eksikliğe kıyasla ne kadar etkili olduğunu
göstermektedir. Gerçekleştirilen yıllık risk değerlendirmesinin bir parçası olarak, BT ortamı
ile bağlantılı risklerin gerçekleşme ihtimali ve olası etkileri dikkatle değerlendirilmelidir.
3. İş Stratejisi, Süreçler ve Projeler
İş stratejisi, denetim alanının tanımlanması için önemli bir faktördür ve kurumun risk
değerlendirmesini yaparken dikkat ettiği hususlardan biridir. İş stratejisi, kurumun amaçlarını
ve bu amaçlara ulaşmak için kullanılması gereken yöntemleri açıkça gösterir. İDY ve iç
denetim yönetim ekibinin iş stratejisini anlaması, kurum içinde teknolojinin rolünü ve her
birinin diğeri üzerindeki etkisini bilmesi önemlidir. İDY’nin bir kurumun iş stratejisini
değerlendirmek ve bunun BT denetim işlemi üzerindeki etkilerini görmek için kullanacağı
araçlardan biri de, GTAG 11: BT Denetim Planının Geliştirilmesi başlıklı rehberdir. Bu
rehber, yapılan iş bağlamında kurumun BT ortamını anlaması için İDY’ye gerekli bilgileri
sunar.
Bölüm 4’de listelenen BT bileşenleri, kurumun BT altyapısına göre yapılacak işlemlerin
haritasını çıkarmak için gerekli araçları gösterir ve risk değerlendirmesi için gerekli olan ve
denetim evreninde tanımlanmış diğer alanların BT özelliklerini tanımlar.
İDY kurum işlemlerinin ve BT altyapısının haritasını çıkardığında, kurum bünyesinde yer
alan çeşitli BT bağlantılı ve operasyonel ilişkiler de ortaya çıkmaya başlar. Detaylı haritalama
yöntemiyle altyapı, uygulamalar, süreçler ve ilişkiler (hem iç hem de dış) gibi, riske maruz
kalabilecek fakat önceden tanımlanmamış kritik alanlar da tanımlanabilir. Bu haritalama
işlemi, İDY’nin kurum içindeki BT risklerini ve risk toleranslarını değerlendirmesini ve üst
yönetime ve BT yönetimine bildirilebilecek olası tanımlanmamış riskler hakkında bilgi sahibi
olmasını sağlar.
Proje dönüm noktaları üzerinde güvence sağlamak için, BT projeleri, genellikle iç denetim
işlevinin uzman kaynaklarını kullanır. İDY, BT denetim işlemi için gerekli bilgi ve becerileri
değerlendirmeli ve uygun kaynakları tahsis etmelidir. Bazı durumlarda, bu tür denetimlerin
usulünce gerçekleştirilebilmesi için dışarıdan konunun uzmanı kişilere ihtiyaç duyulabilir. Bu
konuya ilişkin atılması gereken adımlar GTAG 12: BT Projelerinin Denetlenmesi başlıklı
bölümde detaylı olarak tartışılmıştır.
8
4. Teknoloji Altyapısı ve Süreçler
BT’nin tanımlanması
İDY’nin BT denetim kaynaklarının kullanımı sırasında karşılaştığı ilk zorluklardan birisi, BT
kullanım oranının belirlenmesidir. Telefon ve sesli posta sistemleri BT sistemlerinin bir
parçası mıdır? Tesislere erişim, tanımlama yükümlükleri ve fiziki güvenlik sistemleri buna
dâhil edilmeli midir? Bunlar emlak yönetim şirketine dışarıdan yaptırılırsa ne olur? Bu sorular
BT kaynaklarının nasıl tahsis edileceğinin belirlenmesi için cevaplanması gereken bazı temel
sorulardır.
BT araçları, farklı kurumlarda farklı amaçlar için kullanılabilir. Aynı sektörde faaliyet
gösteren iki kurum bile, birbirinden tamamen farklı BT ortamlarına sahip olabilir. Meseleleri
daha karmaşık hale getirmek gerekirse, tek bir kuruma ait kontroller de merkezi yapıda, âdemi
merkezi yapıda ya da ikisinin birleştirildiği bir yapıda olabilir. Mobil bilişim, sosyal ağlar ve
bulut teknolojisi mevcut sınırları merkezi kontrolün ötesine taşımakta ve bize benzersiz riskler
ve mülahazalar sunmaktadır. Ne yazık ki BT’nin açık ve evrensel bir tanımı yoktur.
Bu bölüm, İDY’ye, bir kurum içinde BT’yi nasıl ele alması gerektiği konusunda yardımcı
olur. Bazı bileşenler manuel süreç ve prosedürlerle bütün olarak ele alınabilirken bazıları tek
başına ele alınmalıdır. BT bağlantılı riskler kurumun her bölümünde vardır ve büyük oranda
değişkenlik gösterirler. Örneğin, şirket web sitesinin hacklenmesi ve elektronik ödeme
işlemlerinin başka tarafa yönlendirilmesi her kurum için farklı riskler oluşturur.
Her Katmanın Düşünülmesi
Etkili bir iç denetim için, her bir BT katmanına ilişkin riskler değerlendirilmeli, hangi
katmana öncelik verileceği kararlaştırılmalı ve bu risklere uygun denetim kaynakları her bir
katmana tahsis edilmelidir. Denetim planının BT bileşeni her bir katmana ilişkin denetimler
içermiyorsa, bütüncül bir yaklaşımla yapılan bir denetim, kurumun BT bağlantılı risklerini
yeterince ele almayabilir.
Bazı durumlarda, tüm katmanların tek bir yılı kapsayan bir şekilde incelenmesi yerine belli bir
zaman dilimi (yani, dönüşümlü olarak çok sayıda yıllar) içerisinde incelenmesi daha uygun
olabilir. BT çevresinde gözlemlenebilecek büyük değişikliklere bağlı olarak üç yılı aşan
dönüşümlü planlar yetersiz olabilir.
Her bir katman için ne kadar kaynak tahsis edilmelidir? Bunlar nerede tahsis edilmelidir?
gibi zorlu soruların yanıtları denetçinin görüşü ve stratejik analizlerle birlikte risk
değerlendirme sürecinin doğal sonuçlarıdır. Spesifik kaynak tahsisine bakılmaksızın bütün BT
katmanları dikkate alınmalıdır.
Bu katmanlar nelerdir?
Bir kurumun BT yapısı aşağıda şekil olarak gösterilmiştir. Her kurum farklıdır
birçok kurumdaki temel BT süreçlerinin tanımlanmasına yardımcı bir kaynaktır. Başka BT
inşa modelleri de düşünülebilir. Bunlar
ICT, Bilgi İletişim Teknolojileri teriminin kısaltmasıdır.
katmanlar şunlardır:
• BT yönetimi,
• Teknik altyapı,
• Uygulamalar,
• Dış bağlantılar
Her bir katman için ne kadar kaynak tahsis edilmelidir? Bunlar nerede tahsis edilmelidir?
gibi zorlu soruların yanıtları denetçinin görüşü ve stratejik analizlerle birlikte risk
değerlendirme sürecinin doğal sonuçlarıdır. Spesifik kaynak tahsisine bakılmaksızın bütün BT
katmanları dikkate alınmalıdır.
yapısı aşağıda şekil olarak gösterilmiştir. Her kurum farklıdır
birçok kurumdaki temel BT süreçlerinin tanımlanmasına yardımcı bir kaynaktır. Başka BT
inşa modelleri de düşünülebilir. Bunlar, EK-A’da sunulmuştur.
ICT, Bilgi İletişim Teknolojileri teriminin kısaltmasıdır. Ele alınması gereken temel
9
Her bir katman için ne kadar kaynak tahsis edilmelidir? Bunlar nerede tahsis edilmelidir? Bu
gibi zorlu soruların yanıtları denetçinin görüşü ve stratejik analizlerle birlikte risk
değerlendirme sürecinin doğal sonuçlarıdır. Spesifik kaynak tahsisine bakılmaksızın bütün BT
yapısı aşağıda şekil olarak gösterilmiştir. Her kurum farklıdır, ancak bu şekil
birçok kurumdaki temel BT süreçlerinin tanımlanmasına yardımcı bir kaynaktır. Başka BT
Ele alınması gereken temel
10
Bu şeklin denetim planının kategorilerini tanımlamadığını unutmayınız. Denetim planı, spesifik bir BT
denetim işlemi planlandığında, kurumun süreçlerine ya da bir standart çerçeveye göre kategorilere
ayrılabilir. Bu şekil BT ile kurum arasındaki ilişkileri anlamaya yardımcı olmak ve her bir katman için
gerekli kaynak tahsisini sağlamak için tasarlanmıştır. Spesifik denetimlerin yapılması İDY’nin
kararına bağlıdır.
BT Yönetimi
BT yönetimi; BT hizmetleri ve BT tesislerini yöneten insanlar, politikalar, prosedürler ve
süreçler kümesinden oluşur. Süreç ve veri bütünlüğü, idari personelin düzenli olarak yaptığı
spesifik görevlere önemli ölçüde bağlıdır. Bu nedenle, bu bileşen; sistem taraması,
programlama, planlama, tedarikçi yönetimi, problem ve vaka yönetimi, değişiklik yönetimi,
BT proje yönetimi, acil kurtarma, güvenlik yönetimi ve BT yönetişimi gibi aşamalardan
oluşur.
Bu işlevler ticari süreçlerdir ve benzer bir denetim yaklaşımına sahiptirler. Bu aşamada,
denetçi teknik sistem ayarlarından daha çok insanlara ve görevlere bakar. Bazı durumlarda,
yönetim süreci teknik tesisleri de ele alır. Böyle olduğunda hem tesisler hem de yönetim
sürecinin denetimi yapılır. Bu süreçlere ilişkin bazı kontroller oldukça teknik olabilir ve
11
uzmanlık becerisi gerektirebilir. Ancak deneyimli bir iç denetçinin sahip olduğu beceriler de
büyük ölçüde yeterli olacaktır.
Teknik Altyapı
Bu katman, temel ticari uygulamaların yürütülmesini sağlayan, bunları destekleyen ve
bunların temelinde yatan teknolojiyle ilgilidir. Genelde, bu katman şunları içerir:
İşletim Sistemleri: İşletim sistemleri bilgisayara nasıl çalışması gerektiğini gösteren
programlar kümesidir. Z/OS, UNIX, WINDOWS ve OS/400’ü işletim sistemlerine
örnek olarak gösterebiliriz. Tüm programlar ve dosyalar işletim sistemi aracılığıyla
çalışır. İşletim sistemi düzeyinde gerçekleştirilen işlemler, proses düzeyinde mevcut
güvenlik ve kontrollerin çoğunu genelde baypas ederler.
Dosyalar ve Veri Tabanları: Kritik öneme sahip olsun ya da olmasın bütün
elektronik ticari veriler bir dosyada saklanır ve bunlar başka bir yerdeki bir veri
tabanının parçası olabilirler. Veri tabanları (tek bir dosya ya da bir grup dosya olarak);
veriler, veri birimleri arasındaki ilişkileri gösteren bilgiler ve veri birimlerine ilişkin
indeksler içerir. Veri tabanı yapılarının esnekliği, bu verilerin çoğunlukla ticari
süreçler ve raporlama işlemleri için kullanıldığını gösterir. Oracle, MS SQ1 sunucusu
ve DB2’yi örnek veri tabanları olarak gösterebiliriz. Veri tabanı seviyesinde atılan
adımlar da proses düzeyinde mevcut kontrollerin çoğunu baypas etme eğilimindedir.
Ağlar: Kurum içinde veri akışını sağlamak için kablolu, fiber optik kablolu ya da
kablosuz bir aktarım sistemi kullanılır. Ağ; kablolar gibi fiziki bileşenler, switch,
router ya da güvenlik duvarları gibi ağ trafiğini kontrol eden cihazlar ve veri hareketini
kontrol eden programlardan oluşur. Kurumun ticari verilerinin düzgün ve tam olmasını
sağlama konusunda ağ yapısının bütünlüğü önemli bir rol oynar. Örneğin, bir depo
işçisi bir ürünü yüklerken onu barkod okuyucu ile okutuyorsa bu işlem defterikebire
nasıl kaydedilir? Bu sorunun cevabı şudur: Bu bilgi ağ içinde aktarılır ve işlenir. Peki,
bu bilgi ağda aktarılmaz ve işlenmezse ne olur? Yolunu kaybeder ya da tümden
kaybolursa ne olur? Kurum bunu nasıl bilebilir?
Veri Merkezleri: Bilgisayar ekipmanları; teknik altyapı ve uygulamaların güvenliğini
sağlamak için gerekli fiziksel altyapı, fiziki güvenlik ve çevresel ortamı sağlayan veri
merkezleri ve sunucu odalarında barındırılırlar.
12
Teknik altyapı denetimleri, teknik konfigürasyon ayarlarının gözden geçirilmesiyle birlikte
bunlarla bağlantılı yönetim süreçlerine odaklanır.
Uygulamalar
Ticari uygulamalar, ticari işlemlerle bağlantılı spesifik görevlerin yerine getirilmesini
sağlayan programlardır. Bunlar, ticari süreçlerin bir parçasıdır ve uygulamaları destekleyen
proseslerden ayrı düşünülemezler. Bu uygulamalar genelde iki kategoriye ayrılırlar:
Ticari işlemleri işleyen ve kaydeden ve esasen yazılımlardan oluşan işlemsel
uygulamalar. Satış emiri işlemleri, defterikebir kayıtları ve depo yönetimi bu
uygulamalara örnektir.
Destek uygulamaları ise ticari faaliyetleri yürüten ancak genelde bunları işlemeyen
özgün ve uzmanlaşmış yazılım programlarıdır. Veri depoları, e-posta programları, faks
yazılımı, ticari istihbarat yazılımı, belge görüntüleme yazılımı ve tasarım yazılımı bu
uygulamalara örnektir.
BT denetim işleminin genelinde, dikkatler işlemsel uygulamalara verilir. Ancak dış raporlama
ya da makineleri kontrol eden uygulamalar gibi bazı destek uygulamaları da yüksek risk
taşıyan alanlar olabilirler.
İç denetim işlevinin, kurumun yeni ortaya çıkan risklerini sürekli değerlendirmesi ve gerekli
denetim cevabını vermesi gerekir. BT’nin bazı özellikleri için gerekli uzmanlık bilgisi bu
durumu daha da karmaşık hale getirir.
Dış Bağlantılar
Şirket ağı, tek başına çalışmaz. Bir sürü dış ağa bağlı olması büyük bir olasılıktır. İnternet
akla ilk gelen unsurdur, fakat denetçiler çoğu zaman sadece interneti dikkate alma hatasına
düşerler.
Aslında şirket ağının birçok başka ağa (hizmet sağlayıcı olarak bulut bilgi işlem ve yazılımı
da dâhil) bağlı olması büyük bir olasılıktır. Örneğin, kurum ticari işlemlerini EDI yoluyla mı
yapıyor? Öyleyse şirket ağı büyük olasılıkla bir EDI sunucusuna ya da belki de doğrudan
doğruya bir ticari ortağın ağına bağlıdır. Kurum, depo sağlayıcısı olarak üçüncü şahısları mı
kullanıyor? Şayet öyleyse, bu iki ağ birbirine bağlı olabilir. Başka ticari ağlara ve kontrollere
ilişkin riskler, internet bağlantılı ağlar için uygulanan prosedürlerden farklı prosedürlerle ele
alınabilir.
13
Kurumlar temel proseslerini otomasyona geçirdikçe, şirket ağına dışardan erişim de – çoğu
zaman internet yoluyla - artmaktadır. Bir kredi kartının hesap durumunun incelenmesi ya da
bir paketin yükleme ve sevk durumu buna örnektir. Bu işlemleri internet yoluyla
gerçekleştiren müşteriler muhtemelen bu şirketlerin iç ağlarına girmektedirler.
Dış ağlar, kurumun kontrolü altında değildir ve bu nedenle, bu ağlara güvenilmemelidir. Dış
ağlara doğru ya da onlardan yapılan tüm iletişimler, kurumun risk seviyesine uygun ölçüde
sıkı kontrol edilmeli ve izlenmelidir. Kurum sadece kontrol edebildiği şeyleri
denetleyebileceği için bu riski ele alan BT denetim prosedürlerini tanımlamak zor olabilir. Bu
nedenle, en azından giriş ve çıkışları denetlemek kritik öneme sahiptir.
5. Risk Temelli Yaklaşım
Risk temelli yaklaşım; denetim programının inşası ve sürdürülmesi, personelin işe alınması ve
BT denetim işleminin gerçekleştirilmesi de dâhil olmak üzere iç denetim işlevinin yönetimine
ilişkin tüm faaliyetleri kapsar. Bu bölümde, risk değerlendirmesinde BT’nin payı üzerinde
durulmaktadır.
BT bağlantılı risklerin değerlendirilmesinde, iç denetim, BT’ye özgü denetim işlemini ilgili
zaman zarfında en yüksek olası değeri katacak şekilde tanımlar. BT bağlantılı risklerin
belirlenmesi için ayrı bir metodolojiye gerek yoktur. Bütün risk türleri için aynı metodolojinin
kullanılması, iç denetim işlevinin tüm aşamaları boyunca tutarlı tek bir iç denetim risk
değerlendirme süreci sunması bakımından da önemlidir.
Risk, genelde bir olayın sonucu ile bu olayın olma olasılığının birlikte ele alınmasıyla ifade
edilir. Özellikle olma olasılığı düşük olay zincirleri değerlendirilirken riski tam olarak
tanımlamak zordur. Risk değerlendirmesinde her iki faktör de birlikte kullanılmalıdır.
İstatistiki bilgiler ve hata kayıtları bu değerlendirmeler için önemli veriler sağlayabilir. Bazı
durumlarda, olayın olmasına neden olan yolları ya da olayın olma olasılığını bilmeden sadece
sonuçları (bir veri merkezinin kaybı gibi) ele almak dikkat edilmesi gereken riskleri
belirlemek için yeterlidir.
Bazen bütün BT denetim türleri için uygulanabilecek fakat farklı yollarla ifade edilen genel
risk kurallarını tanımlamak mümkündür. Olası maruziyet durumu için uygulanacak genel
önlemler sayıca büyük ve ticari açıdan kritik öneme sahip olabilir. Örneğin, bir veri
merkezinin desteklediği ticari işlem sayısı onun ticari açıdan kritikliği (muhtemelen önemi)
hakkında, ev sahipliği yaptığı sunucuların sayısı ise onun büyüklüğü hakkında bilgi verir.
14
Diğer taraftan, bir projenin büyüklüğü onun bütçesiyle, ticari önemi ise nihai uygulamanın
desteklediği kurum ve kuruluşların sayısıyla ölçülebilir. Gerçekleştiği bilinen olay sayısı ya
da projeler bakımından kurumun başarı geçmişi ise olayın gerçekleşme olasılığı hakkında
bilgi verir.
Veri toplamaya ek olarak, BT bağlantılı risklerin değerlendirilmesi için önemli bir başka
kaynak da, BT yönetimi, ticari yönetim ve uzmanlar gibi ana paydaşlarla yapılan
görüşmelerdir. Bu görüşmeler, doğrudan ölçülmesi zor olan risklerin belirlenmesini
kolaylaştırır.
Teknolojide ve toplumun teknolojiyi kullanma alışkanlıklarında meydana gelen hızlı
değişiklikler de ele alınması gereken önemli bir konudur. Bu durum, risk değerlendirmelerinin
sık sık güncellenmesini gerektirir. Sosyal ağların varlığı ve kullanımıyla hızla artan özel
bilgilerin paylaşımı bunun canlı bir örneğidir. Bu konuyla ilgili detaylı bilgi için, lütfen IIA
tarafından yayımlanan Özel Risklerin Denetlenmesi başlıklı Mesleki Uygulama Rehberine
bakınız.
Son olarak, BT bağlantılı risklerin değerlendirmesine ilişkin detaylı bilgiler için lütfen GTAG
11: BT Denetim Planının Geliştirilmesi başlıklı rehbere bakınız.
6. Denetim Evreni
BT denetim kaynaklarının tahsisi ve bütçelendirilmesi için bir temel oluşturmak ve BT
bağlantılı risklerin denetiminin kapsamına ilişkin makul bir güvence sağlamak için, denetim
evreni, BT içeren ve BT denetim uzmanlık becerileri gerektiren incelemeleri ve gözden
geçirmeleri tanımlamalıdır.
Ayrı bir BT denetim evreni olmamalıdır. BT denetim işlemi, genel denetime bütünleşik
olmalıdır, çünkü BT ile BT’nin desteklediği ticari işlemler arasında güçlü bir bağ vardır. BT
ticari uygulamalarının genellikle ticari sürecin bir parçası olarak genel denetim evreni içinde
yer alması buna bir örnektir. Denetim evreni; denetim türlerinin sınıflandırılmasına ve
böylece BT uzmanlığı gerektiren gözden geçirmelerin tanımlanmasına (BT uygulamalarının
ve BT süreçlerinin denetimi) imkân verecek bir şekilde yapılandırılmalıdır.
Süreçlerin sınıflandırılması / yapılandırılması için, genelde BT yönetimi tarafından kullanılan
yapı esas alınır. Bu yapı genelde BT stratejisinde sunulur. Bu yapının genel kabul gören
15
COBIT, ITIL, COSO gibi sistemler ya da başka çerçeveler esas alınarak oluşturulması
idealdir (Detaylı bilgi için lütfen 8. Bölüme bakınız).
Karmaşık bir kurumda aşırı detaylı bir denetim evreni, en basitinden binlerce BT bağlantılı
unsur içerebilir. Denetim evrenini oluşturmak, güncel tutmak ve tüm unsurları içeren bir risk
değerlendirmesi yapmak için gereken çaba dikkate alındığında böyle bir denetim evrenini
yönetmek zordur. Şayet BT bağlantılı unsurlar çok genel tanımlanmışsa, böyle bir denetim
planının oluşturulma gerekçesi de yetersiz kalır.
Denetim evrenine ilişkin BT bileşenleri geliştirilirken izlenmesi gereken bazı önemli
prensipler şunlardır:
Belirgin olmayan unsurlar da dâhil olmak üzere ilgili tüm unsurların ele alınmasıyla
bütünlüğün sağlanması (yani, offshore hizmet sağlayıcılar gibi dışarıdan alınan
hizmetler, BT bağlantısı yüksek ticari bağlantılı unsurlar ve otomasyon oranı yüksek
ticari süreçler).
Güncelleme işlemi sırasında, yeni ortaya çıkan ve ileride ortaya çıkabilecek konulara
daha fazla önem verilmesi. Bulut teknolojisi, sosyal medya ve mobil cihazların
kullanımı bunun güncel örnekleridir.
Sürecin gelişmesine katkı sağlayacak veri girişi ve önerilerini teşvik etmek için
denetim evreninin gizli tutulmaması, ilgili paydaşlarla (yani BT yönetimi ve diğer
yönetimler) paylaşılması gerekir.
Detaylı bilgi için lütfen GTAG 11: BT Denetim Planının Geliştirilmesi başlıklı rehbere
bakınız.
7. Yeterlilikler ve Beceriler
Birçok kurumda sürekli gündemde olan konulardan birisi, BT sistemlerinin kullanımı ve buna
bağımlılık düzeyi ile bu teknolojiler vasıtasıyla yaratılan risklerin tanımlanması ve idaresi için
kullanılan kaynaklar arasında gözlemlenen boşluktur. Bu nedenle, yönetişim, risk yönetimi ve
kontrol süreçleri değerlendirilirken iç denetimin bilgi sistemlerine gereken önemi vermesi
önemlidir.
İDY’nin bu riskleri ele alırken dikkat etmesi gereken ana bileşenlerden birisi, denetim
ekibinin yeterliliğini sağlamaktır. Bu durum, iç denetçilerin sadece bilgi, beceri ve
deneyimlerine uygun alanlarda hizmet vermesini öngören Uluslararası Mesleki Uygulamalar
16
Çerçevesinin (IPPF) Etik Kurallar bölümüyle ve iç denetçilerin münferit sorumluklarını
yerine getirmeye uygun bilgi, beceri ve diğer yeterliliklere sahip olmasını öngören Standart
2010: Yeterlilik başlıklı belgeyle de desteklenmektedir. Gerekli bilgi, beceri ve diğer
yeterliliklere sahip olunması ya da bunların elde edilmesi bütün olarak iç denetim faaliyetiyle
ifade edilir. IIA, iç denetim faaliyetinin sürdürülmesi için gerekli yeterlilikleri tanımlamak
için bütünleşik bir yeterlilik çerçevesi sunmaktadır.
İç denetim birimi BT denetiminin tümü ya da bir kısmı için gerekli bilgi, beceri ve diğer
yeterliliklere sahip değilse, İDY, gerekli tavsiye ve yardımları sağlamalıdır. Planlanan
denetimlerin icrası için tahsis edilen kaynaklar bu konuda önemli bir role sahiptir. Örneğin bir
güvenlik duvarı konfigürasyonunu denetlemek için gerekli beceriler ile veri tabanındaki
ödemeler dengesi tablosunu denetlemek için gerekli beceriler birbirinden çok farklıdır.
Belirlenen bir denetim için gerekli uygun becerilere sahip bir denetçinin o denetime verilmesi
önemlidir. Doğrusal olarak, İDY’nin hiçbir denetçinin BT denetim işini tek başına
yapamayacağını anlaması ve denetim işlevinin kimi aşamasında uygulamalara aşina
denetçilere, kimi aşamasında ise altyapı teknolojilerine aşina denetçilere ihtiyaç duyulacağını
bilmesi gerekir.
Dolayısıyla, denetim evrenini, teknoloji kullanımı sonucu ortaya çıkan riskleri ve mevcut
personelin BT denetimine ilişkin becerilerini iyi bilen bir İDY, işe alma ve eğitim
aşamalarında odak noktasını buna göre belirlemelidir. Gerekli beceri ve yetenekler yoksa ya
da bu becerilere sahip bir personelin yetiştirilmesi ya da kiralanması konusunda bir karar
alınmadıysa. İDY, kendi personeline destek verecek ya da onların eksiklerini tamamlayacak
dış hizmet sağlayıcılardan faydalanma yolunu (dış kaynağa yaptırma ya da dış kaynakla
birlikte yapma)1 seçebilir.
Denetçilerin yetenek ve becerilerini yönetmenin bir parçası olarak, İDY’nin BT bağlantılı
sorumluluklarını tamamlamak için aşağıda verilen bazı temel soruların cevaplandırılması
gerekir:
• Kurumun tümünün BT bileşenleri, süreçlerin planlanması aşamasına dâhil edildi mi ve
yüksek düzeyde risk taşıyan alanlar tanımlandı mı?
1Detaylı bilgi için lütfen Uygulama Önerisi 1210.A1-1: İç Denetim Faaliyetinin Desteklenmesi ya da
Tamamlanması için Dış Hizmet Sağlayıcıların Kullanılması’na bakınız.
17
• Kurumun BT kullanımının denetimi için gerekli farklı beceriler gözden geçirildi mi?
İDY, kendi denetim biriminde ne tür becerilere sahip olduğunu inceledi mi?
• Bilgi eksikliklerinin nasıl tamamlanacağı konusunda (yani işe alma, dış kaynağa
yaptırma ve dış kaynakla birlikte yapma) denetim biriminin bir politikası var mı?
• BT denetçileri gerekli eğitim, sertifika ve deneyime sahip mi? Şayet değillerse bu
eksikliğin tamamlanması için denetim biriminin bir planı var mı?
• İç denetim birimi, kurumun teknoloji kullanımı, kuruma ait riskler ve denetimlerin
nasıl verimli yürütüleceği konusunda denetçilerin bilgi sahibi olmalarını sağlayacak
yeterli eğitimleri veriyor mu?
8. BT Denetim İşleminin İcrası
BT denetim işleminin icrası süreci, diğer denetim işlemlerinden genel olarak farklı değildir.
Denetçi denetimi planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımı ve kontrollerin
işlemsel verimliliğini test eder, sonuca varır ve bu sonuçları test eder. İDY’lerin çoğu bu
genel süreci bildikleri için bu GTAG rehberinde detaya girilmeyecektir. Ancak BT denetim
işlemi konusunda İDY’nin bilmesi ve yönetmesi gereken bazı konular vardır.
BT Denetçileri ve Diğer Denetçiler Arasında İşbirliği
Denetim faaliyeti icra edilirken, iç denetim işlevi bütüncül bir yaklaşımla ele alınmalıdır.
Yalnızca uzman BT denetçileri tarafından denetlenecek BT alanları (veri merkezleri, ağlar
gibi temelde BT altyapısı odaklı konular ya da kullanıcı yardım masaları gibi BT süreçleri)
vardır, ancak uygulamaların gözden geçirilmesi aşamasında hem ticari hem de BT dâhil
olmak üzere bütün değer zincirlerinin denetlenmesi önemlidir. Bu tür denetimlerde denetimin
odak noktasında kurumun ticari amaçları olmalı ve bütün riskler (BT bağlantılı riskler de
dâhil) bu bakış açısına göre değerlendirilmelidir. Bu, zor görülebilir ancak oldukça faydalıdır,
çünkü ticari işlemlerin BT’ye olan bağımlılığını ölçer. Hâlihazırda bir acil kurtarma planı
yoksa, acil bir durumda geçecek arıza süresinin ticari işlemler üzerindeki etkisini tanımlamak
için BT denetçileri ve işlemleri denetleyen denetçiler birlikte çalışabilirler. Olgunluk
seviyesine ulaşmış bir iç denetim kurumunda böyle bir durumda denetim sürecine kimin
liderlik edeceği önemli değildir. Önemli olan, optimum denetim sonucuna ulaşmak için
gösterilecek işbirliği düzeyidir.
18
Çerçeveler ve Standartlar
BT denetim işlemi yapılırken denetçilerin karşılaştığı zorluklardan birisi de denetimin neye
kıyasla yapıldığı sorusudur. Çoğu kurum, kullandığı uygulama ve teknolojilerin tümü için
ilgili BT kontrol taban çizgilerini belirlememiştir. Teknolojide gözlemlenen hızlı değişiklikler
bu tür taban çizgilerini çok kısa bir sürede kullanışsız hale getirebilir.
İDY, işe belirli bir BT kontrol amaçlar kümesiyle başlamalı ve o denetim ortamına yüzde yüz
tam anlamıyla uygunluk göstermese de uygun bir çerçeve seçmelidir.
COSO ve COBIT
İDY, kapsamlı bir BT kontrol amaçlar kümesine nereden ulaşabilir? COSO İç Kontrol
Bütünleşik Çerçeve ve Kurum Risk Yönetimi Bütünleşik Çerçeve belgesi sıkça başvurulan bilgi
kaynaklarıdır, ancak bu kaynaklar BT odaklı değildirler. COSO temelli bir kontrol ortamı, BT
kontrol ortamını etkili bir şekilde değerlendirmek için daha detaylı BT kontrol amaçlarıyla
genişletilmelidir. Bunun için bir dizi seçenek mevcuttur.
BT yönetişimi ve kontrol çerçevesi için yaygın olarak kullanılan bir denetim aracı, Bilgi
Sistemleri Denetim ve Kontrol Derneği’nin (ISACA) Bilgi ve Bağlantılı Teknolojiler için
Kontrol Amaçları (COBİT) başlıklı rehberidir. İlk olarak 1994 yılında yayımlanan bu rehberin
5. Versiyonu 2012 yılında yayımlanmıştır. COBIT, COSO ya da diğer çerçevelerle rekabet
eden bir rehber değildir. COBIT, diğerlerine kıyasla daha sağlam BT-özgü kontrol amaçları
sunduğu için bu rehberleri tamamlayacak şekilde kullanılabilir.
Politikalar, Standartlar ve Prosedürler
COBIT gibi bir çerçeve, genel kabul görmüş BT kontrol amaçlar kümesi sunarak yönetim
kademesinin BT risklerini ölçmesini ve yönetmesini sağlayacak bir yaklaşım oluşturmasına
yardım eder. Yönetim kademesi genelde bu tür çerçeveleri kapsamlı bir BT politikaları,
standartları ve prosedürleri kümesi geliştirmek için kullanır. Politika, standartlar ve
prosedürlere ilişkin ilgili kaynaklara dair genel bir bakış, EK A’da bulunabilir.
19
9. Raporlama
İDY’ler; kurul2, icra kurulu, düzenleyiciler, dış denetçiler gibi ana paydaşlara ya da BİY’ye
BT denetim işinin sonuçlarına ilişkin diğer güvence işlerindekine benzer şekilde düzenli
raporlar verirler. Ana paydaşlarla nasıl iletişim kurulacağı konusunda detaylı bilgi için lütfen
Yönetim ile İletişim başlıklı IIA Mesleki Uygulama Rehberine bakınız.
Çoğu denetim raporunda olduğu gibi, BT denetim raporlarını okuyan kişiler, aslında
görüşülen ya da kontrolleri yürüten kişilerin çok üstünde yönetim kademesinden kişiler
olabilir. Denetim raporları en önemli bilgileri tam ve açık şekilde aktarmalı, böylece yapılan
gözlemler ya da ele alınan sorunlar iyice anlaşılmalı ve ilgili yönetim bunlara gereken cevabı
verebilmelidir. Belirlenen sorunları ve bunlarla bağlantılı riskleri ele alacak etkili eylem
planları yönetim tarafından uygulanmadıkça, iyi yapılmış bir denetim para ve zaman israfıdır.
Yönetim kademesi genelde neyin yanlış olduğunu bulmak için yapılmış denetim süreçlerine
ait raporları okumak istemezler. Yönetim kademesi, neyin yanlış olduğunu, bunun olası
sonuçlarının neler olduğunu ve buna ilişkin ne tür adımlar atılması gerektiğini gösteren
raporlar isterler.
Denetim faaliyeti icra edilirken iç denetim işlevi bütüncül bir yaklaşımla ele alınmalıdır.
Kurumların çoğu BT sistemlerine bütünüyle bağımlı oldukları için güvence sağlamak içim
kurumun BT ortamında gözlemlenen riskler ve kontrolleri rapor etmek İDY’nin genel
yaklaşımı olmalıdır. (Belki de verimlilik sebebiyle) tek başına denetlenmesi gereken BT
süreçleri ve BT altyapısı olabilir ancak genel olarak izlenmesi gereken yaklaşım bütün değer
zincirlerinin (hem ticari hem de BT) denetlenmesidir. Bu tür denetimler yürütülürken yönetim
kademesine BT bağlantılı risklere kıyasla daha kolay iletilebilecek olan ticari risklere fazla
odaklanılmalıdır. BT bağlantılı bir risk eninde sonunda ticari risklere yol açar ancak bu ikisi
arasındaki bağlantı açık değildir.
Pekâlâ, raporlama aşamasından bakıldığında iç denetim güvencesinin bir parçası olarak ne tür
bir BT denetim işlemi gerçekleştirilmelidir? Kablosuz ağların denetimi mi yapılmalıdır? Ağ
inşası ve tasarımına ilişkin bir denetim mi yapılmalıdır, yoksa elektronik tasarım
2“Kurul” kelimesi Standartlar sözlüğünde şöyle tanımlanmaktadır: Kurumun faaliyetlerini ve idaresini
yönlendirme ve/veya gözetleme sorumluluğuna sahip en yüksek yönetim organı. Genellikle bu ifade bağımsız
bir grup yöneticiyi (yönetim kurulu, denetim kurulu, yöneticiler ya da tröstler kurulu) kapsar. Böyle bir grup
yoksa “Kurul” kelimesi kurumun en tepesindeki kişiye atıf yapar. “Kurul” kelimesi, yönetim organının bazı
işlevleri devrettiği bir denetim komitesine de atıf yapabilir.
20
uygulamalarının gözden geçirilmesi mi sağlanmalıdır? Denetimler bu tür ayrımlara göre
yapılırsa denetim bulgularının sadece incelenen münferit teknolojik parçalarla ilgili olması
riski vardır. Bazı kişiler için bu tür bir rapor doğru ve yeterli görülebilir, yönetim ya da icra
kurulu teknik konularla ilgili detaylarla ilgilenmeyebilir ya da bunları anlamayabilir. Bu
kademedeki kişiler genelde ticari konularla ilgili BT denetim bulgularını görmek isterler. Bu
nedenle, BT denetim işlemi süreç denetçileri, işlem denetçileri ve finansal denetçilerle birlikte
ve onların uyguladığı usullerle yapılmalıdır. Bu, özellikle sistemde çok sayıda ana proses
kontrollerinin bulunduğu büyük entegre ERP sistemi için geçerli bir durumdur. Veri merkezi
ya da kablosuz ağlar gibi merkezi altyapıya ilişkin bazı durumlarda denetimin zor olduğunu
yine de unutmayınız. Bu durumlarda bu tür denetimlerin münferit bileşenler için yapılması
daha uygundur. Ancak denetim sırasında tanımlanan risklerin ticaret diline ve ticari risklere
dönüştürülerek ifade edilmesi gerekir.
Rapor yazarları, raporlarını hedef kitlenin konuya ilişkin yeterli bilgi düzeyine sahip ancak
denetlenen alana ilişkin spesifik tecrübesi eksik okuyucular olduğunu varsayarak yazmalı ve
vermek istedikleri mesajları ağdalı bir dilin ya da teknik terimlerin ardına gizlememelidir.
İDY’nin amacı açık, anlaşılabilir ve dengeli bir mesaj iletmektir.
10. Denetim Araçları
İDY, denetim işleminin etkinliğini ve verimini artırmak için çeşitli araçları ve/veya teknikleri
kullanma imkânlarını aramalıdır. Genel olarak, denetim araçları yatırım gerektirir; bu nedenle,
İDY bir araca yatırım yapmadan önce o araca ilişkin maliyetleri/yararları dikkatle
incelemelidir. Denetim araçları iki genel kategoride incelenir: Denetim işleminin genel
yönetimini destekleyen (burada tanımlanmayan) denetimi kolaylaştırıcı unsurlar (elektronik
evrak yönetim aracı gibi) ve denetim testlerinin performansını otomatikleştiren test araçları
(veri analiz araçları ve CAATS gibi).
BT Test Araçları
Test araçları, çok sayıda verinin gözden geçirilmesi gibi zaman alıcı denetim görevlerini
otomatik olarak yapabilen araçlardır. Denetim prosedürlerinin yerine getirilmesi için bir
aracın kullanılması, tutarlılığın sağlanmasını da sağlar. Örneğin sunucu güvenlik
konfigürasyonun değerlendirilmesi için bir aracın kullanılması, bu araçla test edilen diğer tüm
sunucuların da aynı taban çizgisi temelinde değerlendirilmesini sağlar. Bu prosedürlerin elle
yapılması, işin içine bir parça da olsa denetçinin yorumunun karışmasına neden olur. Son
21
olarak, bu tür araçların kullanılması denetçiye sadece belli bir işlemler numunesinden ziyade
tüm verilerin incelenmesi imkânını verir. Bu da denetimin güvence düzeyinin daha da
artmasını sağlar.
İDY’ler, BT denetim araçlarını elde ederken ticari araçların seçiminde gösterdikleri
hassasiyetin (işlevsellik, destek) aynısını göstermelidirler.
Güvenlik Analiz Araçları:
Büyük ölçekli cihazları ve/veya kullanıcıları gözden geçirebilen ve bunların güvenlik
maruziyetlerini tanımlayabilen bir dizi araç vardır. Çok farklı türde güvenlik analiz araçları
olmakla birlikte en yaygın kullanılan ağ analiz araçları şunlardır:
Ağ Analiz Araçları: Bunlar bir ağ üzerinde çalıştırılabilen yazılım araçlarından oluşur
ve ağ hakkında bilgi toplarlar. Hackerlar saldırının başında ağ yapısının nasıl olduğunu
belirlemek için genelde bu araçlardan birini kullanır. BT denetçileri bu araçları aşağıda
sayılan bir dizi işlem için kullanabilir.
Şirket ağının haritasını çıkararak ağ şemasının doğruluğunu teyit etmek.
Denetim sırasında üzerinde ilaveten durulması gereken temel ağ cihazlarını
belirlemek.
Ağ üzerinde ne tür bir bilgi trafiğine izin verildiği hakkında bilgi toplamak (bu,
BT risk değerlendirme sürecini doğrudan destekler).
Hassasiyet Değerlendirme Araçları
Çoğu teknolojiler, varsayılan ID’ler ve şifreler ya da varsayılan ayarlar gibi cihaz kutudan
çıkarıldığında mevcut olan ayarlar gibi bir dizi standart hassasiyete sahiptir. Bu değerlendirme
araçları standart sistem açıklarına karşı otomatik bir kontrol mekanizması sağlarlar.
Bu araçlar güvenlik duvarları, sunucular, ağlar ve işletim sistemleri için kullanılabilir.
Bunların çoğu “tak ve kullan” tarzında araçlardır. Denetçi bu araçları istediği sisteme arama
için belirlediği bir değer aralığında takar ve cihaz bu aralıkta tanımlanan mevcut hassasiyetleri
toplayarak rapor eder.
Bu araçlar, sadece hackerların kuruma saldırmak için kullandığı araçlardan birisi olmaları
bakımından değil aynı zamanda bir dizi başka sebepten dolayı da denetçiler için önemli
araçlardır. Taradıkları sistemin bütünlüğüne etki edebilecek kapasitede oldukları için bu
22
araçların bazılarının zararlı olabileceği de unutulmamalıdır. Denetçi, bu araçların kullanım
planını güvenlik şefiyle gözden geçirmeli ve bazı durumlarda test süresinin üretim prosesine
etki etmemesi için araçları BT yönetimiyle koordineli bir şekilde test etmelidir. Bu araçların
bazıları sistem yöneticileri ya da güvenlik şefleri tarafından sistem yönetim sürecinin bir
gereği olarak düzenli bir biçimde kullanılıyor olabilir. Böyle durumlarda bu araçlar, usulüne
uygun tasarlanması ve uygulanması halinde BT denetim işlemini destekleyecek nitelikte
sonuçlar verebilir.
Uygulama Güvenlik Analiz Araçları
Büyük entegre uygulamaların birçoğu, önceden belirlenmiş kurallara kıyasla kullanıcı
güvenliğini analiz eden ve tedarikçi tarafından sunulan uygulama güvenlik analizi araçlarına
sahiptir. Bu araçlar, uygulama içinde görevlerin nasıl dağıtıldığını da değerlendirebilir. İDY,
bu araçların çoğunun önceden belirlenmiş kurallar kümesi ya da tedarikçi tarafından
ayarlanmış “iyi uygulamalar” yüklenmiş halde geldiğini bilmelidir.
11. Sonuç
Teknoloji bağlantılı yeni riskler ortaya çıktıkça bu riskleri yeterince ele alacak yeni
prosedürlere ihtiyaç duyulmaktadır. Son 15 yılda teknolojinin iç denetim işlevinin doğasını
değiştirdiğine şüphe yoktur. Kurumlar risklerle karşılaştıkça, yapılması gereken denetim
türleri, hangi denetim evrenlerine öncelik verileceği ve önemli bulguların yönetim kurulu ve
üst yönetime nasıl iletileceği gibi konular İDY’lerin ele alması gereken sorunlar olmuştur.
Ticari strateji rehberleri, denetim evreni ve risk değerlendirmesi için rehberlik ederler ve
yönetim kurulu ve idare için neyin önemli olduğu ve mevcut işlemlerde ne gibi değişiklikler
yapılması gerektiğini belirler. Bu nedenle, İDY’nin hem ticari stratejiyi hem de bunun
kurumdaki rolünü ve bunların birbirleri üzerindeki etkisini anlaması önemlidir.
İDY, kurum işlemleri ve BT altyapısının haritasını çıkarırken kurum içindeki çeşitli
teknolojiler ve operasyonel ilişkilerin etkilerini görme şansına sahip yegane kişidir. BT
projeleri kurumlarda değişikliğin itici gücü olan temel unsurlardır ve çoğu zaman yönetim
tarafından ticari stratejiyi uygulamak için kullanılan mekanizmalardır.
Denetim planının BT bileşenleri geliştirilirken bir İDY’nin karşılaştığı ilk zorluklardan birisi,
kurum içinde BT faaliyetinin tanımlanmasıdır. BT ortamlarında büyük çeşitliliklerin
olduğunu bilen bir İDY, BT tanımına, onu bileşenlere bölerek ulaşabilir. Her bileşen bir
23
yandan farklı özellikte, bir yandan da önemlidir. Risk temelli yaklaşım iç denetim
faaliyetlerinin hemen hemen tümü için uygulanan genel bir kavramdır. Denetim evreni, BT’yi
içermelidir, çünkü ticari işlemler ile BT arasında güçlü bağlantılar vardır.
Bu riskleri ele alırken İDY’nin ele alması gereken temel bileşenlerden birisi denetim ekibinin
gerekli beceri düzeyine sahip olmasını sağlamaktır. Ek olarak, İDY’ler denetimin etki ve
verimliliğini artıracak araç ve/veya teknikleri kullanma imkanlarını da araştırmalıdır.
Herhangi bir ticari araca benzer şekilde denetim araçları da hem zaman hem de kaynak
yatırımı isteyen araçlardır. Bu nedenle, İDY bu tür araçlara yatırım yapmadan önce bu aracın
maliyet/yarar dengesini dikkatle düşünmelidir.
Son olarak, BT denetim işleminin icrası diğer denetim işlemlerinden genelde farklı değildir.
Denetçi denetimi planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımın ve kontrollerin
operasyonel verimliliğini test eder, bir sonuca varır ve bu sonuçları test eder. Benzer şekilde,
denetçiler, BT denetim işlemine ilişkin sonuçları yönetim kurulu, icra kurulu, düzenleyici
otoriteler ve dış denetçiler gibi ana paydaşlara ve Bilgi İşlemleri Yöneticisine (BİY) diğer
güvence hizmetleri sırasında yaptıkları gibi düzenli rapor ederler.
12. Yazarlar ve Gözden Geçirenler
Yazarlar:
Stephen Coates, CIA, CGAP, CISA
Max Haege
Rune Johannessen, CIA, CCSA, CRMA, CISA
Jacques Lourens, CIA, CISA, CGEIT, CRISC
Cesar L. Martinez, CIA, CGAP
Gözden Geçirenler:
Steve Hunt, CIA, CRMA, CISA, CGEIT
Steve Jameson, CIA, CCSA, CFSA, CRMA
24
EK A: Standartlar için Kaynaklar
Rehber hazırlanırken dikkate alınan bazı standartlar şunlardır:
ISO 27001: Uluslararası Standardizasyon Kurumu tarafından başlangıçta bir Birleşik Krallık
Standardı (BS7799) olarak yayımlanan daha sonra ise ISO 27001 olarak bilinen uluslararası
düzeyde geçerli bir standarda dönüşen bu standart güvenlik standartlarıyla ilgili jenerik
bilgiler verir. Bilgi güvenliğinin yönetimine ilişkin en iyi uygulamaları içeren bu standart aynı
zamanda BT denetçilerinin denetimlerinde taban çizgisi olarak kullandığı yararlı bir
kaynaktır.
http://www.iso.org
Kapasite Olgunluk Model Entegrasyonu (CMMI): Kapasite Olgunluk Modelleri
(CMM’ler) kavramı, Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü tarafından
temelde yazılım kullanımı olmak üzere bir kurumdaki bir dizi süreç için geliştirilmiştir. En
son geliştirilen yaklaşım CMMI’dir.
http://www.sei.cmu.edu
Amerika Birleşik Devletleri Bilgisayar Güvenlik Kaynağı Merkezi: Standartlar ve
Teknolojiler Ulusal Kurumunun (NIST) bir birimi olarak faaliyet gösteren Amerika Birleşik
Devletleri Bilgisayar Güvenlik Kaynağı Merkezi, bilgi güvenliği kontrol konularına ilişkin
detaylı bilgiler veren kapsamlı bir dizi yayın sunmaktadır. “Kablosuz Yerel Ağların
Güvenliğine ilişkin Rehberler” (WLAN’lar) ve “Kamunun Bulut Teknolojisini Kullanımında
Güvenlik ve Gizliliğe ilişkin Rehberler” örnek yayınlardandır. Bu standartlar tüm sektörlerde
kullanılabilecek en iyi uygulamaları göstermektedir.
http://csrc.nist.gov
SysAdmin, Denetim, Ağ, Güvenlik (SANS) Enstitüsü: Bilgi güvenliği eğitimi konusunda
dünyada en güvenilen kurumlardan biri olan SANS Enstitüsü çeşitli teknolojilerinin çeşitli
güvenlik yönlerine ilişkin birçok eser yayımlamaktadır. SANS yayınları, BT denetçisinin
denetim sırasında referans alabileceği bir dizi spesifik koşulu göstermektedir.
http://www.sans.org
25
BT Altyapı Kütüphanesi (ITIL): ITIL, dünya çapında BT hizmetlerinin yönetimi için en
yaygın kabul edilen yaklaşımdır. ITIL, hem kamu hem de özel sektör için uluslararası
düzeyde geçerli en iyi uygulamaları içerir.
http://www.itil-officalsite.com
Tedarikçilere Özgü Standartlar: Birçok teknoloji tedarikçisi ürettikleri teknolojiler için
güvenlik ve kontrol rehberleri yayımlamaktadır. Örneğin SAP firması, SAP ERP
uygulamasının güvenlik ve kontrolü için detaylı tavsiyeler içeren bir güvenlik rehberi
çıkartmaktadır. Tedarikçiler tarafından yayımlanan bu standartlar, güvenlik ve kontrol
konularını bazen NIST tarafından çıkarılan rehberler kadar ele almayabilse de iyi bir
başlangıç yapılmasına imkân verirler. İDY’ler spesifik standartların olup olmadığını görmek
için tedarikçilerin kritik görevlere sahip sistemlerini kontrol etmelidir. Çoğu kez tedarikçiler
konuyla ilgili bir şey yayımlamazken o teknolojiyle ilişkili kullanıcı grupları (yani farklı SAP
Kullanıcı Grupları) yayın yapmış olabilir.
26
EK B: BT İnşa Modelleri:
Rehber hazırlanırken dikkate alınan bazı BT İnşa Modelleri ve referansları şunlardır:
Abu Dabi BT İnşa & Standartlar Çerçevesi: Sekiz kademeli çerçeve temelinde hazırlanan
bu kaynak BT ortamının tüm özelliklerini ele alır. Ticaret, Erişim & Sunum, Uygulama, Veri,
Entegrasyon, Altyapı, Güvenlik ve İşlemler ele alınan konulardır.
http://adsic.abudhabi.ae
AndroMDA: Modern kurum uygulamaları birbirine bağlı ve her biri ayrı bir işlevi yerine
getiren bir dizi bileşen kullanılarak inşa edilir. Benzer işlevleri yerine getiren bileşenler
genelde aynı kademe başlığı altında gruplandırılır. Daha sonra bu bileşenler, üst kademedeki
bileşenin alt kademedeki bileşenin sunduğu hizmetleri kullandığı bir küme halinde düzenlenir.
Bahsedilen kademedeki bir bileşen genelde kendi kademesine ait işlevleri ya da alt kademenin
işlevlerini kullanır.
http://www.andromda.org
TOGAF®: İş verimliliğini artırmak için dünyanın önde gelen kurumları tarafından kullanılan
bir Açık Grup Standardı olan TOGAF® işlevselliği kanıtlanmış bir kurum inşa metodolojisi ve
çerçevesidir. http://www.opengroup.org
27
GTAG®
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet gösteren
bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur. IIA, iç denetimin
dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel eğitmenidir.
Mesleki Uygulama Rehberleri Hakkında
Mesleki Uygulama Rehberleri, iç denetim faaliyetlerinin icra edilmesi için detaylı bilgiler
sunarlar. Araçlar ve teknikler, programlar, aşama aşama izlenmesi gereken yaklaşımlar gibi
süreç ve prosedürlere ilişkin detaylı bilgilere ek olarak örneklere de bu rehberlerde yer verilir.
Mesleki Uygulama Rehberleri IIA’in yayımladığı UMUÇ’un bir parçası değildir. Israrla
tavsiye edilen rehberler kısmında yer aldığı için bu rehbere uyulması zorunlu değildir ancak
uyulması önemle tavsiye edilir. Bu rehber, resmi bir gözden geçirme ve onay sürecinin
ardından IIA tarafından tasdik edilmiştir.
Global Teknolojiler Denetim Rehberi (GTAG); bilgi teknolojisi yönetimi, kontrolü ve
güvenliğine ilişkin güncel konuları ele almak için sade bir ticari dille yazılmış bir tür Mesleki
Uygulama Rehberidir.
IIA tarafından yayımlanan diğer kabul görmüş rehberlere ulaşmak için lütfen internet
sayfamızın www.globaliia.org/standards-guidance bölümünü ziyaret ediniz.
Sorumluluk Reddi
Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit koşullara
kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya belirli koşullar için
bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu rehbere güvenme
durumlarından doğabilecek zararlar için sorumluluk kabul etmez.
Telif Hakkı
Copyright ® 2013 The Institute of Internal Auditors.
Çoğaltmak için lütfen IIA’in guidance[at]theiia.org e-posta adresine başvurunuz.
Uluslararası İç Denetçiler Enstitüsü
www.globaliia.org