BİLİŞİM SİSTEMLERİ DENETİMİNDE SAYIŞTAY MODELİ

Save this PDF as:
 WORD  PNG  TXT  JPG

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "BİLİŞİM SİSTEMLERİ DENETİMİNDE SAYIŞTAY MODELİ"

Transkript

1 BİLİŞİM SİSTEMLERİ DENETİMİNDE SAYIŞTAY MODELİ Ahmet TOPKAYA Sayıştay Başdenetçisi 1. GİRİŞ Bilgi teknolojilerinde geçtiğimiz yüzyılda yaşanan ikinci bir sanayi devrimi sayılabilecek gelişmeler iş dünyasını, toplumu ve günlük yaşamı dünya çapında etkilemiştir. Söz konusu devrim 1950 li yıllarda büyümeye ve yaygınlaşmaya başlamış ve sonraki yıllarda da devam etmiştir. 60 lı ve 70 yıllarda, bilgisayar teknolojileri daha çok ticari veri işleme alanında ve bilimsel uygulamalarda, büyük miktarda hesaplamalar gerçekleştirmek üzere kullanılmaktaydı. Dolayısıyla bilgi teknolojisinin kullanımı bu tür teknolojilerin kullanımına hakim olan ya da programlama dillerinde yetkin olanlarla sınırlıydı li yıllarda bilgisayarlarla telekomünikasyon araçlarının entegrasyonu, gerek hizmet sağlayıcıları gerekse kullanıcıları açısından bilginin iletilmesi ve yönetilmesinin odak noktası olduğu yeni bir bilgi teknolojisi devrimine yol açtı. Coğrafi sınırlamalardan bağımsız olarak kişiler arası iletişimi kişilerin evlerine kadar getiren PC lerin gündelik hayata girmesiyle birlikte bilgi teknolojileri tüm toplumun günlük yaşamının bir parçası haline geldi. Bilgi teknolojilerinde en büyük gelişme ise şüphesiz WWW nin gelişmesi ve 90 lı yıllarda hızla yayılmasıydı. Son 20 yıldır, WWW teknolojileri insanların dünya çapında iletişim kurmaları ve bilgi paylaşmalarında kullandığı sanal bir dünyanın oluşmasına neden oldu. Günümüzde, artık hangi ölçekte olursa olsun tüm organizasyonlar ilişkili olduğu tüm taraflarla bilgi paylaşımını ve veri işleme süreçlerini tamamen bu teknolojileri kullanarak gerçekleştirmektedir. Artık BT, sınırları olmayan bir dünyada herkes için bilgilerin ulaşılabilir olduğu bir çağı yani bilgi çağını tam anlamıyla başlatmış konumdadır. Bilişim sistemlerinin ve özellikle bilgisayarın işlemlerde kullanılmasıyla teknolojinin kendine özgü riskleri de beraberinde gelmekte olup, manüel sistemden farklı olan bu yeni sistemde üretilen çıktıların doğruluğunun kontrol edilmesi ve bilgi, belgelerin güvenilirliğinin sağlanması gereği özellikle bilişim sistemlerinin 118 OCAK - ŞUBAT - MART 2011

2 Ahmet TOPKAYA denetlenmesini zorunlu kılmaktadır. Başka bir deyişle, denetçilerin etkin bir denetim yapmak için ihtiyaç duydukları bilgi ve belgeleri sanal ortamdan elde etmeleri sonucunda, denetimde kullanılacak olan bu bilgilerin doğruluğu hakkında güvence verilmesi gerekmektedir. Bu güvence olgusu bilişim sistemleri denetiminin gerekliliğini ortaya çıkartmıştır. Ülkemizde de bilişim teknolojisinde yaşanan gelişmeler yakından takip edilmekte olup, özellikle kamu kuruluşları faaliyetlerini gerçekleştirirken bilgisayardan yararlanmaktadır. Böylece kamu kuruluşlarınca da eskiden çok uzun süre alan işlemler daha hızlı ve etkin bir şekilde gerçekleştirilebilmektedir. Bilgisayar kullanımının yaygınlaşması ile kamuda büyük öneme haiz olan birçok bilgi ve işlem sanal ortama aktarılmıştır. Önemli bilgilerin işlendiği sistemlerin doğru bilgi üretmesi adına yapılacak denetimin gerekliliği ortaya çıkmıştır. Örnek verecek olursak vergi mükellefiyet bilgileri VEDOP, vatandaşlık ve nüfus bilgileri MERNİS, kamu kurumlarının harcamalarının muhasebeleştirildiği SAY2000İ,sosyal güvenlik ve sağlık bilgilerinin tutulduğu MEDULA. gibi sistemler büyük projeler ve yatırımlar sonucunda oluşturulmuştur. Bu sistemlerin doğru veri ürettiklerine ve güvenli bir ortamda bu verileri saklandıklarına dair varsayım için iyi niyetten öte bir denetim güvencesinin gerekliliği şarttır. Kamu kurumlarının denetimi sırasında bu bilgilerin doğruluğu ön kabul olarak kullanılmaktadır. Fakat bu sistemlerdeki bilgilerin tamlığı, doğruluğu ve güvenilirliği ancak bu sistemler üzerinde yapılacak bilişim sistemleri denetimi sayesinde bilinebilecektir. Bu çerçevede Anayasa nın 160. Maddesinin de belirtildiği üzere merkezi yönetim bütçesi kapsamındaki kamu idarelerinin, sosyal güvenlik kurumlarının ve mahalli idarelerin bütün gelir ve giderleri ile mallarını Türkiye Büyük Millet Meclisi adına denetlemek ve sorumluların hesap ve işlemlerini kesin hükme bağlamakla görevli bir yargı ve yüksek denetim kurumu olan Sayıştay Başkanlığı tarafından da denetlediği kurumların verilerini bilişim ortamında tutmaları ve işlemelerinden dolayı bu sistemlerin ürettikleri bilgilerin güvenliğini ve güvenilirliğini denetleme ihtiyacı doğmuştur. Bu çalışmada öncelikle bilişim sistemleri ve bilişim sistemleri denetimi kavramları açıklandıktan sonra Sayıştay Başkanlığı nın uyguladığı bilişim sistemleri denetimi süreci, bilişim sistemleri denetimi metodolojisi, bilişim sistemi denetimi kontrolleri ve bu kontrollerin zayıflıkları halinde meydana gelebilecek riskler ve pilot denetimler sonucunda elde edilen bulgular hakkında bilgi verilecektir. 2. BİLİŞİM SİSTEMİ KAVRAMI Bilişim sistemi, alt, orta ve üst düzey yöneticiler için karar verme sürecinde gerekli olan bilgiyi toplayan, işleyen, saklayan ve elde edilen verileri raporlayan ve çıktıyı bir kurumdaki sorumlu kişilere tekrar göndererek girdilerin değerlendirilmesini ve düzeltilmesini sağlayan; yöneticilerin veri veya bilgi işlemesini sağlayan bilgisayar destekli sistemlerin genel adıdır. Bu bağlamda bilişim sistemleri, kurumlarda işlevsel düzeyde, bilgi düzeyinde, yönetim düzeyinde ve stratejik düzeyde kullanılabilmektedir.(emini,2007:9) Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar (Network) ve onları kullanan insanlardan oluşur. Bir kurumda bilişim sistemlerinin kullanılmasıyla, doğru ve güvenilir veri tabanları oluşturulması, verilere kolay ulaşım sağlanması, veri girişi sonrasında manuel ortamda yapılan birçok ara işlemin ortadan kalkarak bu işlemlerin otomatik yapılması, verilerin saklanmasında yer tasarrufu sağlanması, kolay dosya yönetimi sayesinde işlemlerin daha hızlı yapılması, karmaşık olan işlemlerin daha kolay bir şekilde çözülebilmesi, iş verimliliğinin artması ve maliyetlerin düşmesi gibi imkânlardan yararlanılabilmektedir.(özkul,2002:22) 3. BİLİŞİM SİSTEMLERİ DENETİMİ KAVRAMI Teknolojide yaşanan gelişmeler doğrultusunda güncel denetim yaklaşımlarından bir tanesi olan bilişim sistemleri denetimi; işletmelerin sahip olduklar bilişim sistemleri kaynaklarının değerlenmesi sürecidir. Bu noktada bilişim sistemleri ile ilgili unsurların güvenlik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşıl madığı dikkatlice incelenmelidir. Bilişim sistemleri denetimi daha açık bir ifadeyle, bir bilişim sisteminin, kurum amaçlarına etkin bir şekilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürülmesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci (Weber,2003:10) olarak tanımlanabilmektedir. Bilişim sistemleri denetiminin uygulanmasının kurumlara sağlayacağı faydalar aşağıda belirtilmiştir; Bilişim Sistemlerin kesintisiz çalışmasını sağlamak, Acil durumlar karşısında iş sürekliliğini korumak, Teknoloji risklerine karşı önlem almak, 119 OCAK - ŞUBAT - MART 2011

3 Bilişim Sistemleri Denetiminde Sayıştay Modeli Sayıştay; Anayasa ve diğer yasalardan aldığı yetkiye dayanarak, merkezi yönetim bütçesi kapsamındaki kamu idarelerinin, sosyal güvenlik kurumlarının ve mahalli idarelerin bütün gelir ve giderleri ile mallarını Türkiye Büyük Millet Meclisi adına denetlemek ve sorumluların hesap ve işlemlerini kesin hükme bağlamakla görevli bir yargı ve yüksek denetim kurumudur. Türk kamu mali sisteminde, ilgili kurumların etkinliğinin ve verimliliğinin artırılması ve iyileştirilmesi amacıyla 1995 yılında başlatılan ve finansmanı Dünya Bankası tarafından sağlanan Kamu Mali Yönetim Projesi çerçevesinde bir dizi önemli gelişme ve değişim yaşanmıştır. Bu gelişme ve değişimler, Türkiye nin Avrupa Birliği üyeliği sürecindeki uyum çalışmaları ile birlikte daha da hızlanmıştır. Teknolojik alt yapının ihtiyaçlarını karşılamada optimum çözüm olup olmadığını ölçmek, Bilgi işlem departmanının kişilere bağımlı olmamasını sağlamak, Kullanıcıların sistem yada uygulama kaçaklarını görme ve bu kaçakları kötüye kullanma ihtimalini ortadan kaldırmak, Bilişim sistemlerinde var olan hatalardan kaynaklanan kurum zararlarını azaltmak, Müşteri ve kurum bilgilerinin güvenliğini sağlamak. (Kurnaz,2010:22) Bilişim sistemleri denetimi, bir kurumun mali tablolarını etkileyen tüm sistemlerinde yürütülebileceği gibi, bu tabloları etkileyen sistemlerden risk değerlendirmesi sonucunda sadece yüksek riskli olarak görülen sistemlerde de yürütülebilir. Bilişim sistemleri denetiminin amacı ise, denetlenen kurumlarda kullanılan bilişim sistemlerinin işlem ve uygulamalarının güvenlik ve güvenilirliğini sağlayan iç kontrolleri incelemek ve değerlendirmektir.(sayıştay Bilişim Sistemleri Denetimi Taslak Rehberi,2008:7) 4. BİLİŞİM SİSTEMLERİ DENETİMİ VE SAYIŞTAY Bu değişim sürecinin en önemli çıktısı, 1050 Sayılı Muhasebe-i Umumiye Kanunu nun yerine, kamu mali sisteminde çok önemli değişiklikler getiren 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun yürürlüğe girmesidir Sayılı Kanun Sayıştay ın denetim anlayışında, Parlamentoya denetim sonuçlarının raporlanmasında ve denetlenen kurumların sayısında ve kapsamında önemli yenilikler getirmiştir Sayılı Kanun, Sayıştay a dış denetim organı olarak Düzenlilik Denetimi ve Performans Değerlendirmesi yapma görevi vermiş ve bu denetimlerin genel kabul görmüş uluslararası denetim standartlarına göre yürütülmesini öngörmüştür tarihli ve sayılı Resmi Gazete de yayınlanarak yürürlüğe giren Sayıştay Kanunu ile hem denetim alanı genişlemiş hem de 5018 sayılı Kanun da belirtilen anlayış denetim yönü ile tamamlanmıştır. Sayıştay ın denetim alanının genişlemesi ve Sosyal Güvenlik Kurumu gibi çok büyük işlem hacmi olan, bütün işlemlerini bilişim ortamında yapan ve saklayan, genel bütçeden sonra en büyük kamu fonu kullanan bir kurumun ilk defa Sayıştay denetimine girmesiyle, bilişim sistemi denetimi ve bilgisayar destekli denetim tekniklerinden yararlanmak bir zorunluluk haline gelmiş ve bu alandaki çalışmalar ivme kazanmıştır. Denetlenen kurum sayısının fazlalığı ve kurumların işlem hacimlerinin sürekli artması nedeniyle bilgisayar destekli denetim tekniklerinden yararlanmaksızın yapılacak denetimlerde anlamlı sonuçlar ortaya çıkarmak gittikçe zorlaşmakta, kurumlar arasında ya da aynı kurumun farklı yılları arasında karşılaştırmalı incelemeler yapmak, ilişki analizleri kurmak mümkün olamamaktadır. Günümüzde Sayıştay denetimine tabi bütün kurumlar, daha önce kayıt defterleri kullanılarak yaptıkları işlemlerin tamamına yakınını bilişim ortamında hazırlamakta ve saklamaktadırlar. Kamu kurumlarının büyük 120 OCAK - ŞUBAT - MART 2011

4 Ahmet TOPKAYA çoğunluğu mali işlemlerini say-2000i Sistemini kullanarak yürütmektedirler. Sosyal Güvenlik Kurumu ve mahalli idareler başta olmak üzere bir kısım kamu kurumu da kendi bilişim sistemlerine sahiptir. Bilişim teknolojilerinin denetimde kullanılması veya bilişim teknolojilerinin imkânlarından yoğun şekilde yararlanan kurumların sistemlerinin denetlenmesine yönelik çalışmalar daha yakın tarihlerde başlamış olup, Sayıştay açısından özellikle 2003 yılı içerisinde Hazine Müsteşarlığında yürütülen ilk uygulamalar sonucu elde edilen başarı, bu alanda yapılan çalışmaları daha ileriye götürme konusunda cesaret verici bir gelişme olmuştur. Nitekim İngiltere ve kısmen de İspanya Sayıştay ı ile yürütülen Sayıştay ın Denetim Kapasitesinin Güçlendirilmesi Eşleştirme Projesinde, mali denetim ve performans denetimi ekiplerinden ayrı bir bilişim sistemleri denetim ekibi oluşturularak, bu konudaki bilgi birikimine uluslararası standartlar ve AB uygulamaları bağlamında önemli katkı sağlanmış ve bir metodoloji geliştirilmesinin önü açılmıştır. Bunun sonucunda oluşturulan Bilişim Sistemleri Denetimi Rehberi bu alandaki metodoloji geliştirme çalışmalarının önemli bir adımını oluşturmaktadır. Eşleştirme projesi kapsamında 3 kurumda, eşleştirme projesini takiben Sayıştay Başkanlığında TUBİTAK UEKAE nin teknik desteği ile proje çıktısı olan taslak Bilişim Sistemleri Rehberi nin test edilmesi amacı ile de 1 tane Büyükşehir Belediyesinde, 1 tane bünyesinde hastane bulunduran bir üniversitede, 1 tane de özel bütçeli bir kurumda olmak üzere 3 tane kurumda pilot Bilişim Sistemleri Denetimi çalışması tamamlanmıştır. Halen Sayıştay Başkanlığı, TUBİTAK UEKAE, Marmara Üniversitesi arasında imzalanan protokol kapsamında T.C. Sayıştay Başkanlığı Bilgisayar Destekli Denetim Sistemi Yazılımı Projesi yürütülmektedir. Geleneksel denetim tekniklerinin gelişen teknoloji karşısında yetersiz kalması sonucunda ortaya çıkan proje ile yedi bin ayrı muhasebe biriminde milyonlarca veriyi denetleyen Sayıştay Başkanlığı için bilgisayar destekli denetim metodolojisi gelişen Türkiye de bir gereklilik haline dönüşmüştür. 5. SAYIŞTAY IN BİLİŞİM SİSTEMLERİ DENETİMİ METODOLOJİSİ 1 Etkili ve etkin bir bilişim sistemleri denetiminin gerçekleştirilebilmesi için yapılan denetimler sırasında teknolojik riskleri göz önüne alacak bir yaklaşım ve metodoloji izlenmelidir. 1 Bu bölümün hazırlanmasında Sayıştay Bilişim Sistemleri Taslak Rehberinden faydalanılmıştır. Uluslararası Sayıştaylar Birliği olan INTOSAI Denetim Standartlarında; denetçi ve Sayıştay ın işlerini yeterli kalitede yürütebilmesi için gerekli yeterliliğe sahip olması ve Sayıştay ın kendisini, iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını, istatistiki örneklemeyi ve bilişim sistemlerinin denetimini içeren tüm güncel denetim metodolojileriyle donatması gerektiği belirtilmektedir. Ayrıca, muhasebe veya diğer bilgi sistemlerinin bilgisayarlaştırıldığı ortamlarda denetçiler, denetlenen kurumun verilerinin doğruluk, tamlık ve güvenilirliğini sağlayan iç kontrollerin uygun çalışıp çalışmadığını belirlemelidir.(yıldız,2007:6) Bilişim sistemleri denetimi, bir kurumun mali tablolarını etkileyen sistemlerin tamamında yürütülebileceği gibi, sadece yüksek riskli olarak görülen sistemlerde de yürütülebilir. Bu durumda denetlenecek sistemler, risk değerlendirmesi yoluyla belirlenir. Bilişim sistemleri denetimi yürütülürken risk tabanlı denetim yaklaşımına uygun olarak şu genel çerçeve izlenir; Öncelikle incelenen bilişim sisteminden kaynaklanabilecek riskler belirlenir, Bu riskleri minimize edecek kontrol mekanizmaları belirlenir, Bu kontrol mekanizmalarının kurumun yapısı göz önünde tutularak oluşturulup oluşturulmadığı, oluşturulmuş ise etkin çalışıp çalışmadığı incelenir, İnceleme sonrası, iç kontrollerdeki zayıflıklar değerlendirilir Elde edilen bulgular belli bir prosedüre göre raporlanır. Bu çerçevede denetim 3 ana unsur üzerine oturmaktadır. Bunlar denetimin planlanması, sistem kontrollerinin değerlendirilmesi ve denetim sonuçlarının raporlanması Denetimin Planlanması Aşaması; Bu aşama da ilgili kurumun ve kuruma ait bilişim sistemlerinin tanınması, denetlenecek sistemlerin belirlenmesi adına risk analizlerinin yapılması, hangi alanlarda uzman çalıştırılacağına karar verilmesi ve son olarak da denetim stratejisinin oluşturulması aşamalarından oluşmaktadır. 5.1.a. Kurumun ve Kurumun Bilişim Sistemlerinin Tanınması: 5.1.b. Bilişim sitemleri denetlenecek kuruma ilişkin hangi mevzuatlara tabi olduğundan başlayarak, kurumun bilişim sistemlerinin donanım yapısı, kullanı- 121 OCAK - ŞUBAT - MART 2011

5 Bilişim Sistemleri Denetiminde Sayıştay Modeli lan yazılımlar ve ağ yapısı, sistemi işleten ve kullanan personel ile sisteme veri giriş yöntemleri, kurumun iş süreçleri, hangi süreçlerin bilişim ortamında yürütüldüğüne ilişkin bilgiler, kurumun mali ve envanterine ilişkin bilgiler, başta olmak üzere ilgili kurumla ilgili denetim sırasında ihtiyaç duyulabilecek her türlü bilgi sağlanarak kurum tanıma süreci tamamlanır. 5.1.c. Sistem Risk Analizlerinin Yapılması: Kurumun hangi işlemleri bilişim ortamında yaptığı ve bunların mali tabloları ve hesap alanını etkileyip etkilemediği tespit edildikten sonra, belirlenen sistemlerin risk değerlendirmesi yapılmalıdır. Denetimin planlaması aşamasında yapılacak risk değerlendirmesi, sistemler tek tek ele alınmak suretiyle yapılmalıdır. Bilişim Sistemlerinin risk analizleri; Önemlilik (%36) Kritiklik (%20) Karmaşıklık (%16) Teknik altyapı (%16) Kontrol çevresi (%12) Başlıkları çerçevesinde oluşturulmuş sorular değerlendirilmekte ve Sistemlerin risk düzeyleri belirlenmektedir. Risk ağırlık yüzdelerinin kriterlere dağılımı sabittir. Ancak risk değerlendirme formu hem objektif hem de subjektif unsurlar içerdiğinden denetçinin bu değerlendirme formu üzerinde kendi muhakemesiyle, söz konusu denetime münhasır hususiyetleri dikkate alarak birtakım değişikler yapma imkânına sahiptir. Bu çerçevede, toplam ağırlık yüzdesi değişmeyecek şekilde, her bir risk faktörünün ağırlığını yeniden belirleyebileceği gibi yeni risk faktörü ekleyerek de bu ağırlıkları yeniden belirleyebilir. Tablo 1: Risk Değerlendirme Matrisi Önemlilik kriteri, söz konusu sistem ya da varlıkların mali tablolara olan etkileri, mali işlemlerinin yürütülmesi ve kaynakların yönetilmesindeki rolleri, yol açabilecekleri muhtemel mali kayıplar, kurumun ana faaliyetleriyle ilişki düzeyi ve faaliyetin kurumsal ve çevresel ve ülke düzeyindeki etkisi gibi unsurlar açısından bir değerlendirmenin söz konusu olduğunu gösterir. Kritiklik, sistem ya da varlıkların doğrudan mali değerinin ne olduğu, sistemdeki hataların hizmet kesintisi gibi durumlara yol açması halinde ne düzeyde tolere edilebileceği, bilgi varlıklarının ve verilerin, bütünlük, kullanılabilirlik ve gizlilik yönünden kurum için ne kadar değerli olduğu, ülkeye ve kamuoyuna etkisi ve kurumun prestij kaybına sebep olup olamayacağı, üçüncü kişiler üzerindeki etkilerinin boyutu gibi unsurların değerlendirilmiş olduğu anlamına gelmektedir. Karmaşıklık, kullanıcı sayısı, destek personel sayısı, işlem hacmi ve işlem noktalarının sayısı, diğer sistemlere bağlantıları, erişim sağlayanların sayısal büyüklüğü gibi unsurlar açısından idarenin diğer sistemleri ve varlıkları içinde nispeten daha karmaşık olup olmadığının değerlendirildiğini göstermektedir. Teknoloji altyapısının değerlendirmeye konu olması, işletim sistemi, veritabanı, donanım, programlama dili ve sisteme bağlı olarak çalışan donanımların, bunlara erişim yetkileri ve düzeylerinin farklı sistem ve uygulamalarda farklı riskler içermesi sebebiyledir. Kontrol çevresine ilişkin değerlendirme, yönetici ve uygulama personelinin niteliklerinin görev tanımlarına uygunluğu, eğitim ihtiyaçlarının olup olmaması, politika ve prosedürler açısından ne düzeyde eksiklikler olduğu, yedekleme ve kurtarma prosedürlerinin bulunup bulunmadığı, sistem değişikliği planlarının nasıl uygulandığı, sistemde karşılaşılan problemlerin sıklığı ve önceden bir denetime tabi olup olmadığı gibi unsurlarla yapılmaktadır. Risk Alanı Maksimum Risk Puanı Toplam Risk Puanı Uygulama Sisteminin Risk Puanlarına Göre Risk Derecesi Yüksek Orta Düşük 1 Önemlilik Kritiklik Teknik altyapı Karmaşıklık Kontrol çevresi Genel OCAK - ŞUBAT - MART 2011

6 Ahmet TOPKAYA Kurumun Bilişim Sistemleri yukarıda sayılan kriterler çerçevesinde değerlendirildikten sonra bu sistemlerinin risk düzeyleri 4 risk düzeyine göre sınıflandırılır. Bunlar düşük risk düzeyi, orta risk düzeyi, yüksek risk düzeyi ve çok yüksek risk düzeyidir. Çok Yüksek Düzey Risk, Kurumun Bilişim Sistemleri yukarıda sayılan kriterler çerçevesinde değerlendirildikten sonra bu sistemlerinin risk düzeyleri 4 risk düzeyine göre sınıflandırılır. Bunlar düşük risk düzeyi, orta risk düzeyi, yüksek risk düzeyi ve çok yüksek risk düzeyidir. Yüksek Düzey Risk, önemli bir kontrol zayıflığı ya da eksikliği görülmekte ve makul bir süre içerisinde önlem alınmasını gerektirmektedir. İstenmeyen bir risk düzeyi ve kurum tarafından mevcut riskler değerlendirilerek gerekli tedbirler alınmalıdır. Orta Düzey Risk, kurum tarafından tekrar değerlendirilmesi gereken bir risk düzeyidir. Sistemde belirli kontrol zayıflıkları olmakla birlikte etkisi derhal önlem almayı gerektirmeyebilir, ancak uzun dönemde bu zayıflıkların giderilmesi gerekir. Düşük Düzey Risk, kabul edilebilir risk seviyesidir. Ancak Kurumun dikkatli olmasında yarar vardır. Olarak tanımlanabilmektedir. Daha sonraki süreçte sistemlerin risk düzeylerine göre yapılan sıralamaya göre denetlenecek sistemler belirlenmekte ve denetim kapsamı oluşturulmaktadır Uzman Çalıştırılmasına Karar Verilmesi: Bilişim sistemlerinin denetiminde aşağıda belirtilen sebeplerle uzman çalıştırılmasına ihtiyaç duyulabilir: Bilişim sistemlerinin teknik ve karmaşık unsurlarının değerlendirilmesinde denetim ekibinde yeterli nitelikte denetçinin bulunmaması durumunda uzman desteği alma, Özel uzmanlık gerektiren alanlarda kurum dışı uzmanlık ve tecrübelerden yararlanma, lanma, Yeni yaklaşım ve farklı bakış açılarından yarar- Kurum dışında geliştirilmiş iyi uygulamaları denetimde kullanma, Denetim yaklaşımının ve kullanılan metodolojinin doğruluğunu test etme, Denetim kanıtlarının, bulguların ve geliştirilen önerilerin ağırlık ve kalitesini arttırma, Denetim süresinin sınırlı olması durumunda denetimi zamanında tamamlama Eğer bu çerçevede uzman çalıştırılmasına karar verilecekse hangi alanda uzman çalışacağı ve ne kadar çalışacağı hususlarına karar verilmesi gerekmektedir Denetim Stratejisinin Oluşturulması: Kurumu bilgilendirmek ve yapılacak denetimin sağlıklı yürütülmesi için gerekli hazırlıkların kurumca yapılmasını sağlamak amacıyla Denetim Strateji Belgesi kurum yönetimine verilir. Denetim strateji belgesi, aşağıda belirtilen unsurları içerecek şekilde hazırlanmalıdır: Denetim sürecini gösteren tarihler Denetimin amacı ve metodolojisi İncelenecek sistemler İncelemeleri yapacak denetçiler ve uzmanlar İnceleme yapılacak yerler İnceleme süresi Erişim yetkileri Yerinde yapılacak testlerin ve denetim çalışmalarının kurum faaliyetlerine olası etkileri Bu şekilde hazırlanan Denetim Strateji Belgesinin kurumla paylaşılması ile denetimin planlanması aşaması tamamlanmaktadır Sistem Kontrollerinin Değerlendirilmesi Aşaması; Yapılacak bilişim sistemleri denetiminin planlaması tamamlandıktan sonra, incelenen kurum veya sisteme özgü olarak kontrol alanları itibariyle sistem kontrolleri değerlendirilir. Sistem kontrollerinin değerlendirilmesi esnasında sistemin iç kontrol zayıflıklarına ilişkin kanıt toplanır. Sistem kontrollerinin değerlendirilmesi kontrol alanları itibariyle yapılır. Kontrol alanları, genel ve uygulama kontrolleri olmak üzere iki ana başlık altında gruplandırılır Genel Kontroller Genel Kontroller, kuruma ait tüm bilişim sistemleri faaliyetlerinin sürekliliğinin sağlanmasına yönelik yapı, yöntem ve prosedürlere ilişkin kontrollerdir. Bu kontroller uygulama yazılımları ve bunlara ilişkin kontroller için güvenli bir ortam oluşturur. Genel kontroller aşağıda yazılı kontrol alanlarından oluşur: Yönetim Kontrolleri Fiziksel ve Çevresel Kontroller 123 OCAK - ŞUBAT - MART 2011

7 Bilişim Sistemleri Denetiminde Sayıştay Modeli Ağ Yönetimi ve Güvenliği Kontrolleri Mantıksal Erişim Kontrolleri İşletim Sistemleri ve Bilgisayar İşlemleri Kontrolleri Veri Tabanı Güvenlik Kontrolleri Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Acil Durum ve İş Sürekliliği Planlaması Kontrolleri Yönetim Kontrolleri Kurum yönetimi, bilişim sisteminin kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak tedbirleri almakla yükümlüdür. Yönetim kontrollerinin amacı güvenli ve yeterli bir bilişim ortamının sağlanması için uygun politika ve prosedürler oluşturmaktır. Yönetim kontrolleri; Güvenlik Yönetimi, (yönetimin, kurumun iş gerekleri ve ilgili mevzuatına uygun şekilde, bilgi güvenliğini destekleyecek politika ve prosedürleri belirleyip belirlemediğini) Organizasyon Yapısı, (yönetimin, kurum içinde bilgi güvenliğini sağlayacak bir organizasyon yapısını kurup kurmadığını ve bunun etkin yönetip yönetmediğini) Varlık Yönetimi, (kurumun bilişim varlıklarını koruyup işlevlerini sürekli bir şekilde yerine getirmelerini sağlayacak tedbirleri alıp almadığını) Personel ve Eğitim Politikaları, (personel hatalarından kaynaklanan riskleri, hırsızlık ve yolsuzlukları azaltacak kontrol mekanizmalarını oluşturup oluşturmadığını) Yasal Uygunluk, (yasalardan ve diğer mevzuattan kaynaklanan yükümlülüklerini yerine getirmek için gerekli düzenlemeleri yapıp yapmadığını) Alanlarında incelenmektedir. Yetersiz veya hiç olmayan yönetim kontrolleri, personeli ve yönetimi güvenlik risklerinden ve sorumluluklarından habersiz olmaya sürükleyecek ve kurumu bilişim sistemlerinden kaynaklanan bir kısmı aşağıda belirtilen risklerle karşı karşıya getirecektir: Kurum bilişim sistemi stratejisinin bulunmaması iş ihtiyaçlarına uygun olmayan sistemlerin geliştirilmesine sebep olarak kaynak israfına yol açar. Kurumda bilişim sistemleri mevzuatına ilişkin uygun politika ve prosedürlerin olmaması düzensiz işlem riskini artırır ve kurumun, yasalara ya da yürürlükteki mevzuata uymasında aksaklıklara yol açar. Yönetimin ilgisizliği, uygun olmayan ve iyi işlemeyen organizasyon varlığı, kontrolsüz ve denetlenemeyen sistemlerin geliştirilmesine sebep olur. Personel eğitiminde ve istihdam politikalarındaki yetersizlikler personelden kaynaklanan hata risklerini artırır. İç denetim birimlerinin etkin olacak şekilde ku- 124 OCAK - ŞUBAT - MART 2011

8 Ahmet TOPKAYA rulmaması, bilişim sistemi ve buna ilişkin kontrollerin etkinliğini ve güvenirliğini düşürür. Belge tutma ve varlık yönetimine ilişkin politika ve prosedürlerde yetersizlikler, mali kayıplar, veri kayıpları, yasal yükümlülüklerin yerine getirilememesi ve denetim izinin kaybına neden olabilir Fiziksel ve Çevresel Kontroller Fiziksel ve çevresel kontrollerin amacı, bilişim sistemleri donanım ve yazılımının, kasten ya da kazaen oluşan hasarlara, izinsiz erişim sonucu oluşabilecek bozulma veya çalınmaya ve her türlü doğal tehlikelere karşı korunmasıdır. Bilişim sistemlerinin, bu sistemlere erişme yetkisi olmayan kişilerin yol açabilecekleri hasarlara ve müdahalelere karşı fiziksel engeller ile korunması gerekir. Yangın, su (ya da aşırı nem), elektrik voltaj dalgalanmaları veya güç yetersizlikleri gibi çevresel tehlikelere karşı korunma ise, bunların her birine ilişkin olarak alınan önlemlerle sağlanır. Fiziksel ve çevresel kontroller, sadece yönetim tarafından yetkilendirilenlerin bilişim sistemlerine fiziksel erişim sağlamasını ve yangın, su, elektrik gibi çevresel tehlikelere karşı önlemlerin alınmasını hedeflemektedir. Fiziksel ve çevresel korumaya yönelik kontrollerin hiç kurulmamış olması veya yeterli düzeyde çalışmaması durumunda kurum aşağıda belirtilen risklerle karşılaşabilir: Bilişim sisteminin, personelin isteyerek veya istemeyerek verebileceği zararlara açık hale gelmesi Kritik veya gizli bilginin görülmesi, kopyalanması veya kaybedilmesi Bilgisayar donanımının veya üzerinde yazılım ve bilgi bulunduran parçaların çalınması veya bozulması Sistemin yetkisiz kişilerin izinsiz erişimi sonucu bozulması veya hasar görmesi Bilişim sisteminin yangın, sel, elektrik kesintileri veya voltaj düzensizlikleri, sıcaklık ve nem gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelmesi ve hizmette aksaklıklara veya veri kayıplarına neden olması İş ihtiyaçlarına uygun fiziksel ve çevresel güvenliğin tanımlanmaması Donanımın yetkisiz kişiler tarafından çalınması BS bölümüne yetkisiz kişilerin fiziksel müdahalesi Ziyaretçilerin BS bölümünde hassas bölgelere yetkisiz erişimi Kullanılan donanımın sağlıklı işleyebilmesi için gereken koşulların ortamlarda sağlanmamış olması Ağ Yönetimi ve Güvenliği Kontrolleri Ağ yönetimi ve güvenliği kontrollerinin amacı, ağ sistemini oluşturan tüm varlıkların korunması, ağ hizmetlerinin güvenli bir şekilde yürütülmesi ve ağ aracılığıyla gerçekleşebilecek yetkisiz erişim ve bunlar dolayısıyla oluşabilecek tehlikelerin önlenmesidir. Ağ, veri paylaşımı amacıyla iki ya da daha fazla cihazın birbiriyle bağlantılı hale getirilmesiyle oluşturulan bir yapıdır. Yüzlerce iş istasyonu veya kişisel bilgisayardan oluşabileceği gibi iki bilgisayarın birbirine bağlanmasıyla da elde edilebilir. Bu ağ ortamıyla iletişim, bilgiye ulaşım, kaynak paylaşımı, yedekleme gibi hizmetler sağlanabilmektedir. Kurumlar da bu gibi yararlarından dolayı giderek daha çok kendi ağ sistemlerini kurmaktadırlar. Ağı oluşturan sistemler tasarlanırken veya devreye alınırken güvenlik unsuru hesaba katılmadığında, bu sistemlerin çeşitli zayıflıkları nedeniyle kötü niyetli veya meraklı kişiler tarafından sistemler ve hizmetler kullanılamaz hale getirilebilir ya da kurumlar için çok önem taşıyan bilgilerin öğrenilmesi/değiştirilmesi mümkün olabilir. Bu nedenle, ağlar, yetkisiz erişimlerin engellenerek sadece yetkili kullanıcıların erişebilmesi için kontrol edilmelidir. Bilişim sistemlerinin ağ nedeniyle karşı karşıya olduğu riskler şunlardır: Verilerin bozulması, kaybolması ve/veya çalınması, kötüye kullanılması Yetkisiz işlem tesis edilmesi, ağ anahtarlarının yetkisiz kişiler tarafından kullanılması Gizli bilgilerin tutulduğu uygulamaların ağa bağlı olduğu yerlerde hem kazaen hem de isteyerek yetkisiz kişiler tarafından ifşa edilmesi Ağ üzerinden gerçekleştirilen hizmetin gerçekleştirilmemiş gibi gösterilmesi Ağ bağlantıları ve sunucuların kolaylıkla zarar görebilmesi nedeniyle kurulan sistemin işlememesi Ağ sisteminin tasarımındaki uygunsuzluklar nedeniyle ilerleyen zamanlarda ağ performansında azalma, işlemlerde yavaşlama Güvenliği zayıflatacak ve sistemde açıklıkların meydana gelmesine sebebiyet verecek virüs gibi kötü niyetli yazılımların bulaşması, sistemin yavaş çalışması nedeniyle işin yürütülmesinde çeşitli aksamaların meydana gelmesi 125 OCAK - ŞUBAT - MART 2011

9 Bilişim Sistemleri Denetiminde Sayıştay Modeli Fikri mülkiyet hakları ve Ceza Kanunu gibi yürürlükteki yasal mevzuatın ihlal edilmesi, kullanılan yazılımların kanuni gereklilikleri karşılayamaması Mantıksal Erişim Kontrolleri Mantıksal erişim kontrollerinin amacı, işletim sistemine, ağa, veri tabanına ve uygulama programlarına yetkisiz erişimin önlenmesi ve bilginin değiştirilmesi, açığa çıkarılması ve kaybına karşı korunmasıdır. Mantıksal erişim kontrolleri, hem sistem hem de uygulama düzeyinde ortaya çıkabilir. Bilişim sistemi ortamındaki erişim kontrolleri ağa, işletim sistemine, sistem kaynaklarına, veri tabanına ve uygulama programlarına erişimi sınırlandırırken, uygulama düzeyindeki kontroller, tek tek uygulamalar bünyesindeki kullanıcı faaliyetlerini kısıtlar. İşletim sistemi düzeyinde mantıksal erişim kontrollerinin hedefi, yetkisiz erişimin kontrol edilmesi suretiyle işletim sisteminin güvenli bir ortamda çalışmasını sağlamaktır. Erişim kontrollerindeki zayıflık nedeniyle sistemde karşılaşılabilecek riskler aşağıda belirtilmiştir : Sistem kaynaklarına ve uygulama programlarına yetkisiz erişim Sistemdeki güvenlik yazılımlarına ulaşılabilmesi Kullanıcı hesaplarına izinsiz girilmesi ve bu hesapların yetkisiz kullanımı Sistem yapılandırmalarında kullanılan yardımcı programlarının kullanımının kısıtlanmaması sonucu önceden tanımlanmış erişim kısıtlamalarının ortadan kalkması Uygulama programları düzeyinde mantıksal erişim kontrollerinin hedefi, uygulama programlarını ve bunların veri dosyalarını izinsiz erişime, değiştirmeye ve silmeye karşı korumaktır. Bu alanda karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir: Uygulama programlarından üretilecek bilgilerin güvenirliliğinin zedelenmesi Hatalı işlem yapılması Verilerin değiştirilmesi Program ve verilerin kaybolması Verilerin çalınması İşletim Sistemleri ve Bilgisayar İşlemleri Kontrolleri İşletim sistemi ve bilgisayar işlemleri kontrolleri, uygulama yazılımlarının üzerinde çalıştığı işletim sisteminin kurulum ve işletilmesi ile bakım işlemlerinin sorunsuz yürütülmesini ve tüm bilgisayar işlemlerinin güvenli bir şekilde gerçekleştirilmesini sağlamaya yönelik her türlü kontrollerdir. İşletim sistemi ve bilgisayar işlemleri kontrolleri, kurumun ana faaliyetlerine yönelik olarak kullanmakta olduğu işletim sisteminin gerektiği gibi çalışmasını ve bunlar üzerindeki bilgisayar işlemlerinin sorunsuz yürütülmesini hedeflemektedir. Bu kontrollerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: İhtiyaca uygun olmayan sistem temini Yetkisiz erişim Sistem çökmesi İşlemlerin zorlaşması Hizmetin gerçekleşmemesi Ortam araçlarının çalınması, bozulması veya bunlara ihtiyaç olduğunda erişilememesi Kaynak yetersizlikleri Kullanıcıların karışması Aktif olmayan hesapların askıya alınamaması, silinememesi Program ve verilerin bozulması, kaybolması, değiştirilmesi Program ve verilerin çalınması Veri Tabanı Güvenlik Kontrolleri Veri tabanına ilişkin kontroller, birbirleriyle ilişkili verilerin güvenli bir şekilde kaydedilip depolanmasını, belgelendirilmesini ve gerektiğinde de güvenli ve çok amaçlı kullanılmasını sağlayacak her türlü kontrollerdir. Veri tabanı güvenlik kontrollerinin hedefi, kurumdaki veri tabanı için güvenilir bir çevre oluşturmaktır. Zayıf veri tabanı güvenliğinden kaynaklanan riskler şunlardır: Kullanıcı kimliklerinin çalınması Kullanıcı kimliklerinin karışması Veri tabanındaki açıklıklardan yararlanarak yapılabilecek yetkisiz erişim Sorumluluğun kaybı Faaliyetlerin baskı altında yürütülmesi Kullanılmayan hesapların askıya alınmaması/silinmemesi 126 OCAK - ŞUBAT - MART 2011

10 Ahmet TOPKAYA Verinin yok olması/bozulması Verinin çalınması Hizmetin kabul edilmemesi Güvenilirliği zayıf veritabanı uygulamalarına dayanarak işlem yapılması, rapor üretilmesi Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Bu kontrollerin amacı sistem geliştirme üzerindeki tüm proje yönetimi ve kontrollerinin tatmin edici olmasını, kalıcı ve yeterli iç kontrol ve denetim izine sahip olmasını, sistem geliştirme kalitesinin artırılmasını ve sistemin kullanıcıların ihtiyaçlarını karşıladığı kadar kurumun stratejik amaçlarını da desteklemesini sağlamaktır. Sistem geliştirme kontrollerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem geliştirme projesinin yetersiz hazırlanması, politika ve prosedürlerinin standartlara uymaması Proje yönetim ekibinin yeterli nitelik ve deneyime sahip olmaması Planın kurum ihtiyaçlarına cevap vermemesi Kaynak problemlerinin oluşması Fizibilite çalışmasında yeterli analizin yapılmaması Uygun sistem seçim kriterlerinin tesis edilememesi Seçilen yapının kurum üzerindeki etki değerlendirmesinde hata yapılması Sistem temin sözleşmesinde sistemin gerektiği gibi teslimine ilişkin yeterli ayrıntıların bulunmaması Yeni ve geliştirilen sistemlerin kurulumu ve kabulünde değişim sürecinin yönetilmesine ilişkin kontrollerin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem kurulum sürecinin yürütülebilmesini sağlayacak tasarım belgesinin yeterli ayrıntıyı içermemesi Kodlama işlemleri ve modül testlerinin yetersizliği Proje çalışmalarına nihai kullanıcıların yetersiz katılımı ya da kullanıcı kabul testinin tüm hata ve etkileri kapsayacak şekilde gerçekleştirilememesi Sistem uygulamaları sonucunda üretilen verinin kurumun ihtiyaçlarını karşılayamaması Acil Durum ve İş Sürekliliği Planlaması Kontrolleri Acil durum ve iş sürekliliği planlaması ile ilgili kontrollerin amacı acil durum nedeniyle bilişim sistemlerinin geçici veya sürekli olarak aksaması durumunda kurumun işlevlerini sürdürebilmesini ve tutulan bilginin işlenmesi, erişilmesi ve korunması yeteneklerinin kaybedilmemesini sağlamaktır. Acil durum, deprem, yangın, fırtına, sel, bombalama, sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintisi gibi önceden tahmin edilebilen veya edilemeyen iç veya dış faktörler sonucu meydana gelen ve kurumun normal olarak işlerini sürdürmesi durumunu aksatan her şey olabilir. 127 OCAK - ŞUBAT - MART 2011

11 Bilişim Sistemleri Denetiminde Sayıştay Modeli Bu çerçevede, kurumlar detaylı bir acil durum ve iş sürekliliği planına sahip olmalıdır. Acil durum ve iş sürekliliği planının olmaması veya yetersiz olması kurumu aşağıdaki risklerle karşı karşıya getirecektir: Felaketlere maruz kalma olasılığının artması Felaketin verdiği zararlarla başa çıkma imkanının azalması Felaketten kaynaklanan kaybın veya zararın ağırlaşması Karşılaşılan felaket sonrasında makul bir sürede kurum faaliyetlerinin yeniden başlatılamaması Yasal veya üçüncü kişilere karşı olan sorumlulukların zamanında yerine getirilememesi Bir felaket durumunda iletişim imkânları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanamaması Bilgisayar ve bilgi işlem teknolojilerindeki gelişmeler sonucunda kamu kurumlarında veri tabanları, bir başka deyişle bilgi, binalar, ekipmanlar ve insan kaynağı kadar önemli bir varlık haline gelmiştir. Veri kaybı en ciddi kayıplara yol açabilecek bir risk faktörü olarak görülmektedir. Verilerin korunması ve bilgi sistemlerinin en kısa sürede ayağa kaldırılması hizmetleri sürdürebilmenin birinci koşulu olarak karşımıza çıkmaktadır. Bilgi varlıklarının korunması sadece bilgi işlem biriminin değil, uzun dönemli stratejik bir planın parçası olarak üst yönetimlerin sorumluluğudur Uygulama Kontrolleri Uygulama programları, muhasebe, vergi, alacak takip işlemleri gibi bir iş fonksiyonuna destek veren yazılımlardır. Bu programlar, kurumun iş süreçlerinin bir kısmının veya tamamının bilgisayar ortamında yapılmasını sağlar. Tüm mali uygulamalar, işlemlerin ve verilerin tamlığını, kullanılabilirliğini ve makul bir ölçüye kadar güvenilirliğini güvence altına alan kontrollere sahip olmalıdır. Uygulama kontrolleri, bilgilerin sistemlere ya da programlara tam olarak, zamanında ve sadece bir kere girilmesini, bilgi-işlem ortamında tüm işlem ve süreçlerin istenilen sıra ve düzen içinde gerçekleşmesini, raporların tam ve güvenilir olarak üretilmesini, yetkili kişilere ulaştırılmasını ve uygun şekilde arşivlenmesini sağlayan kontrollerdir. Uygulama kontrolleri aşağıda belirtilen başlıklar altıda incelenebilir: Girdi Kontrolleri Veri Transfer Kontrolleri İşlem Kontrolleri Çıktı Kontrolleri Veri girişine ilişkin olarak karşılaşılabilecek risklerden bazıları şunlardır: Yetkili olmayan kişilerce veri girişi yapılması Eksik veya hatalı veri girilmesi Mükerrer kayıtların sistem tarafından kabul edilmesi Hatalı veri girişlerinin tespit edilememesi Erişim Kontrollerinin ihlal edilmesi Görevlerin ayrılığı ilkesine uyulmaması Girdi kontrolleri ile açıklıklar ve riskler arasında boşluk olması Veri transferi ile ilgili olarak karşılaşılabilecek risklerden bazıları şunlardır: Transfer edilen verinin bozulması, kaybolması, çalınması, değiştirilmesi Verinin iletilememesi veya iletilip iletilemediğinin bilinememesi Mükerrer veri iletilmesi Veri transferinin reddedilmesi İşlem kontrollerinin yetersizliği aşağıda yazılı risklerin gerçekleşmesine neden olabilir: Sürecin yanlış işletilmesi Sistematik hataların oluşması Yanlış dosyaların işleme tabi tutulması Hataların tespit edilip düzeltilememesi Denetim izinin kaybolması ve işlem sahibine başvurulamamasına Mantıksız işlemlerin meydana gelmesi İşlemlerin doğrulanamaması Aynı hataların tekrarlanması Çıktı kontrollerinin yetersizliği nedeniyle karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir: Çıktıların tam ve doğru olmaması Uygun bir şekilde sınıflandırılıp dağıtılamaması Yetkisiz kişilerin eline geçmesi 128 OCAK - ŞUBAT - MART 2011

12 Ahmet TOPKAYA Hataların tespit edilememesi ve düzetilememesi Çıktıların muhafaza edilememesi 5.3. Sistem Kontrollerinin Tamamlanması Sistem kontrollerinin değerlendirilmesinde kontrol varlığının belirlenmesi, kontrol etkinliğinin değerlendirilmesi ve bulguların değerlendirilmesi aşamaları ile tamamlanmaktadır. 5.3.a. Kontrol Varlığının Belirlenmesi: Denetlenecek sistemlere ilişkin kontrol alanları itibariyle olması gereken kontrollerin var olup olmadığı araştırılmalıdır. Bunun için her bir kontrol alanına ilişkin olarak hazırlanmış ve kuruma önceden verilmiş olan kontrol setleri temelinde ilgililerle toplantılar yapılır. Bu toplantılarda kontrollerin varlığına ilişkin kurum cevapları kanıtlayıcı belgelerle birlikte alınır. Alınan cevaplar ve kanıtlayıcı belgelerin incelenmesi sonrasında ilgili kontrollerin var olup olmadığı, o kontrole ilişkin riskler ve bu risklerin nasıl yönetildiğine ilişkin telafi edici kontrollerin var olup olmadığı da dikkate alınarak belirlenir. 5.3.b. Kontrol Etkinliğinin Değerlendirilmesi: Denetim sonucu elde edilen veya varlığı kurum tarafında belirtilen kontrollerin etkinliğinin ve gerçekten o alanda meydana gelebilecek riskleri minimize etmeyi sağlayacak etkinliğe sahip olup olmadığı değerlendirilir.. Bu değerlendirmeler sonucu tespit edilen kontrol zayıflıklarına kanıtlarıyla birlikte Bulgular olarak değerlendirilmelidir. 5.3.c. Bulguların Değerlendirilmesi: Bulgu bir kontrol eksikliğini ya da mevcut bir kontrol zayıflığını ifade etmektedir ve her bir denetim bulgusu kurumun bilgi varlıklarına yönelik bir riski içermektedir. Her bir kontrol alanı itibariyle bulguların risk düzeyleri belirlenerek bulgular arasında derecelendirme yapılmasına ve denetim bulgularının genel değerlendirmesine imkân sağlanır. Bulguların risk değerlendirmesi, tespit edilen bulgunun ortaya çıkardığı riskin etki düzeyi ile risk gerçekleşme olasılığının birlikte değerlendirilerek yapılmaktadır. Kesinleştirilen denetim bulguları temelinde denetim sonuçları denetim amacına uygun olarak denetçi görüşünü de içerecek şekilde raporlanır. Denetim sonuçlarının raporlanması, taslak raporun hazırlanması, kurumla görüşülmesi, nihai raporun yazılması ve ilgililere sunulması süreçlerinden oluşur. Raporun sonuç kısmında kurumun bilişim sistemleri ile ilgili olarak güvenliği ve güvenilirliği ne ilişkin kanaat belirtilir. 6. SONUÇ VE DEĞERLENDİRME Teknolojide yaşanan gelişmelerin sağladığı faydalardan istifade etmek amacıyla günümüzde bilişim sistemleri hemen hemen tüm kurumlar tarafından yoğun bir şekilde kullanılmakta olup, gerçekleştirilen tüm işlemlerde bilgisayarlaştırılmış veriler kullanılmaktadır. Bilişim sistemlerinin bu şekilde yaygın kullanımı beraberinde teknolojik riskleri de getirdiğinden bu riskleri minimize edecek, bilgisayarlaştırılmış verilerin güvenilirliğini kontrol edecek ve verileri sağlayan, işleyen ve raporlayan bilişim sistemleri denetimi bir zorunluluk haline gelmiştir. Bilişim sistemleri denetimi; bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlayıp sağlamadığı ve kaynakların etkili, ekonomik ve verimli kullanılıp kullanılmadığına yönelik bir bilgi toplama sürecidir. Kullanılan bilgilerin bütünlüğü bilgisayarlaştırılmış verilerin işlenmesi sonucunda yeni bilgilere ulaşılması açısından önem taşımaktadır. Ayrıca etkili ve verimli bir bilişim sistemi ile bir kurum hedeflerine daha kolay bir şekilde, en az kaynak kullanımı ile ulaşabilecektir. Bilişim sistemlerinin kullanılması sonucunda doğru ve hızlı bir şekilde istenilen sonuçlara ulaşmak mümkündür. Fakat bunun için bilgisayarlaştırılmış verilerin ve bu verileri kullanarak işlem yapan bilişim sistemlerinin zaman içinde kontrollerinin yapılması gerekir. Ayrıca bu genel kontroller ve uygulama kontrolleri ile birlikte teknolojik riskler de bertaraf edilmiş olacaktır. Görevi kamu kaynaklarının mevzuata uygun olarak verimli, etkin ve tutumlu olarak kullanılıp kullanılmadığını denetlemek olan Sayıştay ın kurumlarının bilişim sistemleri denetimine ağırlık vermesi yaptığı hukukilik denetiminde bu sistemlerden çıkan verilerin güvenilirliğinin bir anlamda test edilmesidir. Çünkü yapılan denetimlerde bu veriler kullanılmakta olup verilerin hatalı veya yanlış olarak sistemden alınması sonucunda tüm denetim süreci sekteye uğrayabilecektir. Sayıştay ın bilişim sistemleri denetimi kapsamında gerçekleştirdiği pilot denetimlerde aşağıdaki grafiklerde belirtildiği üzere kamu kurumlarımızda hala bilişim sistemleri ile ilgili olarak güvenlik ve güvenilirlik algısının yüksek olmadığı ve kamu kurumlarının bilişim sistemlerinin hala çok yüksek riskler içerdiği görülmektedir. Buda Sayıştay ın bilişim sistemlerine verdiği önemin ne kadar yerinde olduğunu göstermektedir. 129 OCAK - ŞUBAT - MART 2011

13 Bilişim Sistemleri Denetiminde Sayıştay Modeli Grafik 1: Risk Düzeylerine Göre Bulgu Sayıları Çok Yüksek Y üksek O rta Düşük Orta 33% Düş ük 3% Çok Yüksek 23% Y üks ek 41% Grafik 2: Kontrol Alanlarına Göre Bulgu Sayıları Uygulama Kontrolleri 33 Acil Durum ve İş Sürekliliği Kontrolleri 5 Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Veri Tabanı Kontrolleri İşletim Sistemleri Kontrolleri Mantıksal E rişim Kontrolleri Ağ Yönetimi ve Güvenliği Kontrolleri Fiziksel ve Çevresel Kontroller Yönetim Kontrolleri T opla m KAYNAKÇA ASOSAI, IT Audit Guidelines, ASOSAI Research Project, Eylül Emini, Filiz Tufan, (2007), Kamu Yönetiminde Bilişim Sistemlerinin Strateji Gelitirme Amaçlı Kullanımı:Kuram ve Selçuk Üniversitesiİktisadi İdari Bilimler Fakültesi İçin Bir Model Önerisi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü,Konya. IDI, Introduction of IT Audit, e-learning Course Notes, (2007), INTOSAI EDP Committee, ( 2007) IT Controls Student Notes, Kurnaz, Niyazi (2010), Güncel Denetim Yaklaşımları, ( ) Menkus, Belden and Gallegos, Frederick, (2001) An Introduction to the IT Auditing, EDP Auditing, Auerbach Publications, CRC Pres LLC, Özkul, Davut, (2002) Bilişim Sistemleri Denetimi,, G.Ü. Sosyal Bilimler Enstitüsü, Ankara, Özkul, Davut, (2002) Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi, Sayıştay Dergisi, Sayı: 44 45, Sayıştay, (2008), Bilişim Sistemleri Denetimi Taslak Rehberi, Sayıştay, Ankara Yıldız, Özcan Rıza,(2007) Bilişim Sistemleri Denetimi ve Şayıştay, Sayıştay Dergisi, Sayı: 65, Weber, R., (2003) Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Research Project 130 OCAK - ŞUBAT - MART 2011

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

Kemal ÖZSEMERCİ Uzman Denetçi

Kemal ÖZSEMERCİ Uzman Denetçi Kemal ÖZSEMERCİ Uzman Denetçi Yeni Kamu Yönetimi Anlayışı: kamu mali yönetim sistemi Dış denetim ve iç denetim görev alanları Performans denetimi İç denetim ve dış denetim işbirliği alanları Madde 9- Kamu

Detaylı

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları: GİRİŞ 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu da mali yönetim ve kontrol sisteminin bütünüyle değiştirilerek, uluslararası standartlara ve Avrupa Birliği Normlarına uygun hale getirilmesi

Detaylı

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL KASIM 2013 İÇİNDEKİLER 1. Neden İç Kontrol? 2. İç Kontrol Nedir? 3. İç Kontrolün Amacı Nedir? 4.

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ

AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ Musa KAYRAK CISA, Sayıştay Başdenetçisi 1.Yeni Normal Temelleri yüzyıllar öncesine dayandırılabilecek ancak yirminci yüzyılın

Detaylı

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI OCAK 2015 Sunum Planı İç Kontrol ün Tanımı ve Amaçları Birimlerin Sorumlulukları İç Kontrol Standartları Bakanlıkta

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

BÖLÜM 4 İÇ KONTROL SİSTEMİ

BÖLÜM 4 İÇ KONTROL SİSTEMİ BÖLÜM 4 İÇ KONTROL SİSTEMİ Öğr. Gör. Mehmet KÖRPİ KONTROL KAVRAMI İşletmenin belirlenen amaçlarına ulaşması için, işletme yöneticilerinin almış olduğu önlemlere, uyguladığı yöntemlere kontrol usul ve yöntemleri

Detaylı

KAMUDA KAYNAK KULLANIMI VE DENETİMİ

KAMUDA KAYNAK KULLANIMI VE DENETİMİ KAMUDA KAYNAK KULLANIMI VE DENETİMİ KAMU KAYNAĞI Kamu Kaynağı: Borçlanma suretiyle elde edilen imkânlar dahil kamuya ait gelirler, taşınır ve taşınmazlar, hesaplarda bulunan para, alacak ve haklar ile

Detaylı

BİLİŞİM SİSTEMLERİ DENETİMİ VE SAYIŞTAY

BİLİŞİM SİSTEMLERİ DENETİMİ VE SAYIŞTAY BİLİŞİM SİSTEMLERİ DENETİMİ VE SAYIŞTAY Özcan Rıza YILDIZ Giriş Son on yıl içerisinde bilgi ve iletişim teknolojilerinde yaşanan hızlı değişim dünyamızı yeni bir çağa taşırken, kamu ve özel sektördeki

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ 1.Giriş Ramazan ŞENER Mali Hizmetler Uzmanı Kamu idarelerinin mali yönetimini düzenleyen 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu 10.12.2003

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

İÜ İç Denetim Birim Başkanlığı İÇ DENETİM PROSEDÜRÜ

İÜ İç Denetim Birim Başkanlığı İÇ DENETİM PROSEDÜRÜ Sayfa No : 1/6 1.AMAÇ İstanbul Üniversitesinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK SUNUMU

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK SUNUMU KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK SUNUMU Resmi Gazete Sayısı: 26111, 29183 HAZIRLAYAN: TANER GÜLER - STRATEJİK YÖNETİM VE PLANLAMA MÜDÜRÜ AMAÇ, KAPSAM VE DAYANAK Bu

Detaylı

İKİNCİ KISIM. Amaç ve Hukuki Dayanak

İKİNCİ KISIM. Amaç ve Hukuki Dayanak ENERJİ VE TABİİ KAYNAKLAR BAKANLIĞI STRATEJİ GELİŞTİRME BAŞKANLIĞI GÖREV, ÇALIŞMA USUL VE ESASLARI HAKKINDA YÖNERGE BİRİNCİ KISIM Amaç ve Hukuki Dayanak Amaç Madde 1- Bu Yönergenin amacı; Strateji Geliştirme

Detaylı

SAYIŞTAY REHBERLERİ 28.04.2015

SAYIŞTAY REHBERLERİ 28.04.2015 SAYIŞTAY REHBERLERİ 28.04.2015 Sayıştay Denetimi Düzenlilik Denetimi Performans Denetimi Mali denetim Uygunluk denetimi Sayıştay Raporları Sayıştay denetim raporları (Düzenlilik ve Performans denetimi)

Detaylı

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN LOGO SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN SUNUM PLANI 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun Getirdiği Sistem İçerisinde İç Kontrol ve İç Denetimin Yeri ve İşlevleri İzmir

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

Ticari Güvence Hizmetleri

Ticari Güvence Hizmetleri ntracts in the Red Zone could have significant value leakage Ticari Güvence Hizmetleri Üçüncü taraflarla aranızdaki güveni nasıl arttırabilirsiniz? Ticari ilişkilerinize dair riskleri yönetim ve üçüncü

Detaylı

İÜ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ

İÜ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ Sayfa No : 1/5 1.AMAÇ İstanbul Üniversitesinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve

Detaylı

T.C. HENDEK BELEDİYESİ BİLGİ İŞLEM MÜDÜRLÜĞÜ GÖREV VE ÇALIŞMA YÖNETMELİĞİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Kuruluş, Dayanak ve Tanımlar

T.C. HENDEK BELEDİYESİ BİLGİ İŞLEM MÜDÜRLÜĞÜ GÖREV VE ÇALIŞMA YÖNETMELİĞİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Kuruluş, Dayanak ve Tanımlar T.C. HENDEK BELEDİYESİ BİLGİ İŞLEM MÜDÜRLÜĞÜ GÖREV VE ÇALIŞMA YÖNETMELİĞİ BİRİNCİ BÖLÜM Amaç, Kapsam, Kuruluş, Dayanak ve Tanımlar Amaç Madde 1- Bu Yönetmelik, Hendek Belediye Başkanlığı Bilgi İşlem Müdürlüğü

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

G.M.K. Bulvarı No: 71 Maltepe / Ankara

G.M.K. Bulvarı No: 71 Maltepe / Ankara 2016/3. DÖNEM SERBEST MUHASEBECİ MALİ MÜŞAVİRLİK SINAVI MUHASEBE DENETİMİ SINAVI SORULARI 3 ARALIK 2016 CUMARTESİ Soru 1. Aşağıdakileri açıklayınız. (40 Puan) a) Denetim modelinde bulgu riski (10 Puan)

Detaylı

5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu

5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu KOCAELİ ÜNİVERSİTESİ BARBAROS DENİZCİLİK YÜKSEKOKULU İÇ KONTROL SİSTEMİ VE İÇ KONTROL STANDARTLARI İLE İLGİLİ EĞİTİM SEMİNERİ Eğitim Planı İç Kontrol Nedir? İç Kontrolün Amaçları ve Temel İlkeleri İç Kontrolde

Detaylı

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine

Detaylı

11.DERS Yazılım Testi

11.DERS Yazılım Testi 11.DERS Yazılım Testi 1 Yazılım Testi Bir programda hata bulma amacıyla icra edilen bir süreçtir. İyi bir test koşulu henüz ortaya çıkarılmamış bir hatayı tespit eden test koşuludur. Yazılım testinin önemi

Detaylı

İç denetim birimleri, risk değerlendirme çalışmalarına ilişkin hususları bu rehbere uygun olarak kendi iç denetim birim yönergelerinde düzenlerler.

İç denetim birimleri, risk değerlendirme çalışmalarına ilişkin hususları bu rehbere uygun olarak kendi iç denetim birim yönergelerinde düzenlerler. KAMU İÇ DENETİMİNDE RİSK DEĞERLENDİRME REHBERİ I. GİRİŞ Bu rehber, iç denetim birimlerince hazırlanacak risk değerlendirme çalışmalarının temel esaslarını belirlemek üzere, İç Denetçilerin Çalışma Usul

Detaylı

KAMU İÇ DENETİMİNDE RİSK DEĞERLENDİRME REHBERİ

KAMU İÇ DENETİMİNDE RİSK DEĞERLENDİRME REHBERİ KAMU İÇ DENETİMİNDE RİSK DEĞERLENDİRME REHBERİ I. GİRİŞ Bu rehber, iç denetim birimlerince hazırlanacak risk değerlendirme çalışmalarının temel esaslarını belirlemek üzere, İç Denetçilerin Çalışma Usul

Detaylı

HASSAS GÖREV. Strateji Geliştirme Dairesi Başkanlığı. E-posta Web : Tlf :

HASSAS GÖREV. Strateji Geliştirme Dairesi Başkanlığı. E-posta Web :  Tlf : HASSAS GÖREV Bu sunumda; Ankara Sosyal Bilimler Üniversitesi Kamu İç Kontrol Standartları Uyum Eylem Planının, hassas görevlere ilişkin (Kos 2.6.1) eylemi çerçevesince birimlerin hassas görevlerini tespit

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004 III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* *connectedthinking PwC İçerik İç kontroller İç kontrol yapısının oluşturulmasında COSO nun yeri İç denetim İç denetimi

Detaylı

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010 Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BAĞIMSIZ DENETİMDE BİLGİ TEKNOLOJİLERİ DENETİMİ KAPSAM VE METODOLOJİ Tanıl Durkaya, CISA, CGEIT, CRISC Kıdemli Müdür, KPMG Türkiye İçerik BT Denetim

Detaylı

T.C. TUŞBA BELEDİYESİ

T.C. TUŞBA BELEDİYESİ T.C. TUŞBA BELEDİYESİ İç Kontrol Standartları EYLEM PLANI 1 1. İÇ KONTROL SİSTEMİNİNİN GENEL ESASLARI Amaç 5018 sayılı Kanunun 56 ncı maddesinde iç kontrolün amaçları; Kamu gelir, gider, varlık ve yükümlülüklerinin

Detaylı

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine

Detaylı

T.C. ORTA ANADOLU KALKINMA AJANSI İÇ DENETÇİLİĞİ T.C. ORTA ANADOLU KALKINMA AJANSI 2015 YILI İÇ DENETİM PROGRAMI. İÇ DENETÇİ Mustafa KARAKAYA KAYSERİ

T.C. ORTA ANADOLU KALKINMA AJANSI İÇ DENETÇİLİĞİ T.C. ORTA ANADOLU KALKINMA AJANSI 2015 YILI İÇ DENETİM PROGRAMI. İÇ DENETÇİ Mustafa KARAKAYA KAYSERİ T.C. İÇ DENETÇİLİĞİ T.C. İÇ DENETÇİ Mustafa KARAKAYA KAYSERİ DÜZENLEME TARİHİ 31 Aralık 2014 1. GİRİŞ Bu İç Denetim Programı, Kalkınma Ajansları Denetim Yönetmeliğinin 8inci maddesi ile Orta Anadolu Kalkınma

Detaylı

T.C. GAZİ ÜNİVERSİTESİ

T.C. GAZİ ÜNİVERSİTESİ T.C. GAZİ ÜNİVERSİTESİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI HASSAS GÖREVLER REHBERİ 2017 Gazi Üniversitesi İç Kontrol Uyum Eylem Planının, hassas görevlere ilişkin Kos 2.6.1 eylemi çerçevesinde, birimler

Detaylı

HASSAS GÖREV. Mürüvet ÇETİNER. Mali Hizmetler Uzmanı. 02 Temmuz 2015

HASSAS GÖREV. Mürüvet ÇETİNER. Mali Hizmetler Uzmanı. 02 Temmuz 2015 HASSAS GÖREV Mürüvet ÇETİNER Mali Hizmetler Uzmanı 02 Temmuz 2015 Hassas Görev Nedir? Hassas Görev Neden Tespit Edilmelidir? Hassas Görev Nasıl Tespit Edilir? Hassas Görev Belirleme ve Sonrası Örnekler

Detaylı

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE 11 Kasım 2013 PAZARTESİ Resmî Gazete Sayı : 28818 TEBLİĞ Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE ÇALIŞMALARINA DAİR USUL VE ESASLAR HAKKINDA

Detaylı

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2010 2011) (KONTROL FAALİYETLERİ) Sorumlu KFS 7 Kontrol stratejileri ve yöntemleri: İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

T.C. İSTANBUL KALKINMA AJANSI

T.C. İSTANBUL KALKINMA AJANSI T.C. İSTANBUL KALKINMA AJANSI Bölgesel Yenilik Stratejisi Çalışmaları; Kamu Kurumlarında Yenilik Anketi İstanbul Bölgesel Yenilik Stratejisi Kamu Kurumlarında Yenilik Anketi Önemli Not: Bu anketten elde

Detaylı

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI 18 Mart 2014 SALI Resmî Gazete Sayı : 28945 KURUL KARARI Kamu Gözetimi,

Detaylı

KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ. Burhanetin AKTAŞ Müsteşar Yardımcısı

KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ. Burhanetin AKTAŞ Müsteşar Yardımcısı KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ Burhanetin AKTAŞ Müsteşar Yardımcısı 1 Sunum Planı I. Kamu İdarelerinde Risk Yönetimi II. Uluslararası Tecrübeler İngiltere ABD III. Hazine Müsteşarlığı Deneyimi

Detaylı

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI Ocak 2013 BİRİNCİ BÖLÜM Genel Hükümler Amaç ve kapsam Madde 1 (1) Bu Programın amacı, Bakanlığımızda

Detaylı

İL ÖZEL İDARELERİNDE MALİ YÖNETİM VE İÇ KONTROL SİSTEMİNE İLİŞKİN DIŞ DENETİM

İL ÖZEL İDARELERİNDE MALİ YÖNETİM VE İÇ KONTROL SİSTEMİNE İLİŞKİN DIŞ DENETİM İL ÖZEL İDARELERİNDE MALİ YÖNETİM VE İÇ KONTROL SİSTEMİNE İLİŞKİN DIŞ DENETİM SUNAN S. Emre AKDAĞ Sayıştay Uzman Denetçisi Hasan Meriç ÜSTÜNKOL Sayıştay Başdenetçisi SAYIŞTAYLARIN KURULUŞ AMACI Sayıştaylar

Detaylı

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Kapsamlı bir yazılım seçim metodolojisi, kurumsal hedeflerin belirlenmesiyle başlayan çok yönlü bir değerlendirme sürecini kapsar. İş süreçlerine, ihtiyaçlarına

Detaylı

İSG RİSK DEĞERLENDİRME PROSEDÜRÜ

İSG RİSK DEĞERLENDİRME PROSEDÜRÜ .0 AMAÇ : BAŞAKŞEHİR 'nin kanundan doğan, yapmakla mükellef olduğu "İş Sağlığı ve Güvenliği" risklerinin nasıl değerlendirileceğini belirlemek,.0 KAPSAM : BAŞAKŞEHİR N'de uygulanan "İş Sağlığı ve Güvenliği

Detaylı

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz? Türkiye nin en popüler iş arama ve işe alma platformları olan yenibiriş.com da 1500, kariyer.net te ise 2000 e yakın İç Kontrol başlıklı ilan bulunmaktadır. İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere

Detaylı

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1) Bu Yönetmelik; genel bütçe kapsamındaki kamu idareleri,

Detaylı

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler ECA Bölge Perspektifi Marius Koen TÜRKİYE: Uygulama Destek Çalıştayı 6-10 Şubat 2012 Ankara, Türkiye 2 Kapsam ve Amaçlar

Detaylı

T.C. SAYIŞTAY BAŞKANLIĞI BURSA BÜYÜKŞEHİR BELEDİYESİ SU VE KANALİZASYON İDARESİ GENEL MÜDÜRLÜĞÜ 2012 YILI DENETİM RAPORU

T.C. SAYIŞTAY BAŞKANLIĞI BURSA BÜYÜKŞEHİR BELEDİYESİ SU VE KANALİZASYON İDARESİ GENEL MÜDÜRLÜĞÜ 2012 YILI DENETİM RAPORU T.C. SAYIŞTAY BAŞKANLIĞI BURSA BÜYÜKŞEHİR BELEDİYESİ SU VE KANALİZASYON İDARESİ GENEL MÜDÜRLÜĞÜ 2012 YILI DENETİM RAPORU ARALIK 2013 T.C. SAYIŞTAY BAŞKANLIĞI 06100 Balgat / ANKARA Tel: 0 312 295 30 00:

Detaylı

NAZİLLİ DEVLET HASTANESİ RİSK ANALİZİ PROSEDÜRÜ

NAZİLLİ DEVLET HASTANESİ RİSK ANALİZİ PROSEDÜRÜ Sayfa 1 / 6 1. AMAÇ 2. KAPSAM Nazilli Devlet Hastanesinde bölüm bazında risk değerlendirmeleri yaparak çalışanların çalıştıkları alanlardan kaynaklı risklerini belirlemek ve gerekli önlemlerin alınmasını

Detaylı

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların

Detaylı

EKLER. EK 12UY0106-4/A1-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A1-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-4/A1-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

SUNUM PLANI. Politika ve Proje Daire Başkanlığı Genel Sağlık Sigortası Genel Müdürlüğü

SUNUM PLANI. Politika ve Proje Daire Başkanlığı Genel Sağlık Sigortası Genel Müdürlüğü SUNUM PLANI Sağlık Hizmetlerinde Geri Ödeme Yeni Ödeme Sistemlerine Neden İhtiyaç Duyulmaktadır? Neden DRG/TİG? SGK DRG/TİG Projesi Amaç / Hedef / Kurgu Proje Kapsamında Yapılan Çalışmalar ve Gelinen Son

Detaylı

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR 2013/101 (Y) Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] BTYK nın 2009/102 no.lu kararı kapsamında hazırlanan ve 25. toplantısında onaylanan Üstün Yetenekli Bireyler Stratejisi nin koordinasyonunun

Detaylı

İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır.

İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır. ÇALIŞMA STANDARTLARI 2000 - İç Denetim Faaliyetinin Yönetimi İç denetim yöneticisi, iç denetim faaliyetini, faaliyetin idareye değer katmasını sağlayacak etkili bir tarzda yönetmek 2010 - Planlama İç denetim

Detaylı

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA T.Ü. BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ PLANI FORMU Doküman No: BİDB-F-06 Yürürlük Tarihi: 01.01.2012 Revizyon No: 0 Tarihi: - TRAKYA ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ PLANI FORMU SIRA NO SORUMLU

Detaylı

YÖNETMELİK. Türkiye Atom Enerjisi Kurumundan: RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ

YÖNETMELİK. Türkiye Atom Enerjisi Kurumundan: RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ YÖNETMELİK Türkiye Atom Enerjisi Kurumundan: RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 (1) Bu Yönetmeliğin amacı, radyasyon

Detaylı

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Başlarken Acil Durum Yönetim Sistemi Kendilerini acil durumlarda da çalışmaya hedeflemiş organizasyon ve kurumların komuta, kontrol ve koordinasyonunu sağlama

Detaylı

Sabit Kıymet Yönetimi

Sabit Kıymet Yönetimi Sabit Kıymet Yönetimi www.logitta.com Şirketiniz için Yeni bir Değer yaratın! Logitta Mayıs, 2011 Sabit Kıymet Yönetimi Nedir? Sabit kıymet yönetimi işletme bünyesindeki sabit kıymetlerin sistematik bir

Detaylı

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar.

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar. SAĞLIK ARAŞTIRMALARI GENEL MÜDÜRLÜĞÜ DAİRE BAŞKANLIKLARI YÖNERGESİ Amaç MADDE 1- (1) Bu yönerge, Sağlık Bakanlığı Sağlık Araştırmaları Genel Müdürlüğünün teşkilat yapısını, görevlerini, yetkilerini ve

Detaylı

RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ

RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ Türkiye Atom Enerjisi Kurumundan: RADYASYON GÜVENLİĞİ DENETİMLERİ VE YAPTIRIMLARI YÖNETMELİĞİ Resmi Gazete: 31.7.2010-27658 BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 -(1) Bu Yönetmeliğin

Detaylı

BANKALARDA OPERASYONEL RİSK DENETİMİ

BANKALARDA OPERASYONEL RİSK DENETİMİ BANKALARDA OPERASYONEL RİSK DENETİMİ Dr. Korcan Demircioğlu T. Garanti Bankası A.Ş. Teftiş Kurulu Başkan Yardımcısı Operasyonel Risk Yönetiminin Önemi Amaçları ve Hedefleri Nelerdir? Hedefler Amaçlar Daha

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

Kamu İç Denetçileri Eğitim Programı

Kamu İç Denetçileri Eğitim Programı Kamu İç Denetçileri Eğitim Programı Performans Denetimi Paylaşım Sunumu Abdullah EFE İç Denetim Birimi Başkanı 06.05.2016 1 Performans Denetimi Deneyimleri 1- Kütüphane İşlemleri (İDKK Pilot Uygulama 2015)

Detaylı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı ISSAI UYGULAMA GİRİŞİMİ 3i Programı 3i Programme Taahhütname ARKA PLAN BİLGİSİ Temel denetim alanları olan mali denetim, uygunluk denetimi ve performans denetimini kapsayan kapsamlı bir standart seti (Uluslararası

Detaylı

DENETİM KURULU KALDIRILAN KOOPERATİFLERDE YENİ DENETİM SİSTEMİ NASIL OLACAK?

DENETİM KURULU KALDIRILAN KOOPERATİFLERDE YENİ DENETİM SİSTEMİ NASIL OLACAK? Yaklaşım Dergisi, Ekim 2014, Sayı:262 DENETİM KURULU KALDIRILAN KOOPERATİFLERDE YENİ DENETİM SİSTEMİ NASIL OLACAK? 1- GİRİŞ Kuruluş amaçları birbirinden farklı değişik türlerde faaliyet gösteren kooperatiflerin

Detaylı

Kontrol: Gökhan BİRBİL

Kontrol: Gökhan BİRBİL Doküman Adı: İÇ DENETİM PROSEDÜRÜ Doküman No.: Revizyon No: 04 Yürürlük Tarihi: 05.01.2012 Hazırlayan: Tekin ALTUĞ Kontrol: Gökhan BİRBİL Onay: H. İrfan AKSOY Sayfa 2 / 7 1. AMAÇ Bu prosedürün amacı, TÜRKAK

Detaylı

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI Performans programları, idare bütçelerinin stratejik planlarda belirlenmiş amaç ve hedefler doğrultusunda hazırlanmasına yardımcı olmak üzere hazırlanan temel

Detaylı

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM TANITIM BROŞÜRÜ

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM TANITIM BROŞÜRÜ İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM TANITIM BROŞÜRÜ HAZİRAN 2017 Bu broşür 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu hükümleri ile uluslararası kabul görmüş standartlara

Detaylı

Mehmet BÜLBÜL. Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı

Mehmet BÜLBÜL. Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı Mehmet BÜLBÜL Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı Belirlenen düzenleme, standart ve yöntemler çerçevesinde; planlama, programlama, bütçeleme, uygulama, kontrol etme, muhasebeleştirme

Detaylı

Hassas Görevlere İlişkin Bilgilendirme Notu

Hassas Görevlere İlişkin Bilgilendirme Notu Hassas Görevlere İlişkin Bilgilendirme Notu İstanbul Üniversitesi İç Kontrol Uyum Eylem Planının, hassas görevlere ilişkin Kos 2.6.1 eylemi çerçevesince birimler tarafından hassas görevlerini tespit ederken

Detaylı

DENETİM KOÇLUĞU EĞİTİM SERİSİ

DENETİM KOÇLUĞU EĞİTİM SERİSİ DENETİM KOÇLUĞU EĞİTİM SERİSİ Sayın İlgili: İç denetim teknik bir uzmanlık alanı olmanın ötesinde çok temel bir yönetim aracıdır. Yönetim sürecinin temel bir unsuru olan kontrol ve izleme rolü iç denetim

Detaylı

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ 1. GİRİŞ Bu kılavuz, destekleyicinin merkezinde veya destekleyicinin araştırmayla

Detaylı

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Resmi Gazete Tarihi: 17.03.2006 Resmi Gazete Sayısı: 26111 KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1)

Detaylı

Hizmetin/Görevin Adı Riskler Risk Düzeyi** Kontroller/ Tedbirler. Yanlışlıkla başkalarına verilme işi. Orta

Hizmetin/Görevin Adı Riskler Risk Düzeyi** Kontroller/ Tedbirler. Yanlışlıkla başkalarına verilme işi. Orta EK 1 HASSAS GÖREV TESPİT FORMU HARCAMA BİRİMİ: ANKARA ÜNİVERSİTESİ GÜZEL SANATLAR FAKÜLTESİ ALT BİRİM:*MALİ İŞLER Sıra No 1 2 3 4 5 Hizmetin/Görevin Adı Riskler Risk Düzeyi** Kontroller/ Tedbirler hazırlayıp,

Detaylı

DOĞRUDAN FAALİYET DESTEĞİ

DOĞRUDAN FAALİYET DESTEĞİ DOĞRUDAN FAALİYET DESTEĞİ Konusu İstanbul da Yazılım, Bilgisayar ve Video Oyunları Sektörü Durum Analizi ve Sektörün Geleceği Gerekçesi 2014-2023 İstanbul Bölge Planı nın ekonomik gelişme ekseni küresel

Detaylı

Bilişim Sistemleri. Modelleme, Analiz ve Tasarım. Yrd. Doç. Dr. Alper GÖKSU

Bilişim Sistemleri. Modelleme, Analiz ve Tasarım. Yrd. Doç. Dr. Alper GÖKSU Bilişim Sistemleri Modelleme, Analiz ve Tasarım Yrd. Doç. Dr. Alper GÖKSU Ders Akışı Hafta 5. İhtiyaç Analizi ve Modelleme II Haftanın Amacı Bilişim sistemleri ihtiyaç analizinin modeli oluşturulmasında,

Detaylı

T.C. AHİ EVRAN ÜNİVERSİTESİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI HAKKINDA YÖNERGE

T.C. AHİ EVRAN ÜNİVERSİTESİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI HAKKINDA YÖNERGE T.C. AHİ EVRAN ÜNİVERSİTESİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI HAKKINDA YÖNERGE BİRİNCİ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve Kapsam Madde(1)- (1)Bu yönergenin amacı,

Detaylı

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI Tanım: Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden

Detaylı

RİSK ANALİZİ TALİMATI

RİSK ANALİZİ TALİMATI AĞRI İL AMBULANS SERVİSİ BAŞHEKİMLİĞİ RİSK ANALİZİ TALİMATI DÖK. KOD NO : AĞRI-112-YÖN-TL- 22 YAY. TRH: 31.02.2014 REV.TRH: REV.NO: SA YFA NO: 5 1. AMAÇ: Ağrı İl Ambulans Servisi Başhekimliğinde hizmet

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

T.C. ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ İÇ DENETİM BİRİMİ KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

T.C. ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ İÇ DENETİM BİRİMİ KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI T.C. ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ İÇ DENETİM BİRİMİ KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI ANKARA-2017 İÇİNDEKİLER 1. GENEL HÜKÜMLER... 3 2. İÇ DEĞERLENDİRMELER... 3 2.1. SÜREKLİ İZLEME... 3 2.2.

Detaylı

YÖNETMELİK KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK

YÖNETMELİK KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK Maliye Bakanlığından: YÖNETMELİK KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1) Bu Yönetmelik; genel bütçe

Detaylı

YÖNETMELİK. Maliye Bakanlığından: KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK

YÖNETMELİK. Maliye Bakanlığından: KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK YÖNETMELİK Maliye Bakanlığından: KAMU İDARELERİNCE HAZIRLANACAK FAALİYET RAPORLARI HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1) Bu Yönetmelik; genel bütçe

Detaylı

Bu rapor, 6085 sayılı Sayıştay Kanunu uyarınca yürütülen düzenlilik denetimi sonucu hazırlanmıştır.

Bu rapor, 6085 sayılı Sayıştay Kanunu uyarınca yürütülen düzenlilik denetimi sonucu hazırlanmıştır. T..C.. SAYIIŞTAY BAŞKANLIIĞII AVRUPA BİİRLİİĞİİ BAKANLIIĞII 2012 YIILII DENETİİM RAPORU EYLÜL 2013 T.C. SAYIŞTAY BAŞKANLIĞI 06100 Balgat / ANKARA Tel: 0 312 295 30 00; Faks: 0 312 295 40 94 e-posta: sayistay@sayistay.gov.tr

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

1 MUHASEBE DENETİMİNE BAKIŞ

1 MUHASEBE DENETİMİNE BAKIŞ ÖNSÖZ İÇİNDEKİLER III Bölüm 1 MUHASEBE DENETİMİNE BAKIŞ 11 1.1. Denetim Kavramı 12 1.2. Denetimin Tarihsel Gelişimi 13 1.3. Muhasebe Denetimi 14 1.3.1. Muhasebe Denetimi Kavramı ve Özellikleri 14 1.3.2.

Detaylı

TÜRKİYE SAGLIK ENSTİTÜLERİ BAŞKANLIĞI STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

TÜRKİYE SAGLIK ENSTİTÜLERİ BAŞKANLIĞI STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar TÜRKİYE SAGLIK ENSTİTÜLERİ BAŞKANLIĞI STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların amacı;

Detaylı