GTAG GLOBAL TEKNOLOJİ DENETİM REHBERİ. GTAG 4-Bilgi Teknolojisi (BT) Denetimi Yönetimi. 2. Baskı. Uluslararası İç Denetçiler Enstitüsü

Transkript

1 GTAG GLOBAL TEKNOLOJİ DENETİM REHBERİ GTAG 4-Bilgi Teknolojisi (BT) Denetimi Yönetimi 2. Baskı Uluslararası İç Denetçiler Enstitüsü 1

2 Global Teknoloji Denetim Rehberi (GTAG ) 4 Bilgi Teknolojisi (BT) Denetimi Yönetimi 2. Baskı Ocak

3 GTAG İçindekiler Tablosu 1. Yöneticiler İçin Özet 4 2. Giriş 5 3. İş Stratejisi, Süreçler ve Projeler 7 4. Teknoloji Altyapısı ve Süreçler 8 5. Risk Temelli Yaklaşım Denetim Alanı Yeterlilikler ve Beceriler BT Denetim İşleminin İcrası Raporlama Denetim Araçları Sonuç Yazarlar ve Gözden Geçirenler 23 EK A: Standartlar için Kaynaklar 24 EK B: BT İnşa Modelleri 25 3

4 1 Yöneticiler İçin Özet Bilgi Teknolojisi (BT), iç denetim işlevi üzerinde önemli bir etkiye sahiptir. Yeni riskler ortaya çıktıkça bu riskleri yeterince ele alacak yeni prosedürlere ihtiyaç duyulmaktadır. BT denetim işleminin icra süreci, diğer denetim işlemlerinin icra süreciyle genelde aynıdır. Denetçi, denetim işlemini planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımın ve kontrollerin işleyiş verimliliğini test eder, bu işlemleri sonuçlandırır ve rapor eder. İç Denetim Yöneticileri (İDY ler), BT denetim işlemine ilişkin sonuçları yönetim kurulu, icra kurulu, düzenleyici otoriteler ve dış denetçiler gibi ana paydaşlara ve Bilgi İşlemleri Yöneticisine (BİY) düzenli olarak rapor ederler. Bu rehber, BT denetim işlemini daha etkili ve verimli planlaması ve yönetmesi için İDY ye yardımcı bir kaynaktır. Bu rehberde aşağıdaki hususlar ele alınmıştır: BT denetim kaynaklarına nerede ihtiyaç duyulduğunun belirlenmesi: İç denetim planının hangi kısımlarında BT denetim uzmanlarına ihtiyaç vardır? İDY, kapsama alanının yeterli olduğundan emin olmak için BT denetçilerinin planlı kullanılıp kullanılmadığını burada sunulan rehberlere kıyasla ölçebilmelidir. BT denetim kaynakları genelde kısıtlı, BT denetim talepleri ise fazladır. BT denetim ihtiyaçlarının belirlenmesi, iç denetim planı dâhilinde etkili bir BT kapsamının nasıl inşa edileceğinin anlaşılması konusunda İDY ye yardımcı olur. İç denetim çalışma grubunun boyutuna bakılmaksızın belirli bir denetim işlemi için doğru becerilere sahip kişilere işin yaptırılması ön plana çıkan bir kavramdır. Bu denetim işlemleri, kurumun kapasitesine göre iç kaynaklarla yapılabileceği gibi dışarıya da yaptırılabilir. BT bağlantılı risklerin değerlendirilmesi: Teknoloji ilerledikçe BT riskleri de değişmeye devam eder. Bu risklerden bazıları teknolojinin kendisiyle, bazıları ise iş esnasında BT nin kullanılma yöntemiyle ilgilidir. Bu rehber, BT bağlantılı risklerin nasıl değerlendirileceği ve nasıl ölçüleceği konusunda İDY ye yardımcı bir kaynaktır. Bu yolla, BT denetim kaynaklarının kuruma en yüksek değeri katan alanlara yönlendirilmesi sağlanır. BT denetim işleminin icra edilmesi: BT nin karmaşık ve yaygın yapısı, denetim planı sırasında tanımlanan spesifik riskleri ele almak için yapılan rutin işletme ve süreç denetimlerine entegre edilebilecek uygun BT denetim prosedürlerine olan ihtiyacı artırır. Kontrol listesi ya da sorgulama yönetimiyle yapılan bir denetim yetersiz kalır. 4

5 Ayrıca, bu rehber, BT uzmanlarının denetim işlevine gerekli bilgi ve uzmanlığı katabilmeleri için sahip olmaları gereken beceriler ve BT bağlantılı testlerin yapılması ve spesifik rapor beklentilerinin karşılanmasında denetçiye yardımcı olacak araçlar hakkında İDY ye fikir de verir. Bu rehberin odak noktası, sade bir İngilizce ile yararlı bilgiler vermek ve İDY nin hızla uygulayabileceği özgün tavsiyeler vermektir. Rehber hazırlanırken İDY nin BT denetim kapasitelerinin olgunluğunu değerlendirmek ve iç denetim ekibinin yüksek standartlara uygun çalışmasını sağlamak için kullanacağı kriterlerin gösterilmesi için gereken önem verilmiştir. 2. Giriş Kurumların karşılaştığı riskler, yapılması gereken denetimlerin türleri, denetim alanlarından hangisine öncelik verileceği, elde edilen bulguların nasıl sunulacağı konularının tümü İDY lerin karşılaştığı zorluklardır. Bu Global Teknoloji Denetim Rehberi (GTAG); İDY ler, BT temelli denetimlerin gözetiminden sorumlu iç denetim yönetim kademesi ve yapılan başka denetim işlemlerine entegre edilmiş BT testlerinden sorumlu yöneticiler için hazırlanmıştır. Bu rehberin amacı, BT denetim işinin planlanması, uygulanması ve raporlanmasına ilişkin stratejik konuların sınıflandırılmasına yardımcı olmaktır. Bu rehber hazırlanırken temel konulara ek olarak ileride ortaya çıkabilecek konular da dikkate alınmıştır. BT bağlantılı riskleri ele almayan bir denetim planı geliştirmek için yapılan yıllık risk değerlendirmesi eksik bir değerlendirmedir (Bakınız: Standartlar 1210.A3, 1220.A2 ve 2110.A2). İç denetim aşağıda sayılan şu üç konuyu ele almalıdır: Kurumun bel bağladığı temel iç kontrollerin büyük çoğunluğunun teknoloji odaklı olması muhtemeldir. Örneğin, kurumsal politika, tedarikçiye ödeme yapılmadan önce üç yollu bir eşleştirmenin yapılmasını öngörür. Üç yollu eşleştirme; sipariş emri, teslim makbuzu ve faturanın karşılaştırılmasından oluşan bir süreçtir. Tarih boyunca da bir satıcı önce fiziki olarak kâğıt parçalarını eşleştirmiş, sonra bunları zımbalamış ve dosyalamıştır. Şimdi, tüm bu eşleştirmeler kurumun işletme kaynak planlama (ERP) sisteminde yapılabilmektedir. Sistem, önceden yapılandırılmış kurallar ve tolerans seviyelerini esas alarak bu eşleştirmeleri otomatik olarak yapabilir ve değişkenleri tanımlanmış değişken hesaplarına otomatik olarak gönderebilir. Bu kontrolün etkin şekilde denetlenebilmesi için denetçinin ERP sisteminin cari konfigürasyon ayarlarına erişiminin olması ve kural ve ayarları değerlendirmesi gerekir. Bu, her denetçinin sahip olamayacağı, ciddi düzeyde uzmanlık becerisi isteyen bir iştir. 5

6 Kurumlar, karmaşık BT ortamlarından kaynaklanan stratejik riskleri anlamak zorundadırlar. BT nin işi kolaylaştıran bir unsur olarak kullanılması kurumun stratejik risklerini de değiştirecektir. Kurumun bu değişikliği anlaması ve bu tür riskleri yönetmek için gerekli uygun adımları atması gerekir. BT genel ve uygulama kontrolleri, BT risklerini yeterince ele alacak şekilde geliştirilmelidir. Kurumun işlemlerini korumak ve rekabet edici bir hazırlık düzeyi sağlamak için etkili BT kontrollerine ihtiyaç vardır. Beklenen düzeyde çalışmayan sistemlerin büyük itibar kayıplarına ve zararlara neden olması olasıdır. Satış emrinin web sitesi aracılığıyla geldiği ve ERP sistemi aracılığıyla doğrudan doğruya depo katına iletildiği yukarıda tanımlanan otomatik süreci örnek olarak ele alalım. Bir müşteri 100 adet sipariş verecekken yanlışlıkla 100 palet sipariş verirse ne olur? Kurum ilgili proseslerini ERP sistemiyle tam olarak optimize ettiyse, sistem envanteri kontrol edecek, 100 palet ürünün olmadığını görecek, üretim programını 100 palet üretecek şekilde ayarlayacak ve sipariş edilen ürüne ait ham maddeleri elektronik veri değişim (EDI) sistemi aracılığıyla otomatik olarak gönderecektir. Düzgün çalışan önleyici kontroller olmadan, bu hatanın müşteri malı teslim alıncaya kadar fark edilmesi mümkün değildir. Anlaşılması gereken konulardan bir tanesi de BT kontrolleri ile finansal raporlama, yolsuzluk, işlemler, uygunluk denetimleri ve diğer temel konular arasındaki bağlantıdır. Bir uygulama sistemi (yani daha önce bahsedilen üç yollu eşleştirme ayarları) değerlendirilirken bunu anlamak nispeten kolaydır. Ancak bir tek uygulama ya da prosese özgü BT kontrollerine kıyasla kurum üzerinde çok daha fazla etkiye sahip destek teknolojilerini değerlendirirken bu daha da zordur. Örneğin, bir kurumun tedarikçilerine gönderdiği elektronik ödemeleri oluşturduğu sistemi ele alalım. Bu ödemeler, Tüm Dünya Bankalararası Mali İletişim Topluluğu (SWIFT) sisteminde yer alan banka hesaplarına her bir tedarikçi hesabı için bir yönlendirme numarasıyla birlikte elektronik olarak yönlendirilir. Otomatik Takas Merkezine (ACH) ilişkin tüm numaralar kurum veri tabanının bir yerinde bir tabloda saklanır. Veri tabanına erişim yetkisi olan bir veri tabanı yöneticisi ya da erişim yetkisi olmayan ancak veri tabanına usulsüz erişmek için gerekli teknik becerilere sahip şahıslar bu tabloda yer alan girdileri kendi hesaplarına ait ACH yönlendirme numarasıyla değiştirebilirler. Elektronik ödeme ileride yeniden yapıldığında, paralar bu kez bu failin hesabına yatar. Bu, ticari süreçler ve ticari uygulamalar bünyesinde mevcut tüm güvenlik, kontrol ve denetim yolu mekanizmalarını bütünüyle atlatan bir olaydır. 6

7 Yukarıda bahsi geçen senaryo, veri tabanı düzeyinde gözlemlenen bir kontrol eksikliğinin üç yollu eşleştirme ayarlarında gözlemlenen bir eksikliğe kıyasla ne kadar etkili olduğunu göstermektedir. Gerçekleştirilen yıllık risk değerlendirmesinin bir parçası olarak, BT ortamı ile bağlantılı risklerin gerçekleşme ihtimali ve olası etkileri dikkatle değerlendirilmelidir. 3. İş Stratejisi, Süreçler ve Projeler İş stratejisi, denetim alanının tanımlanması için önemli bir faktördür ve kurumun risk değerlendirmesini yaparken dikkat ettiği hususlardan biridir. İş stratejisi, kurumun amaçlarını ve bu amaçlara ulaşmak için kullanılması gereken yöntemleri açıkça gösterir. İDY ve iç denetim yönetim ekibinin iş stratejisini anlaması, kurum içinde teknolojinin rolünü ve her birinin diğeri üzerindeki etkisini bilmesi önemlidir. İDY nin bir kurumun iş stratejisini değerlendirmek ve bunun BT denetim işlemi üzerindeki etkilerini görmek için kullanacağı araçlardan biri de, GTAG 11: BT Denetim Planının Geliştirilmesi başlıklı rehberdir. Bu rehber, yapılan iş bağlamında kurumun BT ortamını anlaması için İDY ye gerekli bilgileri sunar. Bölüm 4 de listelenen BT bileşenleri, kurumun BT altyapısına göre yapılacak işlemlerin haritasını çıkarmak için gerekli araçları gösterir ve risk değerlendirmesi için gerekli olan ve denetim evreninde tanımlanmış diğer alanların BT özelliklerini tanımlar. İDY kurum işlemlerinin ve BT altyapısının haritasını çıkardığında, kurum bünyesinde yer alan çeşitli BT bağlantılı ve operasyonel ilişkiler de ortaya çıkmaya başlar. Detaylı haritalama yöntemiyle altyapı, uygulamalar, süreçler ve ilişkiler (hem iç hem de dış) gibi, riske maruz kalabilecek fakat önceden tanımlanmamış kritik alanlar da tanımlanabilir. Bu haritalama işlemi, İDY nin kurum içindeki BT risklerini ve risk toleranslarını değerlendirmesini ve üst yönetime ve BT yönetimine bildirilebilecek olası tanımlanmamış riskler hakkında bilgi sahibi olmasını sağlar. Proje dönüm noktaları üzerinde güvence sağlamak için, BT projeleri, genellikle iç denetim işlevinin uzman kaynaklarını kullanır. İDY, BT denetim işlemi için gerekli bilgi ve becerileri değerlendirmeli ve uygun kaynakları tahsis etmelidir. Bazı durumlarda, bu tür denetimlerin usulünce gerçekleştirilebilmesi için dışarıdan konunun uzmanı kişilere ihtiyaç duyulabilir. Bu konuya ilişkin atılması gereken adımlar GTAG 12: BT Projelerinin Denetlenmesi başlıklı bölümde detaylı olarak tartışılmıştır. 7

8 4. Teknoloji Altyapısı ve Süreçler BT nin tanımlanması İDY nin BT denetim kaynaklarının kullanımı sırasında karşılaştığı ilk zorluklardan birisi, BT kullanım oranının belirlenmesidir. Telefon ve sesli posta sistemleri BT sistemlerinin bir parçası mıdır? Tesislere erişim, tanımlama yükümlükleri ve fiziki güvenlik sistemleri buna dâhil edilmeli midir? Bunlar emlak yönetim şirketine dışarıdan yaptırılırsa ne olur? Bu sorular BT kaynaklarının nasıl tahsis edileceğinin belirlenmesi için cevaplanması gereken bazı temel sorulardır. BT araçları, farklı kurumlarda farklı amaçlar için kullanılabilir. Aynı sektörde faaliyet gösteren iki kurum bile, birbirinden tamamen farklı BT ortamlarına sahip olabilir. Meseleleri daha karmaşık hale getirmek gerekirse, tek bir kuruma ait kontroller de merkezi yapıda, âdemi merkezi yapıda ya da ikisinin birleştirildiği bir yapıda olabilir. Mobil bilişim, sosyal ağlar ve bulut teknolojisi mevcut sınırları merkezi kontrolün ötesine taşımakta ve bize benzersiz riskler ve mülahazalar sunmaktadır. Ne yazık ki BT nin açık ve evrensel bir tanımı yoktur. Bu bölüm, İDY ye, bir kurum içinde BT yi nasıl ele alması gerektiği konusunda yardımcı olur. Bazı bileşenler manuel süreç ve prosedürlerle bütün olarak ele alınabilirken bazıları tek başına ele alınmalıdır. BT bağlantılı riskler kurumun her bölümünde vardır ve büyük oranda değişkenlik gösterirler. Örneğin, şirket web sitesinin hacklenmesi ve elektronik ödeme işlemlerinin başka tarafa yönlendirilmesi her kurum için farklı riskler oluşturur. Her Katmanın Düşünülmesi Etkili bir iç denetim için, her bir BT katmanına ilişkin riskler değerlendirilmeli, hangi katmana öncelik verileceği kararlaştırılmalı ve bu risklere uygun denetim kaynakları her bir katmana tahsis edilmelidir. Denetim planının BT bileşeni her bir katmana ilişkin denetimler içermiyorsa, bütüncül bir yaklaşımla yapılan bir denetim, kurumun BT bağlantılı risklerini yeterince ele almayabilir. Bazı durumlarda, tüm katmanların tek bir yılı kapsayan bir şekilde incelenmesi yerine belli bir zaman dilimi (yani, dönüşümlü olarak çok sayıda yıllar) içerisinde incelenmesi daha uygun olabilir. BT çevresinde gözlemlenebilecek büyük değişikliklere bağlı olarak üç yılı aşan dönüşümlü planlar yetersiz olabilir. 8

9 Her bir katman için ne kadar kaynak tahsis edilmelidir? Bunlar nerede tahsis edilmelidir? Bu gibi zorlu soruların yanıtları denetçinin görüşü ve stratejik analizlerle birlikte risk değerlendirme sürecinin doğal sonuçlarıdır. Spesifik kaynak tahsisine bakılmaksızın bütün BT katmanları dikkate alınmalıdır. Bu katmanlar nelerdir? Bir kurumun BT yapısı aşağıda şekil olarak gösterilmiştir. Her kurum farklıdır, ancak bu şekil birçok kurumdaki temel BT süreçlerinin tanımlanmasına yardımcı bir kaynaktır. Başka BT inşa modelleri de düşünülebilir. Bunlar, EK-A da sunulmuştur. ICT, Bilgi İletişim Teknolojileri teriminin kısaltmasıdır. Ele alınması gereken temel katmanlar şunlardır: BT yönetimi, Teknik altyapı, Uygulamalar, Dış bağlantılar 9

10 Bu şeklin denetim planının kategorilerini tanımlamadığını unutmayınız. Denetim planı, spesifik bir BT denetim işlemi planlandığında, kurumun süreçlerine ya da bir standart çerçeveye göre kategorilere ayrılabilir. Bu şekil BT ile kurum arasındaki ilişkileri anlamaya yardımcı olmak ve her bir katman için gerekli kaynak tahsisini sağlamak için tasarlanmıştır. Spesifik denetimlerin yapılması İDY nin kararına bağlıdır. BT Yönetimi BT yönetimi; BT hizmetleri ve BT tesislerini yöneten insanlar, politikalar, prosedürler ve süreçler kümesinden oluşur. Süreç ve veri bütünlüğü, idari personelin düzenli olarak yaptığı spesifik görevlere önemli ölçüde bağlıdır. Bu nedenle, bu bileşen; sistem taraması, programlama, planlama, tedarikçi yönetimi, problem ve vaka yönetimi, değişiklik yönetimi, BT proje yönetimi, acil kurtarma, güvenlik yönetimi ve BT yönetişimi gibi aşamalardan oluşur. Bu işlevler ticari süreçlerdir ve benzer bir denetim yaklaşımına sahiptirler. Bu aşamada, denetçi teknik sistem ayarlarından daha çok insanlara ve görevlere bakar. Bazı durumlarda, yönetim süreci teknik tesisleri de ele alır. Böyle olduğunda hem tesisler hem de yönetim sürecinin denetimi yapılır. Bu süreçlere ilişkin bazı kontroller oldukça teknik olabilir ve 10

11 uzmanlık becerisi gerektirebilir. Ancak deneyimli bir iç denetçinin sahip olduğu beceriler de büyük ölçüde yeterli olacaktır. Teknik Altyapı Bu katman, temel ticari uygulamaların yürütülmesini sağlayan, bunları destekleyen ve bunların temelinde yatan teknolojiyle ilgilidir. Genelde, bu katman şunları içerir: İşletim Sistemleri: İşletim sistemleri bilgisayara nasıl çalışması gerektiğini gösteren programlar kümesidir. Z/OS, UNIX, WINDOWS ve OS/400 ü işletim sistemlerine örnek olarak gösterebiliriz. Tüm programlar ve dosyalar işletim sistemi aracılığıyla çalışır. İşletim sistemi düzeyinde gerçekleştirilen işlemler, proses düzeyinde mevcut güvenlik ve kontrollerin çoğunu genelde baypas ederler. Dosyalar ve Veri Tabanları: Kritik öneme sahip olsun ya da olmasın bütün elektronik ticari veriler bir dosyada saklanır ve bunlar başka bir yerdeki bir veri tabanının parçası olabilirler. Veri tabanları (tek bir dosya ya da bir grup dosya olarak); veriler, veri birimleri arasındaki ilişkileri gösteren bilgiler ve veri birimlerine ilişkin indeksler içerir. Veri tabanı yapılarının esnekliği, bu verilerin çoğunlukla ticari süreçler ve raporlama işlemleri için kullanıldığını gösterir. Oracle, MS SQ1 sunucusu ve DB2 yi örnek veri tabanları olarak gösterebiliriz. Veri tabanı seviyesinde atılan adımlar da proses düzeyinde mevcut kontrollerin çoğunu baypas etme eğilimindedir. Ağlar: Kurum içinde veri akışını sağlamak için kablolu, fiber optik kablolu ya da kablosuz bir aktarım sistemi kullanılır. Ağ; kablolar gibi fiziki bileşenler, switch, router ya da güvenlik duvarları gibi ağ trafiğini kontrol eden cihazlar ve veri hareketini kontrol eden programlardan oluşur. Kurumun ticari verilerinin düzgün ve tam olmasını sağlama konusunda ağ yapısının bütünlüğü önemli bir rol oynar. Örneğin, bir depo işçisi bir ürünü yüklerken onu barkod okuyucu ile okutuyorsa bu işlem defterikebire nasıl kaydedilir? Bu sorunun cevabı şudur: Bu bilgi ağ içinde aktarılır ve işlenir. Peki, bu bilgi ağda aktarılmaz ve işlenmezse ne olur? Yolunu kaybeder ya da tümden kaybolursa ne olur? Kurum bunu nasıl bilebilir? Veri Merkezleri: Bilgisayar ekipmanları; teknik altyapı ve uygulamaların güvenliğini sağlamak için gerekli fiziksel altyapı, fiziki güvenlik ve çevresel ortamı sağlayan veri merkezleri ve sunucu odalarında barındırılırlar. 11

12 Teknik altyapı denetimleri, teknik konfigürasyon ayarlarının gözden geçirilmesiyle birlikte bunlarla bağlantılı yönetim süreçlerine odaklanır. Uygulamalar Ticari uygulamalar, ticari işlemlerle bağlantılı spesifik görevlerin yerine getirilmesini sağlayan programlardır. Bunlar, ticari süreçlerin bir parçasıdır ve uygulamaları destekleyen proseslerden ayrı düşünülemezler. Bu uygulamalar genelde iki kategoriye ayrılırlar: Ticari işlemleri işleyen ve kaydeden ve esasen yazılımlardan oluşan işlemsel uygulamalar. Satış emiri işlemleri, defterikebir kayıtları ve depo yönetimi bu uygulamalara örnektir. Destek uygulamaları ise ticari faaliyetleri yürüten ancak genelde bunları işlemeyen özgün ve uzmanlaşmış yazılım programlarıdır. Veri depoları, e-posta programları, faks yazılımı, ticari istihbarat yazılımı, belge görüntüleme yazılımı ve tasarım yazılımı bu uygulamalara örnektir. BT denetim işleminin genelinde, dikkatler işlemsel uygulamalara verilir. Ancak dış raporlama ya da makineleri kontrol eden uygulamalar gibi bazı destek uygulamaları da yüksek risk taşıyan alanlar olabilirler. İç denetim işlevinin, kurumun yeni ortaya çıkan risklerini sürekli değerlendirmesi ve gerekli denetim cevabını vermesi gerekir. BT nin bazı özellikleri için gerekli uzmanlık bilgisi bu durumu daha da karmaşık hale getirir. Dış Bağlantılar Şirket ağı, tek başına çalışmaz. Bir sürü dış ağa bağlı olması büyük bir olasılıktır. İnternet akla ilk gelen unsurdur, fakat denetçiler çoğu zaman sadece interneti dikkate alma hatasına düşerler. Aslında şirket ağının birçok başka ağa (hizmet sağlayıcı olarak bulut bilgi işlem ve yazılımı da dâhil) bağlı olması büyük bir olasılıktır. Örneğin, kurum ticari işlemlerini EDI yoluyla mı yapıyor? Öyleyse şirket ağı büyük olasılıkla bir EDI sunucusuna ya da belki de doğrudan doğruya bir ticari ortağın ağına bağlıdır. Kurum, depo sağlayıcısı olarak üçüncü şahısları mı kullanıyor? Şayet öyleyse, bu iki ağ birbirine bağlı olabilir. Başka ticari ağlara ve kontrollere ilişkin riskler, internet bağlantılı ağlar için uygulanan prosedürlerden farklı prosedürlerle ele alınabilir. 12

13 Kurumlar temel proseslerini otomasyona geçirdikçe, şirket ağına dışardan erişim de çoğu zaman internet yoluyla - artmaktadır. Bir kredi kartının hesap durumunun incelenmesi ya da bir paketin yükleme ve sevk durumu buna örnektir. Bu işlemleri internet yoluyla gerçekleştiren müşteriler muhtemelen bu şirketlerin iç ağlarına girmektedirler. Dış ağlar, kurumun kontrolü altında değildir ve bu nedenle, bu ağlara güvenilmemelidir. Dış ağlara doğru ya da onlardan yapılan tüm iletişimler, kurumun risk seviyesine uygun ölçüde sıkı kontrol edilmeli ve izlenmelidir. Kurum sadece kontrol edebildiği şeyleri denetleyebileceği için bu riski ele alan BT denetim prosedürlerini tanımlamak zor olabilir. Bu nedenle, en azından giriş ve çıkışları denetlemek kritik öneme sahiptir. 5. Risk Temelli Yaklaşım Risk temelli yaklaşım; denetim programının inşası ve sürdürülmesi, personelin işe alınması ve BT denetim işleminin gerçekleştirilmesi de dâhil olmak üzere iç denetim işlevinin yönetimine ilişkin tüm faaliyetleri kapsar. Bu bölümde, risk değerlendirmesinde BT nin payı üzerinde durulmaktadır. BT bağlantılı risklerin değerlendirilmesinde, iç denetim, BT ye özgü denetim işlemini ilgili zaman zarfında en yüksek olası değeri katacak şekilde tanımlar. BT bağlantılı risklerin belirlenmesi için ayrı bir metodolojiye gerek yoktur. Bütün risk türleri için aynı metodolojinin kullanılması, iç denetim işlevinin tüm aşamaları boyunca tutarlı tek bir iç denetim risk değerlendirme süreci sunması bakımından da önemlidir. Risk, genelde bir olayın sonucu ile bu olayın olma olasılığının birlikte ele alınmasıyla ifade edilir. Özellikle olma olasılığı düşük olay zincirleri değerlendirilirken riski tam olarak tanımlamak zordur. Risk değerlendirmesinde her iki faktör de birlikte kullanılmalıdır. İstatistiki bilgiler ve hata kayıtları bu değerlendirmeler için önemli veriler sağlayabilir. Bazı durumlarda, olayın olmasına neden olan yolları ya da olayın olma olasılığını bilmeden sadece sonuçları (bir veri merkezinin kaybı gibi) ele almak dikkat edilmesi gereken riskleri belirlemek için yeterlidir. Bazen bütün BT denetim türleri için uygulanabilecek fakat farklı yollarla ifade edilen genel risk kurallarını tanımlamak mümkündür. Olası maruziyet durumu için uygulanacak genel önlemler sayıca büyük ve ticari açıdan kritik öneme sahip olabilir. Örneğin, bir veri merkezinin desteklediği ticari işlem sayısı onun ticari açıdan kritikliği (muhtemelen önemi) hakkında, ev sahipliği yaptığı sunucuların sayısı ise onun büyüklüğü hakkında bilgi verir. 13

14 Diğer taraftan, bir projenin büyüklüğü onun bütçesiyle, ticari önemi ise nihai uygulamanın desteklediği kurum ve kuruluşların sayısıyla ölçülebilir. Gerçekleştiği bilinen olay sayısı ya da projeler bakımından kurumun başarı geçmişi ise olayın gerçekleşme olasılığı hakkında bilgi verir. Veri toplamaya ek olarak, BT bağlantılı risklerin değerlendirilmesi için önemli bir başka kaynak da, BT yönetimi, ticari yönetim ve uzmanlar gibi ana paydaşlarla yapılan görüşmelerdir. Bu görüşmeler, doğrudan ölçülmesi zor olan risklerin belirlenmesini kolaylaştırır. Teknolojide ve toplumun teknolojiyi kullanma alışkanlıklarında meydana gelen hızlı değişiklikler de ele alınması gereken önemli bir konudur. Bu durum, risk değerlendirmelerinin sık sık güncellenmesini gerektirir. Sosyal ağların varlığı ve kullanımıyla hızla artan özel bilgilerin paylaşımı bunun canlı bir örneğidir. Bu konuyla ilgili detaylı bilgi için, lütfen IIA tarafından yayımlanan Özel Risklerin Denetlenmesi başlıklı Mesleki Uygulama Rehberine bakınız. Son olarak, BT bağlantılı risklerin değerlendirmesine ilişkin detaylı bilgiler için lütfen GTAG 11: BT Denetim Planının Geliştirilmesi başlıklı rehbere bakınız. 6. Denetim Evreni BT denetim kaynaklarının tahsisi ve bütçelendirilmesi için bir temel oluşturmak ve BT bağlantılı risklerin denetiminin kapsamına ilişkin makul bir güvence sağlamak için, denetim evreni, BT içeren ve BT denetim uzmanlık becerileri gerektiren incelemeleri ve gözden geçirmeleri tanımlamalıdır. Ayrı bir BT denetim evreni olmamalıdır. BT denetim işlemi, genel denetime bütünleşik olmalıdır, çünkü BT ile BT nin desteklediği ticari işlemler arasında güçlü bir bağ vardır. BT ticari uygulamalarının genellikle ticari sürecin bir parçası olarak genel denetim evreni içinde yer alması buna bir örnektir. Denetim evreni; denetim türlerinin sınıflandırılmasına ve böylece BT uzmanlığı gerektiren gözden geçirmelerin tanımlanmasına (BT uygulamalarının ve BT süreçlerinin denetimi) imkân verecek bir şekilde yapılandırılmalıdır. Süreçlerin sınıflandırılması / yapılandırılması için, genelde BT yönetimi tarafından kullanılan yapı esas alınır. Bu yapı genelde BT stratejisinde sunulur. Bu yapının genel kabul gören 14

15 COBIT, ITIL, COSO gibi sistemler ya da başka çerçeveler esas alınarak oluşturulması idealdir (Detaylı bilgi için lütfen 8. Bölüme bakınız). Karmaşık bir kurumda aşırı detaylı bir denetim evreni, en basitinden binlerce BT bağlantılı unsur içerebilir. Denetim evrenini oluşturmak, güncel tutmak ve tüm unsurları içeren bir risk değerlendirmesi yapmak için gereken çaba dikkate alındığında böyle bir denetim evrenini yönetmek zordur. Şayet BT bağlantılı unsurlar çok genel tanımlanmışsa, böyle bir denetim planının oluşturulma gerekçesi de yetersiz kalır. Denetim evrenine ilişkin BT bileşenleri geliştirilirken izlenmesi gereken bazı önemli prensipler şunlardır: Belirgin olmayan unsurlar da dâhil olmak üzere ilgili tüm unsurların ele alınmasıyla bütünlüğün sağlanması (yani, offshore hizmet sağlayıcılar gibi dışarıdan alınan hizmetler, BT bağlantısı yüksek ticari bağlantılı unsurlar ve otomasyon oranı yüksek ticari süreçler). Güncelleme işlemi sırasında, yeni ortaya çıkan ve ileride ortaya çıkabilecek konulara daha fazla önem verilmesi. Bulut teknolojisi, sosyal medya ve mobil cihazların kullanımı bunun güncel örnekleridir. Sürecin gelişmesine katkı sağlayacak veri girişi ve önerilerini teşvik etmek için denetim evreninin gizli tutulmaması, ilgili paydaşlarla (yani BT yönetimi ve diğer yönetimler) paylaşılması gerekir. Detaylı bilgi için lütfen GTAG 11: BT Denetim Planının Geliştirilmesi başlıklı rehbere bakınız. 7. Yeterlilikler ve Beceriler Birçok kurumda sürekli gündemde olan konulardan birisi, BT sistemlerinin kullanımı ve buna bağımlılık düzeyi ile bu teknolojiler vasıtasıyla yaratılan risklerin tanımlanması ve idaresi için kullanılan kaynaklar arasında gözlemlenen boşluktur. Bu nedenle, yönetişim, risk yönetimi ve kontrol süreçleri değerlendirilirken iç denetimin bilgi sistemlerine gereken önemi vermesi önemlidir. İDY nin bu riskleri ele alırken dikkat etmesi gereken ana bileşenlerden birisi, denetim ekibinin yeterliliğini sağlamaktır. Bu durum, iç denetçilerin sadece bilgi, beceri ve deneyimlerine uygun alanlarda hizmet vermesini öngören Uluslararası Mesleki Uygulamalar 15

16 Çerçevesinin (IPPF) Etik Kurallar bölümüyle ve iç denetçilerin münferit sorumluklarını yerine getirmeye uygun bilgi, beceri ve diğer yeterliliklere sahip olmasını öngören Standart 2010: Yeterlilik başlıklı belgeyle de desteklenmektedir. Gerekli bilgi, beceri ve diğer yeterliliklere sahip olunması ya da bunların elde edilmesi bütün olarak iç denetim faaliyetiyle ifade edilir. IIA, iç denetim faaliyetinin sürdürülmesi için gerekli yeterlilikleri tanımlamak için bütünleşik bir yeterlilik çerçevesi sunmaktadır. İç denetim birimi BT denetiminin tümü ya da bir kısmı için gerekli bilgi, beceri ve diğer yeterliliklere sahip değilse, İDY, gerekli tavsiye ve yardımları sağlamalıdır. Planlanan denetimlerin icrası için tahsis edilen kaynaklar bu konuda önemli bir role sahiptir. Örneğin bir güvenlik duvarı konfigürasyonunu denetlemek için gerekli beceriler ile veri tabanındaki ödemeler dengesi tablosunu denetlemek için gerekli beceriler birbirinden çok farklıdır. Belirlenen bir denetim için gerekli uygun becerilere sahip bir denetçinin o denetime verilmesi önemlidir. Doğrusal olarak, İDY nin hiçbir denetçinin BT denetim işini tek başına yapamayacağını anlaması ve denetim işlevinin kimi aşamasında uygulamalara aşina denetçilere, kimi aşamasında ise altyapı teknolojilerine aşina denetçilere ihtiyaç duyulacağını bilmesi gerekir. Dolayısıyla, denetim evrenini, teknoloji kullanımı sonucu ortaya çıkan riskleri ve mevcut personelin BT denetimine ilişkin becerilerini iyi bilen bir İDY, işe alma ve eğitim aşamalarında odak noktasını buna göre belirlemelidir. Gerekli beceri ve yetenekler yoksa ya da bu becerilere sahip bir personelin yetiştirilmesi ya da kiralanması konusunda bir karar alınmadıysa. İDY, kendi personeline destek verecek ya da onların eksiklerini tamamlayacak dış hizmet sağlayıcılardan faydalanma yolunu (dış kaynağa yaptırma ya da dış kaynakla birlikte yapma) 1 seçebilir. Denetçilerin yetenek ve becerilerini yönetmenin bir parçası olarak, İDY nin BT bağlantılı sorumluluklarını tamamlamak için aşağıda verilen bazı temel soruların cevaplandırılması gerekir: Kurumun tümünün BT bileşenleri, süreçlerin planlanması aşamasına dâhil edildi mi ve yüksek düzeyde risk taşıyan alanlar tanımlandı mı? 1 Detaylı bilgi için lütfen Uygulama Önerisi 1210.A1-1: İç Denetim Faaliyetinin Desteklenmesi ya da Tamamlanması için Dış Hizmet Sağlayıcıların Kullanılması na bakınız. 16

17 Kurumun BT kullanımının denetimi için gerekli farklı beceriler gözden geçirildi mi? İDY, kendi denetim biriminde ne tür becerilere sahip olduğunu inceledi mi? Bilgi eksikliklerinin nasıl tamamlanacağı konusunda (yani işe alma, dış kaynağa yaptırma ve dış kaynakla birlikte yapma) denetim biriminin bir politikası var mı? BT denetçileri gerekli eğitim, sertifika ve deneyime sahip mi? Şayet değillerse bu eksikliğin tamamlanması için denetim biriminin bir planı var mı? İç denetim birimi, kurumun teknoloji kullanımı, kuruma ait riskler ve denetimlerin nasıl verimli yürütüleceği konusunda denetçilerin bilgi sahibi olmalarını sağlayacak yeterli eğitimleri veriyor mu? 8. BT Denetim İşleminin İcrası BT denetim işleminin icrası süreci, diğer denetim işlemlerinden genel olarak farklı değildir. Denetçi denetimi planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımı ve kontrollerin işlemsel verimliliğini test eder, sonuca varır ve bu sonuçları test eder. İDY lerin çoğu bu genel süreci bildikleri için bu GTAG rehberinde detaya girilmeyecektir. Ancak BT denetim işlemi konusunda İDY nin bilmesi ve yönetmesi gereken bazı konular vardır. BT Denetçileri ve Diğer Denetçiler Arasında İşbirliği Denetim faaliyeti icra edilirken, iç denetim işlevi bütüncül bir yaklaşımla ele alınmalıdır. Yalnızca uzman BT denetçileri tarafından denetlenecek BT alanları (veri merkezleri, ağlar gibi temelde BT altyapısı odaklı konular ya da kullanıcı yardım masaları gibi BT süreçleri) vardır, ancak uygulamaların gözden geçirilmesi aşamasında hem ticari hem de BT dâhil olmak üzere bütün değer zincirlerinin denetlenmesi önemlidir. Bu tür denetimlerde denetimin odak noktasında kurumun ticari amaçları olmalı ve bütün riskler (BT bağlantılı riskler de dâhil) bu bakış açısına göre değerlendirilmelidir. Bu, zor görülebilir ancak oldukça faydalıdır, çünkü ticari işlemlerin BT ye olan bağımlılığını ölçer. Hâlihazırda bir acil kurtarma planı yoksa, acil bir durumda geçecek arıza süresinin ticari işlemler üzerindeki etkisini tanımlamak için BT denetçileri ve işlemleri denetleyen denetçiler birlikte çalışabilirler. Olgunluk seviyesine ulaşmış bir iç denetim kurumunda böyle bir durumda denetim sürecine kimin liderlik edeceği önemli değildir. Önemli olan, optimum denetim sonucuna ulaşmak için gösterilecek işbirliği düzeyidir. 17

18 Çerçeveler ve Standartlar BT denetim işlemi yapılırken denetçilerin karşılaştığı zorluklardan birisi de denetimin neye kıyasla yapıldığı sorusudur. Çoğu kurum, kullandığı uygulama ve teknolojilerin tümü için ilgili BT kontrol taban çizgilerini belirlememiştir. Teknolojide gözlemlenen hızlı değişiklikler bu tür taban çizgilerini çok kısa bir sürede kullanışsız hale getirebilir. İDY, işe belirli bir BT kontrol amaçlar kümesiyle başlamalı ve o denetim ortamına yüzde yüz tam anlamıyla uygunluk göstermese de uygun bir çerçeve seçmelidir. COSO ve COBIT İDY, kapsamlı bir BT kontrol amaçlar kümesine nereden ulaşabilir? COSO İç Kontrol Bütünleşik Çerçeve ve Kurum Risk Yönetimi Bütünleşik Çerçeve belgesi sıkça başvurulan bilgi kaynaklarıdır, ancak bu kaynaklar BT odaklı değildirler. COSO temelli bir kontrol ortamı, BT kontrol ortamını etkili bir şekilde değerlendirmek için daha detaylı BT kontrol amaçlarıyla genişletilmelidir. Bunun için bir dizi seçenek mevcuttur. BT yönetişimi ve kontrol çerçevesi için yaygın olarak kullanılan bir denetim aracı, Bilgi Sistemleri Denetim ve Kontrol Derneği nin (ISACA) Bilgi ve Bağlantılı Teknolojiler için Kontrol Amaçları (COBİT) başlıklı rehberidir. İlk olarak 1994 yılında yayımlanan bu rehberin 5. Versiyonu 2012 yılında yayımlanmıştır. COBIT, COSO ya da diğer çerçevelerle rekabet eden bir rehber değildir. COBIT, diğerlerine kıyasla daha sağlam BT-özgü kontrol amaçları sunduğu için bu rehberleri tamamlayacak şekilde kullanılabilir. Politikalar, Standartlar ve Prosedürler COBIT gibi bir çerçeve, genel kabul görmüş BT kontrol amaçlar kümesi sunarak yönetim kademesinin BT risklerini ölçmesini ve yönetmesini sağlayacak bir yaklaşım oluşturmasına yardım eder. Yönetim kademesi genelde bu tür çerçeveleri kapsamlı bir BT politikaları, standartları ve prosedürleri kümesi geliştirmek için kullanır. Politika, standartlar ve prosedürlere ilişkin ilgili kaynaklara dair genel bir bakış, EK A da bulunabilir. 18

19 9. Raporlama İDY ler; kurul 2, icra kurulu, düzenleyiciler, dış denetçiler gibi ana paydaşlara ya da BİY ye BT denetim işinin sonuçlarına ilişkin diğer güvence işlerindekine benzer şekilde düzenli raporlar verirler. Ana paydaşlarla nasıl iletişim kurulacağı konusunda detaylı bilgi için lütfen Yönetim ile İletişim başlıklı IIA Mesleki Uygulama Rehberine bakınız. Çoğu denetim raporunda olduğu gibi, BT denetim raporlarını okuyan kişiler, aslında görüşülen ya da kontrolleri yürüten kişilerin çok üstünde yönetim kademesinden kişiler olabilir. Denetim raporları en önemli bilgileri tam ve açık şekilde aktarmalı, böylece yapılan gözlemler ya da ele alınan sorunlar iyice anlaşılmalı ve ilgili yönetim bunlara gereken cevabı verebilmelidir. Belirlenen sorunları ve bunlarla bağlantılı riskleri ele alacak etkili eylem planları yönetim tarafından uygulanmadıkça, iyi yapılmış bir denetim para ve zaman israfıdır. Yönetim kademesi genelde neyin yanlış olduğunu bulmak için yapılmış denetim süreçlerine ait raporları okumak istemezler. Yönetim kademesi, neyin yanlış olduğunu, bunun olası sonuçlarının neler olduğunu ve buna ilişkin ne tür adımlar atılması gerektiğini gösteren raporlar isterler. Denetim faaliyeti icra edilirken iç denetim işlevi bütüncül bir yaklaşımla ele alınmalıdır. Kurumların çoğu BT sistemlerine bütünüyle bağımlı oldukları için güvence sağlamak içim kurumun BT ortamında gözlemlenen riskler ve kontrolleri rapor etmek İDY nin genel yaklaşımı olmalıdır. (Belki de verimlilik sebebiyle) tek başına denetlenmesi gereken BT süreçleri ve BT altyapısı olabilir ancak genel olarak izlenmesi gereken yaklaşım bütün değer zincirlerinin (hem ticari hem de BT) denetlenmesidir. Bu tür denetimler yürütülürken yönetim kademesine BT bağlantılı risklere kıyasla daha kolay iletilebilecek olan ticari risklere fazla odaklanılmalıdır. BT bağlantılı bir risk eninde sonunda ticari risklere yol açar ancak bu ikisi arasındaki bağlantı açık değildir. Pekâlâ, raporlama aşamasından bakıldığında iç denetim güvencesinin bir parçası olarak ne tür bir BT denetim işlemi gerçekleştirilmelidir? Kablosuz ağların denetimi mi yapılmalıdır? Ağ inşası ve tasarımına ilişkin bir denetim mi yapılmalıdır, yoksa elektronik tasarım 2 Kurul kelimesi Standartlar sözlüğünde şöyle tanımlanmaktadır: Kurumun faaliyetlerini ve idaresini yönlendirme ve/veya gözetleme sorumluluğuna sahip en yüksek yönetim organı. Genellikle bu ifade bağımsız bir grup yöneticiyi (yönetim kurulu, denetim kurulu, yöneticiler ya da tröstler kurulu) kapsar. Böyle bir grup yoksa Kurul kelimesi kurumun en tepesindeki kişiye atıf yapar. Kurul kelimesi, yönetim organının bazı işlevleri devrettiği bir denetim komitesine de atıf yapabilir. 19

20 uygulamalarının gözden geçirilmesi mi sağlanmalıdır? Denetimler bu tür ayrımlara göre yapılırsa denetim bulgularının sadece incelenen münferit teknolojik parçalarla ilgili olması riski vardır. Bazı kişiler için bu tür bir rapor doğru ve yeterli görülebilir, yönetim ya da icra kurulu teknik konularla ilgili detaylarla ilgilenmeyebilir ya da bunları anlamayabilir. Bu kademedeki kişiler genelde ticari konularla ilgili BT denetim bulgularını görmek isterler. Bu nedenle, BT denetim işlemi süreç denetçileri, işlem denetçileri ve finansal denetçilerle birlikte ve onların uyguladığı usullerle yapılmalıdır. Bu, özellikle sistemde çok sayıda ana proses kontrollerinin bulunduğu büyük entegre ERP sistemi için geçerli bir durumdur. Veri merkezi ya da kablosuz ağlar gibi merkezi altyapıya ilişkin bazı durumlarda denetimin zor olduğunu yine de unutmayınız. Bu durumlarda bu tür denetimlerin münferit bileşenler için yapılması daha uygundur. Ancak denetim sırasında tanımlanan risklerin ticaret diline ve ticari risklere dönüştürülerek ifade edilmesi gerekir. Rapor yazarları, raporlarını hedef kitlenin konuya ilişkin yeterli bilgi düzeyine sahip ancak denetlenen alana ilişkin spesifik tecrübesi eksik okuyucular olduğunu varsayarak yazmalı ve vermek istedikleri mesajları ağdalı bir dilin ya da teknik terimlerin ardına gizlememelidir. İDY nin amacı açık, anlaşılabilir ve dengeli bir mesaj iletmektir. 10. Denetim Araçları İDY, denetim işleminin etkinliğini ve verimini artırmak için çeşitli araçları ve/veya teknikleri kullanma imkânlarını aramalıdır. Genel olarak, denetim araçları yatırım gerektirir; bu nedenle, İDY bir araca yatırım yapmadan önce o araca ilişkin maliyetleri/yararları dikkatle incelemelidir. Denetim araçları iki genel kategoride incelenir: Denetim işleminin genel yönetimini destekleyen (burada tanımlanmayan) denetimi kolaylaştırıcı unsurlar (elektronik evrak yönetim aracı gibi) ve denetim testlerinin performansını otomatikleştiren test araçları (veri analiz araçları ve CAATS gibi). BT Test Araçları Test araçları, çok sayıda verinin gözden geçirilmesi gibi zaman alıcı denetim görevlerini otomatik olarak yapabilen araçlardır. Denetim prosedürlerinin yerine getirilmesi için bir aracın kullanılması, tutarlılığın sağlanmasını da sağlar. Örneğin sunucu güvenlik konfigürasyonun değerlendirilmesi için bir aracın kullanılması, bu araçla test edilen diğer tüm sunucuların da aynı taban çizgisi temelinde değerlendirilmesini sağlar. Bu prosedürlerin elle yapılması, işin içine bir parça da olsa denetçinin yorumunun karışmasına neden olur. Son 20

21 olarak, bu tür araçların kullanılması denetçiye sadece belli bir işlemler numunesinden ziyade tüm verilerin incelenmesi imkânını verir. Bu da denetimin güvence düzeyinin daha da artmasını sağlar. İDY ler, BT denetim araçlarını elde ederken ticari araçların seçiminde gösterdikleri hassasiyetin (işlevsellik, destek) aynısını göstermelidirler. Güvenlik Analiz Araçları: Büyük ölçekli cihazları ve/veya kullanıcıları gözden geçirebilen ve bunların güvenlik maruziyetlerini tanımlayabilen bir dizi araç vardır. Çok farklı türde güvenlik analiz araçları olmakla birlikte en yaygın kullanılan ağ analiz araçları şunlardır: Ağ Analiz Araçları: Bunlar bir ağ üzerinde çalıştırılabilen yazılım araçlarından oluşur ve ağ hakkında bilgi toplarlar. Hackerlar saldırının başında ağ yapısının nasıl olduğunu belirlemek için genelde bu araçlardan birini kullanır. BT denetçileri bu araçları aşağıda sayılan bir dizi işlem için kullanabilir. Şirket ağının haritasını çıkararak ağ şemasının doğruluğunu teyit etmek. Denetim sırasında üzerinde ilaveten durulması gereken temel ağ cihazlarını belirlemek. Ağ üzerinde ne tür bir bilgi trafiğine izin verildiği hakkında bilgi toplamak (bu, BT risk değerlendirme sürecini doğrudan destekler). Hassasiyet Değerlendirme Araçları Çoğu teknolojiler, varsayılan ID ler ve şifreler ya da varsayılan ayarlar gibi cihaz kutudan çıkarıldığında mevcut olan ayarlar gibi bir dizi standart hassasiyete sahiptir. Bu değerlendirme araçları standart sistem açıklarına karşı otomatik bir kontrol mekanizması sağlarlar. Bu araçlar güvenlik duvarları, sunucular, ağlar ve işletim sistemleri için kullanılabilir. Bunların çoğu tak ve kullan tarzında araçlardır. Denetçi bu araçları istediği sisteme arama için belirlediği bir değer aralığında takar ve cihaz bu aralıkta tanımlanan mevcut hassasiyetleri toplayarak rapor eder. Bu araçlar, sadece hackerların kuruma saldırmak için kullandığı araçlardan birisi olmaları bakımından değil aynı zamanda bir dizi başka sebepten dolayı da denetçiler için önemli araçlardır. Taradıkları sistemin bütünlüğüne etki edebilecek kapasitede oldukları için bu 21

22 araçların bazılarının zararlı olabileceği de unutulmamalıdır. Denetçi, bu araçların kullanım planını güvenlik şefiyle gözden geçirmeli ve bazı durumlarda test süresinin üretim prosesine etki etmemesi için araçları BT yönetimiyle koordineli bir şekilde test etmelidir. Bu araçların bazıları sistem yöneticileri ya da güvenlik şefleri tarafından sistem yönetim sürecinin bir gereği olarak düzenli bir biçimde kullanılıyor olabilir. Böyle durumlarda bu araçlar, usulüne uygun tasarlanması ve uygulanması halinde BT denetim işlemini destekleyecek nitelikte sonuçlar verebilir. Uygulama Güvenlik Analiz Araçları Büyük entegre uygulamaların birçoğu, önceden belirlenmiş kurallara kıyasla kullanıcı güvenliğini analiz eden ve tedarikçi tarafından sunulan uygulama güvenlik analizi araçlarına sahiptir. Bu araçlar, uygulama içinde görevlerin nasıl dağıtıldığını da değerlendirebilir. İDY, bu araçların çoğunun önceden belirlenmiş kurallar kümesi ya da tedarikçi tarafından ayarlanmış iyi uygulamalar yüklenmiş halde geldiğini bilmelidir. 11. Sonuç Teknoloji bağlantılı yeni riskler ortaya çıktıkça bu riskleri yeterince ele alacak yeni prosedürlere ihtiyaç duyulmaktadır. Son 15 yılda teknolojinin iç denetim işlevinin doğasını değiştirdiğine şüphe yoktur. Kurumlar risklerle karşılaştıkça, yapılması gereken denetim türleri, hangi denetim evrenlerine öncelik verileceği ve önemli bulguların yönetim kurulu ve üst yönetime nasıl iletileceği gibi konular İDY lerin ele alması gereken sorunlar olmuştur. Ticari strateji rehberleri, denetim evreni ve risk değerlendirmesi için rehberlik ederler ve yönetim kurulu ve idare için neyin önemli olduğu ve mevcut işlemlerde ne gibi değişiklikler yapılması gerektiğini belirler. Bu nedenle, İDY nin hem ticari stratejiyi hem de bunun kurumdaki rolünü ve bunların birbirleri üzerindeki etkisini anlaması önemlidir. İDY, kurum işlemleri ve BT altyapısının haritasını çıkarırken kurum içindeki çeşitli teknolojiler ve operasyonel ilişkilerin etkilerini görme şansına sahip yegane kişidir. BT projeleri kurumlarda değişikliğin itici gücü olan temel unsurlardır ve çoğu zaman yönetim tarafından ticari stratejiyi uygulamak için kullanılan mekanizmalardır. Denetim planının BT bileşenleri geliştirilirken bir İDY nin karşılaştığı ilk zorluklardan birisi, kurum içinde BT faaliyetinin tanımlanmasıdır. BT ortamlarında büyük çeşitliliklerin olduğunu bilen bir İDY, BT tanımına, onu bileşenlere bölerek ulaşabilir. Her bileşen bir 22

23 yandan farklı özellikte, bir yandan da önemlidir. Risk temelli yaklaşım iç denetim faaliyetlerinin hemen hemen tümü için uygulanan genel bir kavramdır. Denetim evreni, BT yi içermelidir, çünkü ticari işlemler ile BT arasında güçlü bağlantılar vardır. Bu riskleri ele alırken İDY nin ele alması gereken temel bileşenlerden birisi denetim ekibinin gerekli beceri düzeyine sahip olmasını sağlamaktır. Ek olarak, İDY ler denetimin etki ve verimliliğini artıracak araç ve/veya teknikleri kullanma imkanlarını da araştırmalıdır. Herhangi bir ticari araca benzer şekilde denetim araçları da hem zaman hem de kaynak yatırımı isteyen araçlardır. Bu nedenle, İDY bu tür araçlara yatırım yapmadan önce bu aracın maliyet/yarar dengesini dikkatle düşünmelidir. Son olarak, BT denetim işleminin icrası diğer denetim işlemlerinden genelde farklı değildir. Denetçi denetimi planlar, ilgili kontrolleri tanımlar ve belgelendirir, tasarımın ve kontrollerin operasyonel verimliliğini test eder, bir sonuca varır ve bu sonuçları test eder. Benzer şekilde, denetçiler, BT denetim işlemine ilişkin sonuçları yönetim kurulu, icra kurulu, düzenleyici otoriteler ve dış denetçiler gibi ana paydaşlara ve Bilgi İşlemleri Yöneticisine (BİY) diğer güvence hizmetleri sırasında yaptıkları gibi düzenli rapor ederler. 12. Yazarlar ve Gözden Geçirenler Yazarlar: Stephen Coates, CIA, CGAP, CISA Max Haege Rune Johannessen, CIA, CCSA, CRMA, CISA Jacques Lourens, CIA, CISA, CGEIT, CRISC Cesar L. Martinez, CIA, CGAP Gözden Geçirenler: Steve Hunt, CIA, CRMA, CISA, CGEIT Steve Jameson, CIA, CCSA, CFSA, CRMA 23

24 EK A: Standartlar için Kaynaklar Rehber hazırlanırken dikkate alınan bazı standartlar şunlardır: ISO 27001: Uluslararası Standardizasyon Kurumu tarafından başlangıçta bir Birleşik Krallık Standardı (BS7799) olarak yayımlanan daha sonra ise ISO olarak bilinen uluslararası düzeyde geçerli bir standarda dönüşen bu standart güvenlik standartlarıyla ilgili jenerik bilgiler verir. Bilgi güvenliğinin yönetimine ilişkin en iyi uygulamaları içeren bu standart aynı zamanda BT denetçilerinin denetimlerinde taban çizgisi olarak kullandığı yararlı bir kaynaktır. Kapasite Olgunluk Model Entegrasyonu (CMMI): Kapasite Olgunluk Modelleri (CMM ler) kavramı, Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü tarafından temelde yazılım kullanımı olmak üzere bir kurumdaki bir dizi süreç için geliştirilmiştir. En son geliştirilen yaklaşım CMMI dir. Amerika Birleşik Devletleri Bilgisayar Güvenlik Kaynağı Merkezi: Standartlar ve Teknolojiler Ulusal Kurumunun (NIST) bir birimi olarak faaliyet gösteren Amerika Birleşik Devletleri Bilgisayar Güvenlik Kaynağı Merkezi, bilgi güvenliği kontrol konularına ilişkin detaylı bilgiler veren kapsamlı bir dizi yayın sunmaktadır. Kablosuz Yerel Ağların Güvenliğine ilişkin Rehberler (WLAN lar) ve Kamunun Bulut Teknolojisini Kullanımında Güvenlik ve Gizliliğe ilişkin Rehberler örnek yayınlardandır. Bu standartlar tüm sektörlerde kullanılabilecek en iyi uygulamaları göstermektedir. SysAdmin, Denetim, Ağ, Güvenlik (SANS) Enstitüsü: Bilgi güvenliği eğitimi konusunda dünyada en güvenilen kurumlardan biri olan SANS Enstitüsü çeşitli teknolojilerinin çeşitli güvenlik yönlerine ilişkin birçok eser yayımlamaktadır. SANS yayınları, BT denetçisinin denetim sırasında referans alabileceği bir dizi spesifik koşulu göstermektedir. 24

25 BT Altyapı Kütüphanesi (ITIL): ITIL, dünya çapında BT hizmetlerinin yönetimi için en yaygın kabul edilen yaklaşımdır. ITIL, hem kamu hem de özel sektör için uluslararası düzeyde geçerli en iyi uygulamaları içerir. Tedarikçilere Özgü Standartlar: Birçok teknoloji tedarikçisi ürettikleri teknolojiler için güvenlik ve kontrol rehberleri yayımlamaktadır. Örneğin SAP firması, SAP ERP uygulamasının güvenlik ve kontrolü için detaylı tavsiyeler içeren bir güvenlik rehberi çıkartmaktadır. Tedarikçiler tarafından yayımlanan bu standartlar, güvenlik ve kontrol konularını bazen NIST tarafından çıkarılan rehberler kadar ele almayabilse de iyi bir başlangıç yapılmasına imkân verirler. İDY ler spesifik standartların olup olmadığını görmek için tedarikçilerin kritik görevlere sahip sistemlerini kontrol etmelidir. Çoğu kez tedarikçiler konuyla ilgili bir şey yayımlamazken o teknolojiyle ilişkili kullanıcı grupları (yani farklı SAP Kullanıcı Grupları) yayın yapmış olabilir. 25

26 EK B: BT İnşa Modelleri: Rehber hazırlanırken dikkate alınan bazı BT İnşa Modelleri ve referansları şunlardır: Abu Dabi BT İnşa & Standartlar Çerçevesi: Sekiz kademeli çerçeve temelinde hazırlanan bu kaynak BT ortamının tüm özelliklerini ele alır. Ticaret, Erişim & Sunum, Uygulama, Veri, Entegrasyon, Altyapı, Güvenlik ve İşlemler ele alınan konulardır. AndroMDA: Modern kurum uygulamaları birbirine bağlı ve her biri ayrı bir işlevi yerine getiren bir dizi bileşen kullanılarak inşa edilir. Benzer işlevleri yerine getiren bileşenler genelde aynı kademe başlığı altında gruplandırılır. Daha sonra bu bileşenler, üst kademedeki bileşenin alt kademedeki bileşenin sunduğu hizmetleri kullandığı bir küme halinde düzenlenir. Bahsedilen kademedeki bir bileşen genelde kendi kademesine ait işlevleri ya da alt kademenin işlevlerini kullanır. TOGAF : İş verimliliğini artırmak için dünyanın önde gelen kurumları tarafından kullanılan bir Açık Grup Standardı olan TOGAF işlevselliği kanıtlanmış bir kurum inşa metodolojisi ve çerçevesidir. 26

27 GTAG Enstitü Hakkında 1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur. IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel eğitmenidir. Mesleki Uygulama Rehberleri Hakkında Mesleki Uygulama Rehberleri, iç denetim faaliyetlerinin icra edilmesi için detaylı bilgiler sunarlar. Araçlar ve teknikler, programlar, aşama aşama izlenmesi gereken yaklaşımlar gibi süreç ve prosedürlere ilişkin detaylı bilgilere ek olarak örneklere de bu rehberlerde yer verilir. Mesleki Uygulama Rehberleri IIA in yayımladığı UMUÇ un bir parçası değildir. Israrla tavsiye edilen rehberler kısmında yer aldığı için bu rehbere uyulması zorunlu değildir ancak uyulması önemle tavsiye edilir. Bu rehber, resmi bir gözden geçirme ve onay sürecinin ardından IIA tarafından tasdik edilmiştir. Global Teknolojiler Denetim Rehberi (GTAG); bilgi teknolojisi yönetimi, kontrolü ve güvenliğine ilişkin güncel konuları ele almak için sade bir ticari dille yazılmış bir tür Mesleki Uygulama Rehberidir. IIA tarafından yayımlanan diğer kabul görmüş rehberlere ulaşmak için lütfen internet sayfamızın bölümünü ziyaret ediniz. Sorumluluk Reddi Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez. Telif Hakkı Copyright 2013 The Institute of Internal Auditors. Çoğaltmak için lütfen IIA in guidance[at]theiia.org e-posta adresine başvurunuz. Uluslararası İç Denetçiler Enstitüsü 27