İÇ DENETİM KOORDİNASYON KURULU Pilot İç Denetim Uygulama SonuçlarıPaylaşımı Semineri

Transkript

1 İÇ DENETİM KOORDİNASYON KURULU Pilot İç Denetim Uygulama SonuçlarıPaylaşımı Semineri YÜKSEK ÖĞRENİM KREDİVE YURTLAR KURUMU GENEL MÜDÜRLÜĞÜ 24 Şubat 2010

2 Gündem Projenin Amaç ve Kapsamı Denetim Metodolojisi ve Planlama Pilot Denetim Çalışmalarına İlişkin Tecrübelerin Paylaşılması Görüşve Önerilerin Paylaşılması Sayfa 2

3 İÇERİK Bölüm Konu Açılış Pilot Denetim Sunumu - Proje amacı, hedefleri ve kapsamı Pilot Denetim Sunumu Denetim metodolojisi ve Planlama Ara Pilot Denetim Sunumu Saha çalışmasıfaaliyetleri Pilot Denetim Sunumu Saha çalışmasıfaaliyetleri (devam) Ara Değerlendirme ÖĞLE YEMEĞİ Pilot Denetim Sunumu Raporlama faaliyetleri Saat Sayfa 3

4 1. PROJENİN AMACI VE KAPSAMI - Projenin Amacı - Çalışmanın Kapsamı - Proje Ekibimiz - Pilot Denetimden Beklentilerimiz

5 1. Projenin Amacıve Kapsamı Projenin Amacı Gerçekleştirilen çalışmanın öncelikli amacı; - İç Denetim Metodolojisi ve uluslararasıiyi uygulamaların benimsenmesine yönelik danışman firmanın deneyimlerden faydalanılması, - Elde edilen tecrübelerin, tüm iç denetçilerle paylaşılması. Çalışmanın Kapsamı Pilot iç denetim çalışmasının kapsamı, Kredi Yurtlar Kurumu Yönetim Bilişim Sisteminde (KYKSIS) Verilerin Toplanması, Saklanması ve Erişimi İşlemleri Sürecinin Sistem Denetimi olarak belirlenmişve çalışma tarihleri arasında gerçekleştirilmiştir. Sayfa 5

6 1. Projenin Amacıve Kapsamı Proje Ekibimiz KYKSİS de, Verilerin Toplanması, Saklanması ve Erişimi İşlemleri Sürecinin Sistem Denetimi; Yüksek Öğrenim Kredi ve Yurtlar Kurumu İç Denetim Biriminden; Binali AYDIN (Ekip Başkanı) Mehmet TURAN Zübeyde ASLANOĞLU Özcan ÇAÇUR Filiz ÇOBAN danışmanlık firmasından; Mehmet Doğanyiğit, CISA Mehmet Önal, CISA Serhat AKMEŞE (Proje Koordinatörü) (Danışman) (Danışman) Sayfa 6

7 1. Projenin Amacıve Kapsamı Pilot Denetimden Beklentilerimiz Pilot Denetimden beklentilerimiz: - Denetimin, uluslararasıiyi uygulamalar ve iç denetim metodolojisine uygun şekilde gerçekleştirilmesine yönelik danışman firma ile etkin ve verimli bir çalışma yapılması, - İç Denetim Birimi Başkanlığınca, bilgi sistemleri süreçlerine yönelik denetimin ilk defa yapılacak olmasısebebiyle danışman firmanın bu konudaki tecrübelerinden faydalanılması, - Kamu İç Denetim Uygulamalarıile özel sektör uygulamalarının karşılaştırılması fırsatının bulunması, Sayfa 7

8 2. DENETİM METODOLOJİSİve PLANLAMA - Proje Öncesi Faaliyetler - Denetimin Planlanması - Denetim Faaliyetleri

9 2. Denetim Metodolojisi ve Planlama İç Denetim Metodolojisi Proje Öncesi Faaliyetler I.Aşama Denetimin Planlanması II. Aşama Denetim Faaliyetleri III. Aşama Kalite Güvence İletişim Hizmet Alanları Risk Değerlendirmesi ve Denetim Planı DetaylıPlanlama Çalışma Prensipleri Denetimin Gerçekleştirilmesi (SAHA ÇALIŞMASI) II. Aşama Denetim Faaliyetleri Raporlama Değerlendirme İzleme Sayfa 9

10 2. Denetim Metodolojisi ve Planlama İç Denetim Metodolojisi Sayfa 10

11 2. Denetim Metodolojisi ve Planlama Denetim Görevlendirme Yazısı Denetim Bildirim Yazısı Sayfa 11

12 2. Denetim Metodolojisi ve Planlama Planlama Bilgi Toplama Formu Süreç hakkında genel bilgiler Süreç içerisinde bulunan alt süreçler Süreçlerin temel öncelikleri Düzenleyici otorite & İlgili mevzuat Kullanılan sistem Organizasyonel yapı Kontrol ortamı Süreçlerin performans göstergeleri Sürece ilişkin iyileştirme alanları Diğer bilgiler Sayfa 12

13 2. Denetim Metodolojisi ve Planlama Planlama Bilgi Toplama Formu Sayfa 13

14 2. Denetim Metodolojisi ve Planlama Planlama Denetim Süre PlanıFormu Denetim çalışmalarısüresince gerçekleştirilmesi planlanan faaliyetlere ilişkin hedeflenen başlangıç ve bitiş tarihleri belirlenerek dokümante edilir. Planlanan faaliyetlerin başlangıç ve bitiş tarihleri revize edilebilir. Planlanmışdenetim çalışmalarının gerçekleşme tarihleri dokümante edilir. Sayfa 14

15 3. SAHA ÇALIŞMASI FAALİYETLERİ - AçılışToplantısı - İç Kontrol Sorgu Formu - Gözden Geçirme - Risk Kontrol Matrisi - KapanışToplantısı - Bireysel Çalışma Planı

16 3. Saha ÇalışmasıFaaliyetleri Saha Çalışması-AçılışToplantısı 1.Planlama 2. Saha Çalışması DB 1.Görevlendirme Yazısı DB 2. Denetim Bildirim Yazısı 3.Bilgi Toplama Formu AçılışToplantısı Denetim ile ilgili bilgi verilmesi Denetlenen birim yöneticisinin, denetimden beklentilerinin ve görüşlerinin alınması. 4.Denetim süre PlanıFormu İmza 5.Açılıştoplantısı tutanağı Sayfa 16

17 3. Saha ÇalışmasıFaaliyetleri İç Kontrol Sorgu Formu Denetlenen birimin iç kontrol ortamı, dokümanda tavsiye edilen sorular aracılığıyla değerlendirilir. İç Kontrol Sorgu Formu Etik değerler ve çalışma ilkeleri Ehliyet ve liyakat Yönetim felsefesi ve faaliyet şekli Organizasyon yapısı Yetki ve sorumlulukların dağılımı İnsan kaynaklarıpolitikalarıve uygulamaları Sonuç (İç kontrol ortamına ilişkin değerlendirmeler) Sayfa 17

18 3. Saha ÇalışmasıFaaliyetleri İç Kontrol Sorgu Formu İç Kontrol Sorgu Formu Etik değerler ve çalışma ilkeleri Ehliyet ve liyakat Yönetim felsefesi ve faaliyet şekli Organizasyon yapısı Yetki ve sorumlulukların dağılımı İnsan kaynaklarıpolitikalarıve uygulamaları Sonuç (İç kontrol ortamına ilişkin değerlendirmeler) Sayfa 18

19 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme 1.Planlama 2. Saha Çalışması DB 1.Görevlendirme Yazısı DB 2. Denetim Bildirim Yazısı 3.Bilgi Toplama Formu 4.Denetim süre PlanıFormu Gözden geçirme; Bir süreç akışının, başından sonuna kadar anlaşılmasına yönelik yapılan bir çalışmadır. Gözden Geçirme Dokümanı Süreç sorumlusu ile yapılan görüşmeler Sürecin ve ya kontrolün etkinliğinin değerlendirilmesi Süreç veya kontrol içerisinde kullanılan dokümanların incelenmesi Sürecin anlaşılmasına ilişkin destekleyici bilgilerin alınması Sayfa 19

20 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme Sayfa 20

21 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme GÖZDEN GEÇİRME Bilgi Teknolojileri Genel Kontrolleri Ref. No. 1 Süreç/Alt Süreç Yedekleme Süreç Tanımı Veri tabanlarına ait yedekler alınmaktadır. Kontrol Faaliyeti Görüşülen (Gerekli Durumlarda Doldurulacak) Kişi Oracle veri tabanının aşamalı Bilgi İşlem ( incremental ) yedeği Pazartesi Uzmanı Perşembe günleri, tam ("full") yedeği ise Cuma günleri önceden programlanmış ( scheduled ) işlerle alınmaktadır. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. İncelenen Kanıtlar Programlanmış İşler Listesi Ana Kontrol E Bulgu Yedekler düzenli olarak test edilmemektedir. [Link] Yedekleme Felaketten Kurtarma Dosya sunucularına ait yedekler uç kullanıcılar tarafından kişisel cihazlar kullanılarak alınmaktadır. Felaketten kurtarma merkezi hazır bulunmaktadır. - Felaketten kurtarma merkezi olarak Olağanüstü Durum Merkezi ( ODM ) bulunmakta ve ana sistemler ODM'de yer alan 1 veri tabanı, 1 uygulama ve 1 web sunucusu üzerine eşzamanlı ("mirrorring") olarak yedeklenmektedir. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. Bilgi İşlem Uzmanı Süreci anlamaya yönelik yapılan çalışma esnasında incelenen dokümana ilişkin referans verilebilir ya da dokümanın kendisi gözden geçirme formuna eklenebilir. Bilgi İşlem Uzmanı - Sistem Ekran Görüntüsü H E Dosya sunucuları üzerinden tutulan kritik verilerin yedeklemesi sistemsel olarak yapılmamaktadır. Yedekleme, kullanıcıların tercihleriyle kişisel cihazlar kullanılarak yapılmaktadır.. Olağanüstü Durum Merkezi nin kullanıma alınmasıyla ilgili testler gerçekleştirilmemiştir ve felaketten kurtarma planlarımevcut değildir BT-3 Sayfa 21

22 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme Süreç/Alt Süreç Süreç Tanımı GÖZDEN GEÇİRME BİLGİİŞLEM MÜDÜRLÜĞÜ Kontrol Faaliyeti (Gerekli Durumlarda Doldurulacak) Görüşülen Kişi İncelenen Kanıtlar Ana Kontrol Bulgu [Link] Politika ve prosedürler Yedekleme Bilgi teknolojileri operasyonlarına ilgili politika, prosedürler ve standartlarda yer verilmiştir. Veri tabanlarına ait yedekler alınmaktadır. Oracle veri tabanının aşamalı ( incremental ) yedeği Pazartesi Perşembe günleri, tam ("full") yedeği ise Cuma günleri önceden programlanmış ( scheduled ) işlerle alınmaktadır. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. Bilgi İşlem sorumlusu Bilgi İşlem sorumlusu Programlanmış İşler Listesi H H Bilgi teknolojileri operasyonlarına (güvenlik yönetimi, bilgi teknolojisi operasyonları, değişiklik yönetimi ve proje yönetimi) ilişkin politika, prosedürler ve standartlar bulunmamaktadır. Yedekler düzenli olarak test edilmemektedir. Felaketten kurtarma Felaketten kurtarma merkezi hazır bulunmaktadır. Felaketten kurtarma merkezi olarak Olağanüstü Durum Merkezi ( ODM ) bulunmakta ve ana sistemler ODM'de yer alan 1 veri tabanı, 1 uygulama ve 1 web sunucusu üzerine eş zamanlı("mirrorring") olarak yedeklenmektedir. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. Bilgi İşlem sorumlusu E Olağanüstü Durum Merkezi nin kullanıma alınmasıyla ilgili testler gerçekleştirilmemiştir ve felaketten kurtarma planları mevcut değildir. Sayfa 22

23 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme GÖZDEN GEÇİRME BİLGİİŞLEM MÜDÜRLÜĞÜ Süreç/Alt Süreç Bilgisayar ağıgüvenliği Süreç Tanımı Bilgisayar ağıüzerinde saldırılara karşıgerekli güvenlik önlemleri alınmaktadır. Kontrol Faaliyeti (Gerekli Durumlarda Doldurulacak) Görüşülen Kişi Bilgisayar ağıüzerinde, Saldırı Bilgi İşlem Önleme Sistemi ( IPS - Sorumlusu Intrusion Prevention System ) kuruludur ve sistem tarafından yapılan saldırılara ilişkin günlük otomatik e-postalar gönderilmektedir. İlgili sistemin yönetim konsoluna sadece yetkili kişiler tarafından erişilmektedir. İncelenen Kanıtlar Bilgisayar AğıŞeması IPS Ekranı Ana Kontrol E Bulgu Herhangi bir bulguya rastlanmamıştır. [Link] İşletim sistemi güvenliği Kullanıcılar, işletim sistemine kendilerine ait kullanıcı isimleri ve şifrelerle giriş yapmaktadır. Windows işletim sistemine ait şifre özellikleri sistemde tanımlıdır: Uzunluk: 6 karakter Yapı: Karmaşık Tarihçe: Son 3 şifre İlk Girişte Şifre Değişikliği: Zorunlu Minimum Değişim Süresi: 7 gün Maksimum Değişim Süresi: 45 gün Ekran Kilitlenme: 15 dakika HatalıŞifre Girişi: 3 defa üst üste hatalıgirişte şifre kilitlenmesi Bilgi İşlem Sorumlusu İşletim Sistemi Şifre Parametrele ri E Herhangi bir bulguya rastlanmamıştır. Veri güvenliği Kullanıcılar, uygulamalara kendilerine ait kullanıcı isimleri ve şifrelerle giriş yapmaktadır. Bilgi İşlem Sorumlusu H KYKSİS uygulamasında şifre özelliklerine ilişkin parametrik değerler belirlenmemiştir. Sayfa 23

24 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme Süreç/Alt Süreç Süreç Tanımı GÖZDEN GEÇİRME BİLGİİŞLEM MÜDÜRLÜĞÜ Kontrol Faaliyeti (Gerekli Durumlarda Doldurulacak) Görüşülen Kişi İncelenen Kanıtlar Ana Kontrol Bulgu [Link] Veri güvenliği Veri güvenliği Virüslere karşıgüvenlik sunucular üzerinde virüs koruma programlarıile sağlanmaktadır. Kullanıcıbilgisayarları üzerinde veri güvenliğine yönelik gerekli güvenlik önlemleri alınmaktadır. Bilgisayar ağıüzerinde çalışan esafe virüs koruma programı otomatik olarak güncellenmektedir. Kullanıcıların yerel yönetici ( local admin ) yetkileri bulunmamaktadır. Bilgi İşlem Sorumlusu Bilgi İşlem Sorumlusu Virüs Koruma Programı Güncelleme Ekranı E H Kullanıcılar, bilgisayarları üzerinde yerel yönetici hakkına sahip olduklarından bilgisayar programıkurma, taşınabilir medya araçları kullanma gibi haklara sahiptirler. Fiziki güvenlik Ana sistemler ve bilgisayar ağıelemanlarıgenel Müdürlük dahilindeki sistem odasında tutulmaktadır. Ana sistemlerin ve bilgisayar ağı elamanlarının tutulduğu sistem odasının güvenlik özellikleri aşağıdaki gibidir: Duman ve sıcaklık algılama ve uyarma sistemi Yangın söndürücü gaz sistemi Klima UPS (kesintisiz güç kaynağı) ve jeneratör Yükseltilmiştaban Bilgi İşlem Sorumlusu E Sistem odasıgüvenliğine ait eksiklikler bulunmaktadır. Sayfa 24

25 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme Süreç/Alt Süreç Kullanıcı Yetkileri Değişiklik yönetimi ve program geliştirme Değişiklik yönetimi ve program geliştirme Süreç Tanımı Kullanıcıyetkileri Daire Başkanlıklarından gelen taleplere istinaden Bilgi İşlem Müdürlüğü tarafından verilmektedir. Program geliştirme ve değişiklik yönetimi faaliyetleri canlıortamdan farklıbir ortamda gerçekleştirilmektedir. Uygulamalar üzerindeki değişiklikler ve geliştirmeler Daire Başkanlıklarından gelen taleplere istinaden Bilgi İşlem Müdürlüğü tarafından gerçekleştirilmekte ve derlenmektedir. GÖZDEN GEÇİRME BİLGİİŞLEM MÜDÜRLÜĞÜ Kontrol Faaliyeti (Gerekli Durumlarda Doldurulacak) Kullanıcıyetki talep yazıları(yeni kullanıcı, değişiklik ve işten ayrılan kullanıcı) ilgili Birim Amiri tarafından onaylanmaktadır. KYKSİS uygulaması geliştirme ve test çalışmalarının yapıldığı bir uygulama sunucusu ile canlıortamın bulunduğu bir uygulama sunucusu üzerinde çalışmaktadır. Değişiklik ve geliştirme talep yazıları(resmi yazı veya Sorun Bildirim Formu olarak) ilgili Birim Amiri tarafından onaylanmaktadır. Görüşülen Kişi Bilgi İşlem Sorumlusu Bilgi İşlem Sorumlusu Bilgi İşlem Sorumlusu İncelenen Kanıtlar OnaylıYetki Talep Yazısı Geliştirme/t est Ortamı ve Canlı Ortam Giriş Ekranları Resmi Yazı / Sorun Bildirim Formu Ana Kontrol E E E Bulgu Kullanıcıerişim hakları, periyodik olarak iş birimleri tarafından gözden geçirilmemektedir. Herhangi bir bulguya rastlanmamıştır. Herhangi bir bulguya rastlanmamıştır. [Link] Değişiklik yönetimi ve program geliştirme Bilgi İşlem Müdürlüğü tarafından gerçekleştirilen değişiklikler ve geliştirmeler, sonrasında Bilgi İşlem Müdürlüğü ve uç kullanıcılar tarafından test edilmektedir. Bilgi İşlem Müdürlüğü ve Bilgi İşlem uç kullanıcılar tarafından Sorumlusu gerçekleştirilen testler, testler esnasında takip edilen senaryolar ve test sonuçları, testin detayları (testi yapan kişi, testin yapılma zamanıvs.) ile birlikte dokümante edilmektedir. Test Senaryo ve Sonuçları E Herhangi bir bulguya rastlanmamıştır. Sayfa 25

26 3. Saha ÇalışmasıFaaliyetleri Gözden Geçirme Süreç/Alt Süreç Değişiklik yönetimi ve program geliştirme Görevler ayrılığı Süreç Tanımı Test edilen değişiklikler ve geliştirmeler, sonrasında Bilgi İşlem Müdürlüğü tarafından canlıortama aktarılmaktadır. Bilgi teknolojileri operasyonlarıdahilinde görevler ayrılığı uygulanmaktadır. GÖZDEN GEÇİRME BİLGİİŞLEM MÜDÜRLÜĞÜ Kontrol Faaliyeti (Gerekli Durumlarda Doldurulacak) Derlenen değişiklikler ve geliştirmeler, programlama yapan kişiden farklıbir kişi tarafından canlıortama aktarılmaktadır. Görüşülen Kişi Bilgi İşlem Sorumlusu Bilgi İşlem Sorumlusu İncelenen Kanıtlar Yönetici ( Admin ) Erişim Yetkileri Ana Kontrol E H Bulgu Herhangi bir bulguya rastlanmamıştır. 1.Veri tabanıyönetimi, sistem yönetimi ve programlama aktiviteleri dahilinde personel sayısından dolayıgörevler ayrılığıetkin bir şekilde uygulanamamaktadır. 2.Kullanıcıların sistem iz kayıtları( log ) her işlem için tutulmamakta ve/veya tutulan iz kayıtlarıyetkili kişiler tarafından düzenli olarak gözden geçirilmemektedir. [Link] Kritik veriler Yurt Yönetim Bilişim Sistemi dahilinde toplanan, saklanan ve erişimi sağlanan kritik veriler ve bu veriler üzerinde gerçekleştirilen işlemler ilgili iş birimleri tarafından tanımlanmaktadır. Bilgi İşlem Sorumlusu E Kritik veriler belirlenmemiştir. Sayfa 26

27 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi 1.Planlama 2. Saha Çalışması DB 1.Görevlendirme Yazısı DB 2. Denetim Bildirim Yazısı 3.Bilgi Toplama Formu 4.Denetim süre PlanıFormu Sayfa 27

28 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi Süreç ve Risk Analizi Süreç İçerisindeki Kontrol Faaliyetleri Kontrollerin Test Edilmesi Alt Süreç Kontrol Hedefi Yapısal Risk Risk Tipi Kontrol Tanımı Ana Kontrol Kontrol Girdileri Kontrol Çıktıları Kontrol Türü Gerçekleştir en Sorumlu Lokasyonu Sistem Notlar Kontrol Test Prosedürü Detay Test Prosedürü Test Yöntemi Örnekle Test Çalışma m Sayısı Sonuçları Kağıtarı Süreç ve Risk Analizi Süreç İçerisindeki Kontrol Faaliyetleri Kontrollerin Test Edilmesi Sayfa 28

29 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi- Süreç ve Risk Analizi Risklere ilişkin sorulan sorular İşsüreçlerinde hedeflerin başarıya ulaşmamasına neden olabilecek durumlar? Nasıl ortaya çıkabilirler? Hedeflerin başarıya ulaştırılabilmesi için yapılmasıgerekenler nelerdir? Süreç ve Risk Analizi Alt Süreç Yedekleme Yedekleme Felaketten Kurtarma Kontrol Hedefi Kurum eylem ve faaliyetlerinin devamlılığının sağlanabilmesi için, Kurum açısından önem arz eden sistem verilerinin düzenli olarak yedeklemesinin yapılması Kurum eylem ve faaliyetlerinin devamlılığının sağlanabilmesi için, Kurum açısından önem arz eden son kullanıcılara ait verilerin düzenli olarak yedeklemesinin yapılması Felaketten Kurtarma merkezinin kurulmasıve olasıbir felaket durumunda etkin olarak çalışmasını sağlayacak planlama faaliyetlerinin gerçekleştirilmesi Yapısal Risk Kurum eylem ve faaliyetlerinin devamlılığı için kritik durumda olan sistem verilerinin belirli periyotlarla yedeklemelerinin yapılamamasıhalinde veriler kaybolabileceğinden ya da zarar görebileceğinden Kurumun zarara uğrayabilmesi Kurum eylem ve faaliyetlerinin devamlılığı için kritik durumda olan, son kullanıcılara ait verilerin belirli periyotlarla yedeklemelerinin yapılamamasıhalinde verilerin kaybolması, Kurum zararının oluşabilmesi Kurumun Felaketten Kurtarma Merkezi ve Planlarının bulunmamasıhalinde olasıbir acil durum ve felaket ortamında kurum eylem ve faaliyetlerinin devamlılığınısağlayacak işlemler zamanında, tam ve doğru bir şekilde yapılamamasınedeniyle Kurum zararının oluşabilmesi Risk Tipi Operasyonel Operasyonel Operasyonel Sayfa 29

30 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi Süreç İçerisindeki Kontrol Faaliyetleri Süreç İçerisindeki Kontrol Faaliyetleri Kontrol Tanımı Ana Kontrol Kontrol Girdileri Kontrol ÇıktılarıÖnleyici Ortaya Çıkarıcı Otomatik Kontrol Türü Manüel Gerçekleştiren Sıklığı Sorumlu Lokasyonu (Denetim Yeri) Kontrol Frekansı Sistem Performans Göstergeleri Oracle veri tabanının aşamalı ( incremental ) yedeği Pazartesi Perşembe günleri, tam ("full") yedeği ise Cuma günleri önceden programlanmış( scheduled ) işlerle alınmaktadır. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. - E H Öncede n Program lanmışiş Kayıtları na Ait Kod Parçaları - - Yedekle me İz Kayıtları x x x x S S Sistem Sistem Gnl Md.lik Ek Bina Gnl Md.lik Ek Bina KYKSIS KYKSIS Felaketten kurtarma merkezi olarak Olağanüstü Durum Merkezi ( ODM ) bulunmakta ve ana sistemler ODM'de yer alan 1 veri tabanı, 1 uygulama ve 1 web sunucusu üzerine eşzamanlı ("mirrorring") olarak yedeklenmektedir. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. E ODM Yapısı Yedekle x me İz Kayıtları x S Bilgi İşlem Müdürü..Yurdu KYKSIS Sayfa 30

31 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Test Edilmesi Kontrol Test Prosedürü Önceden programlanmış işlere ait kod parçaları ("script") görülecek ve seçilen bir güne ait tam yedekleme iz kaydı("log") kontrol edilecek. - Detay Test Prosedürü (gerektiğinde doldurulacak) Yeniden Uygulama Kontrollerin Test Edilmesi İnceleme Gözlem Test Yöntemi X X Görüşme Örneklem Sayısı Detay Test Prosedürü; 1 - Test Sonuçları Tarih: Denetçi: Sonuç: Kontrol etkin olarak tasarlanmamıştır. Kontrollerin etkin bir biçimde çalışmaması durumunda güvence alabilmek için gerçekleştirilecek detay test prosedürleri Yapılan test çalışmalarında Oracle veri tabanının aşamalı("incremental") ve tam ("full") yedeklerinin belirlenmişgünlerde sistem tarafından alınmasına dair kod parçaları("script") ve 25 Aralık 2009 tarihinde alınan tam yedek için iz kayıtlarının ("log") tutulduğu görülmüştür. Ancak yedekleme esnasında bir hatanın oluşmasıdurumunda sistem tarafından otomatik bir uyarıverilmediği ve hataya ilişkin iz kayıtlarının manüel incelenerek tespit edilebildiği anlaşılmıştır. Ek olarak, iz kayıtlarının düzenli olarak kontrol edildiğine dair bir kanıt bulunmamaktadır. Tarih: Denetçi: Sonuç: Kontrol etkin olarak tasarlanmamıştır. Yapılan görüşmelerde, uç kullanıcılara ait bilgisayarlar üzerinde tutulan kritik verilerin yedeklenmesinin sistemsel olarak yapılamadığıve yedekleme işleminin, kullanıcıların tercihleriyle kişisel cihazlar kullanılarak yapılabildiği anlaşılmıştır. Çalışma Kağıtları Sayfa 31

32 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Test Edilmesi Kontrol Test Prosedürü Olağanüstü Durum Merkezi'nde bulunan sunucuların varlığı, sistem değişiklik numarasının ("system change number") ana sistemde ve ODM'de tutulan sistemde aynı/benzer olduğu ve yapılan yedekleme işlemine ait iz kayıtlarının tutulduğu kontrol edilecek. Detay Test Prosedürü (gerektiğinde doldurulacak) Yeniden Uygulama Kontrollerin Test Edilmesi İnceleme Gözlem Test Yöntemi X Görüşme Örneklem Sayısı 1 Test Sonuçları Tarih: Denetçi: Sonuç: Kontrol etkin olarak tasarlanmamıştır. Yapılan test çalışmalarına ilişkin hazırlanan çalışma kağıdına referans verilebilir ya da çalışma kağıdının kendisi risk kontrol matrisinde ilgili bölüme eklenebilir. Yapılan test çalışmalarında, Kurum'a ait bir Olağanüstü Durum Merkezi'nin bulunduğu fakat ODM'nin bir gereksinim durumunda kullanıma alınmasıyla ilgili testlerin gerçekleştirilmediği ve felaketten kurtarma planlarının bulunmadığı anlaşılmıştır.kyksis uygulamasına ait sistem değişiklik numaralarıana sistemde ve ODM'de yer alan sistemde karşılaştırılarak yedekleme işleminin eşzamanlıolarak yapıldığıve ilgili iz kayıtlarının tutulduğu görülmüştür. Ancak yedekleme esnasında bir hatanın oluşması durumunda sistem tarafından otomatik bir uyarı verilmediği ve hatanın iz kayıtlarının manüel incelenerek tespit edilebildiği anlaşılmıştır. Ek olarak, iz kayıtlarının düzenli olarak kontrol edildiğine dair bir kanıt bulunmamaktadır. Çalışma Kağıtları Sayfa 32

33 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Test Edilmesi 4 temel test tekniği kullanılmıştır Hangi test tekniğini kullanacağınız aşağıda belirtilen maddelere göre değişmektedir. 1. Kontrollerin özellikleri 2. Kontrolün sıklığıve kapsamı 3. Baştan kavranan kontrol zayıflık ihtimalleri 4. Kontrolün önemi Bir hesaplama veya işlemi tekrar yaparak aynısonuca ulaşılıp ulaşılmadığının test edilmesi Güvence Seviyesi Yeniden Uygulama İnceleme Gözlem Görüşme Kontrolün etkinliğine ilişkin kanıtların karşılaştırma, doğrulama gibi yöntemler ile test edilmesi Denetlenen birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi tarafından izlenerek bilgi Denetlenen edinilmesi birimde işlemlerin veya faaliyetlerin nasıl gerçekleştirildiğinin bizzat iç denetçi tarafından ilgili görevlilerle yüz yüze görüşülerek bilgi edinilmesi Sayfa 33

34 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Testi - Örnekleme Kontrollerin testinde yapılan örnekleme için 3 önemli adım vardır: Kontrol test hedefinin ve popülasyonunun belirlenmesi Örneklem büyüklüğünün belirlenmesi Manüel kontroller Popülasyon büyüklüğüne, test edilen kontrollerin sıklığına ve denetim ekibi ve müşteri tarafından gerekli görülen kanıt seviyesine dayanır. Otomatik kontroller Eğer sistem etkinliğini ölçen gerekli bilgi sistemleri genel kontrollerini gözden geçirmişsek, sistemin bu kontrolü gerçekten gerçekleştiriyor mu diye doğruluğunu sağlamak için sistemi bir kez test ederiz. Test etmek için örnek seçilmesi Sayfa 34

35 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Testi - Örnekleme Adım 1: Kontrol testinin amacının, popülasyonunun belirlenmesi Örnek: Testin amacı: Olağanüstü Durum Merkezi'nde bulunan sunucuların varlığı, sistem değişiklik numarasının ("system change number") ana sistemde ve ODM'de tutulan sistemde aynı/benzer olduğu ve yapılan yedekleme işlemine ait iz kayıtlarının tutulduğu test edilecek. Test edilecek popülasyon: Sistemden alınan yedekleme iz kayıtları Popülasyonun tam olduğundan emin olma Örneklem ana kütlesi: Seçilen gün için, sistemden alınan yedekleme iz kayıdı Sayfa 35

36 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi-Kontrollerin Testi - Örnekleme Adım 2: Örneklem sayısının belirlenmesi- Manüel Kontroller Tablo, uluslar arasıkabul görmüş örneklem birim aralıklarınıiçerir ve genel kural olarak kullanılabilir. Ancak iç denetim projeleri için daha küçük örnekleme kullanılabilir. Aşağıdaki faktörler daha genişbir örnek kullanılmasına yönelik yol gösterici olabilir. Eğer kontrollerin yetersiz veya gereken etkinlikte olmadığından kaynaklanan bir finansal kayıp ya da kurum adına zararlıbir olay meydana gelebilirse Daha karmaşık kontroller yer alıyorsa Kontrol operasyonlarında sorumlunun etkinliği daha fazlaysa Kontrol Sıklığı Yıllık Çeyrek Aylık Haftalık Günlük Sürekli Test edilecek örnek sayısı ,10, 15 20, 30, 40 25, 30, 45, 60 Sayfa 36

37 3. Saha ÇalışmasıFaaliyetleri Test Çalışma Kağıtları& Bulgu Formları Sayfa 37

38 3. Saha ÇalışmasıFaaliyetleri Risk Kontrol Matrisi -Test Çalışma Kağıdı-Otomatik Kontrol Sayfa 38

39 3. Saha ÇalışmasıFaaliyetleri Bulgu Formu Bulgunun önemlilik derecesi belirlenir. Bulgunun tespit edildiği ilgili risk kontrol matrisine referans verilir. Bulgu formu tespit, risk ve öneriden oluşur. Bulgunun durumu belirtilir. Sayfa 39

40 3. Saha ÇalışmasıFaaliyetleri KapanışToplantısı Bulguların Paylaşılması Eylem Planının Hazırlanmasıile ilgili GörüşAlınması Sayfa 40

41 3. Saha ÇalışmasıFaaliyetleri Denetim Bulgularının Görüşülmesi Denetlenenlerle bulguların paylaşılması Görüşmenin önemli konuları: Bulguların teyit edilmesi(alt süreç sorumluları) Risklerin teyit edilmesi (hedefler ile eşleştirilmesi) Bulguların işve süreçler üzerindeki etkisinin görüşülmesi Tavsiyeler için ortak çözümler bulunması: Deneyim ve bilgilerle desteklenen fikirlerin denetlenene sunulması Amacın ve projenin başlangıç hedeflerinin hatırlanması Sayfa 41

42 3. Saha ÇalışmasıFaaliyetleri Bireysel Çalışma Planı KapanışToplantısı İmza 11.Kapanış toplantısıtutanağı Denetim Hakkında Genel Bilgiler Denetimin Kapsam, Amaç ve Hedefleri Önceki Denetime İlişkin Bilgiler ve Hazırlık Çalışmaları Denetimin Zaman ve Kaynak Planlaması Sayfa 42

43 3. Saha ÇalışmasıFaaliyetleri Bireysel Çalışma Planı KapanışToplantısı İmza 11.Kapanış toplantısıtutanağı Denetim Hakkında Genel Bilgiler Denetimin Kapsam, Amaç ve Hedefleri Önceki Denetime İlişkin Bilgiler ve Hazırlık Çalışmaları Denetimin Zaman ve Kaynak Planlaması Sayfa 43

44 4. RAPORLAMA FAALİYETLERİ Taslak raporun düzenlenmesi Eylem planlarının alınması Nihai raporun hazırlanması

45 4. Raporlama Faaliyetleri Denetim Raporu Bölümleri Kullanılan denetim raporlarının içerikleri aşağıdaki gibidir: Denetimin amacıve kapsamı: Hukuki dayanak ve kapsam Denetimin amacı Kullanılan yöntem Yönetici özeti İncelenen süreçler Denetim bulgularıve öneriler Eylem planları Sayfa 45

46 4. Raporlama Faaliyetleri Raporda Önem Verilen Noktalar Önemli kontrol ve süreçlerdeki zayıf noktalarıiçermesi, Bulguların önemli veriler ile desteklenmesi, Ör: Kanıt verilerin grafiklerle açıklanması, Bulguların önem sıralamasına sokulması/sınıflandırılması, İlgili ve pratik tavsiyelerin en iyi uygulamalarla beraber sunulması, Uygulamaya geçirme zamanıve sorumluluklarla beraber, doğru çözümlerle ve aksiyonlarla ilgili, yönetime hareket (eylem) planı sunulması. Sayfa 46

47 4. Raporlama Faaliyetleri Risk ve Etkilerin Yazılmasında, Bulgunun gerçek bir probleme sebep olabileceğine yönetimi ikna etmeye yarar. Bu ne anlama geliyor? sorusuna cevap olur. Anlamlıdır, belirgindir ve işi doğru anladığımızıgösterir. Tasvir edici ancak uzun olmamalıdır. Okuyucuya neler olabileceğini anlatır. Tekrar eden cümlelerden kaçınılmalıdır. Sayfa 47

48 4. Raporlama Faaliyetleri Nihai Raporun Hazırlanması Yönetici özetinin tamamlanması, Ön bilgi İç kontrol ortamının değerlendirilmesi Güçlü ve zayıf yönler Sonuçların özeti Önemli bulguların özetlenmesi Denetlenen birimin görüşlerinin değerlendirilmesi, Karar verilen aksiyonlar Uygun hedef (eylem) tarihleri Sayfa 48

49 4. Raporlama Faaliyetleri Rapor Örneği 1 Kontrol/Bulgu Verilerin Yedeklenmesi Derece Öneriler 1.1 Verilerin sistemsel yedeklerine ilişkin sonuçların etkin bir şekilde takip edilememesi Tespit 1. Oracle veri tabanının aşamalı( incremental ) ve tam ( full ) yedeklerinin belirlenmişgünlerde sistem tarafından alındığına dair kayıt izlerinin (logların) tutulduğu görülmüştür. Ancak yedekleme esnasında bir hatanın oluşmasıdurumunda sistem tarafından otomatik bir uyarı verilmediği ve hatanın iz kayıtlarının manüel incelenerek tespit edilebildiği anlaşılmıştır. Ek olarak, iz kayıtlarının düzenli olarak kontrol edildiğine dair bir kanıt bulunmadığı görülmüştür. 2. Uç kullanıcılar üzerinde tutulan kritik verilerin yedeklenmesinin sistemsel olarak yapılamadığı ve yedekleme işleminin, kullanıcıların tercihleriyle kişisel cihazlar kullanılarak yapılabildiği anlaşılmıştır. bir görev dağılımının yapılamadığıtespit edilmiştir. Risk Kurumun eylem ve faaliyetlerinin devamlılığıiçin kritik durumda olan sistem verilerinin belirli periyotlarla yedeklemelerinin yapılamamasıhalinde veriler kaybolabilir ya da zarar görebilir. Söz konusu durum Kurumun faaliyetlerinin etkin ve verimli bir şekilde sürdürülmesini engelleyebilir. Y Öneriler 1. Bilgi İşlem Müdürlüğü taraf ından yönetilen verilerin yedeklenmesi işlemlerine ilişkin yazılıbir prosedür oluşturularak Kurum içerisinde tüm çalışanlara duyurulması, 2. Yedekleme faaliyetlerinin anlık olarak takip edilebilmesi amacıyla, yedekleme esnasında herhangi bir hata oluşmasıdurumunda uyarıverecek sistemsel mekanizmaların kurulması, 3. Kurumun faaliyetlerinin sürekliliğinin sağlanmasıve faaliyetlerin etkin ve verimli bir şekilde yönetilebilmesi hususunda dosya sunucuları üzerindeki ortak alanlarda ve bilgisayarlar üzerinde tutulan kritik öneme sahip verilerin iş birimleri tarafından belirlenmesinin sağlanması yönünde gerekli aksiyonların alınması, 4. Belirlenen Kurum faaliyetleri açısından kritik öneme sahip verilerin kullanıcıinisiyatifinden ziyade otomatik bir şekilde yedekleme işlemlerinin yapılabilmesi hususunda sistemsel çalışmaların yapılması için gerekli aksiyonun alınması, önerilmektedir. Denetlenen Birimin Görüşü: Katılıyorum Tavsiye edilen önlemler uygulanacaktır. YY,Daire Başkanı Sorumlu: XX, Bilgi İşlem Müdürü Uygulama Tarihi: Sayfa 49

50 4. Raporlama Faaliyetleri Sayfa 50

51 4. Raporlama Faaliyetleri Yapılan Denetim Çalışmasının Kalite Kontrolü Denetlenen Birim Tarafından Yapılan Değerlendirme Denetçinin Değerlendirilmesi Sayfa 51

52 İç Denetim Metodolojisi Sayfa 52

53 5. Değerlendirme Pilot denetim çalışmasında önceki denetim çalışmalarımıza göre yapılan değişiklikler

54 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Bilgi Toplama Formu Bilgi Toplama Formu, saha çalışmasıöncesinde denetime hazırlık kapsamında yapılan bir çalışmadır. Sayfa 54

55 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Bireysel Çalışma Planı Açılış toplantısı öncesinde hazırlanan ve kapanış toplantısına kadar değişiklik yapılabilen bir doküman olarak tasarlanmıştır. Sayfa 55

56 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Gözden Geçirme Gözden geçirme dokümanının hazırlanmasında tüm süreç, ayrıntılarıyla süreç sorumlusundan dinlenir, Kullanılan sistemler hakkında süreç sorumlularından bilgi edinilir. Süreç sorumlularına yöneltilen sorularla, sürece ilişkin riskler anlaşılmaya çalışılır, Elde edinilen bilgi ve kanıtlar basılıya da elektronik ortamda gözden geçirme dokümanına aktarılır, Sayfa 56

57 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Risk Kontrol Matrisi Gözden geçirme dokümanından yararlanılarak hazırlanır, Kontrollere ilişkin ayrıntılıbilgilerle birlikte yapılacak testlere yer verilir. Risk Kontrol matrisi, test sonuçlarıve bulgularıiçeren bir formdur. Testlerle ilgili elde edilen kanıtlar da (basılıve elektronik) risk kontrol matrisine eklenir. Sayfa 57

58 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Ref. No Süreç/Alt Süreç Yedekleme Yedekleme Felaketten Kurtarma Süreç Tanımı Veri tabanlarına ait yedekler alınmaktadır. Dosya sunucularına ait yedekler uç kullanıcılar tarafından kişisel cihazlar kullanılarak alınmaktadır. Felaketten kurtarma merkezi hazır bulunmaktadır. GÖZDEN GEÇİRME Bilgi Teknolojileri Genel Kontrolleri İncelenen Kontrol Faaliyeti Görüşülen (Gerekli Durumlarda Doldurulacak) Kişi Oracle veri tabanının aşamalı Bilgi İşlem ( incremental ) yedeği Pazartesi Uzmanı Perşembe günleri, tam ("full") yedeği ise Cuma günleri önceden programlanmış ( scheduled ) işlerle alınmaktadır. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. - Bilgi İşlem Uzmanı Felaketten kurtarma merkezi olarak Olağanüstü Durum Merkezi ( ODM ) bulunmakta ve ana sistemler ODM'de yer alan 1 veri tabanı, 1 uygulama ve 1 web sunucusu üzerine eşzamanlı ("mirrorring") olarak yedeklenmektedir. Bu işlemlere istinaden iz kayıtları("log") tutulmaktadır. Bilgi İşlem Uzmanı Kanıtlar Programlanmış İşler Listesi - Sistem Ekran Görüntüsü Ana Kontrol E Hem Gözden Geçirme dokümanıve hem de Risk Kontrol Matrisinde sürece yönelik yapılan çalışma esnasında incelenen dokümana ilişkin referans verilebilir ya da dokümanın kendisi gözden geçirme formuna eklenebilir. H E Bulgu Yedekler düzenli olarak test edilmemektedir. Dosya sunucuları üzerinden tutulan kritik verilerin yedeklemesi sistemsel olarak yapılmamaktadır. Yedekleme, kullanıcıların tercihleriyle kişisel cihazlar kullanılarak yapılmaktadır.. Olağanüstü Durum Merkezi nin kullanıma alınmasıyla ilgili testler gerçekleştirilmemiştir ve felaketten kurtarma planlarımevcut değildir. [Link] BT-3 Sayfa 58

59 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Bulgu formu tespit, risk ve öneriden oluşur. Bulgunun durumu belirtilir. Sayfa 59

60 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Taslak Denetim Raporu Taslak rapor, nihai rapor formatında hazırlanır. Sayfa 60

61 5. Değerlendirme Denetim Çalışmalarında Uygulanan Değişiklikler Nihai Denetim Raporu Raporun girişinde, Denetimimiz, bu raporda belirtilen prosedürler ve analizler ile çalışmamız esnasında tarafımıza iletilen bilgilere dayanmaktadır. Dolayısıyla, rapor tarihinden sonra ortaya çıkabilecek hususlar, bu raporda belirtilen bulgularıetkileyebilir. ibaresine yer verilmiştir. Raporda İncelenen Süreçler başlıklı yeni bir bölüm oluşturulmuştur. Raporun sonunda, Eylem Planıadıaltında aşağıdaki formatta gösterilen bölüme yer verilmiştir. Ref No Bulgu Öneri Yönetimin Yorumu Sorumlu Birim/Kişi Planlanan Tamamlanma Tarihi Çalışma dosyası İç Denetim Birimi Başkanlığına elektronik ortamda da teslim edilmiştir. Sayfa 61

62 Pilot İç Denetim Uygulama SonuçlarıPaylaşımı Semineri SORU ve CEVAPLAR Teşekkürler