Bilgi Teknolojileri ve İş Süreçleri Denetimi

Transkript

1 Bilgi Teknolojileri ve İş Süreçleri Denetimi Sinem Cantürk Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı KPMG 6 Haziran 2012

2 İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal Risk Yönetimi Yaklaşımı 1.4 Gelişmekte Olan Risk Profilleri 1.5 BT Yönetişim İhtiyacı 1.6 BT Yönetişim Çerçevesi 2. Temel BT ve Süreç Çerçevesi 2.1 Genel Bakış 2.2 BSSD Yaklaşımı 2.3 Genel BT Kontrolleri ve Önemi 2.4 Süreç Denetimi Yaklaşımı 3. Finansal Sektörde BSSD Uygulamaları 3.1 BDDK Yaklaşımı 3.2 Sektördeki Gelişmeler

3 İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal Risk Yönetimi Yaklaşımı 1.4 Gelişmekte Olan Risk Profilleri 1.5 BT Yönetişim İhtiyacı 1.6 BT Yönetişim Çerçevesi

4 İç Kontrol Ortamı Genel Bakış Şirket Yönetimi Ortaklar Yatırımcılar Ticari Kazanç Verimli / Etkin Şirket Bilgi Sistemleri Yasal Yükümlülükleri Karşılayabilen, Risklere Dayanıklı, Güçlü Sektör Türkiye Ekonomisi Kamu Otoriteleri Müşteri

5 İç Kontrol Ortamı COSO İç Kontrol Modeli COSO, İngilizce Committee of Sponsoring Organizations of Treadway Commision kelimelerinin kısaltmasıdır. Treadway Komisyonunun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığınıazaltmaktır. Bu amaçla COSO iç kontrol modeli oluşturulmuştur. COSO İç Kontrol Modelinin Unsurları: Kontrol Ortamı (Control Environment) Risk Değerlendirme (Risk Assessment) Kontrol Faaliyetleri (Control Activities) Bilgi ve İletişim (Information and Communication) İzleme (Monitoring)

6 İç Kontrol Ortamı Uyum & Performans Kurumsal yönetişim aşağıdaki 2 ana unsurdan oluşur: Uyum Yasal düzenlemelere, dahili kurallara ve denetim gerekliliklerine uyum, vb. Performans Karlılığı artırma, etkinlik sağlama, etkili süreçler oluşturma ve büyüme hedeflerine ulaşma Performans Uyum Etkili kurumsal ve BT yönetişim modelleri uyum ve performans konusunda belirlenen hedeflere dengeli bir biçimde ve yönetimin desteğini alarak ulaşmayı gerektirir.

7 İç Kontrol Ortamı Kurumsal Risk Yönetimi Yaklaşımı Risk Yönetimi Risk Değerlendirmesi için Çerçevenin Kurulması Risk Tanımlarının Yapılması Riskleri Sınıflandırılması, Analiz Edilmesi, Önceliklendirilmesi ve BT ve Süreç Risklerinin Eşleştirilmesi Risk Yönetişimi Süreç Girdileri Denetim Girdileri Stratejik Analiz İş Süreçlerinin ve BT Ortamının Anlaşılması Risk ve Kontrol İyileştirme Kurumsal Risk Yönetimi Çerçevesi Risk Değerlendirme İç Denetim Planı Uygulama Süreçleri Denetimi BT Denetimi Risk İzleme ve Raporlama Risk Ölçme ve Birleştirme

8 İç Kontrol Ortamı Gelişmekte Olan Risk Profilleri Finansal sektördeki kuruluşların son yıllarda giderek risk odaklı yaklaşımlara yönelmeleri sonucu, süregelen operasyonlarına dair risk algısı önemli ölçüde değişmektedir. Gelişmekte olan Risk Profilleri Risk yönetimi çerçevesinde aşağıdaki önemli BT risklerinden bahsedilebilir: Marka İtibarı Yasal Sorumluluk Kurumsal seviyedeki bilgi riskleri (iş sürekliliği, bilgi güvenliği, vb.) Ana iş süreçlerinde hizmet sağlayan tedarikçiler ( outsourcing, dış kaynak kullanımı) BT nin sunduğu hizmete ilişkin hizmet kalitesi ve performansı Sunulan hizmetlerde yasal gereksinimlere ve kuruluşun dahili prosedürlerine uyum gerekliliği Veri/BT güvenliği Veri Kalitesi Finansal Etki Hizmet Kalitesi Performansı ve Uyum Sürdürülebilirllik Sürdürülebilirlik Usulsüzlük İş Devamlılığı Fikri Mülkiyetler Müşterilere dönük sistemlerdeki ve süreçlerdeki finansal etki ve itibar riski

9 İç Kontrol Ortamı Genel Risk Alanları Risk değerlendirme kriterlerinin belirlenmesinde aşağıdaki ana risk alanları göz önünde bulundurulabilir: Risk Alanı Finansal Risk Operasyonel Risk Uyum Riski İş Sürekliliği Riski Teknoloji ve Bilgi Güvenliği Riskleri Tanım Kuruluşun paydaşlarıyla ve müşterileriyle kurduğu ilişkiler, kurumun karlılığının finansal olarak olumsuz etkilenmesi riski. Organizasyonun iş süreçlerinin, sistemlerinin ve çalışanlarının dolayısıyla da ticari faaliyetlerinin olumsuz etkilenmesi riski. (Hizmet kesilmesi, ticari itibarın zedelenmesi, vb) Kanunlarla, düzenlemelerle, etik standartlarla ve mevzuatla uyumsuzluk ve ilgili uyum zorunluluklarının ihlal edilmesi riski. Düzenlemelere Uyum: Uyum zorunlulukları ve mevzuat zorunluluklarına uyum sağlayamama riski Arşiv Yönetimi: Kontratlar ve mevzuatlarla muhafaza edilmesi, korunması ve imha edilmesi tanımlanmış arşivlerin kurallara uygun olarak muhafaza edilememesi, korunamaması ve imha edilememesi riski. Veri Korunması/Gizliliği: İdari kontrollerin yetersizliği nedeniyle, ticari sır olarak kabul edilen müşteri bilgilerine yetkisiz erişimlerin gerçekleşebilmesi riski. Kara Para Aklama/Müşterini Tanı/Terör Finansmanıyla Mücadele: AML/KYC/CTF ile ilgili yasal düzenlemelere ve şirket politikalarına uyumsuzluk riski. Yolsuzluk, Rüşvet ve Usulsüzlük: Rüşvet ve Usulsüzlük ile ilgili yasal düzenlemelere ve şirket politikalarına uyumsuzluk riski) Faaliyetlerle ilgili iş süreç ve operasyonlarının zamanında başlayamaması riskini doğurabilir. Organizasyonda bilgiye ve bilgi sistemlerine yetkisiz erişilmesi, kullanılması, ifşa edilmesi, bozulması, değiştirilmesi, incelenmesi, denetlenmesi, kaydedilmesi veya yok edilmesi riskini doğurabilir.)

10 İç Kontrol Ortamı BT Yönetişim İhtiyacı BT ve İş Hedeflerinin Hizalanması Güvenlik BT Operasyonları Karmaşık Yapı Değer/Masraf Uyum Gereklilikleri Kuruluşlar bu ve benzer zorluklarla mücadele edebilmek için yapısal bir yaklaşıma ve bir yönetişim modeline ihtiyaç duyarlar. Bu model, BT için hemfikir olunan hedefler konulmasını, en iyi uygulamalar a (best practices) göre kontrollerin belirlenmiş olmasını ve etkin izleme ve performans değerlendirme faaliyetleriyle yönetimin gidişatının ve beklenmeyen sonuçların takip edilebilmesini sağlar.

11 İç Kontrol Ortamı BT Yönetişim Çerçevesi Bilgi sistemleri ve süreç denetimi kapsamında yapılan çalışmalar ve COSO yaklaşımı, organizasyonların temel ihtiyaç ve beklentilerinin BT Yönetişimi Çerçevesi oluşturmak olduğunu ve BT Yönetişim Çerçevesinin Kurumsal Yönetimin bir parçası olduğu gerçeğini ortaya koymaktadır. Örnek bir BT yönetişim çerçevesinin, Üst yönetim ve kurullarını İş ve BT yönetimini Yönetim, denetim, kontrol ve güvenlik uzmanlarını desteklemek üzere üç seviyede organize edilmesi önerilmektedir BT Yönetişimi İŞ ve BT faaliyetlerinin uyumunu sağlamaktadır.

12 İçerik 2. Temel BT ve Süreç Çerçevesi 2.1 Genel Bakış 2.2 Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı 2.3 Genel BT Kontrolleri ve Önemi 2.4 Süreç Denetimi Yaklaşımı

13 Temel BT ve Süreç Çerçevesi Genel Bakış Finansal Raporlama Süreci Süreç 1 Süreç 2 Süreç 3 Süreç 4 Süreç 5 Süreç 6 Süreç kontrolleri ve süreçlerde kullanılan uygulamalar üzerinde yer alan uygulama kontrolleri Veritabanı Veritabanı O/S (İşletim Sistemi) Donanım Ağ Yönetimi Veritabanı O/S Donanım Bilgi teknolojileri altyapısına ilişkin BT Genel Kontrolleri

14 Temel BT ve Süreç Çerçevesi Süreç Denetiminin ve Uygulama Kontrollerinin Önemi Uygulama kontrolleri, girdi, işleme (process) ve çıkış fonksiyonlarının üzerindeki tüm kontrollerdir. Süreç denetimi, uygulama kontrollerinin doğru tasarlandığını ve tasarlanan kontrollerin etkin bir şekilde çalıştığını kanıtlamayı amaçlamaktadır. Uygulama Kontrollerinden Bazıları: Giriş verilerinin tam doğru ve geçerli olmasını sağlamak İşlemlerin beklenen sonuçları üretmesini sağlamak İşlemlerin istenilen görevleri yerine getirmesini sağlamak Oluşan raporların yetkisiz kişiler tarafından görülmesinin engellenmesini sağlamak

15 Temel BT ve Süreç Çerçevesi BT Genel Kontrollerinin Önemi Otomatik kontroller ve bilgi sistemlerine bağımlı manüel kontroller çalışıyor mu? Tamamen bilgi sistemlerinin kontrolüne bırakılmış otomatik çözümler çalışıyor mu? Bilgi sistemleri tarafından üretilen raporlar güvenilir mi? Suiistimal riski görülen noktalarda suiistimal önleyici kontroller çalışıyor mu? Finansal denetime kanıt oluşturan bilgi sistemleri çıktıları güvenilir mi?

16 Temel BT ve Süreç Çerçevesi Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı Bilgi sistemleri ve süreç denetimi kurumun faaliyetlerine ilişkin süreçler ile bu süreçler dahilinde tesis edilen iç kontrollerin uyumluluk, etkinlik ve yeterliliği hakkında değerlendirilme yapılması şeklinde özetlenebilir. Denetim kapsamına alınacak süreç, sistem, faaliyet ve kontrol mekanizmalarını, risk odaklı bir bakıs açısıyla ve önemlilik kriteri esas alınarak belirlenmektedir. Süreçler üzerindeki kontrollerin etkinliği, ilgili BT Genel Kontrollerinin etkin ve yeterli olmasına bağlıdır. Bu nedenle, süreçler üzerindeki kontrollerin uyumluluk, etkinlik ve yeterliliğine ilişkin incelemelerde bulunulurken, gerekli görülen BT Genel Kontrollerinin etkinlik ve yeterlilik durumu dikkate alınır. Bilgi sistemleri denetimi aşağıdakileri hedefler: Bilgi sistemlerine CIA (Gizlilik, Bütünlük, Erişilebilirlik) kapsamında güvence sağlanması Bilgi sistemlerinin verimlilik ve etkinlik düzeyinin artırılması Yürürlükte bulunan hukuki düzenlemelere uyum Etkin bir bilgi sistemleri altyapısı olmadan kurumsal yönetişim, uyum ve sigortacılık sektör düzenlemelerinin mevcudiyeti zorluk teşkil etmektedir. Süreç denetimi kapsamında, süreçte yer alan uygulamalar üzerinde temel olarak aşağıdaki kontroller test edilir: Veri oluşturma / yetkilendirme kontrolleri Girdi kontrolleri Veri işleme kontrolleri Çıktı kontrolleri Sınır kontrolleri

17 İçerik 3. Finansal Sektörde BSSD Uygulamaları 3.1 BDDK Yaklaşımı 3.2 Sektördeki Gelişmeler

18 Finansal Sektörde BSSD Uygulamaları BDDK Yaklaşımı Temel Prensipler: Üçlü saç ayağı İç Denetim Bağımsız Denetim Kamu Denetimi Finansal ve bilgi sistemleri denetçileri arasında işbirliği Denetimde Bütünlük Denetim alanlarının bütünselliği (Finansal+BS Denetimi) Sorumlulukların Tespiti Risk odaklı denetim Oluşturulan Süreçler ve Politikaların Yeterliliği Süreç denetimi yaklaşımı Bilgi Sistemleri Denetimi Bankacılık süreçleri denetimi Genel kontrol alanlarının denetimi, Genel kontroller ile bankacılık süreçlerinin birlikte gerçekleştirildiği geniş kapsamlı denetim Konsolide bilgi sistemleri denetimi Benimsenen Denetim Çerçevesi: CobiT

19 Finansal Sektörde BSSD Uygulamaları Sektördeki Gelişmeler 2006 yılından beri BDDK tarafından bankalarda ve finansal iştiraklerinde süreç denetimi ve bilgi sistemleri denetimi gerçekleştirilmektedir. BDDK tarafından yayımlanan yönetmeliklerin finansal sektörde süreç ve bilgi sistemleri denetimi ile BT yönetişimi kapsamında bilgi birikiminin ve deneyimin oluşmasında önemli rolü olmuştur. Hazine Müsteşarlığı tarafından sigorta ve emeklilik şirketleri için Bilgi Sistemleri ve Sigortacılık ile Emeklilik Süreçlerine İlişkin İlkeler Tebliği (Tebliğ) çalışmaları tamamlanmak üzeredir. Tebliğ in yayımlanması ile birlikte sigortacılık sektöründeki şirketler (sigorta, emeklilik ve reasürans) bağımsız denetim şirketleri tarafından süreç ve bilgi sistemleri kapsamında denetime tabi olacaklar. Şu an için Finansal Kiralama (Leasing) sektöründe sadece Banka iştirakı olan şirketlerde süreç ve bilgi sistemleri denetimi gerçekleştirilmektedir. Sektördeki diğer şirketler için zorunlu değildir.

20 İletişim Sinem Cantürk Bilgi Sistemleri Baş Denetçisi Direktör Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Tel: Fax: Cep: KPMG Türkiye Rüzgarlı Bahçe Mah. Kavak Sok. No: Beykoz İstanbul Finansal Denetim ve Bilgi Sistemleri Denetimleri Arasındaki Koordinasyon