AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ

Transkript

1 AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ Musa KAYRAK CISA, Sayıştay Başdenetçisi 1.Yeni Normal Temelleri yüzyıllar öncesine dayandırılabilecek ancak yirminci yüzyılın ikinci yarısına damgasını vuran dijital devrim, bugünün modern toplumlarında, her türlü faaliyeti teknoloji ile yeniden tanımlama evresindedir. Peter Hinssen in yeni normal olarak ifade ettiği bu durum, teknolojinin bir yenilik olmaktan ziyade zorunluluk ya da bir yan ürün olmak yerine temel aktivite dönüştüğü bir olgudur. Yeni normalde, teknolojiye sahip olmak değil; bilgi ve inovasyon odaklı çözümler üretmek en temel hedeftir (Hinsen,2010, 12-24). Değişmekte olan teknoloji ve bilgi algısına paralel olarak, her türlü ihtiyacı karşılamaya yönelik çözümler ve özel veya kamu ayrımı gözetmeksizin organizasyon yapıları ile hizmetlerin üretilme ve sunuş biçimleri yeniden şekillenmektedir (Greisler ve Stupak, 2006, 15). Bu dönüşümün kendine özgü fırsat ve riskleri, hem kamuda hem de özel sektörde yönetim ve denetim süreçlerini etkilemektedir. 2.Riskler Kurumlar, her türlü bilgiyi bilişim sistemleri içinde üretmekte, işlemekte ve sonuçlandırmaktadır. Aynı şekilde, mali yönetim ve raporlama amaçlı kullanılan bilişim sistemleri, mali işlemlerin başlatıldığı, kayıt altına alındığı, dönüştürüldüğü ve raporlandığı platformlardır. Bu bağlamda, tek tek işlemlerin yapılması ve mali tablolarının oluşturulması için, elektronik ortamın gerekleri doğrultusunda idari prosedürler oluşturulmaktadır. Bilişim sistemlerin kullanımı, manuel süreçlerin içerdiği geleneksel risk ve kontrol zayıflığı veya eksikliği algılamasını değiştirmektedir. Bireysel hataların sistematikleşmesi, işlemi gerçekleştiren kişinin tespit edilememesi ve yetkisiz kişilerin verileri değiştirmesi, verilerin kaybedilmesi ve kuruma ait hassas verilerin yahut kişisel bilgilerin ifşa edilmesi bilişim sistemleri kullanımından kaynaklanan risklere örnek verilebilir (AB 17 TEMMUZ - AĞUSTOS - EYLÜL 2011

2 Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Bilişim Sistemleri Denetimi Sayıştayı, 2011, 3). Kurumsal iş süreçlerin bilişim ortamına aktarılması neticesinde ortaya çıkabilecek riskleri ve muhtemel zararları önleyebilmek için, düzenli olarak bilişim sitemleri risk değerlendirmelerinin yapılması, geleneksel risk yönetiminin vazgeçilmez bir unsuru haline gelmiştir. 3.Bilişim Ortamında Denetim Olgusu Bilişim ortamında yürütülen iş süreçleri üzerinde belirlenecek kontrol noktalarında, risklerin en alt düzeyde tutulması sağlayacak kontrollerin tasarlanması ve uygulanması, hesapverilebilirliğin ve saydamlığın sağlanması açısından hayati önem taşır. Bu bağlamda, mali süreçleri yöneten bilişim sistemlerinin kullanımından kaynaklanan riskler ve mali verilerin tamlığı, doğruluğu, güvenliği ve kullanılabilirliğine ilişkin kontroller, hem yönetim hem de denetim süreçleri açısından önem arz etmektedir. Günümüzde denetimler, çoğunlukla mali nitelikli bilişim sistemleri üzerindeki kontrol süreçleri ve bu sistemlerde üretilen verilere dayalı olarak gerçekleştirilmektedir. Kurum tanıma yoluyla önemli hataların ortaya çıkmasına ilişkin risklerin belirlenmesi ve değerlendirilmesine dair 315 No lu Uluslararası Denetim Standardına göre, iç kontrol; kontrol çevresi, kurumun kendi risk değerlendirme süreçleri, bilişim sistemleri, kontrol aktiviteleri ve kontrollerin izlenmesi olarak 5 ayrı bölümden oluşur (IFAC, ISA 315, A81-A87). Diğer taraftan ISSAI 300 No lu Denetim Standartlarına göre, muhasebe veya diğer bilgi sistemlerinin bilgisayarlaştırıldığı ortamlarda denetçi, denetlenen kurumun verilerinin doğruluk, tamlık ve güvenilirliğini sağlayan iç kontrollerin çalışıp çalışmadığını belirlemelidir. Söz konusu standardın denetim kanıtı bölümünde ise, bilişim sistemlerinde üretilen verilerin denetimin önemli bir parçası olması durumunda, verinin güvenilirliği konusunda güvence elde etme gerekliliğinin altı çizilmiştir (INTOSAI). 4.Bilişim Sistemleri (BS) Denetimi Bilişim sistemleri denetimi, bir kurumun bilgi varlıklarının bütünlüğünü ve güvenilirliğini açısından bilişim ortamında yürütülen faaliyetlerin incelenmesini amaçlar ve bilişim ortamındaki kontrollerin varlığının ve yeterliliğinin sorgulanmasını sağlar (Gallegos,2004). BS denetimi genel olarak şu temel aşamalardan oluşur: Kurumun iş süreçlerinin incelenmesi, Bilişim sistemlerinin hangi iş süreçlerine etki ettiğinin tespit edilmesi, Denetim amaçları çerçevesinde bilişim sistemleri kaynaklı risklerin belirlenmesi, Bu riskleri minimize edecek kontrollerin (genel kontroller ve uygulama kontrolleri) tespiti, Belirlenen kontrollerin varlığının ve varsa iyi işleyip işlemediğinin tespiti, Elde edilecek bulguların kurum ile paylaşılması, Kurum görüşü sonrası bulguların ilgili kurum ile paylaşılması. BS denetimi, bağımsız bir denetim şeklinde icra edilebileceği gibi mali denetim, uygunluk denetimi ya da performans denetiminin bir parçası olarak da icra edilebilir. Buna göre: Mali denetimde, denetçilerin görüş verdiği mali tabloların çoğunlukla bilişim sistemlerinin ürettiği verilerle oluşturulduğu için, güvenilirlik kriteri çerçevesinde bir denetim yaklaşımı geliştirilir. Uygunluk denetiminde, mevzuatın öngördüğü hususlar, iş süreçleri içinde bilişim sistemleri uygulamaları vasıtasıyla hayata geçirildiği için, bunların, öngörüldüğü biçimde uygulanıp uygulanmadığı ve gerekli iç kontrol mekanizmalarının oluşturulup oluşturulmadığı tespit edilir. Performans denetiminde ise denetim konusu iş süreçlerinin bilişim sistemleri ile yürütülen kısımlarının belirlenmesi ve bunların verimlilik ve etkinlik kriterleri ile değerlendirilmesi temel amaç olacaktır(ab Sayıştayı, 2009,3). 18 TEMMUZ - AĞUSTOS - EYLÜL 2011

3 Musa KAYRAK 5.Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Yürütülen BS Denetimi AB Sayıştayında BS denetiminde temel amaç, Sayıştayın kurucu anlaşmalar ve diğer mevzuatlar ile belirlenen mali denetim ve performans denetimi görevlerini, uluslararası standartlara uygun olarak en iyi şekilde yerine getirmesini desteklemektir. Dolayısıyla BS denetimleri, bu amacı sağlamak üzere, mali denetim ve performans denetimleri bünyesinde yürütülmektedir. Diğer yandan, denetimlerin genel sonuçları değerlendirilerek, üst yönetimin onayı ile bağımsız bilişim sistemleri denetimleri yürütülmektedir. Ancak bu tür BS denetimleri arızi nitelik taşımaktadır. Mali denetimi kapsamındaki BS denetimi uygulamasında, bilginin (mali nitelikli veri ve bilgi) tam, doğru ve geçerli olmasını sağlayacak kontroller sorgulanır. Bunu sağlamak için, denetimin planlanması ve uygulanmasında COBIT 4.1 çerçevesi esas alınır. ISACA ya bağlı Bilişim Teknolojileri Yönetim Enstitüsü (ITGI) tarafından yayınlanan ve tüm dünyada gerek özel sektörde gerekse kamuda benimsenen ve yaygın olarak kullanılan COBIT, kabul edilebilir bir risk düzeyini sağlayacak en uygun kontrollerin neler olduğu ve bu kontrollerin bir olgunluk değerlendirmesi modeli ile nasıl uygulanması gerektiği konusunda, bilişim teknolojileri yöneticilerine, kullanıcılarına ve denetçilerine rehberlik eder(itgi, 2007, 9-12). Dört temel alanda yer alan toplam 34 COBIT sürecinden güvenilirlik bilgi kriteri ile birincil düzeyde ilişkili olan süreçler seçilir. Buna ilaveten, Topluluğun mali mevzuatı ve İç Kontrol Standartlarında yer alan ve bilişim sistemleri için bağlayıcı nitelik taşıyan hükümlerin ilişkili olduğu diğer COBIT süreçleri denetim kapsamına dâhil edilir. Bu yaklaşım çerçevesinde belirlenen kontrol hedefleri, COBIT süreçleri, bilgi kriterleri (güvenilirlik, güvenlik, kullanılabilirlik ve etkinlik) ve ilgili mevzuat hükümleri ile ilişkilendirilir. Belirlenen kontrollerin varlığının ve iyi çalışıp çalışmadığının değerlendirilmesi için sorular ve bu soruların cevabının bulanacağı dokümanların belirtildiği detaylı denetim prosedürleri Bilişim Sistemleri Denetim Rehberi nin ekinde yer alır. 5.1.Bilişim Sistemlerine İlişkin Mevzuat Hükümleri Avrupa Birliğinin BS konusunda hükümler taşıyan temel mevzuatı; Mali Tüzük, Uygulama Kuralları, Avrupa Komisyonu İç Kontrol Standartlarıdır (İKS). Söz konusu mevzuatın bağlayıcı hükümleri özetle şöyledir: Mali raporlamanın güvenilirliğini ve bilgi varlıklarının güvenliğini sağlayacak iç kontrollerin tesis edilmesi (Mali Tüzük m.28a). Muhasebe sistemlerinin güvenilir bilgi ürettiğini konusunda muhasebe yetkilisi tarafından güvence verilmesi (Mali Tüzük m.61). E-imza kullanılabilmesi (Mali Tüzük m.84). Verinin bütünlüğü ve güvenilirliğini sağlayacak iç kontrollerin tesis edilmesi (İKS 13). 19 TEMMUZ - AĞUSTOS - EYLÜL 2011

4 Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Bilişim Sistemleri Denetimi Veritabanlarında ve verinin işlendiği ortamlarda yeterli düzeyde denetim izinin oluşmasına yönelik iç kontrollerin tesis edilmesi (Uygulama Kuralları, m. 22a). Bütçeleme süreçlerinde kullanılan uygulamalara ilişkin sistem dokümantasyonunun eksiksiz ve güncel olarak tutulması (Uygulama Kuralları, m. 107). Uygulama içindeki her bir veri giriş alanın içeriği ve yürütülecek mali süreçlere dair her bir işlemin sistem içinde nasıl gerçekleştiği tanımlanması (Uygulama Kuralları, m. 107). Bilişim sistemlerindeki her türlü veri periyodik olarak ve güvenli bir yerde yedeklenmesi (Uygulama Kuralları, m. 108). Kurumun büyüklüğü ve ihtiyaçlarını karşılayabilecek bilişim sistemleri yönetim mekanizmalarının kurulması (İKS 7). Bilişim sistemleri stratejisinin 3 yıllık perspektif ile hazırlanarak uygulanması (İKS 7). İş sürekliliği planları ile felaket kurtarma planlarının hazırlanması, periyodik olarak test edilerek güncellenmesi ve bu planların mali süreçler ile bu süreçlerde üretilen verilerin sürekliliğinin sağlayacak şekilde tasarlanması (İKS 10). Yedekleme planlarının iş sürekliliği ve bilgi güvenliği gerekleri doğrultusunda yapılması(iks 10). Doküman yönetim sistemlerinin tasarlanmasında güvenlik ve kişisel bilgilerin korunması hususlarının dikkate alınması (İKS 11). Görevler ayrılığı prensibine uyulması (İKS 12). Telif haklarına uyulması (İKS 12). İhtiyaçlara cevap verecek düzeyde bir veri yönetimi politika ve kurallarının oluşturulması ve uygulanması (İKS 12). Yukarıda sayılan bu mevzuat hükümleri COBIT süreçleri ile ilişkilendirilerek denetim programları hazırlanmakta ve hem hukuka uygunluğun gereklerine hem de uluslararası standartlara paralel bir denetim yapma imkânı sağlanmaktadır. 5.2.Planlama Aşaması Bu aşamada temel amaç, denetim hedefleri ile ilgili risklerin belirlenmesi ve bunlara karşılık var olması gereken kontrollerin neler olduğunun tespit edilmesidir. Bu süreç 4 temel aşamadan oluşur: a) Denetlenen kurumun bilişim sistemleri hakkında bilgi edinme Denetlenen kurumun bilişim sistemleri altyapısı, organizasyonu, bütçesi ve önceki yıllarda bilişim sistemlerine ilişkin bulgular içeren iç ve dış denetim raporları genel hatları ile incelenir. b) Mali yönetimle ilgili bilişim sistemlerinin belirlenmesi Denetçi, bilişim sistemleri envanteri çıkartarak, hangi bilişim sistemlerinin mali tablolara bilgi ürettiğini, mali işlemlerin özellikle hangi bilişim sistemlerinde yürütüldüğünü tespit eder ve bu sistemlerden hangileri- nin mali denetim açısından kritik olduğunu belirler. Bilgi güvenliği planının BS risk değerlendirmesi ve karşı önlemler çerçevesinde hazırlanması ve uygulanması (İKS 12). 20 TEMMUZ - AĞUSTOS - EYLÜL 2011

5 Musa KAYRAK c) Bilişim sistemlerinin karmaşıklığı hakkında değerlendirme yapılması Bu değerlendirme, sistemlerin karmaşıklık derecesi, sistemdeki bilgilerin gizliliği, veri giriş yöntemleri, denetim izine ulaşma konusundaki sorunlar, bilişim sistemlerinde son dönemde yapılmış geliştirme ve değişiklikler göz önünde bulundurularak yapılır. Karmaşık olduğu tespit edilen sistemler için Denetim Metodolojisi ve Destek Birimi bünyesindeki BS denetim ekibinden destek istenebilir veya bu desteğin yeterli olmaması durumunda hizmet satın alma yoluna gidilebilir. d) Ön risk değerlendirmesinin yapılması Bu aşamaya kadar elde edilen bilgiler ışığında denetçi ön risk değerlendirmesi yapar. Planlama çalışmaları neticesinde denetçi, hangi genel kontrollerin test edilmesi gerektiğine ve uygulama kontrollerinin denetlenip denetlenmeyeceğine karar verir. Özellikle AB Komisyonun ABAC ve SAP gibi önemli kaynak yönetim sistemleri üzerindeki uygulama kontrolleri, bu sistemlerin asıl sahipleri olan Genel Direktörlüklerde test edilir. Bu sistemlerin sadece kullanıcısı olan kurum veya birimlerde BS denetimi, genel kontroller ve uygulama kontrollerinin veri girişi kontrolleri ile sınırlıdır. Denetim kapsamına alınacak genel kontroller ve uygulama kontrollerinin neler olduğu, denetimin planlama aşaması sonunda hazırlanacak denetim planında yer alır (AB Sayıştayı, 2011, 7-8). 5.3.Uygulama Aşaması Denetimin planlama aşamasında belirlenen riskler çerçevesinde oluşturulan denetim programı ile denetlenmesine karar verilen genel kontrollerin ve uygulama kontrollerinin iyi çalışıp çalışmadığının belirlenmesi, uygulama aşamasında yapılır. a) Genel kontrolleri 6 kategoride incelenir: BS yönetim kontrolleri Veri yönetimi kontrolleri İş sürekliliği planlaması kontrolleri Bilgi güvenliği kontrolleri Değişim yönetimi kontrolleri BS hizmet alımı kontrolleri b) Uygulama kontrolleri 6 kategoride incelenir: Kaynak veri ve yetkilendirme kontrolleri Kaynak veri toplama ve giriş kontrolleri Doğruluk, tamlık ve gerçeğe uygunluk kontrolleri Verinin işlenmesinde güvenirlik kontrolleri Çıktıların gözden geçirilmesi, karşılaştırılması ve hataların saptanmasına ilişkin kontroller Veri transferi kontrolleri Uygulama kontrolleri, genel kontrollerin etkin bir şekilde tesis edildiği ve çalıştığı bir kurumda test edilebilir. Diğer taraftan, etkin olmayan genel kontroller, uygulama kontrollerinin etkinliğini de doğrudan olumsuz etkileyecektir (ISACA,2010). Uygulama kontrolleri, manuel ve otomatik olarak iki şekilde uygulanabilir. Sistemdeki iç kontrollerin sürekliliğinin ve güvenilirliğinin etkin bir şekilde sağlanması için otomatik uygulama kontrollerinin varlığı önem arz etmektedir. Bu bağlam- da, veri analizi teknikleri ile ortaya çıkarılan sistematik hataların önlenmesi ve takip eden denetimlerde tekrar etmemesi için otomatik uygulama kontrollerinin kurulması gerekmektedir. 21 TEMMUZ - AĞUSTOS - EYLÜL 2011

6 Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Bilişim Sistemleri Denetimi 5.4.Raporlama Aşaması Raporlama aşamasında, BS Denetim Rehberinin ekinde yer alan kontrol testleri ve maddi doğrulama prosedürleri esas alınarak yürütülen denetimlerde elde edilen her bir bulgu, ilgili mevzuatı, ilgili bilgi kriteri, risk ve etkisi ile birlikte açıklanır. Genel bir değerlendirmesi yapılan denetim bulguları, aşağıdaki 3 ayrı görüşten birisi eşliğindemali denetim ekibine raporlanır: a) BS kontrolleri süreklilik arz edecek şekilde ve etkin biçimde tasarlanmıştır ve iyi işlemektedir. b) BS kontrollerinin etkinliği ve sürekliliği hususunda zayıflık mevcuttur ancak kontroller genel olarak güvenilebilirdir. c) BS kontrolleri güvenilir değildir (AB Sayıştayı, 2011, 12-13). Yapılan genel değerlendirme ve ilgili bulgular, mali denetim taslak raporunun BS kontrol zayıflıkları veya iç kontroller başlığı altında, denetlenen kuruma görüşleri alınmak üzere raporlanır. Kurumdan alınan cevaplar da göz önünde bulundurularak, nihai raporda (mali tabloların güvenilirliği ve uygunluğa ilişkin hususla hakkında verilen denetim görüşlerinin yanında) iç kontroller veya diğer hususlar başlığı altında budeğerlendirme ve bulgulara yer verilir. 6. Sonuç AB Sayıştayında Denetim Metodolojisi ve Destek Birimi bünyesinde çalışan bilişim sistemleri denetim ekibi, mali denetim ekiplerinden gelen yoğun talepler doğrultusunda her yıl onlarca mali denetim ve performans denetimi için, BS denetimi desteği sağlamaktadır. Sertifikalı Bilişim Sistemleri Denetçilerinden(CISA) oluşan bu ekip, iş taleplerin yoğunluğu nedeni ile ihtiyaca karşılık verecek düzeyde değildir. Bu nedenle, AB Sayıştayı, bilişim sistemleri denetimi konusunda farkındalığı ve kurumsal bilgi düzeyini arttırmak amacıyla periyodik eğitimler vermekte ve aynı zamanda mali denetim ve performans denetimi ekiplerinde çalışan denetçilerinin ilgili sertifikaları almalarını teşvik etmektedir. KAYNAKÇA Avrupa Komisyonu İç Kontrol Standartları. Avrupa Birliği Sayıştayı(ECA), Bilişim Sistemleri Denetimi Rehberi, ECA, Avrupa Birliği Sayıştayı(ECA), ECACIT, ECA, Bilişim Teknolojileri Yönetim Enstitüsü(ITGI), COBIT 4.1, ISACA, FrederickGallegos ve diğerleri, Information Technology Control AndAudit, CRC Press LLC, Hinssen, Peter, The New Normal, AcrossTechnology, Greisler, David ve Stupak Ronald J.,Handbook of Technology Management in Public Administration, Taylor & Francis Group, LLC, ISACA, Bilişim Teknolojileri Standartlar, Rehberler, Araç ve Teknikler, Mali konulara ilişkin 1605/2002 Sayılı ve Tarihli ilişkin Konsey Tüzüğü. Mali Tüzüğün uygulanmasına ilişkin 2342/2002 Sayılı ve Tarihli Uygulama Kuralları. Uluslararası Muhasebeciler Federasyonu (IFAC), ISA 315, IFAC, TEMMUZ - AĞUSTOS - EYLÜL 2011