BT Denetim

Denetim mesleği ve denetim uygulamaları, teknolojik gelişmelere paralel olarak birçok değişikliğe uğramış ve günümüzde geldiği noktaya kadar da evreler geçirmiştir. Özellikle, 20.yüzyıldan itibaren yatırımcıların bilgilendirilmesi ve toplum-kamu çıkarlarının korunması açısından denetim ve uygulamaları ile ilgili olarak standartların oluşturulması ve yasal düzenlemelere gidilmesi söz konusu olmuştur. Bu noktada, oluşturulacak standartlarda ve yapılacak yasal düzenlemelerde bilgi teknolojilerindeki yeniliklere yer verilmesi ve kuruluşların denetimleri sırasında bilgi teknolojileri ortamlarının dikkate alınması da zorunluluk haline gelmiştir.

Ne Kadar Güvendesiniz?

BT denetimi, bilgi varlıklarına ilişkin risklerin belirlenmesi ve bu risklerin azaltılması veya yok edilmesi için kontroller oluşturulması (risk yönetimi) gibi süreçlere odaklanmaktadır. Bilgi varlıklarının korunmasında BT denetiminin amaçlarından biri de, işletmenin bilgi sistemlerinin uygunluğunun, gizliliğinin ve bütünlüğünün gözden geçirilip değerlendirilmesidir. Bu doğrultuda BT denetçilerinin denetimlerini gerçekleştirirken cevap aradıkları bazı sorular şöyle sıralanabilir:

-İşletmenin bilgi sistemleri her zaman iş akışını aksatmayacak şekilde kullanıma uygun mudur?

-Sistemdeki bilgiler sadece yetkili kullanıcıların erişimine mi açıktır?

-Sistemdeki bilgiler her zaman doğru, eksiksiz, güvenilir ve güncel midir?

Bilgi Teknolojisi, iç denetim işlevi üzerinde önemli bir etkiye sahiptir. Yeni riskler ortaya çıktıkça bu riskleri etkili bir biçimde ele alacak yeni prosedürlere ihtiyaç duyulur.

BT denetim süreci, diğer denetim süreçleriyle büyük benzerlikler taşır. Denetçi, denetim işlemini planlar, ilgili kontrolleri tanımlar ve belgelendirir. Tasarımın ve kontrollerin işleyiş verimliliğini test eder, bu işlemleri sonuçlandırır ve rapor eder. İç denetim yöneticileri, BT denetim işlemine ilişkin sonuçları yönetim kurulu, icra kurulu, düzenleyici otoriteler ve dış denetçiler gibi ana paydaşlara ve bilgi işlem yöneticisine düzenli olarak rapor eder.

BT denetim, bilgi sistemleri ve süreç denetiminin ve kurumun faaliyetlerine ilişkin süreçler ile bu süreçler dahilinde tesis edilen iç kontrollerin; uyumluluk, etkinlik ve yeterliliği hakkında değerlendirilme yapılması sürecidir. BT kontrollerini değerlendirmek, kesintisiz bir süreçtir. Teknoloji gelişmeye devam ettikçe iş süreçleri de sürekli olarak değişmektedir. Yeni zayıf noktalar ortaya çıktıkça tehditler de ortaya çıkmaktadır.

Yönetim, BT kontrol ölçütlerini ve raporlamasını yönetir. Denetçiler, bunların geçerliliğini onaylar ve bunların değeri konusunda görüş bildirir. Denetçi, ölçütlerin geçerliliği, etkinliği ve raporlama güvenceleri konusunda her düzeyde yönetimle ve denetim komitesiyle irtibat içinde olmalıdır.

Kontroller, amaçlarının ve genel iç kontrol sisteminin neresinde yer aldıklarının anlaşılmasına yardımcı olmak amacıyla sınıflandırılabilir. Bu sınıflandırmaları anlamakla, kontrol analiz uzmanı ve denetçi, kontrol çerçevesi içindeki rol ve konumlarını daha iyi anlayabilir ve kilit öneme sahip şu soruları yanıtlayabilir: Tespit etmeye yönelik kontroller, önleyici kontrollerde gözden kaçmış olabilecek hataların bulunması için yeterli midir? Düzeltici kontroller tespit edilen hataların düzeltilmesi için yeterli midir?

BT Denetimleri Neden Önemli?

  • Yeni ürün ve hizmetleri desteklemek için gereken BT altyapısını yükseltme çalışmaları gibi yeni işleri planlama ve yürütme yeteneği.
  • Rakiplere kıyasla daha fazla maliyet-etkin ve daha iyi ürün ve hizmetler sunma olanağını yaratan, bütçe içinde ve zamanında tamamlanan geliştirme projeler geliştirmeye katkı sunma,
  • Kaynakları beklendiği gibi tahsis etme ve kullanma yeteneğini ortaya çıkarma,
  • Kurum içinde müşteriler; iş ortakları ve diğer dış ilişkiler için bilgi ve BT hizmetlerinin tutarlı ve kesintisiz ve güvenli olarak sürebilmesi,
  • Etkin kontrollerin kilit göstergelerini yönetime açıkça bildirme esnekliğine kavuşulması,
  • Yeni saldırı ve tehditlere karşı kendini koruma ve BT hizmetlerindeki kesintileri hızla ve etkin bir şekilde giderme yeteneğin artırılması,
  • Kullanıcılarda yüksek ve ileri düzeyde güvenlik bilinci ve tüm kurum içinde güvenlik bilincine dayanan bir kültür oluşturma,
  • Bilgi sistemlerine “Gizlilik, Bütünlük, Erişilebilirlik” prensibi kapsamında güvence sağlanması,
  • Bilgi sistemlerinin verimlilik ve etkinlik düzeyinin arttırılması,
  • Yürürlükte bulunan hukuki düzenlemelere uyum oluşturulması,
  • Güvenlik odaklı yaklaşımın şirket omurgasına uyumlu şekilde geliştirilmesi.

 

Süreçler üzerindeki kontrollerin etkinliği, ilgili BT Genel Kontrollerinin etkin ve yeterli olmasına bağlıdır. Bu nedenle, süreçler üzerindeki kontrollerin uyumluluk, etkinlik ve yeterliliğine ilişkin incelemelerde bulunulurken, gerekli görülen yeterlilik durumları UITSEC danışmanları tarafından belirlenir ve yeterlilik durumlarında oluşabilecek sorunlara bağlı olarak seviye yükseltme süreci uygulanır.