Embed Size (px)
Citation preview
GTAG®
GLOBAL TEKNOLOJİ DENETİM KILAVUZU
UMUÇ - Uygulama Kılavuzu
Bilgi Teknolojisi
Riskler ve Kontroller
2. Baskı
İç Denetim
Enstitüsü
Global Teknoloji Denetim Kılavuzu (GTAG®) 1
Bilgi Teknolojisi
Riskler ve Kontroller
2. Baskı
Mart 2012
İçindekiler
Yönetici Özeti ................................................................................................................... 5
1. Giriş .............................................................................................................................. 6
2. BT Bağlantılı Kurumsal Risk ve Kontrollerin Esasına Giriş ........................................... 9
3. İç Paydaşlar ve BT Sorumlulukları ................................................................................ 14
4. Risklerin Analizi ........................................................................................................... 16
5. BT Değerlendirmesi - Genel Bakış ................................................................................ 21
6. BT Kontrollerin Öneminin Anlaşılması ......................................................................... 25
7. BT Denetim Yeterlilikleri ve Becerileri ......................................................................... 39
8. Kontrol Çerçevesinin Kullanımı ................................................................................... 40
9. Varılan Sonuç ................................................................................................................ 43
10. Hazırlayanlar ve Kontrol Edenler ................................................................................ 45
11. Ek: BT Kontrol Çerçevesi Kontrol Listesi .................................................................... 46
Yönetici Özeti
Bu GTAG, Bilgi Teknolojileri (Information Technology - BT) yöneticileri için değil, üst
düzey yöneticiler için yazılmış olan kaynakları temin etmek suretiyle, İç Denetim
Yöneticilerinin [İDY] (Chief Auditing Executives – CAE) ve iç denetçilerin sürekli değişen
ve zaman zaman da karmaşıklaşan BT dünyasına ayak uydurmasına yardımcı olur. Hem
yönetim hem de Kurul, iç denetim faaliyetinin, BT uygulamalarıyla ortaya çıkan veya zemin
hazırlanan önemli risklerin tümüne karşı güvence sağlaması yönünde bir beklenti içindedir.
GTAG serisi, İDY’lerin ve iç denetçilerin teknolojiyi çevreleyen risk, kontrol ve yönetişim
sorunları hakkında daha fazla bilgi sahibi olmasına yardımcı olur. Bu GTAG’in amacı, iç
denetçilerin genel BT kontrolleri konusuna daha fazla hakim olmasına yardımcı olmaktır;
böylece bu konuda kendi Kurullarında daha rahat söz alabilirler ve Bilgi Sistemleri
Yöneticisiyle [BSY](Chief Information Officer - CIO) ve BT yönetimiyle riskler ve bunların
kontrolleri hakkında fikir alışverişinde bulunabilirler. Bu GTAG, yürütme kurullarının
üyelerinin, üst düzey yöneticilerin, BT profesyonellerinin ve iç denetçilerin BT’yle ilgili
önemli risk ve kontrol sorunlarına karşı uyguladıkları hareket tarzını tarif eder ve ayrıca, BT
risk ve kontrollerinin değerlendirilmesi için ilgili çerçeveleri sunar. Hatta, belirli BT
konularını ve bunlarla bağlantılı görev ve sorumlulukları daha ayrıntılı olarak ele alan başka
GTAG’lar için de zemin hazırlar.
Bu kılavuz, GTAG serisinin Mart 2005’te yayımlanan GTAG 1: Bilgi Teknolojisi Kontrolleri
başlıklı ilk bölümünün ikinci baskısıdır. Amacı, BT’yle ilgili riskler ve kontroller konusunda
genel bir bilgi vermektir.
1. Giriş
Bu GTAG’ın amacı, BT risklerini ve kontrollerini, İDY’lerin ve iç denetçilerin güçlü BT
kontrollerine olan ihtiyacı anlamasına ve anlatmasına olanak sağlayan bir formatta
açıklamaktır. Okuyucunun, BT kontrollerinin değerlendirilmesi için çerçeve dahilinde
ilerlemesine ve ihtiyaçlar temelinde belirli hususları ele almasına olanak sağlayacak şekilde
düzenlenmiştir. Bu GTAG, BT kontrol değerlendirmesinin kilit unsurları hakkında genel bilgi
verir ve organizasyon içinde BT kaynaklarının yönetişimine yön verebilecek kilit elemanların
görev ve sorumluluklarını vurgular. Bazı okuyucular bu GTAG’ta yer alan bazı konulara
aşina olabilir, fakat bazı bölümler de BT risk ve kontrollerinde uygulanacak yaklaşımlar
hakkında yeni perspektifler sunar. Bu GTAG’ın ve seride yer alan diğer kılavuzların bir amacı
da, BT risk ve kontrollerinin ne olduğu konusunda ve etkin bir BT kontrol ortamı oluşturmak
ve sürdürmek için yönetim ve iç denetim personelinin neden temel BT risk ve kontrollerine
dikkat etmesi gerektiği hakkında diğer personele eğitim vermek için BT kontrol
değerlendirme bileşenlerinin kullanılabilmesidir.
Teknoloji büyüme ve gelişme için olanaklar sunmasına rağmen, bozgunculuk, hilekarlık,
hırsızlık ve sahtecilik gibi tehlikeleri de beraberinde getirir. Araştırmalar göstermiştir ki, dış
saldırılar organizasyonlar için tehdit oluşturmakla birlikte, güvenilir personelin içeriden bilgi
sızdırması çok daha büyük bir tehlikedir. Neyse ki, bu kılavuzda da gösterildiği gibi, teknoloji
aynı zamanda tehditlere karşı koruma sağlayabilir. Üst düzey yöneticiler, sorulması gereken
doğru soruların neler olduğunu ve bunların cevaplarının ne anlama geldiğini bilmelidir.
Örneğin:
Neden BT risklerini ve kontrollerini anlamam gerekiyor? İki kelime: güvence ve
güvenilirlik. Üst düzey yöneticiler, bilgi güvenilirliğini güvence altına almada kilit rol
oynar. Güvence esas olarak bir dizi bağımsız iş kontrolüyle ve kontrollerin sürekli ve
yeterli olduğuna dair kanıtlarla sağlanır. Yönetim, kontrollerle ve denetimlerle elde edilen
kanıtları değerlendirmeli ve makul güvence temin ettiği sonucuna varmalıdır.
Ne korunmalıdır? Güven korunmalıdır, çünkü işi ve etkinliği garanti eder. Kontroller
sıklıkla gözle görülmemesine rağmen güvenin temelini teşkil eder. Teknoloji pek çok -
belki de çoğu - iş kontrolünün temelini teşkil eder. Finansal bilgi ve süreçlerin
güvenilirliği - ki günümüzde pek çok organizasyon için zorunludur - güvenin ne olduğunu
tam olarak ortaya koyar.
BT kontrolleri nerelerde uygulanır? Her yerde. BT, teknoloji bileşenlerini, süreçleri,
insanları, organizasyonu, mimariyi ve yanı sıra bilginin kendisini içine alır. Pek çok BT
kontrolü teknik niteliklidir ve BT pek çok iş kontrolü için gereken araçları temin eder.
Kim sorumludur? Herkes. Ancak, kontrol yetkisi ve sorumlulukları yönetim tarafından
tanımlanmalı ve dağıtılmalıdır. Aksi takdirde, kimse sorumlu olmaz ve sonuçları da
oldukça yıkıcı olabilir.
BT risk ve kontrollerinin değerlendirmesi ne zaman yapılmalıdır? Her zaman. BT, süreç
ve organizasyon değişimlerini teşvik eden, hızlı değişen bir ortamdır. Birdenbire yeni
riskler ortaya çıkmaktadır. Kontrollerin etkinliği sürekli kanıtlarla doğrulanmalı ve bu
kanıtlar daima değerlendirmeye tâbi tutulmalıdır.
Ne kadar kontrol yeterli kabul edilir? Yönetim, risk alma isteği, tolerans ve zorunlu
yönetmelikler temelinde karar vermelidir. Kontroller hedef değildir, iş hedeflerine
ulaşılmasına yardımcı olmak için vardır. Kontroller iş yapmanın maliyetlerinden biridir ve
pahalı olabilir, fakat yetersiz kontrollerin yaratacağı muhtemel sonuçlar kadar pahalı
olamaz.
Mal varlıklarını, müşterileri, ortakları ve hassas bilgileri korumak, güvenli, etkin ve etik
davranış sergilemek ve markayı, ünü ve güveni korumak için BT kontrolleri zorunludur.
Günümüzün küresel pazarında ve düzenleyici ortamında bunlar yitirilmesi çok kolay
şeylerdir. Bir İDY, bir organizasyonun çerçevesini ve iç denetim uygulamalarını BT risk ve
kontrolü, uyumluluk ve güvence açısından değerlendirmek için bu kılavuzu esas alabilir. Bu
kılavuz, sürekli değişim, artan karmaşıklık, hızla evrim geçiren tehditler ve etkinliği artırma
gereksinimi gibi zorlu koşulları karşılamak için de kullanılabilir.
BT kontrolleri tek başına bulunmaz. Birbirlerine bağlı halkalar halinde bir koruma sürecini
oluştururlar, fakat zayıf halkalardan dolayı bu sürecin tehlikeye düşmesi de söz konusu
olabilir. BT kontrolleri, basit seviyeden yüksek düzeyde teknik seviyeye kadar değişen
hatalara ve yönetimin engellemelerine maruz kalabilirler ve dinamik bir ortamda bulunurlar.
BT kontrolleri iki önemli elemana sahiptir: iş kontrolleri otomasyonu (iş yönetimini ve
yönetişimini destekler) ve BT ortam ve işlemlerinin kontrolü (BT uygulamalarını ve
altyapılarını destekler). İDY her iki elemanı da dikkate almalı ve değerlendirmelidir. İDY, iş
ve BT denetim becerilerinin bir entegre denetim kapasitesi kapsamında bir arada çalıştığı
kontroller olarak otomasyonlu iş kontrollerini izleyebilir. İDY, daha fazla teknik uygulama,
altyapı ve işlemi değerlendirmek için gereken teknik beceri ve uzmanlık temelinde genel BT
kontrollerini veya Genel Bilgisayar Kontrollerini (General Computer Controls - GCC’ler)
ayırmayı isteyebilir. Örneğin, bir Kurumsal Kaynak Planlaması (Enterprise Resource
Planning - ERP) uygulaması, ERP veri tabanı yapılarıyla, kullanıcı erişimiyle, sistem
konfigürasyonuyla ve finansal raporlamayla ilgili kontrolleri anlamak ve değerlendirmek için
daha fazla teknik bilgi birikimi gerektirir. İDY, ağlar, yönlendiriciler, güvenlik duvarları ile
kablosuz ve mobil cihazlar gibi altyapıların değerlendirilmesinin özel beceri ve deneyim
gerektirdiğini görür. BT kontrollerinde iç denetçinin rolü güçlü bir kavramsal anlayışla başlar
ve risk ve kontrol değerlendirmelerinin sonuçlarının elde edilmesiyle sona erer. İç denetim,
kontrol sorumluluğuna sahip mevkilerdeki insanlarla önemli düzeyde etkileşim içerir ve yeni
teknolojiler ortaya çıktıkça ve organizasyondaki olanaklar, kullanım alanları, bağımlılıklar,
stratejiler, riskler ve gereksinimler değiştikçe sürekli öğrenme ve yeniden değerlendirme
gerektirir.
BT kontrolleri, bilginin ve bilgi hizmetlerinin güvenilirliğiyle ilgili güvence temin eder. BT
kontrolleri, organizasyonun teknoloji kullanımıyla bağlantılı risklerin azaltılmasına yardımcı
olur. Bu kontroller, şirket politikalarından, bunların düzenlenen talimatlar dahilinde fiziksel
uygulamalarına; faaliyet ve işlemleri takip etme yeteneği vasıtasıyla fiziksel erişimin
korunmasından, bunlardan sorumlu bireylere ve yüksek hacimli veriler için otomatik
düzenlemelerden, mantıklılık analizlerine kadar değişirler.
Aşağıda, kilit kontrol kavramlarına ait örnekler verilmiştir:
Güvence, şirket içi kontrol sistemi dahilindeki BT kontrolleriyle sağlanır. Bu güvence
sürekli olmalı ve bir dizi güvenilir kanıt temin etmelidir.
İç denetçinin güvencesi, BT’yle ilgili kontrollerin amaçlandığı gibi yürütüldüğüne dair
bağımsız ve objektif bir değerlendirmedir. Bu güvencenin esası, risklerle ilgili kilit
kontrollerin anlaşılması, incelenmesi ve değerlendirilmesi ve yanı sıra kontrollerin uygun
şekilde tasarlanmasını ve etkin ve sürekli şekilde çalışmasını sağlamak için yeterli
testlerin yapılmasıdır.
BT kontrollerini ve bunların hedeflerini sınıflandırmak için pek çok çerçeve mevcuttur. Bu
kılavuz, her organizasyonun, BT risklerini ve kontrollerini sınıflandırmak ve değerlendirmek
için, mevcut çerçevelerin ilgili bileşenlerini kullanmasını tavsiye eder.
2. BT Bağlantılı İş Riskleri ve Kontrollerinin Esasına Giriş
2.1 Kilit Kavramlar
Organizasyonlar sundukları ürün ve hizmetleri geliştirmek için teknolojinin sürekli değişen
yeteneklerini desteklemeye devam etmekte ve bu da iç denetim çalışmalarını zora
sokmaktadır. İç Denetim Enstitüsünün (Institute of Internal Auditors - IIA) hazırladığı
‘Profesyonel İç Denetim Uygulamaları için Uluslararası Standartlar’ (Standartlar), iç
denetçilerin, organizasyon içinde çalışan bilgi sistemlerine ait risk ve kontrolleri
değerlendirmesi gerektiğini özellikle belirtir. IIA, ilave GTAG’lar vasıtasıyla, BT risk ve
kontrollerinin değerlendirilmesi hakkında bir başka perspektif ortaya koymuştur. GTAG 4:
BT Denetim Yönetimi, BT risklerini ve ortaya çıkan BT risk ortamını ele alır, GTAG 11: BT
Denetim Planının Geliştirilmesi ise, iç denetçilerin, teknolojinin desteklediği iş ortamını ve
BT denetim ortamının potansiyel özelliklerini değerlendirmesine yardımcı olur. Ek olarak,
GTAG 8: Denetim Uygulaması Kontrolleri, uygulama kontrollerinin spesifik denetim
özelliklerini ve iç denetçilerin kontrolleri değerlendirirken kullanabileceği yaklaşımı kapsar.
Bu GTAG’da kullanılan kurul terimi Standartlar dokümanının terimler sözlüğünde
tanımlanmıştır: “bir kurul; yönetim kurulu, denetim kurulu, bir dairenin veya yasama
organının başkanı, bir sivil toplum kurumunun yürütme kurulu veya mütevelli heyeti, ya da
organizasyonun tayin edilmiş başka herhangi bir kurulu (örneğin, iç denetim direktörünün
görev bakımından bağlı olabileceği denetim komitesi) gibi, organizasyonu yöneten bir
kuruldur.”
Bu GTAG tarafından daha ayrıntılı olarak inceleneceği gibi, BT risk ve kontrollerinin
tanımlanması için yapılacak yerinde değerlendirme, oluşturulan iş süreçi ortamıyla ve
organizasyonun üst düzey yöneticileri ve Kurul tarafından açıklandığı şekilde ulaşılması
gereken spesifik organizasyon hedefleriyle bağlantılı olmalıdır. BT riskleri; insanlar, süreçler,
altyapı ve mevcut kurum risk ortamı arasındaki toplam karmaşık bağlantı olanaklarının sadece
bir parçasını oluşturur ve organizasyon tarafından bir bütün halinde yönetilmelidir.
İç denetçilerin, BT risklerinin azaltılması için kullanılabilecek kontrolleri anlaması gerekir.
Kontrollerin, kontroller arasında işletim etkinliği sağlayan bağlantılar üzerine ve yanı sıra bir
kontrol grubunun başarısız olmasının diğer kontrol gruplarına daha fazla güvenilmesine ve o
kontrol gruplarında ihtiyaç duyulan incelemelerin yapılmasına sebep olabileceği gerçeği
üzerine kurulu bir hiyerarşi içinde var olduğu düşünülebilir. Bu dokümanda, BT kontrolleri,
organizasyon içinde onları uygulayanın ve idame ettirenin kim olduğuna bağlı olarak
yönetişim, yönetim, teknik ve uygulama gibi terimlerle birlikte anılır.
BT kontrollerinin bir başka yönü de genel ve uygulama kontrolleridir. Genel BT kontrolleri
tipik olarak yaygın niteliklidir ve bu kontrollere çeşitli denetim yolları üzerinden ulaşılır.
Örnekler arasında BT işlemleri, uygulama geliştirme ve bakımı, kullanıcı yönetimi, değişiklik
yönetimi, destek ve kurtarma bulunur. Uygulama kontrolleri bir başka kontrol sınıfını
oluşturur ve girdi, süreç ve çıktı çerçevesinde bir uygulama içinde yer alan kontrolleri kapsar.
Bu GTAG, aynı zamanda, altyapının, süreçlerin ve teknoloji vasıtasıyla işi destekleyen
personelin yönetim ve yönetişimi için kontrollerin kullanımını inceler. BT’nin sürekli
kullanımından ve yanı sıra yönetimin ve Kurulun artan gözetiminden dolayı, BT yönetişimi
organizasyonlar içinde gelişmeye devam etmektedir.
2.2 BT Yönetişimi
BT kontrolleri konusunu ele alırken en önemli husus, BT’nin organizasyonun genel iş
ihtiyaçlarını destekleyebilmesini sağlayan çerçeveyi temin eden BT yönetişimidr. BT
yönetiminin, organizasyonun hedeflerine ulaşmak ve üst düzey yönetimin belirlediği amaçları
yerine getirmek için organizasyonun kullandığı iş süreçleri konusunda güçlü bir anlayışa
sahip olması önemlidir. BT yönetişimi sadece tanımlanan riskleri ortadan kaldırmak için
gereken kontrollerden oluşmaz, aynı zamanda organizasyonun genel strateji ve amaçlarına
büyük ölçüde paralel olması ve bu strateji ve amaçların yerine getirilmesini sağlaması gereken
tümleşik bir BT uygulamaları ve personeli yapısıdır.
Bir İDY’nin, BT yönetişimi yapısını ve onun, organizasyon için sonuçlar ortaya koyma ve BT
faaliyetinin etkinliklerini geliştirme yeteneklerini değerlendirebilmesi gerekir. Araştırma
çalışmaları göstermiştir ki, BT yönetişimi iş performansının artmasını ve yanı sıra stratejik
hedeflere ulaşmada BT’nin daha işe paralel şekilde çalışmasını sağlamamaktadır.
BT yönetişimi liderlikten, organizasyonel yapılardan ve organizasyonun BT’sinin
organizasyonun strateji ve hedeflerini sürdürmesini ve desteklemesini sağlayan süreçlerden
oluşur.
İç denetim faaliyetinin, organizasyonun BT yönetişiminin organizasyonun strateji ve
hedeflerini destekleyip desteklemediğini değerlendirmesi gerektiğini belirten 2110.A2 sayılı
IIA Standardı uyarınca, İDY’lerin genel BT görünümünün bu kilit özelliğini değerlendirmeye
hazırlıklı olması gerekir.
BT yönetişimi ilkelerinin doğru şekilde uygulanması, tüm organizasyonu ve BT’nin işle
etkileşim şeklini etkileyebilir.
BT risklerinin tanımlanması ve yönetimi ile gelişmiş BT işlemlerinin
etkinleştirilmesi: BT yönetişimi, Kurum Risk Yönetimi (Enterprise Risk Management -
ERM) de dahil olmak üzere bir organizasyonun risk yönetimi faaliyetleriyle sıkı bağlantı
kurulmasını sağlamaya yardımcı olur. BT yönetişiminin, genel kurum risk yönetimi
çalışmalarının ayrılmaz bir parçası olması gerekir, böylece BT faaliyetlerine, risk
durumunun organizasyon vasıtasıyla önemli paydaşlara iletilmesi de dahil olmak üzere
uygun teknikler eklenebilir. Bir İDY, tüm organizasyonun kullanmakta olduğu risk
yönetim faaliyetlerini gözden geçirmeli ve BT risk yönetimi çalışmaları ile şirket risk
faaliyetleri arasında bir bağlantının mevcut olmasını ve BT risk profili için uygun dikkatin
gösterilmesini sağlamalıdır.
Kurum ile BT arasındaki ilişkinin geliştirilmesi: BT yönetişimi, BT kullanımı ile bir
kurumun genel strateji ve hedefleri arasında bağlantı kuran bir mekanizma temin eder.
Kurum ile BT arasındaki ilişki, BT kaynaklarının doğru zamanda doğru şeyler yapmaya
odaklanmasını sağlar. BT ile kurum arasındaki iletişim serbest ve bilgilendirici olmalı, BT
tarafından sunulanların ve yanı sıra bu çalışmaların durumunun anlaşılmasını
sağlamalıdır. Bir İDY, paralelliği gözden geçirmeli ve kurum ve BT organizasyonlarının
kaynak öncelikleri ve teşvikleri ile genel yatırım kararları konusunda işbirliği yapmasına
olanak sağlayan güçlü portföy yönetimi süreçlerinin bulunmasını sağlamalıdır.
BT yönetiminin hedeflerine ulaşma yeteneğinin titizlikle gözlenmesi: BT
organizasyonları, işi desteklemek için, günlük BT işlemlerinin etkin şekilde ve ödün
vermeden sunulmasının sağlamasını da kapsayan stratejileri tanımlar. Sadece BT’nin
taktik esasta işlemesine yardımcı olmak için değil, aynı zamanda personelin uygulama
tecrübelerini geliştirme faaliyetlerine yön vermek için de ölçütler ve amaçlar belirlenir.
Sonuçlar BT’nin stratejisini yürütmesini ve organizasyon liderlerinin onayıyla belirlenmiş
hedeflerine ulaşmasını sağlar. Bir İDY, BT ölçüt ve hedeflerinin organizasyonun
amaçlarına paralel olup olmadığını ve onaylanan teşvikler temelinde sağlanan ilerlemenin
bir ölçüsü haline gelip gelmediğini değerlendirmelidir. İDY, ayrıca, ölçütlerin etkin
şekilde ölçüldüğünün doğrulanmasına yardımcı olabilir ve BT işlemleri ve yönetişiminin
taktik ve stratejik esasta gerçekçi görünümlerini ortaya koyabilir.
Risklerin yönetilmesi ve iş ve BT sonuçları için sürekli geliştirme olanaklarının
tanımlanması: Risk yönetimi, bir organizasyon içindeki etkin bir BT yönetişimi yapısının
kilit bir bileşenidir. BT risklerinin tanımlanması ve yönetimi, BT faaliyetinin BT işini
daha etkin şekilde yürütmesini sağlar ve aynı zamanda uygulamalarını geliştirmek için
potansiyel olanakları tanımlar. BT riskleri, risk yönetimi çalışmalarının durumunu bütün
yönetim seviyelerine metodik olarak ileten yetki sahiplerini tanımalıdır. İDY, BT risk
ortamının devamlılığını doğrulamada önemli rol oynar ve bağımsız risk değerlendirmesi
ile denetim planlama çalışmaları için iç denetim ortamının tanımlanmasına yardımcı
olmak için bilgiyi kullanır. BT İdare Enstitüsü (BT Governance Institute - ITGI) ve
ISACA tarafından geliştirilen Risk BT Uygulama Kılavuzu, BT risklerinin tanımlanması
ve değerlendirilmesi için bir çerçeve temin eder ve aynı zamanda Bilgi ve İlgili Teknoloji
Kontrol Hedefleri (Control Objectives for Information and Related Technology - COBIT)
çerçevesine doğrudan bağlantı sunar.
BT yönetişiminin, BT’nin değişen iş ve BT ortamlarına adapte edilebilirliğini
geliştirmesi: BT yönetişimi, BT’nin sorumluluklarını daha iyi yönetmesi ve iş desteği
sunabilmesi için, tanımlanmış süreçler ve BT personelinin tanımlanmış görev ve
sorumlulukları vasıtasıyla bir temel temin eder. Bu formalite sayesinde BT, potansiyel
anormallikleri günlük esasta ve eğilim esasında daha iyi tanımlama yeteneğine sahip olur
ve böylece durumların ve sorunların ana sebeplerinin tanımlanmasını sağlar. Ek olarak,
BT, yeni veya geliştirilmiş iş yetenekleri için özel taleplere daha esnek şekilde adapte
olma yeteneğine sahiptir. Günümüz İDY’si, BT’nin bilinmeyen problemlerin çözümüne
nasıl eğildiğini belirlemek için bu gibi veri kaynaklarını (örneğin, yardım masası ve
problem yönetim etiketleri) değerlendirmeye tâbi tutabilir. İDY, ihtiyaçların önceliklerin
nasıl belirleneceğini ve organizasyonun değişen öncelikleri temelinde ihtiyaçların
önceliklerini yeniden belirlemek için esneklik bulunup bulunmadığını anlamak için BT
portföy yönetim süreçlerini de gözden geçirebilir.
İç denetim faaliyetleri organizasyonun BT yönetişim yapısını ve uygulamalarını
değerlendirdiğinden, etkin BT yönetişiminin yolunu açan aşağıdaki gibi çeşitli kilit bileşenler
değerlendirilebilir:
Liderlik. BT hedefleri ile organizasyonun mevcut/stratejik ihtiyaçları arasındaki ilişkiyi
değerlendirin. BT liderlerinin, organizasyonun stratejik amaçlarının gelişimine ve
süregelen uygulamasına katılımını değerlendirin. BT faaliyeti içinde görev ve
sorumlulukların nasıl dağıtıldığını ve personelin bu görev ve sorumlulukları tasarlandığı
gibi yerine getirip getirmediğini gözden geçirin. Ayrıca, kıdemli yönetimin ve Kurulun,
güçlü BT yönetişiminin oluşturulması ve sürdürülmesine yardımcı olmadaki rolünü
gözden geçirin.
Organizasyon yapıları. İş ve BT personelinin mevcut organizasyon yapısı içinde
birbiriyle nasıl bir etkileşim içinde olduğunu ve günümüzdeki ve gelecekteki ihtiyaçları
nasıl ilettiğini gözden geçirin. Bu, BT’nin iş ihtiyaçlarını yeterince karşılamasına izin
vermek ve aynı zamanda, resmi değerlendirme yapılması ve önceliklerin belirlenmesi
suretiyle işin gereksinimleri karşılamasına fırsat vermek için gerekli görevlerin ve ast-üst
ilişkilerinin varlığını içermelidir.
BT süreçleri. İşin ihtiyaçlarını yönetmek ve yanı sıra iş süreçleriyle ve bunların
temelindeki sistemlerle ilgili gerekli güvenceyi sağlamak için BT süreçi faaliyetlerini ve
kontrollerini yerinde değerlendirin. BT faaliyeti, BT ortamını desteklemek ve beklenen
hizmetlerin sürekli verilmesine yardımcı olmak için süreçleri kullanır. Organizasyonun bu
hedeflere ulaşmasına yardımcı olmada BT’nin nasıl ölçüleceğini belirleyin.
Risk yönetimi. BT ortamı içindeki riskleri tanımlamak, değerlendirmek ve izlemek/
azaltmak için BT faaliyetinin süreçlerini gözden geçirin. Ek olarak, personelin risk
yönetim süreçinde sahip olduğu sorumluluğu ve bu beklentilerin ne derece iyi
karşılandığını belirleyin. Uygun risk yönetim uygulamalarının yürürlükte olup olmadığını
ve risk demografisinin (örneğin, risk sıklığı, etki, azaltma teknikleri) uygun şekilde
kayıtlara geçirilip geçirilmediğini ve gerekirse olaydan sonra güncellenip
güncellenmediğini belirlemek için hangi olayların meydana geldiğini ve BT faaliyetinin
etkilediğini anlayın.
Kontrol faaliyetleri. İşi ve tüm organizasyonun desteğini yönetmek için BT tanımlı kilit
kontrol faaliyetlerini değerlendirin. İç denetim, mülkiyet, dokümantasyon ve kendi
kendini doğrulama hususlarını gözden geçirmelidir. Ek olarak, kontrol grubu, tanımlanan
riskleri hedeflemek için yeterince güçlü olmalıdır.
3. İç Paydaşlar ve BT Sorumlulukları
Bir organizasyon, BT ortamını anlamalı ve yönetmelidir. Ayrıca, iş süreçlerinin ne kadar
BT’ye bağlı olduğu ve düzenlemelere uygunluk taleplerine cevap verme ihtiyacı anlaşılmalı
ve kabul edilmelidir.
BT yönetiminde ve kullanımında başarının veya başarısızlığın bir sonucu olarak iş
olanaklarından yararlanılır veya bu olanaklar kaybedilir. Etkin BT yönetişimi, BT’nin işin
hedeflere ulaşmasını sağlaması ve kaynakların ölçülü bir şekilde kullanılması olasılığını
artırır. Aşağıdaki tablo, bir dizi muhtemel gözetim fonksiyonu ve sorumluluğu ile bunların
Kurulla, üst düzey yönetimle, kıdemli yönetimle ve iç denetçilerle bağlantılarını BT
yönetişimi açısından açıklar.
Rol Sorumluluklar
Yönetim Kurulu
Yönetim Kurulu aşağıdakileri yerine getirmelidir:• BT fonksiyonunun stratejik değerini anlamak.• Görev hakkında ve BT’nin kurum üzerindeki etkisi hakkında bilgi sahibi olmak.• Stratejik yönü belirlemek ve geri dönüşünü beklemek.• Sorumlulukların yönetim tarafından nasıl belirlediğini dikkate almak.• Dönüşümün nasıl gerçekleştiğini gözlemlemek.• Yönetimin işleyişindeki sınırlarını anlamak.• Kurumun uyumluluğunu gözetmek.• BT yoluyla ölçülebilir değer sağlamak için doğrudan yönetim.• Kurum için mevcut risklere dikkat etmek.• Öğrenmeyi, büyümeyi ve kaynak yönetimini desteklemek.
Yönetim Kadrosu
Yönetim Kadrosu aşağıdakileri yerine getirmelidir:• BT’nin rolü ve kurum üzerindeki etkisi hakkında bilgi sahibi olmak.• Kurum içindeki strateji, politika ve hedefleri aşamalandırmak ve BT organizasyonunu kurumun hedeflerine paralel hale getirmek.• Gerekli özellikleri ve yatırımları belirlemek.• Sorumlulukları belirlemek.• Mevcut işlemleri devam ettirmek.• Gerekli organizasyonel yapıları ve kaynakları temin etmek.• BT üzerinde risk yönetimi ve kontrol için kesin sorumluluklar vermek.• Performansı ölçmek.• BT’nin desteklemesi gereken ana uzmanlık alanları üzerine odaklanmak.• İş değerini artıran BT süreçlerine odaklanmak.• Bilgi ve bilgi birikimini destekleyen esnek ve uyumlu bir iş ortamı sağlamak. • Değerin ilgili yere ulaştırılmasını güçlendirmek.• BT maliyetlerini optimize edecek stratejiler geliştirmek.
Üst Düzey Yönetim
Üst Düzey Yönetim aşağıdakileri yerine getirmelidir:• BT’ye ilişkin iş ve yönetim beklentilerini yönetmek.• BT stratejilerinin geliştirilmesini teşvik ederek yönetim faaliyetlerini bunlara göre uygulamak.• BT bütçelerini stratejik amaç ve hedeflere bağlamak.• Ölçülebilir değerin zamanında ve bütçeye uygun olarak ilgili yerlere ulaştırılmasını sağlamak.• BT standartları, politikaları ve kontrol çerçevesini ihtiyaç olduğu ölçüde ve zamanda uygulamak.• Üst yönetimi BT’ye ilişkin konular hakkında bilgilendirmek ve bu yönde eğitim programlarını sağlamak.• BT’nin değer katkısının iyileştirilmesinin yollarını aramak.• BT projelerinin iyi yönetilmesini sağlamak.• İş zekasının maliyet-etkin yaratım ve paylaşımını sağlayan ve kolaylaştıran BT altyapıları temin etmek.• Hedeflere ulaşılması ve değer yaratılması için gereken uygun BT kaynak, beceri ve altyapılarının mevcut olmasını sağlamak.• Riskleri ölçüp değerlendirmek, etkin bir şekilde hafifletmek ve paydaşlara görünür kılmak.• BT risk yönetimi için kritik olan rollerin uygun tanımlanıp dağıtılmasını sağlamak.
İç Denetim Birimi
İç denetim birimi aşağıdakileri yerine getirmelidir:• Departmanda yeterli bir BT denetimi uzmanlık tabanı sağlamak.• BT’nin planlanma sürecine BT değerlendirmesini de dâhil etmek.• Kurum dâhilinde BT yönetişiminin strateji ve hedefleri sağlayıp destekleyip desteklemediğini değerlendirmek.• Kurumun bilgi sistemlerine ilişkin risk tehlikelerini tanımlayıp değerlendirmek.• Kurumun bilgi sistemlerindeki risklere yönelik kontrolleri değerlendirmek.• Denetim Departmanı’nın görevlerini (angajman) yerine getirmeye yetecek BT uzmanlığına sahip olduğunu kontrol etmek.• Uygun hâllerde teknoloji tabanlı denetim tekniklerinin kullanımını göz önünde bulundurmak.
İç paydaşlara ek olarak, dış denetçiler, ulusal otoriteler, toplum beklentisi ve uluslararası
standardizasyon kurumları gibi dış tarafların göz önünde bulundurulması da önem arz
etmektedir.
4. Risklerin Analiz EdilmesiBT kontrolleri başa çıkmaları için geliştirildikleri riskler esas alınarak seçilip uygulanırlar.
Riskler tanımlandığında, uygun risk yanıtları (müdahaleleri) belirlenir ki bu yanıtlar hiçbir şey
yapmamak ve riski iş (ticaret) yapmanın bir maliyeti olarak kabul etmekten geniş bir
yelpazede çeşitlenen spesifik kontroller uygulamaya kadar değişmektedir. Bu bölümde BT
kontrollerinin ne zaman uygulanacağına ilişkin konular anlatılmaktadır.
Her kurumda uygulanması gereken tavsiye edilen BT kontrollerinin bir listesini yapmak
oldukça kolay ve yerinde olurdu. Ancak, her kontrolün kurum ve sektör türü göz önünde
bulundurulduğunda maliyet-etkinlik açısından gerekçelendirilemeyebilecek spesifik bir
maliyeti vardır. Nitekim hiçbir kontrol listesi tüm kurum türlerinde genel geçer kabul görüp
uygulanamaz. Her ne kadar uygun kontrollerin seçimine ilişkin birçok iyi ve makul tavsiye
bulunsa da iyi bir muhakemenin yapılması şarttır. Kontrollerin kurumun karşılaştığı risk
düzeyine uygun olmalıdırlar. İDY, denetim komitesine, iç kontrol çerçevesinin güvenilir
olması ve kurumun risk iştahına uygun düzeyde güvence sağlaması gerektiğini tavsiye
edebilmelidir. Bu bağlamda, Treadway Komisyonu'nun Sponsor Kurumlar Komitesi (COSO)2
risk iştahını aşağıdaki gibi tanımlamaktadır:
“… bir şirket veya kurumun hedeflerine ulaşmak uğruna kabul etmeyi göze aldığı geniş
kapsamlı risk düzeyi. Yönetim, kurumun risk iştahını önce stratejik alternatiflerin
değerlendirilmesinde, daha sonra da seçilen stratejiye uygun hedeflerin belirlenmesinde ve
ilgili risklerle başa çıkacak mekanizmaların geliştirilmesinde göz önünde bulundurur.”
Risk iştahının yanı sıra, İDY’nin risk toleransını da hesaba katması gerekmektedir. COSO risk
toleransını şu şekilde tanımlar:
“… hedeflere ulaşılması doğrultusunda kabul edilebilir değişkenlik düzeyi. Spesifik risk
toleranslarını belirlerken, yönetim ilgili hedeflerin önemini göz önünde bulundurur ve risk
toleranslarını kurumun risk iştahına uygun hâle getirir.”
Dolayısıyla, İDY’nin aşağıdakileri göz önünde bulundurması gerekmektedir:
• Kurumun BT ortamının aynı kurumun risk iştahına uygun olup olmadığı
• İç kontrol çerçevesinin kurum performansının belirtilen risk toleransları dâhilinde
kalmasını sağlamak için yeterli olup olmadığı
4.1 BT Kontrollerinin Yeterliliğinin Tespitinde Risk Mülahazaları2 Treadway Komisyonu’nun Sponsor Kurumlar Komitesi, “Hileli Finansal Raporlama Komisyonu’nun Sponsor Kurumlar Komitesi.” www.coso.org
Risk yönetimi, yalnızca BT uygulamalarında değil, bir kurum bünyesinde gerçekleştirilen
tüm faaliyetlerde uygulanır. BT tek başına ele alınamaz. Aksine, BT’ye tüm iş süreçlerinin
ayrılmaz bir parçası gözüyle bakılmalıdır. BT kontrollerinin seçilmesi yalnızca en iyi
uygulamalar olarak tavsiye edilenlerin uygulanması demek değildir; kontrollerin riskleri etkili
bir şekilde azaltarak ve verimi artırarak kuruma değer katmaları gerekmektedir. kurumun iç
kontrol çerçevesi dâhilindeki BT kontrollerini yeterliliğini değerlendirirken, İDY’nin,
yönetim tarafından aşağıdakilerin tespiti için belirlenen süreçleri göz önünde bulundurması
gerekmektedir:
• Bilginin kullanımı (işe yararlığı), değeri ve kritikliği
• Her birim ve iş süreci için kurumun risk iştahı ve toleransı
• Kurum ve kurumun kullanıcılara sağladığı hizmet kalitesinin karşılaştığı BT riskleri
• BT altyapısının karmaşıklığı (kompleks yapısı)
• Uygun BT kontrolleri ve onların sağladığı faydalar
Risk analizi sıklığı önemli olmakla beraber hem iç hem de dış değişikliklerden büyük ölçüde
etkilenir. Teknolojik değişimin hızı her kurumu farklı etkileyecektir. Kimi kurumlar
teknolojik değişimlerle bağlantılı risklere hızla müdahale etmek durumunda kalabilecekken,
kimileri ise bunlara daha ölçülü bir hızla müdahale etmeye karar verebilir.
4.1.1 BT Ortamı
BT’ye ilişkin risk analiz ve ölçümü karmaşık olabilmektedir. BT altyapısı; donanım, yazılım,
iletişim, uygulamalar, protokoller (yani kurallar) ve verilerin yanı sıra bunların fiziksel alan
ve kurumsal yapı dâhilinde ve kurumla kurumun dış çevresi arasında uygulanmasından
oluşmaktadır. Altyapı ayrıca sistemlerin fiziksel ve mantıksal elemanlarıyla etkileşim
hâlindeki kişileri de kapsar.
Göz önünde bulundurulması gereken diğer hususlar arasında projeyle bağlantılı riskler ve
hizmet sağlayıcısıyla (tedarikçi) bağlantılı riskler bulunmaktadır. Projeyle bağlantılı risklere
örnek olarak yetersiz bütçe, yetersiz kaynak, yetersiz proje yönetimi ve yetersiz teknik
beceriler verilebilir. Tedarikçi ve satıcılarla bağlantılı üçüncü şahıs risklerine gelince, BT
denetçisinin kararlılık, mali güç, BT kontrollerinin gözden geçirilmesi ve denetim hakları gibi
konuları incelemesi gerekmektedir.
BT altyapı bileşenlerinin envanteri BT çevresinin zayıf yanlarına ilişkin temel bilgiler
içermektedir. Bir örnekle açıklamak gerekirse, internet bağlantısı bulunan iş sistem ve ağları,
internet bağlantısına ihtiyaç duymayan özerk sistem ve ağlarda bulunmayan tehditlere açıktır.
İnternet bağlantısı çoğu iş sistem ve ağı için temel bir bileşen olduğundan, kurumların, sistem
ve ağ yapılarının temel güvenliği sağlayan esaslı kontrolleri içerdiğinden emin olmaları
gerekmektedir.
Kurumun BT donanım, yazılım, ağ ve veri komponentlerinin eksiksiz envanteri BT
altyapısındaki zafiyetlerin değerlendirilmesinin temelini oluşturur. Sistem mimari şemaları
altyapı komponenetlerinin uygulanışıyla birlikte bu komponentlerin hem kurum içinde hem
de kurum dışındaki diğer kompoenetlerle birbirlerine ne şekilde bağlandıklarını da
göstermektedir. Bilgi güvenliği uzmanı için, güvenlik kontrol ve teknolojilerinin
yerleştirilmesinin de dâhil olduğu BT altyapı envanter ve mimarisi, potansiyel zafiyetleri
gösterir. Ancak, ne yazık ki, bir sistem veya ağa ilişkin bilgiler potansiyel bir saldırgana da
zafiyetleri gösterebileceğinden, bu bilgilere erişim izni yalnızca ihtiyacı olanlara verilmelidir.
Düzgün ve olması gerektiği gibi konfigüre edilmiş bir sistem ve ağ ortamı muhtemel
saldırganlara sağlanan bilgileri en aza indirgeyecektir ki güvenli görünen bir ortam da zaten
saldırganlara daha az cazip görünecektir.
4.1.2 Kurumun Karşılaştığı BT Riskleri
İDY, BT risk konularını BSY (Bilgi Sistemleri Yöneticisi) ve süreç sahipleri ile tartışarak tüm
ilgililerin kurumun BT kullanımı yüzünden karşı karşıya olduğu teknik risklerin yanı sıra bu
ilgililerin etkili kontrollerin uygulanıp sürdürülmesindeki rollerine ilişkin yeterli farkındalık
ve kavrayış düzeyine sahip olup olmadıklarını değerlendirir.
4.1.3 Risk İştahı ve Toleransı
BT riskleriyle ilgili bilgilerle donanmış olan denetçi, kurumun BT’ye ilişkin belirlenmiş risk
iştahı ve risk toleransının karşılanması için gereken etkili kontrollerin varlığını doğrulayabilir.
Denetçinin değerlendirmeleri yönetim kadrosundan ve – muhtemelen – Yönetim Kurulu’ndan
birçok üyeyle yapılacak karşılıklı görüşmeleri içerecektir. Bu görüşmelerin ayrıntı seviyesine
BSY, Bilgi Sistemleri Güvenlik Yöneticisi (BSGY) ve süreç sahiplerinden edinilen bilgilerle
karar verilebilir.
Bir kurum KRY (Kurumsal Risk Yönetimi) yöntemini kullandığında, bu, sürecin bir parçası
olarak BT risklerini de içermelidir. KRY, risklerin yönetilmesinde ve kurumsal hedeflere
ulaşmaya yarayacak fırsatların yakalanmasında yararlanılacak yöntem ve süreçleri
içermektedir. Genellikle kurumsal hedeflere ilişkin belirli olay ve durumların (örn. veri ihlali
riskleri) tanımlanması, bu olay ve durumların olasılık ve etki büyüklüğü açısından
değerlendirilmesi (örn. bir veri ihlalinin teşkil ettiği yapısal risk ile beraber bu riskin yarattığı
etki de yüksek olarak derecelendirilmektedir), verilecek yanıtın belirlenmesi (örn. kurumsal
verilerin güvenliğini artıracak yeni politikalar) ve bu yanıtların uygulanmasındaki (örn. veri
ihlallerini önlemek için BT biriminin yeni güvenlik önlemlerini uygulamaya koyması)
ilerlemelerin izlenmesi ile başlar. Risk ve fırsatları tanımlamak ve ileriye dönük olarak ele
almak suretiyle, kurumlar paydaşları için var olan değeri korumaya ve yeni değer yaratmaya
daha uygun hâle geleceklerdir. Bu yolla, KRY tüm kurum için önemli risklerin anlaşılmasında
İDY’ye yardımcı olur. Bunun ardından, İDY bu perspektifi denetim önceliklerini belirlemede,
denetim projesi etkinliklerine karar vermede ve risk iştahı ile toleransını belirlemede
kullanabilir.3
4.1.4 Bir Risk Analizinin Yapılması
Risk analizi, Risk Yöneticisi (RY), İDY, BT birimi ve iş temsilcilerinin dâhil olduğu, bir
kurum bünyesindeki çeşitli pozisyon ve departmanların katılımıyla gerçekleştirilmelidir.
Risk değerlendirme sürecine ilişkin temel soruların arasında aşağıdakiler bulunmaktadır:
• Hangi BT varlıkları (bu varlıklar hem maddi hem de bilgi veya itibar gibi gayrimaddi
varlıkları kapsamaktadır) risk altındadır ve bu varlıkların gizlilik, bütünlük ve
mevcudiyetlerinin değeri nedir?
• Bilginin varlık değerini olumsuz etkileyebilecek ne olabilir (tehdit olayı)? Bu soru
zafiyet analizini ve tehdit zafiyetlerinin ve etkilenmesi muhtemel bilgi varlıklarının
haritalandırılmasını da kapsamaktadır.
• Bir tehdit olayının vuku bulması hâlinde, etkisi ne kadar kötü olabilir?
• Bu olayın ne sıklıkla meydana gelmesi olması beklenir (meydana gelme sıklığı)?
• İlk dört soruya verilen cevapların kesinlik derecesi nedir (belirsizlik analizi)?
• Riskin azaltılması için ne yapılabilir?
• Bunun maliyeti nedir?
• Maliyet-etkin bir yöntem midir?
İşlenen ve saklanan bilginin değerinin tespit edilmesi, değer kavramının çok yönlü
doğasından ötürü kolay bir iş değildir. İDY, BT ile ilişkili risklerin koordinasyonu ve belirli
bir düzene sokulması konusunda RY ile işbirliği yapmayı yararlı bulacaktır. Kurumun
büyüklüğü ve risklerine bağlı olarak, İDY ve RY riskleri nasıl öncelik sırasına koyduklarını,
bu riskleri ne şekilde karşıladıklarını veya kaynakları nasıl etkili kullandıklarını paylaşmak
istemeyebilirler.
3 COSO, Stratejik Avantaj İçin Kurumsal Risk Yönetimini Güçlendirmek, 4 Kasım 2009.
4.2 Risk Hafifletme Stratejileri
Riskler tanımlanıp analiz edildiklerinde, bu riskleri karşılamak için kontrollerin uygulamaya
konması her zaman için uygun bir seçenek değildir. Kimi riskler meydana gelmeleri hâlinde
çok küçük etkiler yaratabilecekken kimilerinin meydana gelme olasılığı bile son derece azdır;
dolayısıyla, pahalı kontrol süreçlerinin uygulamaya konması maliyet-etkin bir seçenek
olmayabilir.
Genel itibariyle, risklerle başa çıkmanın birkaç yolu bulunmaktadır:
• Riski kabul etmek. Yönetimin birincil görevlerinden biri risk yönetimidir. Bazı riskler
etkileri ve meydana gelme olasılıkları az olduklarından küçük risklerdir. Böyle bir
durumda, riski iş yapmanın bir maliyeti olarak bilinçli bir şekilde kabul etmenin yanı
sıra bu riskin etkisinin düşük seviyede kaldığından emin olmak için periyodik kontroller
yapmak da uygun olacaktır.
• Riski ortadan kaldırmak. Bir riski belirli bir teknoloji, tedarikçi veya satıcıdan
yararlanılmasıyla ilişkilendirmek mümkündür. Söz konusu risk, mevcut teknolojinin
daha dayanıklı ürünlerle değiştirilmesi ve daha donanımlı tedarikçi ve satıcıların
bulunması yoluyla ortadan kaldırılabilir.
• Riski paylaşmak. Risk hafifletme yaklaşımları iş ortakları ve tedarikçilerle
paylaşılabilir. Altyapı yönetiminin dışarıdan tedarik edilmesi (dış kaynak/taşeron
kullanımı) buna iyi bir örnektir. Bu gibi bir durumda, ana şirketten daha donanımlı
olması ve beceri düzeyi daha yüksek elemanları çalıştırma imkânı sayesinde, tedarikçi,
BT altyapısının yönetimiyle ilişkili riskleri hafifletir. Risk ayrıca bir sigorta
sağlayıcısına devredilerek de hafifletilebilir.
• Riski kontrol etmek/hafifletmek. Diğer seçeneklerin yerine – veya bunlarla birlikte –,
kontroller riskin ortaya çıkmasını engellemek, bu ortaya çıkma olasılığını sınırlamak
veya etkilerini en aza indirgemeye yönelik olarak tasarlanıp uygulamaya onulabilirler.
5. BT’nin Değerlendirilmesi — Genel BakışRisklerin kontrol altına alınması veya hafifletilmesi sırasında BT kontrollerinin uygulamaya
konması en uygun seçenektir. BT kontrollerinin ilgili risklere karşı bu amaçla uygulamaya
konması gerekirken, bir de temel düzeyde bir BT kontrolünün sağlanması için uygulamada
olması gereken bir dizi temel kontrol vardır.
BT kontrollerinin; BT hizmetlerinin planlaması, organizasyonu, alınması, değişiklikleri ve
verilmesinin yanı sıra BT destek ve takibiyle de ilişkili ana BT süreçlerinin bir parçası olması
gerekmektedir. Bu BT süreçlerinin oldukça büyük bir kısmını destekleyen kontroller,
genellikle, ağ kontrolleri, veritabanı kontrolleri, işletim sistemi kontrolleri ve donanım
kontrolleri gibi alanları kapsayan BT altyapısı kontrolleri olmaktadır. Uygulamaları ve, çoğu
durumda, önemli iş alanlarını kapsayan BT kontrollerinin arasında girdi düzenleme
kontrolleri, süreç tamamlama veya uyumlaştırma kontrolleri ve kural dışı durum raporu
kontrolleri sayılabilir. BT risk ve kontrollerini anlamanın ilk adımı olarak, İDY’nin önemli
kontrollere ve bu kontrollerin hangi iş süreçlerini desteklediğine ilişkin genel bir bakış açısı
edinmesi gerekmektedir. Süreç tanımları ve organizasyon şemaları bu türden bir genel bilgi
birikimi ve görüş elde etmek için kullanılabilecek araçlardan bazılarıdır. Buna ilâveten, BT
altyapısı ve uygulamalarının belirli bir zaman aralığında nasıl değişebildiğini kavramak için,
İDY’nin anahtar BT önceliklerini anlaması ve bunlar hakkında bilgi sahibi olması
gerekmektedir. Bu bilgi, İDY’nin daha derin bir analize olanak tanıyan bir ilk risk
değerlendirmesi yapabilmesini sağlayacaktır.
Kontrol çevresi değerlendirilirken ve uygun bir kontrol dizisi seçilirken bazı soruların
üzerinde durulabilir.
• BT politikaları – BT kontrolleri de dâhil – mevcut mu?
• BT ve BT kontrollerine ilişkin sorumluluklar tanımlandı, atandı ve kabul edildi mi?
• Kontrol etkili bir şekilde tasarlandı mı?
• Kontrol etkili bir şekilde işliyor mu?
• Kontrol hedeflenen sonuca ulaştırıyor mu?
• Önleyici, tespit edici ve düzeltici kontrollerden oluşan kombinasyon etkili işliyor mu?
• Kontrol parametreleri aşıldığında ya da kontroller başarısız olduğunda kontroller
bunlara ilişkin herhangi bir delil sunuyor mu? Yönetim başarısızlıklara karşı ne şekilde
yarılıyor ve hangi adımların atılması bekleniyor?
• İlgili deliller saklanıyor mu (örn. denetim izi)?
• BT Altyapısı ekipman ve araçları mantıksal ve fiziksel olarak emniyette mi?
• Erişim ve kimlik doğrulama kontrol mekanizmaları kullanılıyor mu?
• Faaliyet ortamını ve verileri virüslerden ve diğer kötü amaçlı yazılımlardan koruyacak
kontroller mevcut mu?
• Güvenlik duvarıyla ilişkili kontroller uygulanıyor mu?
• Güvenlik duvarı politikaları mevcut mu?
• İç ve dış zafiyet değerlendirmeleri tamamlandı mı ve riskler gerektiği gibi tanımlanıp
çözüme kavuşturuldu mu?
• Değişiklik ve konfigürasyon yönetimi ve kalite güvence süreçleri mevcut mu?
• Yapısal izleme ve hizmet ölçüm süreçleri mevcut mu?
• Dış kaynaklı (taşeron) hizmetlerden kaynaklanan riskler göz önünde bulunduruldu
mu? (Bu konuya ilişkin detaylı bilgiler için bkz. GTAG 7: BT İçin Dış Kaynak
Kullanımı)
Ödeme kartları sektörü daha geniş ve yaygın bir kullanım alanına sahip veri güvenliği
standartlarından birini – PCI Veri Güvenliği Standartları (PCI DSS) – yayınlamaktadır. İlk
kez 2006 yılında toplanan PCI Güvenlik Standartları Konseyi, PCI DSS’ler, Ödeme
Uygulamaları Veri Güvenlik Standardı (PA-DSS) ve PIN İşlem Güvenliği (PTS)
gereksinimlerinin de dâhil olduğu PCI Güvenlik Standartlarının gelişim ve yönetiminden ve
bu standartlarına ilişkin eğitim ve farkındalık düzeyinin artırılmasından sorumludur.
İDY, kurum için belirli güvenlik faaliyetlerinin göz önünde bulundurulmasının gerekip
gerekmediğine karar vermek için PCI DSS’leri üst düzeyde kullanabilir (bkz. aşağıdaki PCI
Veri Güvenlik Standartlarına Üst Düzey Genel Bakış).
PCI Veri Güvenlik Standardı – Üst Düzey Genel Bakış
Bir Güvenli Ağ Oluşturup Bakımının Yapılması
1. Kart sahibine ait verilerin korunması için bir güvenlik duvarı indirilip bakımı yapılır.2. Sistem parolaları ve diğer güvenlik parametreleri için satıcının atadığı varsayılan ayarlar kullanılmaz.
Kart Sahibi Verilerinin Korunması3. Saklana kart sahibi verileri korunur.4. Kart sahibi verilerinin halka açık ağlardan transferi şifrelenir.
Bir Zafiyet Yönetim Programının Bakımının Yapılması
5. Anti-virüs yazılım veya programları kullanılır veya düzenli olarak güncellenir.6. Güvenlik sistem ve uygulamaları geliştirilip bakımları yapılır.
Güçlü Erişim Kontrol Önlemlerinin Alınması7. Kart sahibi verilerine erişim yalnızca işi gereği bu verilere sahip olması gerekenlerle kısıtlanır.8. Bilgisayar erişimi olan herkese benzersiz birer ID atanır.9. Kart sahibi verilerine fiziksel erişim kısıtlanır.
Ağların Düzenli Takip ve Test Edilmesi10. Ağ kaynakları ve kullanıcı verilerine tüm erişimler izlenip takip edilir.11. Güvenlik sistem ve süreçleri düzenli olarak test edilir.
Bir Bilgi Güvenliği Politikasının Geliştirilip Sürdürülmesi
12. Tüm personel için bilgi güvenliği konularına eğilen bir politika geliştirilip sürdürülür.
Giriş ve PCI Veri Güvenlik Standardına Genel Bakış
Ödeme Kartları Sektörü (PCI) Veri Güvenlik Standardı (DSS) kart sahibinin veri güvenliğinin
teşvik edilmesi ve iyileştirilmesi ve küresel çapta birbiriyle tutarlı veri güvenliği önlemlerinin
geniş bir alana yayılmasının kolaylaştırılması için geliştirilmiştir. PCI DSS, kart sahibine ait
verilerin korunması için tasarlanmış temel teknik ve operasyonel gereksinimleri sunar. PCI
DSS ödeme kartı işlemlerine müdahil olan tüm gerçek ve tüzel kişiler için geçerlidir ve kart
satıcı, işleyici, alıcı ve ihraççıları ile hizmet sağlayıcılarının yanı sıra kart sahibi verilerini
saklayan, işleyen veya aktaran tüm kişiler bu kişilerin arasında sayılmaktadır. PCI DSS, kart
sahibi verilerinin korunması için minimum bir dizi gereksinimlerden oluşur ve risklerin daha
da azaltılması için kullanılacak ek kontrol ve uygulamalar yardımıyla iyileştirilebilir. Aşağıda
12 PCI DSS gereksinime bir üst düzey genel bakış verilmektedir.
4
BT kontrollerinin değerlendirilmesi süreğen bir süreçtir. Teknoloji değişip gelişmeye devam
ettikçe iş prosedürleri de sürekli değişir ve yeni zafiyetler keşfedildikçe tehditler ortaya çıkar.
İç denetçiler kurumsal hedefleri destekler nitelikteki BT kontrolüyle ilgili hususların en üst
düzey önceliğe sahip olduğu bir yaklaşım benimsedikçe denetim yöntemleri de
iyileşmektedir. Yönetim BT kontrol ölçüm ve raporları sunar, denetçiler de bunların doğruluk
ve geçerliliklerini tasdik edip değerlerine ilişkin fikirlerini beyan ederler. İç denetçinin
raporlama için sunulan ölçüm ve güvencelerin geçerlilik ve etkililikleri konusunda 4 PCI DSS Gereksinimleri ve Güvenlik Değerlendirme Prosedürleri, V2.0, Telif Hakkı 2010 PCI Güvenlik Standartları Konseyi LLC
mutabakata varmak için tüm düzeylerden yönetim kadrosuyla irtibata geçip birlikte hareket
etmesi gerekmektedir.
İç denetim süreci iç kontrol sisteminin tamamındaki BT kontrollerine eğilinmesi için formel
bir yapı sunmaktadır. Şekil 1 – BT Denetiminin Yapısı’nda, ilgili değerlendirme, mantıksal
bir dizi adıma ayrılmıştır.
Şekil 1 – BT Denetiminin Yapısı
BT
Kon
trol
leri
nin
Değ
erle
ndir
ilmes
i
BT Kontrollerinin Anlaşılması
Yönetişim – Yönetim – Teknik
Genel Uygulama
Engelleme, Tespit Etme, Doğrulama
Bilgi – Güvenlik
BT Kontrollerinin ÖnemiGüvenilirlik ve Etkililik
Rekabet Avantajı
Mevzuat ve Tüzük
Roller ve SorumluluklarYönetişim
Yönetim
Denetim
Risk Odaklı
Risk Analizi
Risk Tepkisi
Temel Kontroller
İzleme ve Teknikler Kontrol Çerçevesi
Sıklık
DeğerlendirmeMetodolojiler
Denetim Komitesi Arayüzü
BT kontrollerinde iç denetçinin rolü bu riskleri kavramsal olarak iyice ve sağlam şekilde
anlamakla başlayıp, risk ve kontrol değerlendirmelerinin sonuçlarını sunmakla son bulur.
Yeni teknolojiler ortaya çıktıkça ve bağımlılıklar, stratejiler, riskler ve gereksinimler
değiştikçe, İDY’nin sürekli öğrenme ve yeniden değerlendirme gidişatını gözetmesi
gerekmektedir.
6. BT Kontrollerinin Değerinin Anlaşılması
Bu GTAG yalnızca BT risk ve kontrolleriyle ilgili olsa da, BT kapsamındaki kontrol ortamı
da (örn. BSY’nin yönetim yaklaşımı [tone at the top], etik iklim, yönetim felsefesi ve yönetim
tarzı gibi) kritik öneme sahiptir ve değerlendirmeye alınmalıdır. BT kapsamındaki kontrol
ortamı değerlendirilirken, bu GTAG’in yanı sıra IIA’nın Uygulama Rehberi’ne de (Kontrol
Ortamının Denetimi) başvurulmalıdır.
COSO iç kontrolü şu şekilde tanımlamaktadır: “Bir kurumun yönetim kurulu, yönetim
kadrosu ve diğer ilgili personeli tarafından başlatılan bir süreç. Bu süreç aşağıdaki alanlarda
hedeflere ulaşılması konusunda makul güvence sağlamak üzere tasarlanmıştır:
• Faaliyetlerin etkililik ve verimi.
• Finansal raporlamanın güvenilirliği.
• Yürürlükteki yasa ve mevzuata uygunluk.”
BT kontrolleri, bilgi ve bilişim hizmetleri için güvence sağlayan ve bir kurumun teknoloji
kullanımıyla ilişkili risklerin kontrol altına alınması veya hafifletilmesine yardımcı olan
süreçleri kapsamaktadır. Bu kontroller; yazılı kurumsal politikalardan bu politikaların
kodifiye edilmiş talimatlar kapsamında uygulanmasına, fiziksel erişim korumasından hareket
ve işlemlerin izini bunlardan sorumlu olan kişilere kadar sürebilme yeteneğine ve otomatik
düzeltmelerden büyük veri gruplarına yönelik makuliyet analizine kadar çeşitlilik
göstermektedir.
İDY’nin, sürecin tamamı veya teknik detaylar da dâhil olmak üzere, BT kontrolleri hakkında
her şeyi bilmesine gerek yoktur. Bu kontrollerin çoğu,sistemlerin ve ağ altyapısının ayrı ayrı
her bir komponentiyle ilişkili spesifik riskleri yöneten uzmanların alanına girmektedir.
6.1 BT Genel Kontrolleri ve Uygulama Kontrolleri
Kontroller, amaçlarının ve iç kontrol sisteminin genelinde nereye uyduklarının anlaşılmasına
yardımcı olmak için sınıflandırılabilirler (Bkz. Şekil 2 – Kontrol Sınıflandırmalarından
Bazıları). Bu sınıflandırmaları anladıklarında, kontrol analisti ve denetçi kontrol
çerçevesindeki pozisyonlarını daha iyi belirleyebilir ve şu gibi kilit sorulara yanıt verebilirler:
Tespit edici kontroller önleyici kontrollerin es geçebileceği hataları tespit etmek için yeterli
mi? Düzeltici kontroller tespitedilen bu hataları düzeltmek için yeterli mi? BT kontrollerinin
yaygın bir sınıflandırma modeli de genel kontrollere karşılık uygulama kontrolleridir. BT ile
ilgili kontrollere ilişkin daha detaylı bilgi için bkz. GTAG 8: Uygulama Kontrollerinin
Denetimi.
Şekil 2 – Kontrol Sınıflandırmalarından Bazıları
6.1.1 BT Genel Kontrolleri
Genel kontroller, belirli bir kurum ya da sistem çevresinin tüm sistem komponentleri,
süreçleri ve verileri için geçerlidir. Bu kontroller arasında, bunlarla da sınırlı kalmamak
kaydıyla, BT yönetişimi, risk yönetimi, kaynak yönetimi, BT faaliyetleri, uygulama geliştirme
ve bakımı, kullanıcı yönetimi, mantıksal güvenlik, fiziksel güvenlik, değişiklik yönetimi,
yedekleme ve geri yükleme ve iş sürekliliği bulunmaktadır. Bazı genel kontroller işletmeyle
ilgili kontrollerken (örn. görevler ayrılığı veya yönetişim görevlendirmeleri gibi), diğer
kontroller oldukça teknik kontrollerdir (örn. sistem yazılım kontrolleri ve ağ yazılım
kontrolleri gibi) ve ilgili altyapıyla ilgilidirler. BT kontrol ortamının temelini
oluşturduklarından, genel kontroller iç denetim birimi tarafından kontrol edilirler. Genel
kontrollerin zayıf ve güvenilmez olması hâlinde (örn. değişiklik ve erişim kontrolü gibi),
denetçinin bu ilgili alanlara karşı test yaklaşımını deiştirmesigerekebilir.
6.1.2 Uygulama Kontrolleri
Uygulama kontrolleri5 münferit iş süreçleri ve uygulama sistemlerinin kapsamına girerler ve
girdi, işleme ve çıktı ile ilgili bir uygulama kapsamındaki kontrolleri de içerirler. Uygulama
kontrolleri ayrıca veri düzeltme, iş fonksiyonlarının ayrılması (örn. işlem başlatmaya karşılık
kimlik doğrulama), işlem toplamlarının denkleştirilmesi, işlem kaydı ve hata raporlamayı da
içermektedir.
5 PCI Güvenlik Standartları Konseyi LLC, Ödeme Kartları Sektörü (PCI) Data Güvenlik Standardı Gereksinimleri ve Güvenlik Değerlendirme Prosedürleri, Versiyon 2.0., Ekim 2010.
Bir kontrolün fonksiyonu tasarımının ve etkililiğinin değerlendirilmesine büyük ölçüde
bağlıdır. Kontroller genel itibariyle önleyici, tespit edici ve düzeltici kontroller olarak
sınıflandrılmaktadır. Önleyici kontroller hataların, ihmallerin veya güvenlik tehlikelerinin
meydana gelmesini önler. Harf karakterlerinin sayısal alanlara girilmesini engelleyen basit
veri giriş düzeltmeleri, hassas verileri veya sistem kaynaklarını izinsiz kullanıcılardan
koruyan erişim kontrolleri ve karmaşık ve dinamik teknik kontroller (örn. antivirüs yazılımı,
güvenlik duvarları ve izinsiz girişim önleme sistemleri gibi) bu kontrollerin örnekleri arasında
sayılabilir.
Tespit edici kontroller önleyici kontrolleri atlatan hata veya tehlikeleri tespit eder. Bir örnekle
açıklamak gerekirse, bir tespit edici kontrol inaktif (aktif olmayan) hesapların veya şüpheli
faaliyetlerin izlenmesi amacıyla işaretlenmiş hesapların hesap numaralarını tespit edebilir.
Tespit edici kontrollerin arasında ayrıca uygunsuz kullanıma işaret edebilecek verilerde izin
verilen sınırı aşan veya bilinen örüntüleri ihlâl eden faaliyet veya olayların ortaya
çıkarılmasına yönelik izleme ve analiz faaliyetleri de sayılabilir. Hassas elektronik iletişim
faaliyetleri için, tespit edici kontroller bir iletinin çöktüğünü veya göndeici kimliğinin
doğrulanamadığını gösterebilir.
Düzeltici kontroller tspit edilen hataları, ihmalleri veya tehlikeleri düzeltir. Bu kontroller,
basit veri girişi hatalarının düzeltilmesinden izinsiz kulanıcı veya yazılımların tespit edilmesi
ve sistem veya ağlardan çıkarılmasına ve tehlike, kesinti veya çökmelerden sonra geri
yüklemeye kadar çeşitlilik gösterebilirler.
Genel itibariyle, hataların önlenmesi veya bu hataların düzeltme faaliyetinin kolaylaştırılması
için mümkün olduğunca erken tespit edilmesi en etkili ve verimli yöntemdir.
Bu belgede açıklanan diğer birçok kontrol sınıflandırması ilgili kontrollerin etkililiklerinin
değerlendirilmesi açısından yararlı olabilir. Bir örnekle açıklamak gerekirse, otomatik
kontroller manüel kontrollerden daha güvenilir olma eğilimi göstermektedir ve zorunlu (isteğe
bağlı olmayan) kontrollerin isteğe bağlı kontrollerden daha tutarlı bir şekilde uygulanması
daha muhtemeldir. Zorunlu, isteğe bağlı, tamamlayıcı, telafi edici, yedek, sürekli, talep
üzerine ve olay kaynaklı kontroller gibi başka kontrol sınıflandırmaları da mevcut
olabilmektedir.
6.2 BT Yönetişimi, Yönetimi ve Teknik Kontroller
Bir diğer yaygın kontrol sınıflandırma yöntemi de kontrollerin gereken şekilde uygulanıp
sürdürülmesini (bakımlarının yapılmasını) sağlamaktan sorumlu guruba göre sınıflandırma
yöntemidir. Rol ve sorumlulukların değerlendirlmesi amacıyla, bu kılavuz öncelikli olarak BT
kontrollerini yönetişim, yönetim, teknik ve uygulama kontrolleri olarak kategorilere
ayırmaktadır.
İlk iki kategori düzeyi – yönetişim ve yönetim – bu kılavuzun kapsamına en uygun olan
kategorilerdir. Ancak, daha yüksek düzeydeki kontrollerin spesifik olarak BT teknik ve
uygulama altyapılarında ne şekilde tesis edildiklerinin anlaşılması da faydalı olabilir. Teknik
kontrollerve uygulama kontrolleri GTAG 8: Uygulama Kontrollerinin Denetimi’nin
kapsamına girmektedir.
6.2.1 BT Yönetişim Kontrolleri
İç kontrol gözetiminin asıl sorumluluğu Yönetim Kurulu’nda ve bu Kurul’un da yönetişim
çerçevisini elinde bulundurma rolündedir. Yönetişim düzeyinde BT kontrolüne, etkili bilgi
yönetimi, ilkeleri, politikaları ve süreçlerinin gözetimi ve bunların mevcut olduğundan ve
düzgün işlediğinden emin olunması dâhildir. Bu kontroller hem kurumsal hedef ve stratejileri
hem de düzenleyici otoriteler gibi dışsal unsurlar tarafından dayatılan yönetişim kavramlarıyla
bağlantılıdır.
6.2.2 Yönetim Kontrolleri
Yönetimin iç kontrollere ilişkin sorumluluğu genel itibariyle kritik varlıklar, hassas bilgiler ve
operasyonel faaliyetlere özel ehemmiyet göstererek kurumun her alanına ulaşmayı
gerektirmektedir. Yönetimin kurumun belirlenmiş hedeflerine ulaşılması için gereken BT
kontrollerinin uygulandığından emin olması ve güvenilir ve sürekli işlemeyi temin etmesi
gerekmektedir. Bu kontroller kuruma, kurumun süreçlerine ve varlıklarına karşı ortaya çıkan
risklere tepki olarak yönetim tarafından gerçekleştirilen bilinçli faaliyetlerin bir sonucu olarak
uygulamaya konulurlar.
6.2.3 Teknik Kontroller
Teknik kontroller çoğunlukla yönetimin kontrol çerçevesinin belkemiğini oluştururlar.
Dolayısıyla, eğer teknik kontroller zayıfsa, bu kontrol çerçevesinin tamamına etki eder. Bir
örnekle açıklamak gerekirse, yetkisiz erişim ve izinsiz girişlere karşı kouma sağlamak
suretiyle, teknik kontroller bilgilerin tamlığına (bozulmamışlığına) – tüm değişikliklere ve bu
değişiklikleri yapanların kimlik doğrulamasına ilişkin deliller de dâhil – olan güvenin temelini
oluşturur. Bu kontroller kurumun BT altyapılarında hâlihazırda kullanımda olan teknolojilere
özgüdür. Teknik kontrollerin örnekleri arasında işletim sistemi kontrolleri, veritabanı
kontrolleri, kodlama ve kayıt (günlük) tutma sayılabilir.
6.2.4 Uygulama Kontrolleri
Belirtildiği ve mutabakata varıldığı üzere, uygulama kontrolleri, münferit iş süreçleri veya
uygulama sistemlerinin kapsamına girmektedir. Yapıları itibariyle teknik olabildikleri gibi,
kullanımalanlarına bağlı olarak teknik olmayan bir yapıya da sahip olabilirler. Girdi, işleme
ve çıktı kontrollerini içermektedirler. Bu belgede Bölüm 6.3.7’de, uygulama kontrolleri daha
detaylı anlatılmaktadır.
6.3 BT Kontrolleri – Ne Beklemeli?
Bir kurum bünyesindeki münferit kontroller, (Yönetim tarafından yayımlanıp Yönetim
Kurulu tarafından tasdik edilen genel yüksek düzey politika beyanlarından, uygulama
sistemlerine entegre edilmiş spesifik kontrol mekanizmalarına kadar sınıflanan) BT kontrol
hiyerarşisi içerisinde sınıflandırılabilirler.
Şekil 3 – BT Kontrol Hiyerarşisi, hem uygulanacak kontroller değerlendirmeye alınırken hem
de BT faaliyet ortamının tamamının gözden geçirilmesi sırasında iç denetim kaynaklarının
yöneltileceği alanlar belirlenirken benimsenecek mantıksal bir yukarıdan ağıya (top-down)
yaklaşım modelini temsil etmektedir. Hiyerarşinin farklı elemanları birbirlerine kapalı
değildirler, aksine birbirleriyle etkileşime geçer ve sıklıkla örtüşüp iç içe geçerler. Hiyerarşi
içerisindeki her bir kontrol türü aşağıda açıklanmaktadır.
Şekil 3 – BT Kontrol Hiyerarşisi
6.3.1 Politikalar
Tüm kurumların amaç ve hedeflerini stratejik planlar ve politika beyanlarıyla belirtmesi
gerekmektedir. açık ve net politika beyanları ve yönlendirici standartlar olmadan, kurumlar
hedeflerinden şaşıp verimsiz faaliyetlerde bulunabilirler.
Esas itibariyle, teknoloji hemen hemen tüm kurumlar için hayati öneme sahip olduğundan,
BT’nin tüm yönleriniele alan açık ve anlaşılır politika beyanları yönetim tarafından tasarlanıp
onaylanmalı, Yönetim Kurulu tarafından tasdik edilmeli ve personele duyurulmalıdır. Belli
bir kurumun boyutuna ve BT’yi ne derece kullandığına bağlı olarak birçok farklı politika
beyanına ihtiyaç duyulabilir. Daha küçük kurumlar için ise, (ilgili tüm alanları kapsaması
şartıyla) tek bir politika beyanı yeterli olabilmektedir. Daha büyük çaplı kurumlar daha detaylı
ve spesifik politika beyanlarına ihtiyaç duyacaktır.
BT politika beyanlarının örnekleri arasında, bunlarla da sınırlı kalmamak kaydıyla,
aşağıdakiler sayılabilir:
• Kurum çapında güvenlik ve gizlilik düzeyinde bir genel politika. Bu politika ilgili ulusal ve
uluslararası mevzuata uygun olmalı ve sistem ve işlenen verilerin hassasiyetine göre
gereksinim duyulan kontrol ve güvenlik düzeyini belirtmelidir.
• Bilgilerin sınıflandırılmasına ve her düzey için erişim haklarına ilişkin bir politika beyanı.
Bu politika beyanı ayrıca bu bilgilerin erişim izni verilenler tarafından kullanımına ilişkin tüm
kısıtlamaları da belirtmelidir.
• Veri ve sistem sahipliği kavramlarının yanı sıra bilgilerin oluşturulması, değiştirilmesi veya
silinmesi için gereken izni de tanımlayan bir politika beyanı. Bu beyan kullanıcıların kendi
uygulamalarını hangi ölçüye kadar oluşturuabileceklerini tanımlayan genel bir politika beyanı
olmalıdır.
• Hassas alanlarda görevli personelin uymakla yükümlü olduğu şartları tanımlayıp yürürlüğe
koyan personel politikaları. Bu politikalar yeni personel adaylarının kuruma kabul edilmeden
önce güvenlik sorgulamasından geçirilmeleri ve çalışanlara gereken kontrol, güvenlik ve
gizlilik düzeylerinin sorumluluğunu kabul ettiklerine dair sözleşme imzalama şartının öne
sürülmesini de içermektedir. Bu politikada genellikle ilgili disiplin prosedürlerinin detayları
da açıklanmaktadır.
• İş sürekliliği planlama gereksinimlerini tanımlayan politika beyanları. Bu politikalar,
beklenmedik bir olay veya olağanüstü durum meydana geldiğinde işin tüm yönlerinin göz
önünde bulundurulmasını sağlamadırlar.
6.3.2 Standartlar
Bir kurumun, genel stratejisini destekelyen ve sonuçta ortaya çıkan BT politika ve standartları
için yaklaşım tazını belirleyen bir BT şablonuna sahip olması gerekmektedir.6
Standartlar kurumsal hedeflere ulaşmak için izlenecek çalışma şekillerini tanımlar.
Standartların belirlenip yürürlüğe konulması BT faaliyet ortamında verimliliği artırıp
tutarlılığı temin eder.
Önemli kaynakları bulunan büyük kurumlar kendi standartlarını oluşturma imkanına
sahipken, daha küçük çaplı kurumlar bunun için yeterli kaynağa sahip olamayabilirler.
Standartlara ve en iyi uygulamalara yönelik birçok bilgi kaynağı mevcuttur. Bir örnekle
açıklamak gerekirse, BT yönetimnini aşağıdakileri gözetmesi gerekmektedir:
• Sistem geliştirme süreçleri: Kurumlar kendi uygulamalarını geliştirdiklerinde, sistem ve
programların tasarlanması, geliştirilmesi, test edilmesi, uygulanması ve bakımlarının
yapılması süreçleri standartlara tâbi olur. Kurumların uygulama geliştirme hizmetini dışarıdan
alması (taşeron kullanımı) veya sistemleri satıcılardan temin etmesi hâlinde, İDY’nin yapılan
sözleşmelerin tedarikçilere kurumsal standartlara uygun standartlar uygulama şartını
getirdiklerinden veya kurum açısından kabul edilebilir olduklarından emin olması
gerekmektedir.
• Sistem yazılım konfigürasyonu: Sistem yazılımları BT ortamında büyük bir kontrol
unsurunu teşkil ettiklerinden, güvenli sistem konfigürasyonlarına ilişkin standartlar lider
kurumlar ve teknoloji tedarikçileri tarafından büyük ölçüde kabul görmeye başlamıştır.
Ürünlerin (örn. işletim sistemleri, ağ yazılımları ve veritabanı yönetim sistemleri gibi)
konfigüre edilme şekilleri güvenliği artırabilir veya suiistimal edilebilecek zafiyetler ortaya
çıkabilir.
• Uygulama kontrolleri: İş faaliyetlerini destekleyen tüm uygulamaların kontrol edilmesi
gerekmektedir. kurumun kendi geliştirdiği veya satın aldığı tüm uygulamalar için standartların
belirlenmesi şarttır ve bu standartlar da iş faaliyetlerinin tamamında mevcut olması gereken
kontrol türlernin yanı sıra hassas süreçler ve bilgiler için geçerli olacak spesifik kontrolleri
tanımlamalıdır.
• Veri yapıları: Uygulamaların tamamında tutarlı veri tanımlarının bulunması birbirleriyle
benzeşmeyen sistemlerin verilere sorunsuz erişmesini ve özel ve diğer hassas veriler için
güvenlik kontrollerinin aynı şekilde uygulanabilmesini sağlar.
6 İç Denetim Mesleki Uygulaması için İç Denetim Enstitüsü Uluslararası Standartları, iç denetim biriminin BT stratejisini izlemesini sağlar. IIA Standardı 2110.A2 şunu belirtir: “İç denetim biriminin, kurumun bilgi teknolojileri yönetişiminin kurumsal strateji ve hedeflerin devamlılığını sağlayıp sağlamadığını ve bunları destekleyip desteklemediğini değerlendirmesi gerekmektedir.”
• Dokümantasyon: Standartların her uygulama sistemi ve BT kurulumunun yanı sıra farklı
uygulama, süreç ve işlem merkezi sınıfları için de gereken minimum dokümantasyon düzeyini
belirtmesi gerekmektedir.
Politika beyanlarında olduğu gibi, yazılı standartların da yönetimin onayından geçmeleri ve
bu standartları uygulayacak olan herkese bildirilmeleri gerekmektedir.
6.3.3 Organizasyon ve Yönetim
Organizasyon ve yönetim BT kontrol sisteminin tamınının yanı sıra bir kurumun
faaliyetlerinin her alanında önemli bir rol oynar. Uygun ve gerektiği gibi işleyen bir
organizasyon yapısı raporlama ve sorumluluk hatlarının tanımlanıp etkili kontrol sistemlerinin
uygulanmasına olanak tanır. Önemli kontroller genellikle birbirleriyle bağdaşmayan görevler
ayrılığı, finansal kontroller ve değişiklik yönetimini kapsar.
6.3.3.1 Görevler Ayrılığı
Görevler ayrılığı birçok kontrolün hayati önem taşıyan bir unsurudur. Bir kurumun yapısı veri
işlemenin tüm alanlarına ait sorumlulukların tek bir kişinin inisiyatifine bırakılmasına
müsaade etmemelidir. Veri oluşturma, otorize etme, girme, işleme ve kontrol etme
fonksiyonları, hiç kimseinin bir hata ya da ihmale veya başka bir uygunsuz duruma yol açıp
buna ilişkin izinleri vermemesi ve/veya delilleri karartmaması için aynı kişinin inisiyatifinde
bulunmamalıdır. Uygulama sistemleri için görevler ayrılığı kontrolleri, fonksiyonların
kullanılmasını ve bilgilere erişilmesini gerektiren iş tanımlarına uygun olarak erişim
ayrıcalıklarının tanınmasıyla uygulanırlar.
BT ortamında geleneksel görevler ayrılığı uygulaması sistem geliştirme ve BT faaliyetleri
arasında paylaşılmıştır.
BT faaliyetlerinin (değişiklik uygulama dışında) üretim sistemlerinin işletilmesinden sorumlu
olmaları ve geliştirme süreçlerine ilişkin ya çok az ya da hiçbir sorumluluklarının
bulunmaması gerekmektedir. Bu kontrolün kapsamına operatörlerin üretim program, sistem
veya verilerine erişimlerini veya bunlar üzerinde değişiklik yapmalarını engelleyen
kısıtlamalar girmektedir. Benzer şekilde, sistem geliştirme personelinin de üretim
sistemleriyle çok az irtibatı olması gerekmektedir. uygulama ve diğer değişiklik süreçleri
sırasına spesifik roller atanması yoluyla görevler ayrılığı ilkesi uygulamaya konulabilir.
Büyük kurumlarda, uygun görevler ayrılığının temin edilmesi için birçok fonksiyon ve
birimin göz önünde bulundurulması gerekmektedir.
6.3.3.2 Finansal Kontroller
Kurumlar BT’ye kayda değer yatırımlar yaptıklarından, teknolojinin yatırımdan elde edilmesi
hedeflenen geliri veya öne sürülen tasarrufları sağladığından emin olunması için bütçesel ve
diğer finansal kontroller gereklidir. Bu konulara ilişkin veri toplanması, analiz edilmesi ve
raporlanması için yönetim süreçlerinin mevcut ve işler durumda olması gerekmektedir. Fakat
ne yazık ki, yeni geliştirilen BT teknolojileri çoğunlukla maliyet aşımı sorunuyla karşı karşıya
kalmakta ve yanlış tahmin ve hesaplamalar veya yetersiz planlama yüzünden beklenen
maliyet tasarrufunu veya geliri sağlayamamaktadır.
6.3.3.3 Değişiklik Yönetimi
Değişiklik yönetimi7 süreçleri, BT ortamı, uygulama sistemleri ve verilerde yapılan
değişikliklerin uygun görevler dağılımının uygulanmasını sağlayacak bir şekilde
uygulanmasını ve yapılan değişikliklerin gereken şekilde işleyip uygulamaya konulmasını
sağlar ve değişikliklerin suiistimal amaçlı kullanımını engeller. Değişiklik yönetiminin
eksikliği sistem ve hizmet erişilebilirliğini ciddi ölçüde etkiler.
6.3.4 Fiziksel ve Çevresel Kontroller
BT ekipmanları birçok kurum için kayda değer bir yatırım anlamına gelmektedir. Kaza eseri
veya kasti zarar veya kayıplara karşı korunmalıdırlar. Esasen ana bilgisayarların bulunduğu
büyük veri merkezleri için geliştirilmiş olan fiziksel ve çevresel kontroller dağıtımlı istemci-
sunucu ve web tabanlı sistemlerde eşit derecede önem arz eder. Günümüzde yaygın kullanılan
ekipmanlar normal bir ofis ortamında kullanım kolaylığı gözetilerek dizayn ediliyor olsalar
da, kurum açısından değerleri ve iş süreçlerini işleten uygulamaların maliyet ve hassasiyetleri
oldukça büyük olabilmektedir.
Personelin uygulamalara erişimini sağlayan sunucu ve istasyonlar da dâhil, tüm ekipmanların
koruma altına alınması gerekmektedir. tipik fiziksel ve çevresel kontrollerden bazıları
şunlardır:
• Sunucuların erişimin kısıtlı tutulduğu odalarda kilitli tutulması.
• Belirli kişilere sunucu erişimin kısıtlanması.
• Yangın algılama ve söndürme teçhizatının temin edilmesi.
• Hassas ekipman, uygulama ve verilerin alçak su basma havzaları, uçak iniş-kalkış pistleri
veya yanıcı sıvı madde satış noktaları gibi çevresel tehlike arz eden yerlerden uzakta
konuşlandırılması.
7 Bkz. IIA’nın yayımladığı GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı İçin Kritik Önemli.
Fiziksel ve çevresel güvenlik göz önünde bulundurulduğunda, olumsallık planlamasının8 da
hesaba katılması yerinde olacaktır. Bir yangın veya sel olması durumunda ya da başka
herhangi bir tehdidin ortaya çıkması hâlinde kurum ne yapacak? Faaliyetlerini nasıl
sürdürecek? Bu tür bir planlama yalnızca alternatif BT işlemlerinin faaliyetlerine devam
edebilmeleri için onlara gereken güç ve kaynağın sağlanmasından ve üretim verilerinin rutin
yedeklemesinden ibaret değildir; kurumsal faaliyetlerin tüm yönleri için gereken lojistik ve
koordinasyonu da kapsamalıdır. Sonuç olarak, gerçekçi bir simülasyonda başarılı bir şekilde
test edilmemiş bir iş sürekliliği planlamasının güvenilir olmadığı geçmişte tekrar tekrar
gösterilmiştir.
6.3.5 Sistem Yazılım Kontrolleri
Sistem yazılım ürünleri BT ekipmanlarının uygulama sistemleri ve kullanıcıları tarafından
kullanılmasını sağlar. Bu ürünler arasında işletim sistemleri (örn. Windows ve UNIX gibi), ağ
ve iletişim yazılımları, güvenlik duvarları, anti-virüs ürünleri ve veritabanı yönetim sistemleri
(VTYS) (örn. Oracle ve DB2 gibi) sayılabilir.
BT denetim uzmanlarının bu alandaki kontrolleri değerlendirmesi gerekmektedir. küçük çaplı
kurumların bu tür uzmanlara sahip olmaya yetecek kaynaklarının bulunması pek muhtemel
olmadığından, bu kurumların dış kaynak kullanımını göz önünde bulundurmaları
gerekmektedir. İster kurum bünyesinde çalışıyor olsunlar, isterse de dış kaynaklardan tedarik
edilsinler, BT denetçileri oldukça spesifik bir bilgi setine ihtiyaç duyarlar. Bu bilgilerin çoğu
deneyimler yoluyla elde edilebilse de, ilgili bilgilerin güncelliklerinin ve geçerliliklerinin
korunması için sürekli güncellenmeleri gerekmektedir.
Sistem yazılımları oldukça karmaşık bir yapıya sahip olabilmelerinin yanı sıra sistem ve ağ
çevreleri dâhilindeki komponent ve cihazlar için kullanılabilirler. İlgili yazılımlar yüksek
ölçüdeözelleşmiş ihtiyaçlara cevap vermek üzere konfigüre edilebilirler ve normalde
bakımlarının ve devamlılıklarının sağlanması için yüksek uzmanlık gerekmektedir. Bazı
uygulama sistemleri kendi erişim kontrollerini kendi bünyelerinde barındırabilseler ve izinsiz
kullanıcılara bir sisteme kaçak giriş yapmak için bir giriş yolu sağlayabilseler de,
konfigürasyon teknikleri uygulamalara mantıksal erişimi kontrol edebilir. Konfigürasyon
teknikleri ayrıca görevler ayrılığının uygulamaya konması, spesifik denetim izlerinin
oluşturulması ve erişim kontrol listeleri, filtreler ve faaliyet günlükleri yoluyla veri tamlığı
kontrollerinin uygulanması için gerekli şartları sağlar.
İyi yönetilen bir BT çevresinde mevcut olması beklenen kilit teknik kontrollerden bazıları
şunlardır:
8 Bkz. IIA’nın yayımladığı GTAG 10: İş Sürekliliği Yönetimi.
• Kurumun beyan edilen politikasına göre atanan ve kontrol edilen erişim hakları.
• Sistem yazılımları ve diğer konfigürasyon kontrolleri yoluyla uygulamaya koyulan görevler
ayrılığı ilkesi.
• Mevcut ve işler durumda olan ve sürekli takip edilen izinsiz giriş ve zafiyet
değerlendirmeleri9, önleyici ve tespit edici kontrolleri.
• Düzenli uygulanan izinsiz giriş testleri.
• Gizliliğin belirtilen bir şart olduğu durumlarda uygulanan şifreleme (kodlama) hizmetleri.
• Yapılan tüm değişikliklerin ve yamaların yazılıma, sistemlere, ağ komponenetlerine ve
verilere uygulanması için sıkı sıkıya kontrol edilen bir sürecin bulunmasını sağlamak için
mevcut ve işler durumda olan değişiklik yönetimi süreçleri – yama yönetimi de dâhil.10
6.3.6 Sistem Geliştirme ve Edinme Kontrolleri
Kurumlar tüm sistem edinme veya geliştirme süreçleri için nadiren tek bir metodoloji
benimserler. Metodolojiler belirli durum ve şartlara uygun seçilirler. BT denetçisinin bir
kurumun uygulama sistemlerini edinmek veya geliştirmek için kontrollü bir yöntem kullanıp
kullanmadığını ve uygulamalar ve bunların işlediği veriler üzerinde ve içerisinde etkili
kontroller sağlayıp sağlamadığını değerlendirmesi gerekmektedir. uygulama geliştirme
prosedürlerini incelemek suretiyle, denetçi, kontrollerin yeterli olduğuna ilişkin güvence elde
edebilir. Tüm sistem geliştirme ve edinme faaliyetlerinde bazı temel kontrol hususlarına
eğilinmesi gerekmektedir. Bu hususların örnekleri arasında aşağıdakiler sayılabilir:
• Kullanıcı gereksinimleri dokümante edilmelidir ve bu gereksinimlerin karşılanma düzeyi
ölçülmelidir.
• Sistem tasarımları, kullanıcı gereksinimlerinin ve kontrollerin sisteme uygun tasarlanmasını
sağlamak için formel bir süreci takip etmelidir.
• Sistem geliştirme faaliyetleri, gereksinimlerin ve onaylanmış tasarım özelliklerinin bitmiş
ürüne entegre edilmesini sağlamak için yapılandırılmış bir şekilde yürütülmelidir.
• Testler, münferit sistem elemanlarının olması gerektiği gibi işlemesini, sistem arayüzlerinin
beklendiği gibi çalışmasını ve sistem sahibinin hedeflenen işlevin temin edildiğini
doğrulamasını sağlamalıdır.
9 Bkz. IIA’nın yayımladığı GTAG 6: BT Zafiyetlerinin Yönetim ve Denetimi.10 Bkz. IIA’nın yayımladığı GTAG 2: Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı için Kritik Önemli.
• Uygulama bakım süreçleri, uygulama sistemlerinde yapılan değişikliklerin tutarlı bir
kontrol modelini takip etmesini sağlamalıdır. Değişiklik yönetimi, yapısal güvence validasyon
süreçlerine tâbi olmalıdır.
Sistem geliştirme hizmetinin dış kaynaklardan temin edilmesi (taşeron kullanımı) hâlinde,
taşeron veya tedarikçi sözleşmelerinde benzer kontrol şartları öne sürülmelidir. Proje yönetim
teknik ve kontrolleri, sistem geliştirme sürecinin – geliştirme faaliyetleri ister kurum
bünyesinde gerçekleştirilsin, isterse de dış kaynaklardan temin edilsin – bir parçası olmalıdır.
Yönetimin, projelerin zamanında ve bütçeye uygun tamamlanıp tamamlanmadığını ve
kaynakların etkin kullanılıp kullanılmadığını bilmesi gerekmektedir. Raporlama süreçleri,
yönetimin sistem geliştirme projelerinin mevcut durumundan haberdar olmasını ve bitmiş
ürün elde edildiğinde herhangi bir sürprizle karşılaşmamasını sağlamalıdır.11 Sistem geliştirme
veya edinme projelerinin değerlendirilmesi sırasında, IIA’nın yayımladığı GTAG 12: BT
Projelerinin Denetimi de göz önünde bulundurulmalıdır.
6.3.7 Uygulama Kontrolleri12
Uygulama sistemleri üzerindeki kontrollerin amaç ve hedefleri aşağıdaki gibidir:
• Girdi verilerinin tümünün kesin, eksiksiz, izinli ve doğru olması.
• Tüm verilerin amaçlanan şekilde işlenmesi.
• Saklanan tüm verilerin doğru, kesin ve eksiksiz olması.
• Tüm çıktıların doğru, kesin ve eksiksiz olması.
• Verilerin girilmesinden saklanmasına ve nihai çıktı evrasine kadar veri işlemlerinin
izlenmesi için bir kaydın tutulması.
Uygulama kontrollerinin gözden geçirilmesi eskiden beri uzman BT denetçisinin sorumluluk
alanına dâhildir. Ancak, artık uygulama kontrolleri iş kontrollerinin büyük bir kısmını teşkil
ettiğinden, her iç denetçinin ilgilenmesi gereken kilit konulardan biri olmalıdır.
Tüm uygulamalarda mevcut olması gereken birkaç genel (jenerik) kontrol türü bulunmaktadır.
• Girdi kontrolleri: Bu kontroller çoğunlukla, girdi kaynağı ister doğrudan personel, ister
uzaktan bir iş ortağı ya da bir web tabanlı uygulama olsun, bir iş uygulamasına girilen
verilerin tamlığının kontrol edilmesi için kullanılır. Veri girişi, belirtilen parametreler
içerisinde kalmasının sağlanması için kontrol edilir.
11 Bkz. IIA’nın yayımladığı GTAG 14: Kullanıcılar Tarafından Geliştirilen Uygulamaların Denetimi.12 Bkz. IIA’nın yayımladığı GTAG 8: Uygulama Kontrollerinin Denetimi.
• İşleme faaliyeti kontrolleri: Bu kontroller işleme faaliyetlerinin eksiksiz, kesin ve doğru
ve izinli olmasının sağlanması için otomatik araçlar sağlar.
• Çıktı kontrolleri: Bu kontroller verilerle ne yapıldığına yöneliktir. Bu kontrollerin elde
edilen sonuçları hedeflenen sonuçlarla karşılaştırmaları ve bunları veri girdileriyle
karşılaştırarak kontrol etmeleri gerekmektedir.
• Veri tamlığı kontrolleri: Bu kontroller verilerin tutarlı ve doğru kalmasının sağlanması
için işlenmekte olan ve/veya saklanan verileri görüntüleyip izleyebilirler.
• Yönetimin izleme kontrolleri: Çoğunlukla denetim izi olarak adlandırılan işlem geçmişi
kontrolleri, yönetimin yapılan işlemleri işlem kaynağından nihai sonuca kadar takip etmesini
ve sonuçlardan yola çıkarak bunların kaydettiği işlem ve olayları tanımlamak için geriye
doğru takip etmesini olanaklı kılar. Bu kontrollerin genel kontrollerin etkililiğini izleyip takip
etmek ve hataları kaynaklarına mümkün olduğunca yakın tanımlamak için yeterli olması
gerekmektedir.
6.4 Bilgi Güvenliği
Bilgi güvenliği13 BT kontrollerinin ayrılmaz bir parçasıdır. Bilgi güvenliği hem altyapı hem
de verilere uygulanır ve diğer BT kontrollerinin çoğu için güvenilirlik kaynağıdır. Kural dışı
durum kontrolleri BT’nin ve bazı proje yönetimi kontrollerinin finansal boyutuyla ilgili
kontrollerdir (örn. ROI – yatırım getirisi – ve bütçe kontrolleri gibi). Genel kabul görmüş bilgi
güvenliği unsurları şunlardır:
• Gizlilik: Gizli bilgiler yalnızca gerektiğinde ifşa edilmelidirler ve izinsiz açıklama veya
durdurma risklerine karşı korunmaldırlar. Gizlilik, mahremiyet hususlarını kapsamaktadır.
• Tamlık: Bilgilerin tamlığı verilen doğru ve eksiksiz olması anlamına gelmektedir. Tamlık,
finansal işleme ve raporlama güvenilirliğini kapsamaktadır.
• Erişebilirlik: Bilgiler, ihtiyaç duyuldukları yer, zaman ve şekilde, kuruma, kurumun
mşterilerine ve ortaklarına sağlanmaldıır. Erişilebilirlik, verilerde ve BT hizmetlerinde
meydana gelen kayıplardan, kesintilerden veya çökmelerden ve bilgilerin saklandığı yerde
meydana gelen bir yıkımdan sonra geri yükleme yapabilme yeteneğini de kapsar.
6.5 BT Kontrolleri Çerçevesi
Kurumların BT kullandığı 50 yılı aşkın bir süredir kontroller her zaman yeni sistem donanım
ve yazılımları için varsayılan şart olmamıştır. Kontrollerin geliştirilip kullanılmaları, tipik
olarak, sistemlerde ortaya çıkan risklerin ve bu tür zayıflıkları kulanan tehditlerin
tanınmasının ardından gerçekleşmiştir. Dahası, BT kontrolleri tüm sistemlerde veya bu 13 Refer to The IIA’s GTAG 15: Information Security Governance.
sistemleri kullanılan kurumlarda uygulanabilecek küresel çapta tanınmış hiçbir standartta
tanımlanmamaktdır.
Kontrol çerçevesi, bir BT çevresinin güvenliğini yeterince sağlamaya yönelik kontrollerin
kategorize edilmesi ve tanımlanmasının yapısal yoludur. Bu çerçeve formel (resmi) veya
informel (gayriresmi) olabilir. Formel bir yaklaşım, mevzuat ve anayasal şartlara tâbi
kurumlar için muhtelif mevzuat ve anayasal şartları daha kolay karşılayacaktır. Bir kontrol
çerçevesi seçme veya oluşturma sürecine, iş süreci sahipleri ve kontrolleri uygulamaktan
sorumlu tarafların da dâhil olduğu tüm ilgili taraflar müdahil olmalıdır. Kontrol çerçevesi tüm
kurum için geçerli olmalı ve tüm kurum tarafından kullanılmalıdır.
7. BT Denetim Yeterlilik ve Becerileri
UMUÇ’a göre, iç denetçilerin dört ilkeyi benimseyip savunmaları beklenmektedir: dürüstlük,
objektiflik, gizlilik ve yeterlilik. Yeterlilik ilkesi, iç denetçilerin yalnızca gerekli bilgi, beceri
ve deneyime sahip oldukları hizmetleri vermesini şart koşmaktadır. Dahası, IIA Özellik
Standardı 1210: Uzmanlık şunları belirtmektedir: “İç denetçilerin bireysel sorumluluklarını
yerine getirmeleri için gereken bilgi, beceri ve diğer yeterliliklere sahip olması gerekmektedir.
iç denetim biriminin tamamının sorumluluklarını yerine getirmek için gereken bilgi, beceri ve
diğer yeterliliklere sahip olması veya bunları elde etmesi gerekmektedir.”
İç denetçilerin kendilerine verilen görevlerin (angajman) tamamını veya bir bölümnü ifa
etmek için gereken bilgi, beceri veya diğer yeterliliklere sahip olamması hâlinde, İDY’nin
uzman tavsiye ve yardımı elde etmesi gerekmektedir. İç denetim biriminde muhafaza edilecek
gerekli yeterliliklerin tanımlanmasına yardımcı olması için, IIA bir Entegre Yeterlilik
Çerçevesi sunmaktadır. Bu yaklaşım, tanımlanan kurumsal riskleri ilgili BT süreçleriyle
eşleştirir. Dolayısıyla, İDY’nin tespit edilen kurumsal riskler üzerindeki kontrollerin
etkililiğinin denetlenmesi için hangi tür ve düzeyde BT beceri ve yeterliliklerinin gerektiğini
bilmesi gerekmektedir. Aşağıdaki tabloda kurumsal riskler ve gereken BT kontrollerinin yanı
ısra denetlemenin gerçekleştirilmesi için gereken beceriler/yeterliliklerin de
haritalandırılmasına ilişkin birkaç örnek gösterilmektedir.
Kurumsal Risk BT Kontrolleri BT Beceri ve Yeterlilikleri
Bilgi Güvenliği Yönetimi Sağlam, makul bir güvenlik kontrolü
Güvenlik yönetimi; ağ, işletim sistemi, veritabanı ve uygulama düzeylerinde erişim kontrolleri
Kritik iş kesintisi Kritik iş uygulamalarının erişilebilirliğinin sağlanması
BT fasilitelerinin (ağ altyapısı, işletim sistemleri, veritabanları ve uygulamalar gibi) iş sürekliliği ve olağanüst durumlardan (yıkım) sonra geri yükleme planlaması
Yanlış ve eksik finansal ve yönetim raporlaması
Veri gizlilik ve erişilebilirliğinin emniyet altına alınması and availability
Uygulama kontrolleri, değişiklik kontrolleri ve sistem geliştirme yaşam döngüsü (SDLC) kontrolleri.
İç denetim biriminin gereken BT beceri ve yeterliliklerine sahip olmaması hâlinde, İDY iç
denetim personelini desteklemek veya ekiskiliklerini tamamlamak için bir dış hizmet
sağlayıcısına başvurabilir (dışk veya eş kaynak kullanımı).14
8. Kontrol Çerçevesinin Kullanımı
14 Bkz. IIA Uygulama Rehberi 1210.A1-1: İç Denetim Biriminin Desteklenmesi veya İlgili Eksiğinin Tamamlanması İçin Dış Hizmet Sağlayıcılarının Kullanılması.
Her kurumun hangilerinin – veya hangi bölümlerinin – ihtiyaçlarına en iyi cevap verdiğini
belirlemesi için mevcut kontrol çerçevelerini incelemesi gerekmektedir. bir kontrol çerçvesi
seçme veya oluşturma sürecine kurum büyesinde kontrollere ilişkin doğrudan sorumlulukları
bulunan herkesin müdâhil olması gerekmektedir. İç denetim birimi bu çerçevenin yeterliliğini
değerlendirdikten sonra ilgili çerçeveyi iç denetimin işlerini planlama ve ifa etme
aşamalarında bir bağlam olarak kullanır.
İDY, BT kontrollerinin etkililik ve uygunluklarını değerlendirmek için BT risk hususlarına
ilişkin genel bir bilgi birikimine ihtiyaç duyar. İDY, iç denetim planını ve kaynakları yapısal
risk düzeylerinden ötürü dikkate değer BT alanları ve hususlarına yönlendirir. Risk analizi ve
değerlendirmesi, özellikle BT için uygulandıklarında, tek seferlik bir süreç olarak görülemez.
Teknoloji sürekli ve süratli bir şekilde değiştikçe onunla bağlantılı risk ve tehditler de aynı
şekilde değişmektedir. BT kontrollerinin kurumsal pozisyon, amaç ve işlevselliklerine göre
kategorize edilmesi kendi değer ve yeterliliklerinin yanı sıra iç kontrol sisteminin de
yeterliliğinin değerlendirilmesi açısından yararlıdır. Mevcut BT kontrollerinin genişliği ve
çeşitliliği, kontroller için tetikleyici güçler ve kurumsal rol ve sorumluluklar hakkında bilgi
sahibi olunması kapsamlı risk analiz ve değerlendirmeleri yapılabilmesine imkân tanır.
Kontrol etkililiğinin derlendirilmesinde, kontrollerin zorunlu veya gönüllü, isteğe bağlı veya
isteğe bağlı olmayan, manüel veya otomatik, birincil veya ikincil ve yönetimin baypasına tâbi
kontroller olup olmadığının anlaşılması da fayda sağlar.
Son olarak, BT kontrollerinin değerlendirilmesi sürecine test edilecek kilit kontrollerin
seçilmesi, test sonuçlarının değerlendirilmesi ve delillerin herhangi bir kontrol zfiyetine işaret
edip etmediklerinin belirlenmesi dâhildir. Ekte verilen kontrol listesi, iç denetim BT kontrol
değerlendirmeleri planlanıp yürütülürken tüm ilgili hususların göz önünde bulundurulmasını
sağlamaya yardımcı olabilir. Birkaç mevcut çerçeve ve yaklaşım, İDY ve iğer yöneticilere BT
kontrol gereksinimlerini belirlemede yardımcı olabilir. Ancak, kurumların hangisinin kendi
ihtiyaç ve kültürlerine uyduğunu belirlemek için yeterli sayıda çerçeveyi incelemeleri
gerekmektedir.
8.1 Bilgisayar Destekli Denetim Teknikleri ve Veri Analizinin Kullanımı
İDY’lerin BT risk çeversine ilişkin daha gerçek zamanlı bir perspektif kazanıp anormal
durumları tespit edebilmeleri için bilgisayar destekli denetim tekniklerini – özellikle de veri
analiz araçlarını – göz önünde bulundurmları gerekmektedir. Kurumların ve iç denetim
birimlerinin az imkânla çok şey başarmalarının gerektiği bir ortamda, veri analizi İDY’ye
kurum çapında erişilebilen tüm bilgilerden yararlanma ve risk değerlendime ve denetim
faaliyetlerinin odaklanması gereken muhtemel alanları tespit edebilme fırsatı verir. Veri
analizi, İDY’ye iç kontrollerin çalışma verimini süreki değerlendirmesi ve ortaya çıkan
(muhtemel) risklerin göstergelerini gözden geçirmesi için bir yaklaşım da sunabilir. Mevcut
veri analiz araçları bilgi denetimi ve büyük miktarda verinin verimli işlenmesi için
fonksiyonellik artışı sağlar. Ancak birkaç tane zorluk a mevcuttur: İDY’nin teknik beceriler
elde etmesi, veri analiz araçlarına erişmesi, raporlama/özetleme araçlarından faydalanması,
veri kaynaklarına erişmesi ve en yüksek kurumsal risklere odaklanan bir strateji geliştirmesi
gerekmektedir.
Sürekli denetim, veriler iç denetçi tarafından sürekli analiz edilip değerlendirildiğinden,
sürekli izlemeye benzer bir faaliyettir. Sürekli izleme biryönetim sorumluluk ve işlevini
temsil eder. İç denetim, sürekli izlemeyi test edebilir, gözden geçirebilir veya kullanabilir.
Konuyla ilgili daha detaylı bilgi için, bkz. IIA’nın yayımladığı GTAG 3: Sürekli Denetim:
Güvence, İzleme ve Risk Değerlendirme Mülahazaları.
8.2 Otomatik Risk Değerlendirme Yönteminin Kullanılması
İDY, risk değerlendirme etkinliğini güçlendirmek için sayısal puanlama veya detaylı risk
değerlendirmesine ihtiyaç olduğunu fark edebilir. Risk analiz sürecinin otomatize edilmesi
için belirli araçlar mevcuttur. Bu araçlar, diğer birçok faktörün yanında, risklerin
puanlanmasına, etkilerinin açıklanmasına ve olabilirliklerinin derecelndirilmesine imkân tanır.
Risk değerlendirme sürecinin otomatize edilmesi risklerin karşılaştırılıp önceliklendirilmesine
olanak tanır. Yapısalve artık risk faktörlerinin toplanması, İDY’ye sıcaklık haritaları veya
kurumun risk profilini karşılayan risk profilleri gibi özet bilgiler sunma imkânı verir. İç
denetim yönetiminin otomatize edilmesi kendi alanında başlı başına ayrı bir konu teşkil eder
ve bir fırsat alanı da risk değerlendirme sürecinin otomatize edilmesidir (örn. yönetime risk
derecelendirmelerini kaydetme imkânı tanımak için oylama araçlarının kullanılması).
Denetim BT Kontrollerine Ne Şekilde Katkı Sağlar?Geçtiğimiz birkaç onyılda, yönetim ve denetçilerin, bir denetim faaliyeti bir eksiklik veya hatayı ortaya
çıkardıktan sonra eklenmelerinden ziyade, uygun kontrollerin yeni sistemlere baştan entegre edilmesini
sağlamak için denetçilerin kontrol uzmanlıklarını sistem geliştirme süreçlerine ekleyerek kuruma değer
katabilecekleri konusunda uzlaşmaya vardıkları dönemler olmuştur. Bu faaliyetler ana akım denetim
çevresinde kontrol ve risk özdeğerlendirme alanlarındaki gelişmelerle aynı döneme denk gelmiştir.
Denetim danışmanlık hizmetleri ve risk odaklı denetim yaygınlaşmıştır. Siber saldırıların sayı ve şiddeti
arttıkça, 1990’lı yıllar ve sonrasında bilgi güvenliği yönetimine olan ilgide çarpıcı bir artış görülmüştür.
Bu gelişmeler BT denetçilerinin rollerinin şekillenmesine olduğu gibi iş dünyasının etkili bilgi güvenliği
yönetiminin önemini anlamasına da yardımcı olmuştur.
8.3 BT Kontrollerinin Raporlanması
İDY’lerin güvence görevlerinin sonuçları hakkında kilit konumdaki ilgililerle – örn. denetim
komitesis, üst düzey yönetici, düzenleyici otoriteler, dış denetçiler veya BSY gibi – letişime
geçmesi gerekmektedir. İDY’ler bir çok raporlama formatı kullanabilirler ve yaklaşımlar
güncellemelerden dengeli puan kartlarına (kurumsal karne) veya özel üst düzey yönetim
oturum sunumlarına kadar çeşitlilik gösterebilmektedir.
Yaklaşımlardan biri değerlendirme üzerinde basit güncellemelere başlanmasıdır. İDY’nin
öncelikle belirli kilit BT süreçleri üzerindeki yapısal risk düzeyini tayin etmesi gerekmektedir.
Bunu bir örnekle açıklamak gerekirse, İDY, BSY veya kilit konumdaki BT ilgililerine sistem
geliştirme, faaliyetler, iş süreklilik planlaması, ağ, bilgi güvenliği ve değişiklik
yönetimiüzerindeki yapısal riski sunabilir ve bunu doğrulayabilir. Yapısal risk çoğunlukla BT
stratejisine ve organizasyonuna bağlıdır. Bazı BT organizasyonları dış kaynaklı olabildikleri
gibi merkezi veya merkezi olmayan bir yapıya da sahip olabilirler. Güncellemeler, muhtelif
BT alanlarında denetim projeleri şekline bürünebilirler. İlgili güncelleme önemli bulguları
veya hususları içerebilir. Denetim önerilerinde kaydedilen ilerleme de BT güncellemesinin bir
parçası olabilir.
Diğer bir yaklaşım da bir kurumsal karne kullanılarak yapılan raporlamadır. Bu da BSY’nin
BT strateji ve faaliyetlerinin bir BT kurumsal karnesi kullanarak rapor etmesiyle örtüşür.
Kurumsal Karne Enstitüsü, BT faaliyetlerini dört perspektiften inceleyen bir şablon
sunmaktadır: finansal, iç iş süreci, öğrenme ve büyüme ve müşteri. İDY, Yönetim Kurulu,
denetim komitesi veya yönetim kadrosuna sunduğu rutin denetim raporunun bir parçası olarak
bir BT raporu sunduğunda, bu rapor genellikle bilgi güvenliği tehditleri, değişiklik yönetimi
kural dışı durumları, proje gelişim durumu, faaliyet tehdidi raporlama, sermaye harcama veya
kilit BT risk ve kontrollerini ölçen diğer parametreleri içerir. Bu tür bir yaklaşımın tek bir
formatta tüm risk ve kontrollere – kurumsal risk ve kontrollerden BT risk ve kontrolelrine
kadar – ilişkin bütünlüklü ve kapsamlı bir yaklaşım sağlaması gerekmektedir.
Bazı durumlarda İDY özel veya üst düzey yönetimin katıldığı bir oturum yapma ihtiyacı
hissedebilir. Bu tür bir rapor genellikle önemli konuları kapsar. Bir örnekle açıklamak
gerekirse, bu raporlar iç denetim ekibinin muhtelif denemelerin ardından istenilen verilere
erişememesi, kilit konumdaki BT ilgililerinin eksiksiz veya tam bilgi ifşasında bulunmaması
veya BT liderlerinin kilit öneme sahip icra kurulu toplantılarına iç denetçiyi almaması (örn.
yeterli sayıda boş koltuk bulunmaması gibi mazeretlerle) gibi konuları içerebilir. Özel bir
oturumun diğer bir zorluğu da BSY desteğinin alınamamasıdır. Bu “üst yönetim tavrı” (tone
at the top) yanlış bir kurumsal kültür yerleşmesine, hatta risk çözüm sürecinin sekteye
uğramasına veya kilit BT kontrollerinin izlenmeden yürütlmesine neden olabilir.
9. Varılan Sonuçlar
BT risk ve kontrollerinin değerlendirilmesi – hem yeni hem de deneyimli İDY’ler açısından –
BT ortamının ve bunun kurumsal risk yönetimindeki öneminin anlaşılması sürcindeki ilk
adımlardan biridir. Bu GTAG’in okunup uygulamaya konması İDY’ler ve iç denetçilere BT
riskleri ve ilgili kontrolleri yeterli düzeyde anlamak onusunda bir kılavuz görevi görecektir.
Bu sayede, İDY kilit onumdaki ilgililerle BT risk ve kontrollerine ilişkin tartışma ve
oturumları yönlendirebilecektir.
Bir sonraki adım olan BT yönetişiminin değerlendirilip anlaşılması, İDY’ye BT ortamında
kimin neyden sorumlu olduğunu ve BT liderlerinin (diğer iş liderleriyle işbirliği içerisinde)
BT stratejisini ne şekilde kullandığını tespit etme imkânı verir. Bu bağlamda, İDY’lerin IIA
Standardı 2110.A2’nin “BT yönetişiminin değerlendirilmesi”ni öngördüğünü unutmamaları
gerekmektedir. Bu dokümanın 3.Bölümünde (İç Paydaşlar ve BT Sorumlulukları) kilit rol ve
sorumluluklara ilişkin kullanışlı bir özet sunulmaktadır.
İDY’nin BT yönetişimini değerlendirmesinin ardından, BT risklerinin analiz edilmesi süreç
dâhilinde makul bir adımdır. Ancak ne yazık ki, Bt risklerinin analiz edilmesi için genel kabul
görmüş bir ontrol listesi mevcut değildir. Her kurum – yapısı ve iş hacminin gerektirdiği
şekilde – farklı teknolojik altyapılar, uygulamalar ve ara yüzlerle çalışır ve BT staratejisine
ulaşmak çin farklı politikalar kullanır. İDY’nin risk analizini ISO 31000 Risk Yönetim
Standardizasyonu’nda belirtilen bir metdoloji gibi yapısal bir metodoloji kullanarak ve genel
kurumsal risk bağlamında kilit konumdaki BT liderlerinden (örn. BSY vey diğer üst düzey
yöneticiler gibi) edindiği bilgilerden faydalanarak gerçekleştirmesi gerekmektedir. sağlam ve
karşılıklı güvene dayalı ilişkilerin kurulması yapısal ve artık risklerin analizinde şeffaflığa
olanak sağlayackatır.
BT risklerinin analizine ilişkin birçok model ve yaklaşım bulunmaktadır ve İDY’nin de
çalıştığı kuruma en uygun modelleri seçmesi gerekmektedir. Kilit BT rol ve
fonksiyonlarından bazıları bu belgenin 6. Bölümünde (BT Kontrollerinin Öneminin
Anlaşılması) detaylarıyla anlatılmaktadır. İDY BT risk düzeylerini derecelendirerek genel
denetim planına nelerin dâhiledileceğine karar verir.
İDY’nin genel denetim planına bağlı olarak hangi teknik beceri ve yeterliliklerin gerektiğini
tespit edip değerlendirmesi gerekmektedir. İDy, bir yukarıdan aşağıya (top-down) ve risk
odaklı yaklaşım benimsemede IIA’nın yayımladığı GAIT Metdolojisini göz önünde
bulundurabilir. Bazı uzmanların ise tam zamanlı çalıştırılması her zaman maliyet-etkin bir
seçenek olmayabilir. İDY’ler kurum bünyesinde geliştirilmiş becerilerden, kiralanmış
becerilerden veya dış hizmet sağlayıcılarından yararlanabilir. Eş kaynak kullanımı her
büyüklükteki kurumlara dış kaynaklardan temin edilen uzman hizmeti kullanma ve en son BT
tendleri ile risk etikisine ilişkin perspektif kazanma fırsatı verir.
BT risk ve kontrollerinin değerlendirilmesi dikkatli ve organize bir plan gerektirir. İDY’lerin
profesyonel bir işin yapılması için yeterli zaman ve beceri kaynağı planlamaları ve sürekli
analiz için sürdürülebilir bir süreç oluşturmaları gerekmektedir.
10. Yazarlar ve Kontrol Edenler
Yazarlar:
Steve Mar, CFSA, CISA
Rune Johannessen, CIA, CCSA, CISA
Stephen Coates, CIA, CGAP, CISA
Karine Wegrzynowicz, CIA
Thomas Andreesen, CISA, CRISC
Kontrol Edenler:
Steve Hunt, CIA
Steve Jameson, CIA, CCSA, CFSA, CRMA
Diğer Emeği Geçenler:
Dragon Tai, CIA, CCSA
11. Ek: BT Kontrol Çerçevesi Kontrol Listesi
İDY’ler, kurumun tüm kontrol unsurlarını dikkate aldığından emin olmak için kullandıkları
BT kontrol çerçevelerini kontrol etmek için bu kontrol listesini kullanabilirler. Bu kontrol
listesi, İDY’lere ilgili konuları anlamalarında ve iç denetimin kontrol alanlarının tümüne
eğilmesi için planlama yapmalarında yardımcı olabilir.
FAALİYETLER SORULAR
1. Aşağıdakiler de dâhil olmak üzere, kurumun BT kontrol çevresini tanımlayınız:
a. Değerler.
b. Felsefe.
c. Yönetim tarzı.
d. BT farkındalığı.
e. Organizasyon.
f. Politkalar.
g. Standartlar.
• BT kontrollerine duyulan ihtiyacı tanımlayan kurumsal politika ve standartlar mevcut mu?
2. Aşağıda belirtilen BT kontrolünü etkileyen ilgili mevzuat ve tüzüğü tanımlayınız.
a. Yönetişim. b. Raporlama.
c. Veri koruma.
d. Mevzuata uyum.
• BT kontrollerine duyulan ihtiyacı etkileyen ne gibi tüzük veya mevzuat mevcuttur?
• Yönetim bu mevzuata uyumu sağlamak için gereken adımları attı mı?
3. BT kontrolleri için aşağıdakilerle ilgili rol ve sorumlulukları tanımlayınız:
a. Yönetim Kurulu.
i. Denetim komitesi.
ii. Risk komitesi.iii. Yönetişim komitesi. iv. Finans komitesi.
b. Yönetim. i. CEO.
ii. CFO ve kontrolör. iii. BSY.iv. Güvenlik Yöneticis (CSO). v. Bilgi Güvenliği Yöneticisi (BGY – CISO).vi. Risk Yöneticisi (RY)
c. Denetim.i. İç denetim. ii. Dış denetim.
• BT kontrolleri için ilgilisorumlulukların tümü münferit rollere dağıtıldı mı?
• Sorumluluk dağılımı, görevler ayrılığı ilkesinin uygulanması gerekliliğine uygun mu?
• BT sorumlulukları dokümante ediliyor mu?
• BT kontrol sorumlulukları tüm kuruma bildiriliyor mu?
• Bireyler BT kontrolleriyle ilişkili sorumluluklarını açık ve net bir şekilde idrak edebiliyor mu?
• Birelyerin sorumluluklarını yerine getirdiğine ilişkin ne gibi deliler mevcut?
• İç denetim birimi BT kontrol hususlarına eğilinmesi için yeterli sayıda BT denetim uzmanı çalıştırıyor mu?
FAALİYETLER SORULAR
4. Risk değerlendirme sürecini tanımlayınız.
Aşağıdaki konulara eğiliyor mu?
a. Risk iştahı
b. Risk toleransı
c. Risk analizi
d. Risklerin BT kontrolleriyle eşleştirilmesi
• Kurumun risk iştahı ve toleransı nasıl belirlenir?
• Kurumun risk iştahı ve toleransı Yönetim Kurulu düzeyinde mi belirlenip tasdikedilir?
• Risk iştahı ve toleransı BT kontrolüyle ilişkili herhangi bir sorumluluğu olan bireyler tarafından açıkça idrak edilip anlaşılıyor mu?
• Kurum formel (resmi) bir risk analiz süreci mi kullanıyor?
• İlgili süreç BT kontrolünden sorumlu olan tüm bireyler tarafından anlaşılıyor mu?
• İlgili süreç kurum çapında sürekli ve tutarlı bir şekilde kullanılıyor mu?
5. Aşağıdakiler de dâhil tüm izleme süreçlerini tanımlayınız.a. Düzenleyici.b. Normal şirket-içi.c. İç denetim haricindekiler.
• İç politika ve standartlara ek olarak ilgili mevzuata uyumun takip edilmesi için ne gibi süreçler mevcuttur?
• Yönetim iç denetimden başka izleme süreçlerinden de yararlanıyor mu?
6. Aşağıdaki bilgi ve iletişim mekanizmalarını tanımlayınız:
a. Kontrol bilgisi.
b. Kontrol başarısızlıkları.
• BT güvenliğiyle ilgili olarak Yönetim Kurulu’na, onun komitelerine ve yönetim kadrosuna ne gibi ölçüt ve parametreler sunulmaktadır?
• Yönetim Kurulu ve yönetim kadrosuna başka hangi raporlar sunulmaktadır?
• BT kontrol başarısızlıkları her meydana geldiğinde yönetime konuyla ilgili rapor sunuluyor mu?
• Yönetim Kurulu ve onun komitelerine de BT başarısızlıklarıyla ilgli benzer raporlar sunuluyor mu?
UMUÇ Hakkında
Uluslararası Mesleki Uygulamalar Çerçevesi (UMUÇ), İç Denetim Enstitüsü tarafından
yayımlanan otorite niteliğinde bir kılavuzu oluşturan kavramsal çerçevedir. UMUÇ rehberleri
aşağıdakileri kapsamaktadır:
Zorunlu Rehberİçdenetim mesleki uygulaması için zorunlu rehberde belirtilen ilkelere uyulması gerekli ve esastır. Zorunlu rehber, ilgili kişilerden girdi alınması için bir halka arz periyodunu da içeren yerleşik ve itinalı bir süreç izlenerek geliştirilir. UMUÇ’un üç zorunlu unsuru İç Denetimin Tanımı, Etik Kuralları ve İç Denetim Mesleki Uygulaması için Uluslararası Standartlar (Standartlar) olarak belirlenmiştir.
Unsur Tanımı
Tanım İç Denetimin Tanımı, iç denetimin temel amaç, yapı ve kapsamını belirtir.
Etik Kuralları Etik Kuralları, kişi ve kurumların iç denetim faaliyetlerini yürütürken sergiledikleri davranışları belirleyen ilke ve beklentileri belirtir. Spesifik faaliyetlerden ziyade, davranış kuralarına ilişkin asgari gereklilikleri ve davranışsal beklentileri açıklar.
Uluslararası Standartlar Standartlar ilke odaklıdırlar ve iç denetimin gerçekleştirilip teşvik edilmesi için bir çerçeve sunarlar. Standartlar aşağıdakilerden müteşekkil zorunlu gerekliliklerdir:
• İç denetim mesleki uygulaması için ve bunun yürütülmesinin etkililiğinin değerlendirilmesi için temel gerekliliklerin belirten beyanlar. Bu gereklilikler kurumsal ve bireysel düzeylerde uluslararası çapta uygulanabilir şartlardır.• İlgili beyanlardaki terim ve kavramları açıklığa kavuşturan açıklamalar.
Standartların doğru anlaşılıp uygulanabilmesi için hem ilgili beyanların hem de bunlara ilişkin şerhlerin (yorumlamaların) göz önünde bulundurulması gerekmektedir. Standartlarda, Sölükçe bölümünde yer alan spesifik anlamlar yüklenmiş terimler kullanılır.
Önemle Tavsiye Edilen RehberÖnemle tavsiye edilen rehber, IIA tarafından bir takım resmi onay süreçlerinden geçirildikten sonra tasdik edilir. IIA’nın İç Denetim Tanımı, Etik Kuralları ve Standarlarının etkili bir şekilde uygulanabilmeleri için gerekli uygulamaları açıklar. UMUÇ’un önemle tavsiye edilen üç unsuru Makaleler, Uygulama Önerileri ve Uygulama Kılavuzlarıdır.
Unsur Tanımı
Makaleler Makaleler, içdenetim mesleğine vakıf olmayanların da dâhil olduğu çok geniş bir ilgili kişi kitlesine önemli yönetişim, risk veya kontrol hususlarının anlaşılması ve iç denetimin ilgili rol ve sorumluluklarının tasviri konularında yardımcı olur.
Uygulama Önerileri Uygulama Önerileri, iç denetçilere İç Denetim Tanımı, Etik Kuralları ve Standartlar unsurlarını uygulama ve iyi uygulamaları teşvik etme konularında yardımcı olur. Uygulama Önerileri, süreç veya prosedürleri detaylandırmak yerine iç denetimin yaklaşımı, metodolojileri ve mülahazalarına odaklanırlar. Şunlara ilişkin uygulamaları içerirler: uluslararası hususlar veya ülke ya da sektöre özel hususlar, spesifik görev (angajman) türleri ve yasal veya mevzuatla ilgili hususlar.
Uygulama Kılavuzları Uygulama Kılavuzları, iç denetim faaliyetlerinin yürütülmesi için detaylı rehber görevi görürler. Araç ve teknikler, programlar ve adımsal (adım adım) yaklaşımlar ve ayrıca teslim edilmesi gereken ürünlerin örnekleri gibi detaylı süreç ve prosedürleri içerirler.
Bu GTAG, UMUÇ kapsamında bir Uygulama Kılavuzudur.
Diğer otorite niteliğindeki rehberlik materyalleri için lütfen www.theiia.org/guidance-standards adresini ziyaret
ediniz.
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetim Enstitüsü (IIA), uluslararası merkezi Altamonte
Springs, Fla., ABD adresinde bulunan bir uluslararası meslek kurumudur. IIA, iç denetim
mesleğinin küresel temsilcsi, tanınmış otoritesi, onaylı lideri, baş savunucusu ve birincil
eğitim merkezidir.
Uygulama Kılavuzları Hakkında
Uygulama Kılavuzları, iç denetim faaliyetlerinin yürütülmesi için detaylı rehber görevi
görürler. Araç ve teknikler, programlar ve adımsal (adım adım) yaklaşımlar ve ayrıca teslim
edilmesi gereken ürünlerin örnekleri gibi detaylı süreç ve prosedürleri içerirler. Uygulama
Kılavuzları, IIA tarafından yayımlanan UMUÇ’un bir parçasıdır. Kılavuzun Önemle Tavsiye
Edilen kategorisinin bir parçası olarak, bu kılavuzlara uyulması zorunlu olmasa da önemle
tavsiye edilir ve ilgili kılavuz bir dizi formel (resmi) gözden geçirme ve onay sürecinden
geçtikten sonra IIA tarafından tasdik edilir.
Global Teknolojiler Denetim Kılavuzu (GTAG), bilgi teknolojileri yönetim, kontrol veya
güvenliğiyle ilişkili güncel bir konuya değinmek için açık ve özlü bir mesleki dil kullanılarak
yazılmış bir Uygulama Rehberi türüdür.
IIA tarafından yayımlanan diğer otorite niteliğinde rehberlik materyalleri için lütfen
www.globaliia.org/standards-guidance adresini ziyaret ediniz.
Uyarı
IIA bu belgeyi yalnızca bilgi ve eğitim amacıyla yayımlamaktadır. Bu kılavuz materyalinde
öznel muhtelif durum ve olaylara kesin cevaplar verme amacı güdülmemiş olup, bu
materyalin yalnızca bir kılavuz olarak kullanılması amaçlanmıştır. IIA, doğrudan herhangi bir
öznel durumla ilgili olarak her zaman için bağımsız uzman tavsiyelerine başvurulmasını
önermektedir. IIA, bu kılavuzu tek dayank noktası olarak kabul eden hiç kimse için
sorumluluk kabul etmez.
Telif Hakları
Telif Hakkı ® 2012 İç Denetim Enstitüsü.
Yeniden basım izni için lütfen [email protected] adresinden IIA ile irtibata geçiniz.
