BİLİŞİM SİSTEMLERİ DENETİMİNDE SAYIŞTAY MODELİ

Transkript

1 BİLİŞİM SİSTEMLERİ DENETİMİNDE SAYIŞTAY MODELİ Ahmet TOPKAYA Sayıştay Başdenetçisi 1. GİRİŞ Bilgi teknolojilerinde geçtiğimiz yüzyılda yaşanan ikinci bir sanayi devrimi sayılabilecek gelişmeler iş dünyasını, toplumu ve günlük yaşamı dünya çapında etkilemiştir. Söz konusu devrim 1950 li yıllarda büyümeye ve yaygınlaşmaya başlamış ve sonraki yıllarda da devam etmiştir. 60 lı ve 70 yıllarda, bilgisayar teknolojileri daha çok ticari veri işleme alanında ve bilimsel uygulamalarda, büyük miktarda hesaplamalar gerçekleştirmek üzere kullanılmaktaydı. Dolayısıyla bilgi teknolojisinin kullanımı bu tür teknolojilerin kullanımına hakim olan ya da programlama dillerinde yetkin olanlarla sınırlıydı li yıllarda bilgisayarlarla telekomünikasyon araçlarının entegrasyonu, gerek hizmet sağlayıcıları gerekse kullanıcıları açısından bilginin iletilmesi ve yönetilmesinin odak noktası olduğu yeni bir bilgi teknolojisi devrimine yol açtı. Coğrafi sınırlamalardan bağımsız olarak kişiler arası iletişimi kişilerin evlerine kadar getiren PC lerin gündelik hayata girmesiyle birlikte bilgi teknolojileri tüm toplumun günlük yaşamının bir parçası haline geldi. Bilgi teknolojilerinde en büyük gelişme ise şüphesiz WWW nin gelişmesi ve 90 lı yıllarda hızla yayılmasıydı. Son 20 yıldır, WWW teknolojileri insanların dünya çapında iletişim kurmaları ve bilgi paylaşmalarında kullandığı sanal bir dünyanın oluşmasına neden oldu. Günümüzde, artık hangi ölçekte olursa olsun tüm organizasyonlar ilişkili olduğu tüm taraflarla bilgi paylaşımını ve veri işleme süreçlerini tamamen bu teknolojileri kullanarak gerçekleştirmektedir. Artık BT, sınırları olmayan bir dünyada herkes için bilgilerin ulaşılabilir olduğu bir çağı yani bilgi çağını tam anlamıyla başlatmış konumdadır. Bilişim sistemlerinin ve özellikle bilgisayarın işlemlerde kullanılmasıyla teknolojinin kendine özgü riskleri de beraberinde gelmekte olup, manüel sistemden farklı olan bu yeni sistemde üretilen çıktıların doğruluğunun kontrol edilmesi ve bilgi, belgelerin güvenilirliğinin sağlanması gereği özellikle bilişim sistemlerinin 118 OCAK - ŞUBAT - MART 2011

2 Ahmet TOPKAYA denetlenmesini zorunlu kılmaktadır. Başka bir deyişle, denetçilerin etkin bir denetim yapmak için ihtiyaç duydukları bilgi ve belgeleri sanal ortamdan elde etmeleri sonucunda, denetimde kullanılacak olan bu bilgilerin doğruluğu hakkında güvence verilmesi gerekmektedir. Bu güvence olgusu bilişim sistemleri denetiminin gerekliliğini ortaya çıkartmıştır. Ülkemizde de bilişim teknolojisinde yaşanan gelişmeler yakından takip edilmekte olup, özellikle kamu kuruluşları faaliyetlerini gerçekleştirirken bilgisayardan yararlanmaktadır. Böylece kamu kuruluşlarınca da eskiden çok uzun süre alan işlemler daha hızlı ve etkin bir şekilde gerçekleştirilebilmektedir. Bilgisayar kullanımının yaygınlaşması ile kamuda büyük öneme haiz olan birçok bilgi ve işlem sanal ortama aktarılmıştır. Önemli bilgilerin işlendiği sistemlerin doğru bilgi üretmesi adına yapılacak denetimin gerekliliği ortaya çıkmıştır. Örnek verecek olursak vergi mükellefiyet bilgileri VEDOP, vatandaşlık ve nüfus bilgileri MERNİS, kamu kurumlarının harcamalarının muhasebeleştirildiği SAY2000İ,sosyal güvenlik ve sağlık bilgilerinin tutulduğu MEDULA. gibi sistemler büyük projeler ve yatırımlar sonucunda oluşturulmuştur. Bu sistemlerin doğru veri ürettiklerine ve güvenli bir ortamda bu verileri saklandıklarına dair varsayım için iyi niyetten öte bir denetim güvencesinin gerekliliği şarttır. Kamu kurumlarının denetimi sırasında bu bilgilerin doğruluğu ön kabul olarak kullanılmaktadır. Fakat bu sistemlerdeki bilgilerin tamlığı, doğruluğu ve güvenilirliği ancak bu sistemler üzerinde yapılacak bilişim sistemleri denetimi sayesinde bilinebilecektir. Bu çerçevede Anayasa nın 160. Maddesinin de belirtildiği üzere merkezi yönetim bütçesi kapsamındaki kamu idarelerinin, sosyal güvenlik kurumlarının ve mahalli idarelerin bütün gelir ve giderleri ile mallarını Türkiye Büyük Millet Meclisi adına denetlemek ve sorumluların hesap ve işlemlerini kesin hükme bağlamakla görevli bir yargı ve yüksek denetim kurumu olan Sayıştay Başkanlığı tarafından da denetlediği kurumların verilerini bilişim ortamında tutmaları ve işlemelerinden dolayı bu sistemlerin ürettikleri bilgilerin güvenliğini ve güvenilirliğini denetleme ihtiyacı doğmuştur. Bu çalışmada öncelikle bilişim sistemleri ve bilişim sistemleri denetimi kavramları açıklandıktan sonra Sayıştay Başkanlığı nın uyguladığı bilişim sistemleri denetimi süreci, bilişim sistemleri denetimi metodolojisi, bilişim sistemi denetimi kontrolleri ve bu kontrollerin zayıflıkları halinde meydana gelebilecek riskler ve pilot denetimler sonucunda elde edilen bulgular hakkında bilgi verilecektir. 2. BİLİŞİM SİSTEMİ KAVRAMI Bilişim sistemi, alt, orta ve üst düzey yöneticiler için karar verme sürecinde gerekli olan bilgiyi toplayan, işleyen, saklayan ve elde edilen verileri raporlayan ve çıktıyı bir kurumdaki sorumlu kişilere tekrar göndererek girdilerin değerlendirilmesini ve düzeltilmesini sağlayan; yöneticilerin veri veya bilgi işlemesini sağlayan bilgisayar destekli sistemlerin genel adıdır. Bu bağlamda bilişim sistemleri, kurumlarda işlevsel düzeyde, bilgi düzeyinde, yönetim düzeyinde ve stratejik düzeyde kullanılabilmektedir.(emini,2007:9) Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar (Network) ve onları kullanan insanlardan oluşur. Bir kurumda bilişim sistemlerinin kullanılmasıyla, doğru ve güvenilir veri tabanları oluşturulması, verilere kolay ulaşım sağlanması, veri girişi sonrasında manuel ortamda yapılan birçok ara işlemin ortadan kalkarak bu işlemlerin otomatik yapılması, verilerin saklanmasında yer tasarrufu sağlanması, kolay dosya yönetimi sayesinde işlemlerin daha hızlı yapılması, karmaşık olan işlemlerin daha kolay bir şekilde çözülebilmesi, iş verimliliğinin artması ve maliyetlerin düşmesi gibi imkânlardan yararlanılabilmektedir.(özkul,2002:22) 3. BİLİŞİM SİSTEMLERİ DENETİMİ KAVRAMI Teknolojide yaşanan gelişmeler doğrultusunda güncel denetim yaklaşımlarından bir tanesi olan bilişim sistemleri denetimi; işletmelerin sahip olduklar bilişim sistemleri kaynaklarının değerlenmesi sürecidir. Bu noktada bilişim sistemleri ile ilgili unsurların güvenlik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşıl madığı dikkatlice incelenmelidir. Bilişim sistemleri denetimi daha açık bir ifadeyle, bir bilişim sisteminin, kurum amaçlarına etkin bir şekilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürülmesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci (Weber,2003:10) olarak tanımlanabilmektedir. Bilişim sistemleri denetiminin uygulanmasının kurumlara sağlayacağı faydalar aşağıda belirtilmiştir; Bilişim Sistemlerin kesintisiz çalışmasını sağlamak, Acil durumlar karşısında iş sürekliliğini korumak, Teknoloji risklerine karşı önlem almak, 119 OCAK - ŞUBAT - MART 2011

3 Bilişim Sistemleri Denetiminde Sayıştay Modeli Sayıştay; Anayasa ve diğer yasalardan aldığı yetkiye dayanarak, merkezi yönetim bütçesi kapsamındaki kamu idarelerinin, sosyal güvenlik kurumlarının ve mahalli idarelerin bütün gelir ve giderleri ile mallarını Türkiye Büyük Millet Meclisi adına denetlemek ve sorumluların hesap ve işlemlerini kesin hükme bağlamakla görevli bir yargı ve yüksek denetim kurumudur. Türk kamu mali sisteminde, ilgili kurumların etkinliğinin ve verimliliğinin artırılması ve iyileştirilmesi amacıyla 1995 yılında başlatılan ve finansmanı Dünya Bankası tarafından sağlanan Kamu Mali Yönetim Projesi çerçevesinde bir dizi önemli gelişme ve değişim yaşanmıştır. Bu gelişme ve değişimler, Türkiye nin Avrupa Birliği üyeliği sürecindeki uyum çalışmaları ile birlikte daha da hızlanmıştır. Teknolojik alt yapının ihtiyaçlarını karşılamada optimum çözüm olup olmadığını ölçmek, Bilgi işlem departmanının kişilere bağımlı olmamasını sağlamak, Kullanıcıların sistem yada uygulama kaçaklarını görme ve bu kaçakları kötüye kullanma ihtimalini ortadan kaldırmak, Bilişim sistemlerinde var olan hatalardan kaynaklanan kurum zararlarını azaltmak, Müşteri ve kurum bilgilerinin güvenliğini sağlamak. (Kurnaz,2010:22) Bilişim sistemleri denetimi, bir kurumun mali tablolarını etkileyen tüm sistemlerinde yürütülebileceği gibi, bu tabloları etkileyen sistemlerden risk değerlendirmesi sonucunda sadece yüksek riskli olarak görülen sistemlerde de yürütülebilir. Bilişim sistemleri denetiminin amacı ise, denetlenen kurumlarda kullanılan bilişim sistemlerinin işlem ve uygulamalarının güvenlik ve güvenilirliğini sağlayan iç kontrolleri incelemek ve değerlendirmektir.(sayıştay Bilişim Sistemleri Denetimi Taslak Rehberi,2008:7) 4. BİLİŞİM SİSTEMLERİ DENETİMİ VE SAYIŞTAY Bu değişim sürecinin en önemli çıktısı, 1050 Sayılı Muhasebe-i Umumiye Kanunu nun yerine, kamu mali sisteminde çok önemli değişiklikler getiren 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun yürürlüğe girmesidir Sayılı Kanun Sayıştay ın denetim anlayışında, Parlamentoya denetim sonuçlarının raporlanmasında ve denetlenen kurumların sayısında ve kapsamında önemli yenilikler getirmiştir Sayılı Kanun, Sayıştay a dış denetim organı olarak Düzenlilik Denetimi ve Performans Değerlendirmesi yapma görevi vermiş ve bu denetimlerin genel kabul görmüş uluslararası denetim standartlarına göre yürütülmesini öngörmüştür tarihli ve sayılı Resmi Gazete de yayınlanarak yürürlüğe giren Sayıştay Kanunu ile hem denetim alanı genişlemiş hem de 5018 sayılı Kanun da belirtilen anlayış denetim yönü ile tamamlanmıştır. Sayıştay ın denetim alanının genişlemesi ve Sosyal Güvenlik Kurumu gibi çok büyük işlem hacmi olan, bütün işlemlerini bilişim ortamında yapan ve saklayan, genel bütçeden sonra en büyük kamu fonu kullanan bir kurumun ilk defa Sayıştay denetimine girmesiyle, bilişim sistemi denetimi ve bilgisayar destekli denetim tekniklerinden yararlanmak bir zorunluluk haline gelmiş ve bu alandaki çalışmalar ivme kazanmıştır. Denetlenen kurum sayısının fazlalığı ve kurumların işlem hacimlerinin sürekli artması nedeniyle bilgisayar destekli denetim tekniklerinden yararlanmaksızın yapılacak denetimlerde anlamlı sonuçlar ortaya çıkarmak gittikçe zorlaşmakta, kurumlar arasında ya da aynı kurumun farklı yılları arasında karşılaştırmalı incelemeler yapmak, ilişki analizleri kurmak mümkün olamamaktadır. Günümüzde Sayıştay denetimine tabi bütün kurumlar, daha önce kayıt defterleri kullanılarak yaptıkları işlemlerin tamamına yakınını bilişim ortamında hazırlamakta ve saklamaktadırlar. Kamu kurumlarının büyük 120 OCAK - ŞUBAT - MART 2011

4 Ahmet TOPKAYA çoğunluğu mali işlemlerini say-2000i Sistemini kullanarak yürütmektedirler. Sosyal Güvenlik Kurumu ve mahalli idareler başta olmak üzere bir kısım kamu kurumu da kendi bilişim sistemlerine sahiptir. Bilişim teknolojilerinin denetimde kullanılması veya bilişim teknolojilerinin imkânlarından yoğun şekilde yararlanan kurumların sistemlerinin denetlenmesine yönelik çalışmalar daha yakın tarihlerde başlamış olup, Sayıştay açısından özellikle 2003 yılı içerisinde Hazine Müsteşarlığında yürütülen ilk uygulamalar sonucu elde edilen başarı, bu alanda yapılan çalışmaları daha ileriye götürme konusunda cesaret verici bir gelişme olmuştur. Nitekim İngiltere ve kısmen de İspanya Sayıştay ı ile yürütülen Sayıştay ın Denetim Kapasitesinin Güçlendirilmesi Eşleştirme Projesinde, mali denetim ve performans denetimi ekiplerinden ayrı bir bilişim sistemleri denetim ekibi oluşturularak, bu konudaki bilgi birikimine uluslararası standartlar ve AB uygulamaları bağlamında önemli katkı sağlanmış ve bir metodoloji geliştirilmesinin önü açılmıştır. Bunun sonucunda oluşturulan Bilişim Sistemleri Denetimi Rehberi bu alandaki metodoloji geliştirme çalışmalarının önemli bir adımını oluşturmaktadır. Eşleştirme projesi kapsamında 3 kurumda, eşleştirme projesini takiben Sayıştay Başkanlığında TUBİTAK UEKAE nin teknik desteği ile proje çıktısı olan taslak Bilişim Sistemleri Rehberi nin test edilmesi amacı ile de 1 tane Büyükşehir Belediyesinde, 1 tane bünyesinde hastane bulunduran bir üniversitede, 1 tane de özel bütçeli bir kurumda olmak üzere 3 tane kurumda pilot Bilişim Sistemleri Denetimi çalışması tamamlanmıştır. Halen Sayıştay Başkanlığı, TUBİTAK UEKAE, Marmara Üniversitesi arasında imzalanan protokol kapsamında T.C. Sayıştay Başkanlığı Bilgisayar Destekli Denetim Sistemi Yazılımı Projesi yürütülmektedir. Geleneksel denetim tekniklerinin gelişen teknoloji karşısında yetersiz kalması sonucunda ortaya çıkan proje ile yedi bin ayrı muhasebe biriminde milyonlarca veriyi denetleyen Sayıştay Başkanlığı için bilgisayar destekli denetim metodolojisi gelişen Türkiye de bir gereklilik haline dönüşmüştür. 5. SAYIŞTAY IN BİLİŞİM SİSTEMLERİ DENETİMİ METODOLOJİSİ 1 Etkili ve etkin bir bilişim sistemleri denetiminin gerçekleştirilebilmesi için yapılan denetimler sırasında teknolojik riskleri göz önüne alacak bir yaklaşım ve metodoloji izlenmelidir. 1 Bu bölümün hazırlanmasında Sayıştay Bilişim Sistemleri Taslak Rehberinden faydalanılmıştır. Uluslararası Sayıştaylar Birliği olan INTOSAI Denetim Standartlarında; denetçi ve Sayıştay ın işlerini yeterli kalitede yürütebilmesi için gerekli yeterliliğe sahip olması ve Sayıştay ın kendisini, iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını, istatistiki örneklemeyi ve bilişim sistemlerinin denetimini içeren tüm güncel denetim metodolojileriyle donatması gerektiği belirtilmektedir. Ayrıca, muhasebe veya diğer bilgi sistemlerinin bilgisayarlaştırıldığı ortamlarda denetçiler, denetlenen kurumun verilerinin doğruluk, tamlık ve güvenilirliğini sağlayan iç kontrollerin uygun çalışıp çalışmadığını belirlemelidir.(yıldız,2007:6) Bilişim sistemleri denetimi, bir kurumun mali tablolarını etkileyen sistemlerin tamamında yürütülebileceği gibi, sadece yüksek riskli olarak görülen sistemlerde de yürütülebilir. Bu durumda denetlenecek sistemler, risk değerlendirmesi yoluyla belirlenir. Bilişim sistemleri denetimi yürütülürken risk tabanlı denetim yaklaşımına uygun olarak şu genel çerçeve izlenir; Öncelikle incelenen bilişim sisteminden kaynaklanabilecek riskler belirlenir, Bu riskleri minimize edecek kontrol mekanizmaları belirlenir, Bu kontrol mekanizmalarının kurumun yapısı göz önünde tutularak oluşturulup oluşturulmadığı, oluşturulmuş ise etkin çalışıp çalışmadığı incelenir, İnceleme sonrası, iç kontrollerdeki zayıflıklar değerlendirilir Elde edilen bulgular belli bir prosedüre göre raporlanır. Bu çerçevede denetim 3 ana unsur üzerine oturmaktadır. Bunlar denetimin planlanması, sistem kontrollerinin değerlendirilmesi ve denetim sonuçlarının raporlanması Denetimin Planlanması Aşaması; Bu aşama da ilgili kurumun ve kuruma ait bilişim sistemlerinin tanınması, denetlenecek sistemlerin belirlenmesi adına risk analizlerinin yapılması, hangi alanlarda uzman çalıştırılacağına karar verilmesi ve son olarak da denetim stratejisinin oluşturulması aşamalarından oluşmaktadır. 5.1.a. Kurumun ve Kurumun Bilişim Sistemlerinin Tanınması: 5.1.b. Bilişim sitemleri denetlenecek kuruma ilişkin hangi mevzuatlara tabi olduğundan başlayarak, kurumun bilişim sistemlerinin donanım yapısı, kullanı- 121 OCAK - ŞUBAT - MART 2011

5 Bilişim Sistemleri Denetiminde Sayıştay Modeli lan yazılımlar ve ağ yapısı, sistemi işleten ve kullanan personel ile sisteme veri giriş yöntemleri, kurumun iş süreçleri, hangi süreçlerin bilişim ortamında yürütüldüğüne ilişkin bilgiler, kurumun mali ve envanterine ilişkin bilgiler, başta olmak üzere ilgili kurumla ilgili denetim sırasında ihtiyaç duyulabilecek her türlü bilgi sağlanarak kurum tanıma süreci tamamlanır. 5.1.c. Sistem Risk Analizlerinin Yapılması: Kurumun hangi işlemleri bilişim ortamında yaptığı ve bunların mali tabloları ve hesap alanını etkileyip etkilemediği tespit edildikten sonra, belirlenen sistemlerin risk değerlendirmesi yapılmalıdır. Denetimin planlaması aşamasında yapılacak risk değerlendirmesi, sistemler tek tek ele alınmak suretiyle yapılmalıdır. Bilişim Sistemlerinin risk analizleri; Önemlilik (%36) Kritiklik (%20) Karmaşıklık (%16) Teknik altyapı (%16) Kontrol çevresi (%12) Başlıkları çerçevesinde oluşturulmuş sorular değerlendirilmekte ve Sistemlerin risk düzeyleri belirlenmektedir. Risk ağırlık yüzdelerinin kriterlere dağılımı sabittir. Ancak risk değerlendirme formu hem objektif hem de subjektif unsurlar içerdiğinden denetçinin bu değerlendirme formu üzerinde kendi muhakemesiyle, söz konusu denetime münhasır hususiyetleri dikkate alarak birtakım değişikler yapma imkânına sahiptir. Bu çerçevede, toplam ağırlık yüzdesi değişmeyecek şekilde, her bir risk faktörünün ağırlığını yeniden belirleyebileceği gibi yeni risk faktörü ekleyerek de bu ağırlıkları yeniden belirleyebilir. Tablo 1: Risk Değerlendirme Matrisi Önemlilik kriteri, söz konusu sistem ya da varlıkların mali tablolara olan etkileri, mali işlemlerinin yürütülmesi ve kaynakların yönetilmesindeki rolleri, yol açabilecekleri muhtemel mali kayıplar, kurumun ana faaliyetleriyle ilişki düzeyi ve faaliyetin kurumsal ve çevresel ve ülke düzeyindeki etkisi gibi unsurlar açısından bir değerlendirmenin söz konusu olduğunu gösterir. Kritiklik, sistem ya da varlıkların doğrudan mali değerinin ne olduğu, sistemdeki hataların hizmet kesintisi gibi durumlara yol açması halinde ne düzeyde tolere edilebileceği, bilgi varlıklarının ve verilerin, bütünlük, kullanılabilirlik ve gizlilik yönünden kurum için ne kadar değerli olduğu, ülkeye ve kamuoyuna etkisi ve kurumun prestij kaybına sebep olup olamayacağı, üçüncü kişiler üzerindeki etkilerinin boyutu gibi unsurların değerlendirilmiş olduğu anlamına gelmektedir. Karmaşıklık, kullanıcı sayısı, destek personel sayısı, işlem hacmi ve işlem noktalarının sayısı, diğer sistemlere bağlantıları, erişim sağlayanların sayısal büyüklüğü gibi unsurlar açısından idarenin diğer sistemleri ve varlıkları içinde nispeten daha karmaşık olup olmadığının değerlendirildiğini göstermektedir. Teknoloji altyapısının değerlendirmeye konu olması, işletim sistemi, veritabanı, donanım, programlama dili ve sisteme bağlı olarak çalışan donanımların, bunlara erişim yetkileri ve düzeylerinin farklı sistem ve uygulamalarda farklı riskler içermesi sebebiyledir. Kontrol çevresine ilişkin değerlendirme, yönetici ve uygulama personelinin niteliklerinin görev tanımlarına uygunluğu, eğitim ihtiyaçlarının olup olmaması, politika ve prosedürler açısından ne düzeyde eksiklikler olduğu, yedekleme ve kurtarma prosedürlerinin bulunup bulunmadığı, sistem değişikliği planlarının nasıl uygulandığı, sistemde karşılaşılan problemlerin sıklığı ve önceden bir denetime tabi olup olmadığı gibi unsurlarla yapılmaktadır. Risk Alanı Maksimum Risk Puanı Toplam Risk Puanı Uygulama Sisteminin Risk Puanlarına Göre Risk Derecesi Yüksek Orta Düşük 1 Önemlilik Kritiklik Teknik altyapı Karmaşıklık Kontrol çevresi Genel OCAK - ŞUBAT - MART 2011

6 Ahmet TOPKAYA Kurumun Bilişim Sistemleri yukarıda sayılan kriterler çerçevesinde değerlendirildikten sonra bu sistemlerinin risk düzeyleri 4 risk düzeyine göre sınıflandırılır. Bunlar düşük risk düzeyi, orta risk düzeyi, yüksek risk düzeyi ve çok yüksek risk düzeyidir. Çok Yüksek Düzey Risk, Kurumun Bilişim Sistemleri yukarıda sayılan kriterler çerçevesinde değerlendirildikten sonra bu sistemlerinin risk düzeyleri 4 risk düzeyine göre sınıflandırılır. Bunlar düşük risk düzeyi, orta risk düzeyi, yüksek risk düzeyi ve çok yüksek risk düzeyidir. Yüksek Düzey Risk, önemli bir kontrol zayıflığı ya da eksikliği görülmekte ve makul bir süre içerisinde önlem alınmasını gerektirmektedir. İstenmeyen bir risk düzeyi ve kurum tarafından mevcut riskler değerlendirilerek gerekli tedbirler alınmalıdır. Orta Düzey Risk, kurum tarafından tekrar değerlendirilmesi gereken bir risk düzeyidir. Sistemde belirli kontrol zayıflıkları olmakla birlikte etkisi derhal önlem almayı gerektirmeyebilir, ancak uzun dönemde bu zayıflıkların giderilmesi gerekir. Düşük Düzey Risk, kabul edilebilir risk seviyesidir. Ancak Kurumun dikkatli olmasında yarar vardır. Olarak tanımlanabilmektedir. Daha sonraki süreçte sistemlerin risk düzeylerine göre yapılan sıralamaya göre denetlenecek sistemler belirlenmekte ve denetim kapsamı oluşturulmaktadır Uzman Çalıştırılmasına Karar Verilmesi: Bilişim sistemlerinin denetiminde aşağıda belirtilen sebeplerle uzman çalıştırılmasına ihtiyaç duyulabilir: Bilişim sistemlerinin teknik ve karmaşık unsurlarının değerlendirilmesinde denetim ekibinde yeterli nitelikte denetçinin bulunmaması durumunda uzman desteği alma, Özel uzmanlık gerektiren alanlarda kurum dışı uzmanlık ve tecrübelerden yararlanma, lanma, Yeni yaklaşım ve farklı bakış açılarından yarar- Kurum dışında geliştirilmiş iyi uygulamaları denetimde kullanma, Denetim yaklaşımının ve kullanılan metodolojinin doğruluğunu test etme, Denetim kanıtlarının, bulguların ve geliştirilen önerilerin ağırlık ve kalitesini arttırma, Denetim süresinin sınırlı olması durumunda denetimi zamanında tamamlama Eğer bu çerçevede uzman çalıştırılmasına karar verilecekse hangi alanda uzman çalışacağı ve ne kadar çalışacağı hususlarına karar verilmesi gerekmektedir Denetim Stratejisinin Oluşturulması: Kurumu bilgilendirmek ve yapılacak denetimin sağlıklı yürütülmesi için gerekli hazırlıkların kurumca yapılmasını sağlamak amacıyla Denetim Strateji Belgesi kurum yönetimine verilir. Denetim strateji belgesi, aşağıda belirtilen unsurları içerecek şekilde hazırlanmalıdır: Denetim sürecini gösteren tarihler Denetimin amacı ve metodolojisi İncelenecek sistemler İncelemeleri yapacak denetçiler ve uzmanlar İnceleme yapılacak yerler İnceleme süresi Erişim yetkileri Yerinde yapılacak testlerin ve denetim çalışmalarının kurum faaliyetlerine olası etkileri Bu şekilde hazırlanan Denetim Strateji Belgesinin kurumla paylaşılması ile denetimin planlanması aşaması tamamlanmaktadır Sistem Kontrollerinin Değerlendirilmesi Aşaması; Yapılacak bilişim sistemleri denetiminin planlaması tamamlandıktan sonra, incelenen kurum veya sisteme özgü olarak kontrol alanları itibariyle sistem kontrolleri değerlendirilir. Sistem kontrollerinin değerlendirilmesi esnasında sistemin iç kontrol zayıflıklarına ilişkin kanıt toplanır. Sistem kontrollerinin değerlendirilmesi kontrol alanları itibariyle yapılır. Kontrol alanları, genel ve uygulama kontrolleri olmak üzere iki ana başlık altında gruplandırılır Genel Kontroller Genel Kontroller, kuruma ait tüm bilişim sistemleri faaliyetlerinin sürekliliğinin sağlanmasına yönelik yapı, yöntem ve prosedürlere ilişkin kontrollerdir. Bu kontroller uygulama yazılımları ve bunlara ilişkin kontroller için güvenli bir ortam oluşturur. Genel kontroller aşağıda yazılı kontrol alanlarından oluşur: Yönetim Kontrolleri Fiziksel ve Çevresel Kontroller 123 OCAK - ŞUBAT - MART 2011

7 Bilişim Sistemleri Denetiminde Sayıştay Modeli Ağ Yönetimi ve Güvenliği Kontrolleri Mantıksal Erişim Kontrolleri İşletim Sistemleri ve Bilgisayar İşlemleri Kontrolleri Veri Tabanı Güvenlik Kontrolleri Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Acil Durum ve İş Sürekliliği Planlaması Kontrolleri Yönetim Kontrolleri Kurum yönetimi, bilişim sisteminin kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak tedbirleri almakla yükümlüdür. Yönetim kontrollerinin amacı güvenli ve yeterli bir bilişim ortamının sağlanması için uygun politika ve prosedürler oluşturmaktır. Yönetim kontrolleri; Güvenlik Yönetimi, (yönetimin, kurumun iş gerekleri ve ilgili mevzuatına uygun şekilde, bilgi güvenliğini destekleyecek politika ve prosedürleri belirleyip belirlemediğini) Organizasyon Yapısı, (yönetimin, kurum içinde bilgi güvenliğini sağlayacak bir organizasyon yapısını kurup kurmadığını ve bunun etkin yönetip yönetmediğini) Varlık Yönetimi, (kurumun bilişim varlıklarını koruyup işlevlerini sürekli bir şekilde yerine getirmelerini sağlayacak tedbirleri alıp almadığını) Personel ve Eğitim Politikaları, (personel hatalarından kaynaklanan riskleri, hırsızlık ve yolsuzlukları azaltacak kontrol mekanizmalarını oluşturup oluşturmadığını) Yasal Uygunluk, (yasalardan ve diğer mevzuattan kaynaklanan yükümlülüklerini yerine getirmek için gerekli düzenlemeleri yapıp yapmadığını) Alanlarında incelenmektedir. Yetersiz veya hiç olmayan yönetim kontrolleri, personeli ve yönetimi güvenlik risklerinden ve sorumluluklarından habersiz olmaya sürükleyecek ve kurumu bilişim sistemlerinden kaynaklanan bir kısmı aşağıda belirtilen risklerle karşı karşıya getirecektir: Kurum bilişim sistemi stratejisinin bulunmaması iş ihtiyaçlarına uygun olmayan sistemlerin geliştirilmesine sebep olarak kaynak israfına yol açar. Kurumda bilişim sistemleri mevzuatına ilişkin uygun politika ve prosedürlerin olmaması düzensiz işlem riskini artırır ve kurumun, yasalara ya da yürürlükteki mevzuata uymasında aksaklıklara yol açar. Yönetimin ilgisizliği, uygun olmayan ve iyi işlemeyen organizasyon varlığı, kontrolsüz ve denetlenemeyen sistemlerin geliştirilmesine sebep olur. Personel eğitiminde ve istihdam politikalarındaki yetersizlikler personelden kaynaklanan hata risklerini artırır. İç denetim birimlerinin etkin olacak şekilde ku- 124 OCAK - ŞUBAT - MART 2011

8 Ahmet TOPKAYA rulmaması, bilişim sistemi ve buna ilişkin kontrollerin etkinliğini ve güvenirliğini düşürür. Belge tutma ve varlık yönetimine ilişkin politika ve prosedürlerde yetersizlikler, mali kayıplar, veri kayıpları, yasal yükümlülüklerin yerine getirilememesi ve denetim izinin kaybına neden olabilir Fiziksel ve Çevresel Kontroller Fiziksel ve çevresel kontrollerin amacı, bilişim sistemleri donanım ve yazılımının, kasten ya da kazaen oluşan hasarlara, izinsiz erişim sonucu oluşabilecek bozulma veya çalınmaya ve her türlü doğal tehlikelere karşı korunmasıdır. Bilişim sistemlerinin, bu sistemlere erişme yetkisi olmayan kişilerin yol açabilecekleri hasarlara ve müdahalelere karşı fiziksel engeller ile korunması gerekir. Yangın, su (ya da aşırı nem), elektrik voltaj dalgalanmaları veya güç yetersizlikleri gibi çevresel tehlikelere karşı korunma ise, bunların her birine ilişkin olarak alınan önlemlerle sağlanır. Fiziksel ve çevresel kontroller, sadece yönetim tarafından yetkilendirilenlerin bilişim sistemlerine fiziksel erişim sağlamasını ve yangın, su, elektrik gibi çevresel tehlikelere karşı önlemlerin alınmasını hedeflemektedir. Fiziksel ve çevresel korumaya yönelik kontrollerin hiç kurulmamış olması veya yeterli düzeyde çalışmaması durumunda kurum aşağıda belirtilen risklerle karşılaşabilir: Bilişim sisteminin, personelin isteyerek veya istemeyerek verebileceği zararlara açık hale gelmesi Kritik veya gizli bilginin görülmesi, kopyalanması veya kaybedilmesi Bilgisayar donanımının veya üzerinde yazılım ve bilgi bulunduran parçaların çalınması veya bozulması Sistemin yetkisiz kişilerin izinsiz erişimi sonucu bozulması veya hasar görmesi Bilişim sisteminin yangın, sel, elektrik kesintileri veya voltaj düzensizlikleri, sıcaklık ve nem gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelmesi ve hizmette aksaklıklara veya veri kayıplarına neden olması İş ihtiyaçlarına uygun fiziksel ve çevresel güvenliğin tanımlanmaması Donanımın yetkisiz kişiler tarafından çalınması BS bölümüne yetkisiz kişilerin fiziksel müdahalesi Ziyaretçilerin BS bölümünde hassas bölgelere yetkisiz erişimi Kullanılan donanımın sağlıklı işleyebilmesi için gereken koşulların ortamlarda sağlanmamış olması Ağ Yönetimi ve Güvenliği Kontrolleri Ağ yönetimi ve güvenliği kontrollerinin amacı, ağ sistemini oluşturan tüm varlıkların korunması, ağ hizmetlerinin güvenli bir şekilde yürütülmesi ve ağ aracılığıyla gerçekleşebilecek yetkisiz erişim ve bunlar dolayısıyla oluşabilecek tehlikelerin önlenmesidir. Ağ, veri paylaşımı amacıyla iki ya da daha fazla cihazın birbiriyle bağlantılı hale getirilmesiyle oluşturulan bir yapıdır. Yüzlerce iş istasyonu veya kişisel bilgisayardan oluşabileceği gibi iki bilgisayarın birbirine bağlanmasıyla da elde edilebilir. Bu ağ ortamıyla iletişim, bilgiye ulaşım, kaynak paylaşımı, yedekleme gibi hizmetler sağlanabilmektedir. Kurumlar da bu gibi yararlarından dolayı giderek daha çok kendi ağ sistemlerini kurmaktadırlar. Ağı oluşturan sistemler tasarlanırken veya devreye alınırken güvenlik unsuru hesaba katılmadığında, bu sistemlerin çeşitli zayıflıkları nedeniyle kötü niyetli veya meraklı kişiler tarafından sistemler ve hizmetler kullanılamaz hale getirilebilir ya da kurumlar için çok önem taşıyan bilgilerin öğrenilmesi/değiştirilmesi mümkün olabilir. Bu nedenle, ağlar, yetkisiz erişimlerin engellenerek sadece yetkili kullanıcıların erişebilmesi için kontrol edilmelidir. Bilişim sistemlerinin ağ nedeniyle karşı karşıya olduğu riskler şunlardır: Verilerin bozulması, kaybolması ve/veya çalınması, kötüye kullanılması Yetkisiz işlem tesis edilmesi, ağ anahtarlarının yetkisiz kişiler tarafından kullanılması Gizli bilgilerin tutulduğu uygulamaların ağa bağlı olduğu yerlerde hem kazaen hem de isteyerek yetkisiz kişiler tarafından ifşa edilmesi Ağ üzerinden gerçekleştirilen hizmetin gerçekleştirilmemiş gibi gösterilmesi Ağ bağlantıları ve sunucuların kolaylıkla zarar görebilmesi nedeniyle kurulan sistemin işlememesi Ağ sisteminin tasarımındaki uygunsuzluklar nedeniyle ilerleyen zamanlarda ağ performansında azalma, işlemlerde yavaşlama Güvenliği zayıflatacak ve sistemde açıklıkların meydana gelmesine sebebiyet verecek virüs gibi kötü niyetli yazılımların bulaşması, sistemin yavaş çalışması nedeniyle işin yürütülmesinde çeşitli aksamaların meydana gelmesi 125 OCAK - ŞUBAT - MART 2011

9 Bilişim Sistemleri Denetiminde Sayıştay Modeli Fikri mülkiyet hakları ve Ceza Kanunu gibi yürürlükteki yasal mevzuatın ihlal edilmesi, kullanılan yazılımların kanuni gereklilikleri karşılayamaması Mantıksal Erişim Kontrolleri Mantıksal erişim kontrollerinin amacı, işletim sistemine, ağa, veri tabanına ve uygulama programlarına yetkisiz erişimin önlenmesi ve bilginin değiştirilmesi, açığa çıkarılması ve kaybına karşı korunmasıdır. Mantıksal erişim kontrolleri, hem sistem hem de uygulama düzeyinde ortaya çıkabilir. Bilişim sistemi ortamındaki erişim kontrolleri ağa, işletim sistemine, sistem kaynaklarına, veri tabanına ve uygulama programlarına erişimi sınırlandırırken, uygulama düzeyindeki kontroller, tek tek uygulamalar bünyesindeki kullanıcı faaliyetlerini kısıtlar. İşletim sistemi düzeyinde mantıksal erişim kontrollerinin hedefi, yetkisiz erişimin kontrol edilmesi suretiyle işletim sisteminin güvenli bir ortamda çalışmasını sağlamaktır. Erişim kontrollerindeki zayıflık nedeniyle sistemde karşılaşılabilecek riskler aşağıda belirtilmiştir : Sistem kaynaklarına ve uygulama programlarına yetkisiz erişim Sistemdeki güvenlik yazılımlarına ulaşılabilmesi Kullanıcı hesaplarına izinsiz girilmesi ve bu hesapların yetkisiz kullanımı Sistem yapılandırmalarında kullanılan yardımcı programlarının kullanımının kısıtlanmaması sonucu önceden tanımlanmış erişim kısıtlamalarının ortadan kalkması Uygulama programları düzeyinde mantıksal erişim kontrollerinin hedefi, uygulama programlarını ve bunların veri dosyalarını izinsiz erişime, değiştirmeye ve silmeye karşı korumaktır. Bu alanda karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir: Uygulama programlarından üretilecek bilgilerin güvenirliliğinin zedelenmesi Hatalı işlem yapılması Verilerin değiştirilmesi Program ve verilerin kaybolması Verilerin çalınması İşletim Sistemleri ve Bilgisayar İşlemleri Kontrolleri İşletim sistemi ve bilgisayar işlemleri kontrolleri, uygulama yazılımlarının üzerinde çalıştığı işletim sisteminin kurulum ve işletilmesi ile bakım işlemlerinin sorunsuz yürütülmesini ve tüm bilgisayar işlemlerinin güvenli bir şekilde gerçekleştirilmesini sağlamaya yönelik her türlü kontrollerdir. İşletim sistemi ve bilgisayar işlemleri kontrolleri, kurumun ana faaliyetlerine yönelik olarak kullanmakta olduğu işletim sisteminin gerektiği gibi çalışmasını ve bunlar üzerindeki bilgisayar işlemlerinin sorunsuz yürütülmesini hedeflemektedir. Bu kontrollerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: İhtiyaca uygun olmayan sistem temini Yetkisiz erişim Sistem çökmesi İşlemlerin zorlaşması Hizmetin gerçekleşmemesi Ortam araçlarının çalınması, bozulması veya bunlara ihtiyaç olduğunda erişilememesi Kaynak yetersizlikleri Kullanıcıların karışması Aktif olmayan hesapların askıya alınamaması, silinememesi Program ve verilerin bozulması, kaybolması, değiştirilmesi Program ve verilerin çalınması Veri Tabanı Güvenlik Kontrolleri Veri tabanına ilişkin kontroller, birbirleriyle ilişkili verilerin güvenli bir şekilde kaydedilip depolanmasını, belgelendirilmesini ve gerektiğinde de güvenli ve çok amaçlı kullanılmasını sağlayacak her türlü kontrollerdir. Veri tabanı güvenlik kontrollerinin hedefi, kurumdaki veri tabanı için güvenilir bir çevre oluşturmaktır. Zayıf veri tabanı güvenliğinden kaynaklanan riskler şunlardır: Kullanıcı kimliklerinin çalınması Kullanıcı kimliklerinin karışması Veri tabanındaki açıklıklardan yararlanarak yapılabilecek yetkisiz erişim Sorumluluğun kaybı Faaliyetlerin baskı altında yürütülmesi Kullanılmayan hesapların askıya alınmaması/silinmemesi 126 OCAK - ŞUBAT - MART 2011

10 Ahmet TOPKAYA Verinin yok olması/bozulması Verinin çalınması Hizmetin kabul edilmemesi Güvenilirliği zayıf veritabanı uygulamalarına dayanarak işlem yapılması, rapor üretilmesi Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Bu kontrollerin amacı sistem geliştirme üzerindeki tüm proje yönetimi ve kontrollerinin tatmin edici olmasını, kalıcı ve yeterli iç kontrol ve denetim izine sahip olmasını, sistem geliştirme kalitesinin artırılmasını ve sistemin kullanıcıların ihtiyaçlarını karşıladığı kadar kurumun stratejik amaçlarını da desteklemesini sağlamaktır. Sistem geliştirme kontrollerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem geliştirme projesinin yetersiz hazırlanması, politika ve prosedürlerinin standartlara uymaması Proje yönetim ekibinin yeterli nitelik ve deneyime sahip olmaması Planın kurum ihtiyaçlarına cevap vermemesi Kaynak problemlerinin oluşması Fizibilite çalışmasında yeterli analizin yapılmaması Uygun sistem seçim kriterlerinin tesis edilememesi Seçilen yapının kurum üzerindeki etki değerlendirmesinde hata yapılması Sistem temin sözleşmesinde sistemin gerektiği gibi teslimine ilişkin yeterli ayrıntıların bulunmaması Yeni ve geliştirilen sistemlerin kurulumu ve kabulünde değişim sürecinin yönetilmesine ilişkin kontrollerin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem kurulum sürecinin yürütülebilmesini sağlayacak tasarım belgesinin yeterli ayrıntıyı içermemesi Kodlama işlemleri ve modül testlerinin yetersizliği Proje çalışmalarına nihai kullanıcıların yetersiz katılımı ya da kullanıcı kabul testinin tüm hata ve etkileri kapsayacak şekilde gerçekleştirilememesi Sistem uygulamaları sonucunda üretilen verinin kurumun ihtiyaçlarını karşılayamaması Acil Durum ve İş Sürekliliği Planlaması Kontrolleri Acil durum ve iş sürekliliği planlaması ile ilgili kontrollerin amacı acil durum nedeniyle bilişim sistemlerinin geçici veya sürekli olarak aksaması durumunda kurumun işlevlerini sürdürebilmesini ve tutulan bilginin işlenmesi, erişilmesi ve korunması yeteneklerinin kaybedilmemesini sağlamaktır. Acil durum, deprem, yangın, fırtına, sel, bombalama, sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintisi gibi önceden tahmin edilebilen veya edilemeyen iç veya dış faktörler sonucu meydana gelen ve kurumun normal olarak işlerini sürdürmesi durumunu aksatan her şey olabilir. 127 OCAK - ŞUBAT - MART 2011

11 Bilişim Sistemleri Denetiminde Sayıştay Modeli Bu çerçevede, kurumlar detaylı bir acil durum ve iş sürekliliği planına sahip olmalıdır. Acil durum ve iş sürekliliği planının olmaması veya yetersiz olması kurumu aşağıdaki risklerle karşı karşıya getirecektir: Felaketlere maruz kalma olasılığının artması Felaketin verdiği zararlarla başa çıkma imkanının azalması Felaketten kaynaklanan kaybın veya zararın ağırlaşması Karşılaşılan felaket sonrasında makul bir sürede kurum faaliyetlerinin yeniden başlatılamaması Yasal veya üçüncü kişilere karşı olan sorumlulukların zamanında yerine getirilememesi Bir felaket durumunda iletişim imkânları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanamaması Bilgisayar ve bilgi işlem teknolojilerindeki gelişmeler sonucunda kamu kurumlarında veri tabanları, bir başka deyişle bilgi, binalar, ekipmanlar ve insan kaynağı kadar önemli bir varlık haline gelmiştir. Veri kaybı en ciddi kayıplara yol açabilecek bir risk faktörü olarak görülmektedir. Verilerin korunması ve bilgi sistemlerinin en kısa sürede ayağa kaldırılması hizmetleri sürdürebilmenin birinci koşulu olarak karşımıza çıkmaktadır. Bilgi varlıklarının korunması sadece bilgi işlem biriminin değil, uzun dönemli stratejik bir planın parçası olarak üst yönetimlerin sorumluluğudur Uygulama Kontrolleri Uygulama programları, muhasebe, vergi, alacak takip işlemleri gibi bir iş fonksiyonuna destek veren yazılımlardır. Bu programlar, kurumun iş süreçlerinin bir kısmının veya tamamının bilgisayar ortamında yapılmasını sağlar. Tüm mali uygulamalar, işlemlerin ve verilerin tamlığını, kullanılabilirliğini ve makul bir ölçüye kadar güvenilirliğini güvence altına alan kontrollere sahip olmalıdır. Uygulama kontrolleri, bilgilerin sistemlere ya da programlara tam olarak, zamanında ve sadece bir kere girilmesini, bilgi-işlem ortamında tüm işlem ve süreçlerin istenilen sıra ve düzen içinde gerçekleşmesini, raporların tam ve güvenilir olarak üretilmesini, yetkili kişilere ulaştırılmasını ve uygun şekilde arşivlenmesini sağlayan kontrollerdir. Uygulama kontrolleri aşağıda belirtilen başlıklar altıda incelenebilir: Girdi Kontrolleri Veri Transfer Kontrolleri İşlem Kontrolleri Çıktı Kontrolleri Veri girişine ilişkin olarak karşılaşılabilecek risklerden bazıları şunlardır: Yetkili olmayan kişilerce veri girişi yapılması Eksik veya hatalı veri girilmesi Mükerrer kayıtların sistem tarafından kabul edilmesi Hatalı veri girişlerinin tespit edilememesi Erişim Kontrollerinin ihlal edilmesi Görevlerin ayrılığı ilkesine uyulmaması Girdi kontrolleri ile açıklıklar ve riskler arasında boşluk olması Veri transferi ile ilgili olarak karşılaşılabilecek risklerden bazıları şunlardır: Transfer edilen verinin bozulması, kaybolması, çalınması, değiştirilmesi Verinin iletilememesi veya iletilip iletilemediğinin bilinememesi Mükerrer veri iletilmesi Veri transferinin reddedilmesi İşlem kontrollerinin yetersizliği aşağıda yazılı risklerin gerçekleşmesine neden olabilir: Sürecin yanlış işletilmesi Sistematik hataların oluşması Yanlış dosyaların işleme tabi tutulması Hataların tespit edilip düzeltilememesi Denetim izinin kaybolması ve işlem sahibine başvurulamamasına Mantıksız işlemlerin meydana gelmesi İşlemlerin doğrulanamaması Aynı hataların tekrarlanması Çıktı kontrollerinin yetersizliği nedeniyle karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir: Çıktıların tam ve doğru olmaması Uygun bir şekilde sınıflandırılıp dağıtılamaması Yetkisiz kişilerin eline geçmesi 128 OCAK - ŞUBAT - MART 2011

12 Ahmet TOPKAYA Hataların tespit edilememesi ve düzetilememesi Çıktıların muhafaza edilememesi 5.3. Sistem Kontrollerinin Tamamlanması Sistem kontrollerinin değerlendirilmesinde kontrol varlığının belirlenmesi, kontrol etkinliğinin değerlendirilmesi ve bulguların değerlendirilmesi aşamaları ile tamamlanmaktadır. 5.3.a. Kontrol Varlığının Belirlenmesi: Denetlenecek sistemlere ilişkin kontrol alanları itibariyle olması gereken kontrollerin var olup olmadığı araştırılmalıdır. Bunun için her bir kontrol alanına ilişkin olarak hazırlanmış ve kuruma önceden verilmiş olan kontrol setleri temelinde ilgililerle toplantılar yapılır. Bu toplantılarda kontrollerin varlığına ilişkin kurum cevapları kanıtlayıcı belgelerle birlikte alınır. Alınan cevaplar ve kanıtlayıcı belgelerin incelenmesi sonrasında ilgili kontrollerin var olup olmadığı, o kontrole ilişkin riskler ve bu risklerin nasıl yönetildiğine ilişkin telafi edici kontrollerin var olup olmadığı da dikkate alınarak belirlenir. 5.3.b. Kontrol Etkinliğinin Değerlendirilmesi: Denetim sonucu elde edilen veya varlığı kurum tarafında belirtilen kontrollerin etkinliğinin ve gerçekten o alanda meydana gelebilecek riskleri minimize etmeyi sağlayacak etkinliğe sahip olup olmadığı değerlendirilir.. Bu değerlendirmeler sonucu tespit edilen kontrol zayıflıklarına kanıtlarıyla birlikte Bulgular olarak değerlendirilmelidir. 5.3.c. Bulguların Değerlendirilmesi: Bulgu bir kontrol eksikliğini ya da mevcut bir kontrol zayıflığını ifade etmektedir ve her bir denetim bulgusu kurumun bilgi varlıklarına yönelik bir riski içermektedir. Her bir kontrol alanı itibariyle bulguların risk düzeyleri belirlenerek bulgular arasında derecelendirme yapılmasına ve denetim bulgularının genel değerlendirmesine imkân sağlanır. Bulguların risk değerlendirmesi, tespit edilen bulgunun ortaya çıkardığı riskin etki düzeyi ile risk gerçekleşme olasılığının birlikte değerlendirilerek yapılmaktadır. Kesinleştirilen denetim bulguları temelinde denetim sonuçları denetim amacına uygun olarak denetçi görüşünü de içerecek şekilde raporlanır. Denetim sonuçlarının raporlanması, taslak raporun hazırlanması, kurumla görüşülmesi, nihai raporun yazılması ve ilgililere sunulması süreçlerinden oluşur. Raporun sonuç kısmında kurumun bilişim sistemleri ile ilgili olarak güvenliği ve güvenilirliği ne ilişkin kanaat belirtilir. 6. SONUÇ VE DEĞERLENDİRME Teknolojide yaşanan gelişmelerin sağladığı faydalardan istifade etmek amacıyla günümüzde bilişim sistemleri hemen hemen tüm kurumlar tarafından yoğun bir şekilde kullanılmakta olup, gerçekleştirilen tüm işlemlerde bilgisayarlaştırılmış veriler kullanılmaktadır. Bilişim sistemlerinin bu şekilde yaygın kullanımı beraberinde teknolojik riskleri de getirdiğinden bu riskleri minimize edecek, bilgisayarlaştırılmış verilerin güvenilirliğini kontrol edecek ve verileri sağlayan, işleyen ve raporlayan bilişim sistemleri denetimi bir zorunluluk haline gelmiştir. Bilişim sistemleri denetimi; bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlayıp sağlamadığı ve kaynakların etkili, ekonomik ve verimli kullanılıp kullanılmadığına yönelik bir bilgi toplama sürecidir. Kullanılan bilgilerin bütünlüğü bilgisayarlaştırılmış verilerin işlenmesi sonucunda yeni bilgilere ulaşılması açısından önem taşımaktadır. Ayrıca etkili ve verimli bir bilişim sistemi ile bir kurum hedeflerine daha kolay bir şekilde, en az kaynak kullanımı ile ulaşabilecektir. Bilişim sistemlerinin kullanılması sonucunda doğru ve hızlı bir şekilde istenilen sonuçlara ulaşmak mümkündür. Fakat bunun için bilgisayarlaştırılmış verilerin ve bu verileri kullanarak işlem yapan bilişim sistemlerinin zaman içinde kontrollerinin yapılması gerekir. Ayrıca bu genel kontroller ve uygulama kontrolleri ile birlikte teknolojik riskler de bertaraf edilmiş olacaktır. Görevi kamu kaynaklarının mevzuata uygun olarak verimli, etkin ve tutumlu olarak kullanılıp kullanılmadığını denetlemek olan Sayıştay ın kurumlarının bilişim sistemleri denetimine ağırlık vermesi yaptığı hukukilik denetiminde bu sistemlerden çıkan verilerin güvenilirliğinin bir anlamda test edilmesidir. Çünkü yapılan denetimlerde bu veriler kullanılmakta olup verilerin hatalı veya yanlış olarak sistemden alınması sonucunda tüm denetim süreci sekteye uğrayabilecektir. Sayıştay ın bilişim sistemleri denetimi kapsamında gerçekleştirdiği pilot denetimlerde aşağıdaki grafiklerde belirtildiği üzere kamu kurumlarımızda hala bilişim sistemleri ile ilgili olarak güvenlik ve güvenilirlik algısının yüksek olmadığı ve kamu kurumlarının bilişim sistemlerinin hala çok yüksek riskler içerdiği görülmektedir. Buda Sayıştay ın bilişim sistemlerine verdiği önemin ne kadar yerinde olduğunu göstermektedir. 129 OCAK - ŞUBAT - MART 2011

13 Bilişim Sistemleri Denetiminde Sayıştay Modeli Grafik 1: Risk Düzeylerine Göre Bulgu Sayıları Çok Yüksek Y üksek O rta Düşük Orta 33% Düş ük 3% Çok Yüksek 23% Y üks ek 41% Grafik 2: Kontrol Alanlarına Göre Bulgu Sayıları Uygulama Kontrolleri 33 Acil Durum ve İş Sürekliliği Kontrolleri 5 Sistem Geliştirme ve Değişim Yönetimi Kontrolleri Veri Tabanı Kontrolleri İşletim Sistemleri Kontrolleri Mantıksal E rişim Kontrolleri Ağ Yönetimi ve Güvenliği Kontrolleri Fiziksel ve Çevresel Kontroller Yönetim Kontrolleri T opla m KAYNAKÇA ASOSAI, IT Audit Guidelines, ASOSAI Research Project, Eylül Emini, Filiz Tufan, (2007), Kamu Yönetiminde Bilişim Sistemlerinin Strateji Gelitirme Amaçlı Kullanımı:Kuram ve Selçuk Üniversitesiİktisadi İdari Bilimler Fakültesi İçin Bir Model Önerisi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü,Konya. IDI, Introduction of IT Audit, e-learning Course Notes, (2007), INTOSAI EDP Committee, ( 2007) IT Controls Student Notes, Kurnaz, Niyazi (2010), Güncel Denetim Yaklaşımları, ( ) Menkus, Belden and Gallegos, Frederick, (2001) An Introduction to the IT Auditing, EDP Auditing, Auerbach Publications, CRC Pres LLC, Özkul, Davut, (2002) Bilişim Sistemleri Denetimi,, G.Ü. Sosyal Bilimler Enstitüsü, Ankara, Özkul, Davut, (2002) Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi, Sayıştay Dergisi, Sayı: 44 45, Sayıştay, (2008), Bilişim Sistemleri Denetimi Taslak Rehberi, Sayıştay, Ankara Yıldız, Özcan Rıza,(2007) Bilişim Sistemleri Denetimi ve Şayıştay, Sayıştay Dergisi, Sayı: 65, Weber, R., (2003) Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Research Project 130 OCAK - ŞUBAT - MART 2011