BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ

Transkript

1 BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ Ahmet TOPKAYA Sayıştay Başdenetçisi Sanayi toplumundan bilgi toplumuna geçiş ile rekabet üstünlüğü yaratmada bilgi ve teknolojinin rolünün artmış olmasından dolayı, hem kamu hem de özel sektör kurumları bilgi ve iletişim teknolojileri alanında yaşanan gelişmeleri yakından takip etmek ve çağı yakalamak adına bilişim sistem ve teknolojilerini kullanma gerekliliğini benimsemişlerdir. Bilişim teknolojisinde yaşanan büyük gelişmeler ışığında, kamu ve özel sektör kuruluşları iş akışları içerisinde karar süreçlerinde kolaylık sağlamak amacıyla bilişim sistemlerini yoğun bir şekilde kullanmaya başlamıştır. Eskiden manuel olarak yapılan birçok işlemin gerçekleştirilmesinde artık bilgisayarlar tüm yönleriyle kullanılmakta olup, bilgi ve belgelerin bilişim ortamında üretilmesiyle eskiden çok uzun süre alan ve herkesin şikâyetçi olduğu işlemler daha kolay ve kısa sürede tamamlanabilmektedir. Tüm bu yaşanan gelişmeler doğrultusunda, bilişim ortamında üretilen bu bilgi ve belgelerin değiştirilebilir olması güvenilirliği konusunda tartışmalar başlatmıştır. Bilişim sektörünün en önemli konularından olan güvenlik ve gizlilik tehditleri bugün tüm bilişim kullanıcılarının gündeminde bulunmaktadır. Bu tehditleri, kullanıcı kaynaklı, hizmet sağlayıcısı kaynaklı ve suç kaynaklı olmak üzere üç sınıfta incelemek mümkündür. Kullanıcı kaynaklı güvenlik ve gizlilik tehditleri, genel olarak bilinçsiz kullanım ve diğer kaynaklardan gelen tehditlere karşı alınması gereken önlemlerin alınmaması ile ortaya çıkmaktadır. Hizmet sağlayıcı kaynaklı tehditler ise, hizmet sağlayıcısı firmaların; sağladıkları hizmette, suç kaynaklı tehditlerin önlenmesi için gereken altyapıları kurmaması ve müşterilerini güvenlik konularında yeterince yönlendirememesidir. Suç kaynaklı tehditler ise, temelde bilişimin sistematik ya da sistematik olmayan yollarla kullanılması suretiyle, çoğunlukla maddi zarar verme sonucunu doğuran fiillerin işlenmesi şeklinde özetlenebilir. Suç kaynaklı olan güvenlik tehditlerinden en yaygın bilinenleri virüsler, trojenler, keylogger 23 TEMMUZ - AĞUSTOS - EYLÜL 2011

2 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri gibi programlar ile hacker olarak hareket eden kişi ya da kurumlardır. Bu çerçevede kavram kargaşasına fırsat vermemek için bilişim sistemi ve bilişim sistemlerinin tanımın yapılması faydalı olacaktır. Bilişim sistemi, alt, orta ve üst düzey yöneticiler için karar verme sürecinde gerekli olan bilgiyi toplayan, işleyen, saklayan ve elde edilen verileri raporlayan ve çıktıyı bir kurumdaki sorumlu kişilere tekrar göndererek girdilerin değerlendirilmesini ve düzeltilmesini sağlayan; yöneticilerin veri veya bilgi işlemesini sağlayan bilgisayar destekli sistemlerin genel adıdır. Bu bağlamda bilişim sistemleri, kurumlarda işlevsel düzeyde, bilgi düzeyinde, yönetim düzeyinde ve stratejik düzeyde kullanılabilmektedir. Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar (network) ve onları kullanan insanlardan oluşur. Bir kurumda bilişim sistemlerinin kullanılmasıyla, doğru ve güvenilir veri tabanları oluşturulması, verilere kolay ulaşım sağlanması, veri girişi sonrasında manuel ortamda yapılan birçok ara işlemin ortadan kalkarak bu işlemlerin otomatik yapılması, verilerin saklanmasında yer tasarrufu sağlanması, kolay dosya yönetimi sayesinde işlemlerin daha hızlı yapılması, karmaşık olan işlemlerin daha kolay bir şekilde çözülebilmesi, iş verimliliğinin artması ve maliyetlerin düşmesi gibi imkânlardan yararlanılabilmektedir. 1. Bilişim Sistemlerinin Gelişimi Bilişim sistemleri örgütlerin yönetim anlayışlarında meydana gelen değişikliklere paralel olarak gelişim göstermiştir. Başlangıçta bilişim sistemleri kağıt kalem kullanılarak elle tutulan sistemler şeklinde ortaya çıkmış, zaman içinde teknolojik gelişim ve bu gelişime uyum sağlama gereksinimiyle beraber bilgisayar temelli bilişim sistemleri geliştirilmiştir. Geliştirilen ilk bilişim sistemi, 1950 li yıllarda temelde ticari işlemlerin izlenmesi, bordro, ücretlendirme ve hesaplama işlemleri konusunda yardımcı olması düşünülen ve elektronik işlem düzeyinde işlem yapan Kayıt İşleme Sistemidir arası dönemde yöneticilere bilgi raporlama amacıyla Yönetim Raporlama Sistemleri ve ardından yöneticilerin karar almalarını kolaylaştırmak amacıyla Yönetim Bilişim Sistemleri geliştirilmiştir. Bu dönemde yöneticiler bu sistemleri yalnız karar alma sürecine yardımcı olacak bilgilerin sağlanması, saklanması ve raporlanması amacıyla kullanmışlardır arası dönemde bilgisayar ve iletişim teknolojileri alanında yaşanan hızlı gelişmeler sonucu bilgisayar kullanıcıları gereksinim duydukları bilgileri bireysel bilgisayarlarını kullanarak kolaylıkla elde edebilir hale gelmişlerdir. Bu dönemde Yönetim Bilişim ve Raporlama Sistemleri daha da geniş bir uygulama alanı bulmuş ve Ofis Otomasyon Sistemleri ve yönetsel kararların alınmasında karşılıklı etkileşim imkanı sağlayan Karar Destek Sistemleri geliştirilmiş, örgütler bilişim teknolojilerine yatırım yaparak rekabetçi üstünlük sağlamaya başlamışlardır li yıllarda sanayi ötesi toplum ya da bilgi toplumu diye adlandırılan yeni bir toplum yapısı oluşmaya başlamış, bilgi devrimi sonucunda bilginin toplanması, işlenmesi ve dağıtılması, tüm üretim biçimlerini, ilişkilerini ve bunlara ek olarak günlük yaşamı sürdürme tarzlarını tümüyle değiştirmeye başlamıştır. Bu yıllarda Karar Destek Sistemlerinin her kararın alınmasında destekleyici olamaması sonucu alt, orta ve üst düzey yöneticilerin karar vermelerini kolaylaştıracak kritik bilgileri sağlamak amacıyla Üst Yönetim Bilişim Sistemleri ve programlandıkları alanda uzman görüş sağlayarak karar vericiyi destekleyen Uzman Sistemler geliştirilmiştir larda strateji geliştirme ve uygulama sürecinde üst düzey yöneticileri desteklemek, örgütlerin stratejik amaçlarına ulaşmalarını ve rekabetçi üstünlük kazanmalarını sağlamak amacıyla Stratejik Bilişim Sistemleri geliştirilmiştir li yıllara geldiğimizde artık yapay zekâya sahip bilgisayar ve robotlar geliştirilmiş ve bunlar iş süreçlerinde kullanılmaya başlanmıştır. Bu gelişim süreci de göstermektedir ki; bilişim sistemlerinin yönetimi, denetimi ve uygulamaya ilişkin hususların genel kabul görmüş standartlara uygun olarak düzenlenmesi gerekmektedir. Aksi takdirde yukarıda bahsettiğimiz gibi bilişim sistemleri ile ilgili güvenlik ve gizlilik tehditleri her zaman varlığını koruyacaktır. Bilişim sistemlerinin ve özellikle bilgisayarın işlemlerde kullanılmasıyla teknolojinin kendine özgü riskleri de beraberinde gelmekte olup, manüel sistemden farklı olan bu yeni sistemde üretilen çıktıların doğrulu- 24 TEMMUZ - AĞUSTOS - EYLÜL 2011

3 Ahmet TOPKAYA ğunun kontrol edilmesi ve bilgi, belgelerin güvenilirliğinin sağlanması gereği özellikle bilişim sistemlerinin denetlenmesini zorunlu kılmaktadır. Başka bir deyişle, denetçilerin etkin bir denetim yapmak için ihtiyaç duydukları bilgi ve belgeleri sanal ortamdan elde etmeleri sonucunda, denetimde kullanılacak olan bu bilgilerin doğruluğu hakkında güvence verilmesi gerekmektedir. Bu güvence olgusu bilişim sistemleri denetiminin gerekliliğini ortaya çıkartmıştır. Teknolojide yaşanan gelişmeler doğrultusunda güncel denetim yaklaşımlarından bir tanesi olan bilişim sistemleri denetimi; işletmelerin sahip oldukları bilişim sistemleri kaynaklarının değerlenmesi sürecidir. Bu noktada bilişim sistemleri ile ilgili unsurların güvenlik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşılmadığı dikkatlice incelenmelidir. Bilişim sistemleri denetimi daha açık bir ifadeyle, bir bilişim sisteminin, kurum amaçlarına etkin bir şekilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürülmesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci olarak tanımlanabilmektedir. Bu çerçevede bilişim sistemleri denetimlerinde ve bilişim sistemlerinin güvenlik ve güvenilirliğinin değerlendirilmesi aşamalarında genel kabul görmüş uluslararası standartların kullanılması esas alınmalıdır. 2. Bilgi Teknolojileri Yönetim İlkeleri ve Kontrol Çerçeveleri Bilgi sistemlerini yoğun olarak kullanan kurumların bilgi sistemleri ile iş hedeflerinin uyumlu olup olmadığını, iş süreçlerini desteklediğini, kaynakların sadece yetkili kullanıcılar tarafından kullanıldığını, müşteri ve kurum bilgilerinin güvenliğinin sağlandığını, bilgi sistemlerinden elde edilen bilginin doğru, güvenilir ve güncel olduğunu, bilgi sistemlerinin sürekliliğine ilişkin çalışmalar yapıldığını garanti altına alması gerekmektedir. ilişkin olarak ISO Bilgi Güvenliği Yönetimi Sistemi (ISO BGYS) ve IT Governance Institute tarafından ortaya konulan COBIT çerçeve dokümanıdır. Ayrıca IN- TOSAI (Uluslararası Yüksek Denetim Kurumları Birliği) tarafından yayınlanmış denetim standartlarında da bilişim sistemleri ile ilgili standartlar mevcuttur. 3. ISO (International Organization for Standardization), Uluslararası Standartlar Teşkilâtı Standartları ISO (International Organizationfor Standardization), Uluslararası Standartlar Teşkilâtı, Uluslararası Elektroteknik Komisyonu nun çalışma sahasına giren elektrik ve elektronik mühendisliği konuları dışında, bütün teknik ve teknik dışı dallardaki standartların belirlenmesi çalışmalarını yürütmek gayesiyle 1946 da Cenevre de kurulan uluslararası teşkilâttır. Uluslararası Standartlar Teşkilâtına üye ülkelerin sayısı 162 dir. Teşkilât üyesi olan millî birimler kendi ülkelerinde standartlar konusunda en yetkili kuruluşlardır. Her ülke teşkilatta yetkili bir organ tarafından temsil edilir. Standartlaştırma, ölçme, adlandırma ve yabancı adları çeşitli dillere çevirmeyle, makinelerin, deney idarecilerinin, aletlerin, işlemlerin, yüzeylerin, malzemelerin ve parçaların taşıması gereken özelliklerin ve bu özelliklerin arz edilme biçiminin tespiti gibi konular Uluslararası Standartlar Teşkilatının faaliyet sahasına girer. Bu teşkilat talep üzerine özel bir ilmi standart konusunu çözüme bağlamak üzere uluslararası teknik komiteler kurarak bu komitelerin çalışmalarının neticelerini Uluslararası Standart (IS) olarak yayımlar. Teknolojik ihtiyaçlardan dolayı ISO standartları, her beş yılda bir gözden geçirilir ve gerekli değişiklikler yapılır. Dünya çapında BT yönetim ilkelerine ilişkin standart çalışmaların en önemlileri bir İngiliz kuruluşu olan Office of Government Commerce tarafından hazırlanmış olan ITIL (the IT Infrastructure Library), International Organisation for Standardisation ve International Electrotechnical Commission tarafından bilgi sistemlerine 25 TEMMUZ - AĞUSTOS - EYLÜL 2011

4 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri ISO nun bilgi güvenliğine ilişkin çerçeve niteliğindeki standardı ISO BGYS standardıdır. ISO BGYS standardı bilginin gizliliğinin ve bütünlüğünün nasıl korunacağına ve bilgiye sürekli erişimin nasıl sağlanacağı hakkında rehber bir çalışmadır. Bir İngiliz bilgi güvenliği standardı olan BS nin revize edilip 2005 in sonlarında ISO BGYS olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır. Bilgi güvenliği yönetim sistemi, bir kurumdaki tüm varlıkların değerlendirilmesi, bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını ve bu analiz sonucunda standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmasını gerektirir. Risk işleme için standartta öngörülen kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır. Planla - uygula - kontrol et - önlem al (PUKO) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir. uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi); BGYS nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını gerektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreçtir. ISO BGYS kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlayan tek denetlenebilir bilgi güvenliği yönetim sistemi standardıdır.(tse,2006). Bu çerçevede ISO standardı ile birlikte değerlendirilmesi gereken diğer ISO standartları şunlardır; PUKO DÖNGÜSÜ Planla (BGYS nin kurulması); Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin kurulması. Uygula(BGYS nin gerçekleştirilmesi ve işletilmesi); BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi. Kontrol Et (BGYS nin izlenmesi ve gözden geçirilmesi); BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve ISO 21827; veri işleme, veri güvenliği, veri depolama koruması, bilgisayar yazılımı, bilgisayar programları, bilgi alışverişi, veri transferi, organizasyonlar, yönetim, risk değerlendirmesi bilgi teknolojisi hakkında düzenlemeler içeren, güvenlik teknikleri, sistemleri, güvenlik mühendisliği çerçevesinde oluşturulmuş bir Yetenek Olgunluk Modelidir (SSE-CMM; The Systems Security Engineering Capability Maturity Model). İyi güvenlik teknikleri uygulandığından emin olmanız için olması gereken sistem güvenliği süreçlerinin temel özelliklerini tanımlar. ISO 27003; ISO grubu altında yer alan; bilgi güvenliğine yönelik metodoloji standartları çerçevesinde değerlendirilen Bilgi Güvenliği Yönetim Sistemleri - Uygulama Kılavuzları dır standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmiştir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer almaktadır. 26 TEMMUZ - AĞUSTOS - EYLÜL 2011

5 Ahmet TOPKAYA ISO/IEC 27004:2009, bu standart bilgi güvenliği yönetim metrikleri ve ölçümüne tahsis edilmiştir. Bilgi güvenliği yönetim sistemlerinin etkinliğinin ölçülmesi ve raporlanmasında kurumlara yardımcı olması amaçlanmaktadır. ISO/IEC 27005:2008, bu standart BS 7799 Kısım-3 BS : Bilgi Güvenliği Yönetim Sistemleri - Bilgi Güvenliği Risk Yönetimi Kılavuzları isimli İngiliz standardının ISO tarafından uyarlanması çalışmasını içermektedir. BS :2006 standardı 16 Mart 2006 tarihinde İngiliz standardı olarak kabul edilmiş, risklerin değerlendirilmesi, kontrollerin uygulanması, risklerin düzenli olarak izlenmesi ve gözden geçirilmesi gibi konu başlıklarını içermektedir. ISO/IEC 27006: 2007, bu standart Bilgi Teknolojileri Felaket Önleme Hizmetleri Kılavuzu olarak tanımlanmıştır. ISO/IEC 27031:2009, standardı ISO 17799/27002 standardı esas alınarak telekom sektörü için özel olarak geliştirilmektedir. ISO 18044:2004; bu standart Olay Yönetimi-İş Sürekliliği çerçevesinde oluşturulmuş bir standarttır. 4. COBİT (The Control Objectives for Information and related Technology- Bilgi Teknolojisi ve İlgili Teknolojilere İlişkin Kontrol Hedefleri) Tanım olarak CobiT, Control Objectives for Information and Related Technology nin kısaltılmış halidir. Türkçe ifade etmek gerekirse Bilgi ve ilgili teknoloji için kontrol hedefleri. Bu tanım, CobiT in amacını ifade etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır. CobiT i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Bu nedenle diğer standartlardan farklı şekilde, CobiT in tek veya grup halinde BT süreçlerine değil BT nin yönetilmesine odaklandığını söylemek doğru olur. CobiT in diğer bir özelliği de, içerisindeki süreçlerin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir. Esas olarak kontrol hedeflerinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır. Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir. Dört ana başlık altında yer alan 34 ana kontrol hedefi ve bunların altında yer alan 318 ayrıntılı kontrol hedefini içeren, bilişim sistemleri yönetimi ve denetimi alanında en geniş teorik çerçeveyi sunan ve tüm dünyada yaygın şekilde kullanılan bilişim sistemleri standardıdır. 34 kontrol hedefinin her birinin beş ayrı olgunluk düzeyinde değerlendirildiği COBIT, bilgi kriterleri olarak belirlediği, etkinlik, verimlilik, bütünlük, devamlılık, uyumluluk ve güvenirlilik unsurlarına vurgu yapar. CO- BIT, bilişim sistemleri süreçlerin nasıl işlediğine vurgu yapan süreç odaklı bir yaklaşım yerine, kontrol odaklı bir yaklaşım uygular (ITGI 2005) Tarihsel Gelişim BS 25999:2006; Yaşam döngüsünün merkezinde bulunmaktadır. Yaşam döngüsünün kalbi olarak düşünülebilecek bu parça, iş sürekliliği politikası ile belirlenmiş amaçların gerçekleştirilmesini sağlamak üzere yapılması gereken çalışmaları tanımlamaktadır. (Yandaki şekilde BS a ait yaşam döngüsü modeli gösterilmektedir) COBIT, ISACA 1 ve ITGI tarafından, BTY ilkelerine ilişkin olarak hazırlanan en iyi uygulamalar bütünüdür. COBIT, temelde bilgi teknolojilerinden maksimum faydanın sağlanması, organizasyon bazında uygun BTY ilkelerinin oluşturulması ve etkin bir kontrol ve denetim ortamının sağlanması amacıyla oluşturulmuş genel kabul görmüş ölçütler, göstergeler, süreçler ve uygulamalardan oluşan bir BTY çerçevesidir. COBIT in hedef 1 Information Systems Audit and Control Association 27 TEMMUZ - AĞUSTOS - EYLÜL 2011

6 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri kitlesi, yöneticiler, denetçiler, kontrol elemanları ve BT kullanıcılarından oluşmaktadır yılında yayımlanan COBIT 1.0 ilk başta uluslararası BT standartlarının, kılavuz dokümanların ve pratikte anılan kuralların en iyi şekilde uygulanması üzerine yapılan araştırmalar sonucunda geliştirilen Kontrol Hedeflerine, söz konusu kontrollerin ne ölçüde gerçekleştirildiğinin denetimine ilişkin kılavuz bir dokumanın ilave edilmesiyle oluşturulmuştur. COBIT 1.0 ve 1998 yılında yayımlanan COBIT 2.0, Free University of Amsterdam, California Polytechnic University ve University of New South Wales ten gelen araştırmacılardan oluşan ekibin çalışmalarıyla oluşturulmuş ve COBIT Proje Kontrol Komitesi nin bu çalışmaları konsolide etmesiyle sonuçlandırılmıştır yılında ise, uluslararası kaynaklardan faydalanılarak yapılan gözden geçirmeler, yönetimsel kontrollere ilave vurgu yapılması, BT performans yönetiminin ilk defa ortaya konulması ve BTY ilkelerin geliştirilmesi sonucunda COBIT 3.0 dokümanı ortaya çıkmıştır yılı sonunda ortaya çıkan Enron skandalının da etkisiyle 2002 yılında çıkarılan Sarbanes-Oxley Yasası nın öngördüğü sıkı iç kontrol düzenlemeleri de COBIT çerçevesinin ününü artırmasında etkili olmuştur. Nitekim Sarbanes-Oxley Yasası na tabi firmaların bu yasaya uyumlarını sağlamak üzere COSO 2 ve COBIT gibi çerçeve dokümanlarından faydalandıkları bilinmektedir. bit içerisinde birleştirilmesi, CobiT sertifikasyonunun mümkün hale getirilmesi gibi pek çok yenilik bekleniyor COBIT 4.1 in Yapısı COBIT dokümanı, üç ana bölüm ve eklerden oluşmaktadır. Yöneticiler için Bilgi Notu kısmı, yönetici düzeyindeki kişilerin kısıtlı bir süre içinde temel COBIT kavramlarının üzerinden geçebilmeleri için hazırlanmıştır. Çerçeve bölümünde, BT süreçlerinin organizasyon ihtiyaçları için nasıl kullanılabileceği, verilere ilişkin önemli kriterler (etkinlik, verimlilik, gizlilik, bütünlük, ulaşılabilirlik, ölçütlere uyum ve güvenilirlik) ve kritik BT kaynaklarının belirlenmesi konularında bilgiler verilmektedir. COBIT dokümanının üçüncü ve son kısmı olan Ana Doküman COBIT in çekirdeğini oluşturmaktadır. Bu bölümde COBIT tarafından belirlenmiş 34 adet BT sürecine ilişkin Üst-düzey Kontrol Hedefleri ve bu hedeflere ilişkin detaylı alt kontroller, yönetimsel kurallar ve olgunluk modellerine ilişkin açıklamalar yer almaktadır COBIT süreçleri CobiT içerisinde 4 ana başlık altında toplam 34 süreç bulunmaktadır. Yukarıda da belirttiğimiz gibi bu 34 süreç, pek çok şirket için BT fonksiyonlarının hemen hepsini kapsar. CobiT içerisinde aşağıdaki süreçler bulunmaktadır: Öte yandan ISACA ve ITGI nin, COBIT in sürekli olarak kendini yenilemesi ve geliştirmesini amaçlamaları nedeniyle, COBIT üzerinde çalışmalar 2000 li yıllarda da devam etmiş, önce COBIT 4.0 sonra da halen yürürlükte olan COBIT 4.1 dokümanı hazırlanmıştır. COBIT 4.0 ve COBIT 4.1 de organizasyonların faaliyetlerine, yönetici ve çalışanlara daha fazla odaklanılmış, her bir yönetici seviyesinde rehber kurallar getirilmiş, diğer standartlara (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799) olan uyum artırılmış ve karşılaştırılabilirliğin sağlanması için eşleştirme tabloları oluşturulmuştur. Yaklaşık iki yıl önce başlayan çalışmalar sonucunda 5.0 versiyonunun yayınlanmasına çok yaklaşılmıştır yılında yayınlanması beklenen yeni versiyon ile ISACA tarafından yayınlanan Risk IT ve Val IT nin Co- 2 COSO genel anlamda daha çok yönetimle ilgili ve daha az BT odaklı olan bir uluslar arası iç kontrol standardıdır. Planlama ve Organizasyon PO 1 Stratejik BT planının tanımlanması PO 2 Bilgi mimarisinin tanımlanması PO 3 Teknolojik yönün belirlenmesi 28 TEMMUZ - AĞUSTOS - EYLÜL 2011

7 Ahmet TOPKAYA PO 4 BT süreçlerinin organizasyonunun ve ilişkilerinin tanımlanması PO 5 BT yatırımlarının yönetimi PO 6 Yönetimin amaçlarının iletilmesi PO 7 BT İnsan kaynakları yönetimi PO 8 BT Kalite yönetimi PO 9 BT riskinin değerlendirilmesi ve yönetimi PO 10 Proje yönetimi Hizmet ve Destek DS 1 Hizmet seviyelerinin tanımlanması ve yönetimi DS 2 Üçüncü kişilerden alınan hizmetlerin yönetimi DS 3 Performans ve kapasite yönetimi DS 4 Hizmet sürekliliğinin sağlanması DS 5 Sistem güvenliğinin sağlanması DS 6 Maliyetlerin belirlenmesi ve dağıtılması DS 7 Kullanıcıların eğitimi DS 8 Hizmet sunumu yönetimi ve olay yönetimi DS 9 Konfigürasyon yönetimi DS 10 Problem yönetimi DS 11 Veri yönetimi DS 12 Fiziksel çevre yönetimi DS 13 Operasyon yönetimi İzleme ve Değerlendirme ME 1 Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi ME 2 İç kontrolün izlenmesi ve değerlendirilmesi ME 3 Mevzuata uyumun sağlanması ME 4 Bilgi sistemlerine ilişkin kurumsal yönetişimin temini 4.4. İçeriği CobiT içerisinde, yukarıdaki her bir süreç için aşağıdakiler bulunmaktadır: Sürecin tanımı; Edinim ve Kurulum AI 1 Çözümlerin belirlenmesi AI 2 Uygulama yazılımının geliştirilmesi ve bakımı AI 3 Teknoloji alt yapısının oluşturulması ve bakımı AI 4 Operasyon ve kullanımın sağlanması AI 5 BT kaynaklarının satın alınması AI 6 Değişiklik yönetimi AI 7 Çözümlerin ve değişikliklerin uygulanması ve akredite edilmesi Süreç tanımı, her CobiT sürecinin ilk sayfasında bulunur ve sürecin genel hatlarını belirler. İçerisinde şu bilgiler bulunur: İlgili süreç hedefleri Etkinlik Verimlilik Gizlilik Bütünlük Erişilebilirlik Uyum Güvenilirlik 29 TEMMUZ - AĞUSTOS - EYLÜL 2011

8 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri Sürecin amacı Sürecin, iş süreçleri açısından önemi Odaklanılan konular İçerisindeki temel faaliyetler Başarı göstergeleri İlgili BT yönetişimi alanları Stratejik uyum Değer üretimi Risk yönetimi Performans ölçümü Kaynak yönetimi İlgili BT unsurları Uygulama Bilgi Altyapı İnsan Süreç tanımı, CobiT in en çok kullanılan ve en faydalı alanlarından birisidir. Kullanımına örnek olarak her iş yerinde bulunan bir süreci ele alalım: Performans ve kapasite yönetimi. Elbette sistemlerimizin performans ve kapasitesini yönetiyoruz, peki şu soruların yanıtlarını verebiliyor muyuz? Kapasite ve performans yönetimi ne demektir? Biz bu süreci daha iyi işletince şirketin ticari faaliyetleri bundan nasıl yarar sağlamaktadır? Sürecin ana adımları nelerdir? Süreçte nelere odaklanılmalıdır? Performans ve kapasite yönetimini ne kadar iyi yaptığımızı nasıl ölçebiliriz? Detaylı kontrol hedefleri; Detaylı kontrol hedeflerinde sürecin işletilmesi ile ulaşılması gerekli hedefler yani iyi uygulamalar bulunmaktadır. Detaylı kontrol hedefleri, her süreç için farklı şekilde kategorilere göre ayrılmıştır. Bu bölüm ayrıca, CobiT esaslı denetimlerde uyulması gerekli bir kriter listesi olarak kullanılır. Benzer şekilde CobiT uyumluluğunun sağlanması amacıyla gerçekleştirilen süreç iyileştirme çalışmalarının da dayanak noktası detaylı kontrol hedefleridir. Örnek olarak DS3 Performans ve Kapasite Yönetimi süreci üzerinden ilerlemek istersek, içerisinde şu kategoriler altında, ulaşılması gerekli hedefler bulunmaktadır: DS3.1 Performans ve kapasite planlaması DS3.2 Mevcut kapasite ve performans DS3.3 Gelecekteki kapasite ve performans DS3.4 BT kaynaklarının erişilebilirliği DS3.5 İzleme ve raporlama Yönetim Kılavuzları; Sürecin yönetilmesi için gerekli bilgilere yer verilmektedir. İçerisinde şu konularda bilgiler bulunur: Süreç girdileri ve çıktıları: Sürece girdi olabilecek bilgiler, dokümanlar veya diğer faaliyet sonuçları ile bu sürecin sonunda diğer süreçlere girdi olacak unsurlar. Süreçteki roller ve sorumluluklar (RACI tablosu): Her bir süreçle ilgili öne çıkan faaliyetler ve bu faaliyetlerin gerçekleştirilmesi sırasında işletimden sorumlu, hesap vermekten sorumlu, danışılan ve bilgi verilen organizasyonel roller. Süreç hedefleri ve ölçüm kriterleri: Sürecin hangi şartlar gerçekleştiğinde başarılı sayılacağı ve sürecin ne kadar iyi işletildiğinin nasıl ölçülebileceği Olgunluk Modeli ; CobiT, ayrıca her bir sürecin ne kadar olgun şekilde yönetildiğinin belirlenebilmesi ve benzer şirketlerle karşılaştırılabilmesi için bir olgunluk modeli sunmaktadır. Olgunluk modeli 0 ile 5 arasında 6 lı bir skala içermektedir ve her bir seviyeye ulaşılması için sağlanması gerekli kriterler, her bir sürece özel olarak detaylı şekilde belirtilmiştir. Olgunluk modelinde şu seviyeler bulunmaktadır: Olgunluk seviyesi 0. Tanımlanmamış 1. Düzensiz 2. Tekrarlanabilir Açıklama Süreç konusunda şirket bünyesinde herhangi bir bilinç bulunmamaktadır. Yönetim sürecin varlığından/gerekliliğinden haberdar değildir Sürecin gerekliliği bilinmektedir ancak düzenli şekilde uygulanmamaktadır Süreç tekrarlanabilir şekilde uygulanmaktadır ancak sürecin kriterleri ve uygulama esasları tanımlanmamıştır 3. Tanımlı Süreç tanımlanmıştır ve tanımlandığı şekilde işletilmektedir 4. Ölçülebilir Sürecin ne kadar iyi işletildiği ölçülmektedir 5. Optimize edilmiş Süreç, sürekli olarak iyileştirilmektedir 30 TEMMUZ - AĞUSTOS - EYLÜL 2011

9 Ahmet TOPKAYA Bilgi Teknolojileri Süreç Eşleştirme Tabloları; CobiT içerisinde ayrıca, iş hedeflerinin bilgi teknolojileri hedefleri ile bağlantılarının kurulabilmesi amacıyla kılavuz olabilecek üç farklı tablo sunulmaktadır. İlk tabloda iş hedefleri, bilgi teknolojileri hedefleri ve CobiT bilgi kriterleri ile eşleştirilmiştir. Bu tablo kullanılarak, örnek iş hedefleri için, bu hedefleri destekleyen bilgi teknolojiler hedefleri ve ilgili CobiT bilgi kriterleri görülebilir. İkinci tablo, CobiT içerisindeki BT süreçleri ile genel BT hedefleri ve bilgi kriterlerinin eşleştirilmesini içerir. Üçüncü tabloda ise her bir BT süreci için desteklenen BT hedefleri tersten gösterilmiştir İyi Uygulamalar; ITIL, 1987 de İngiltere Ticaret Bakanlığı tarafından geliştirilmiştir. İş süreç yaklaşımı sayesinde ITIL, müşteri, tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. En iyi uygulamalar / deneyimler üzerine yapılandırılmış olan ITIL BT Servis Yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir standart olarak benimsenmektedir. ITIL versiyon de yayınlanmıştır yılında ITIL ın üçüncü versiyonu bir giriş ve 5 temel kitap olarak yayınlanmıştır. ITIL oluşumunu sağlayan 5 başlık aslında Servis yaşam döngümüzün oluşmasını sağlayan süreçler ile bunların dışında bu süreçleri etkileyen ve BT organizasyonumuzun dışında bulunan iç müşteri ve dış tedarikçi süreçleri servis yaşam döngümüzü etkileyen süreçlerden meydana gelmektedir Hizmet Stratejisi: CobiT, detaylı kontrol hedefleri sayesinde, her bir BT süreci için dünyada kabul görmüş en iyi uygulamaları da içermektedir. İyi uygulamalar, süreçte bulunması gerekli faaliyetleri, sorumlulukları, oluşturulması gereken rolleri, süreçlerin işlem sıralarını, süreçlerde kullanılması gereken girdileri ve oluşturulması gereken çıktıları ve buna benzer bilgileri içerir. Ek olarak, CobiT control practices dokümanında daha detaylı örnek alınabilecek kontrol tanımları bulunmaktadır Karşılaştırma Aracı: İçerisindeki olgunluk modeli ile her bir BT sürecinin ne kadar olgun işletildiğinin belirlenmesi ve benzer şirketler ile karşılaştırılmasına da imkân vermektedir. 5. ITIL, Information Technology Infrastructure Library Sözcüklerinin ilk harflerinde oluşmuş bir kısaltmadır ve Bilgi Teknolojisi Altyapı Kütüphanesi olarak adlandırılır. ITIL, BT servislerini eksiksiz ve en iyi kalitede yönetmek üzere geliştirilmiş servis yönetim metodolojisidir. Farklı bir ifade ile; bilgi sistemleri ile ilintili konularda operasyon yönetimini en etkin ve verimli şekilde kurmanın yöntemlerini belirten dünyaca kabul görmüş bir pratiktir. Servis Yönetiminin uygulanması, geliştirilmesi ve tasarlanması konusunda rehber niteliğindedir. Bu konuda BT Organizasyonlarının müşterilerine farklı hizmetler sunmasını ve operasyonel etkinliğini artırmasını amaçlar. Hizmet Strateji fazında, 3 temel süreci işletiyoruz: Hizmet Portföy Yönetimi: Hangi servislerin verileceğine karar verilir. Talep Yönetimi: Sektör ve kullanıcı beklentilerini periyodik olarak değerlendirerek iş aktiviteleri planlanır. Finansal Yönetim: Hizmeti sunarken bunları en doğru maliyetler ile sunulduğundan emin olmak için segment bazlı bütçeleme, muhasebeleştirme ve ödeme yönetimi gerçekleştirilir. 31 TEMMUZ - AĞUSTOS - EYLÜL 2011

10 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri 5.2. Hizmet Tasarımı: Hizmet tasarımı, iş gereksinimleri değişimi sürecinde önemli bir eleman ve genel servis yaşam döngüsü içerisinde önemli bir katmandır. Özelleştirilebilir ve Yenilikçi BT Hizmetleri tasarımı, süreçler, politikalar ve belgeler de dahil olmak üzere mevcutta kabul edilmiş ve gelecekteki iş gereksinimlerini karşılamak için oluşturulan mimarilerdir. Başarılı bir tasarımın yapılabilmesi için 4P (People, Product, Processes, Partners) tasarımının doğru yapılmasına bağlıdır. Hizmet Tasarımı fazında 5 temel süreci işletiyoruz. Hizmet Katalog Yönetimi: Hizmet kataloğu, servis destek sağlayıcısı tarafından BT servisleri hakkındaki bilgilerin merkezi bilgi kaynağı üzerinden iletiminden sorumludur. Hizmet Seviyesi Yönetimi: Spesifik hizmetler ile ilişkilendirilmiş garanti seviyeleri, Hizmet sağlayıcı ile ilgili performans seviyeleri, müşteri ile yapılan anlaşmanın yönetilmesi ve güvenliği, fiyatlandırılması konularından sorumludur. Tedarikçi Yönetimi: Sunulan hizmetlerin bulunurluk, erişilebilirlik ve kullanılabilirlik düzeyleri gözlemlenerek, müşteri beklentisinin karşılanmasına yönelik çalışmalar yürütülür. Bilgi Güvenliği Yönetimi: Servisler de dâhil olmak üzere tüm BT envanterlerini gelebilecek tehditlere karşı korumak ile ilgilenen süreçtir. Tedarik Yönetimi: Hizmet Seviyesi Yönetimine ((SLM)- Service Level Management)) çok benzer bir rol oynar ve Hizmet tasarımı içerisinde kritik bir rol alır. İç tedarikçi ve müşterilerden daha çok dış tedarikçiler ile ilgilenir. Kapasite Yönetimi: Uygun maliyetlere beklentileri karşılayacak kapasite yönetimini sağlamaya çalışılır. Bu süreçte kapasite yönetimi yaparken kullanıcılara ekstra maliyetler çıkararak servis maliyetini artırmaktan kaçınılmalıdır. Bilgi Hizmetleri Devamlılık Yönetimi: Herhangi bir felaket olayı esnasında BT hizmet ve servisleri için planlama ve risk yönetimi ile ilgilenir. BIA (Business Impact Analysis) ve MOR(Management of Risk) tekniklerini kullanarak iş sürekliliği yönetiminde büyük çaba harcar. 32 TEMMUZ - AĞUSTOS - EYLÜL 2011

11 Ahmet TOPKAYA 5.3. Hizmet Geçişi: Hizmet geçiş rolü, Oprasyonel süreçte kullanılmak üzere iş gerekliliklerini iletir. Hizmet geçişi, Servis tasarım aşamasından Hizmet tasarım paketini alması ile başlar ve Operasyonel aşamaya devam eden operasyon ve hizmet desteği için gerekli tüm bilgileri ve elemanları teslim eder. İş Koşulları, gereksinimleri ya da varsayımlar tasarım sürecinden sonra değişime uğradıysa, Hizmet geçiş aşamasında gerekli hizmeti sunmak için bir takım değişiklikler gerekebilir. Unutulmaması gereken en önemli nokta Hizmet Geçişi sadece uygulamalarla ve/veya normal şartlar altında nasıl kullanıldığı ile değil hizmetlerin tüm yönleri ile uygulanmasından sorumludur. Değişim Yönetimi: Değişiklik Yönetimi, ilgili değişikliklerin değerlendirilmesi, kayıt edilmesi, önceliklendirilmesi, planlanması, test edilmesi, uygulanması, belgelenmesi ve düzenli şekilde gözden geçirilmesini sağlar. Yapılandırma Yönetimi: Sistemsel varlıklarının ve müşteri envanterinin eşleştirmesini elektronik ortamda kaydedip, sürekli güncel kalmasını sağlayacak süreçler yönetilir. Bilgi Yönetimi: Bilgi Yönetimi, işin gerektirdiği hizmet desteğini, doğru kişiye doğru bilgi ile doğru zamanda iletmekten sorumludur. Varlık Yönetimi: Organizasyonun BT altyapısı içinde kullandığı tüm varlıkların yönetimini içerir. Bu BT varlıklarına Konfigürasyon Öğeleri denir ve KÖVT (Konfigürasyon Öğesi Veri Tabanı) içinde yer alırlar. Varlık Yönetimi ITIL en iyi pratikler içinde yer alan Konfigürasyon Yönetimiyle tamamen etkileşim içindedir Hizmet Operasyonu: Hizmet Operasyonu, kullanıcılarına ve müşterilerine belirlenmiş hizmet seviyesini sağlayacak olan uygulama yönetimi, teknoloji ve altyapı hizmet desteği sunar. Bu hizmetler sadece servis yaşam döngüsünün bu aşamasında işe gerçek değerini verir. Hizmet yaşam döngüsü, hizmet operasyonu aşamasında, kabul edilen parametreler dahilinde faaliyet sağlamakla ilgilenir. Herhangi bir hizmet kesintisi meydana geldiğinde, hizmet operasyonu olabildiğince çabuk şekilde servisleri geri yükleyerek iş etkisini en aza indirgiyor. Bu süreç, temel parametreler olan Reactive-Proactive, Internal-External, Cost-Quality, Stability- Flexibility arasında denge sağlamak durumundadır. Eğer bu dengeyi kuramazsa hizmet operasyonu kötü olarak görünüyor olacaktır. En önemli kısımlardan biri ise, operasyon esnasında olan iletişimdir ver her ne olursa olsun iletişimin doğru algılanması kurulması gerekir. Bu ilişkiler; BT Hizmet sağlayıcı ile kullanıcı arasındaki iletişim. BT Hizmet sağlayıcı ile Müşteri arasındaki iletişim. BT Hizmet sağlayıcı içerisinde yer alan farklı süreçler, fonksiyonlar ve takımlar arasındaki iletişim. BT Hizmet sağlayıcı ile tedarikçileri arasındaki iletişim. Sorun Yönetimi: Olası herhangi bir sorunun bildirilmesi ile gelen isteğin işe etkisinin en aza indirgenmesi noktasında çoğunlukla servislerin hızlı şekilde restorasyonu sağlar. Fakat bazı vakalardan durum sorun yönetiminden çıkarak yardım masası tarafından sahiplenilir ve uygulanır. Problem Yönetimi: Problem Yönetiminin amacı, BT altyapısı içerisinde, hataların neden olduğu olaylar ve problemlerin ters etkisini en aza indirgemek, bu hatalarla ilgili olayların yinelenmesini önlemektir. Bu amacı gerçekleştirmek için problem yönetimi, olayların temel nedenini araştırır ve bu durumu düzeltmek ya da iyileştirmek için gereken eylemleri başlatır. Problem Yönetim sürecinde iki tür yaklaşım geçerlidir. Birincisi BT alt yapısını oluşturan ürünleri, sistem ve ağ yönetim araçları ile izlemek, ortaya çıkması olası problemleri düzeltmek (proactive yaklaşım), diğeri ise bir ya da daha fazla Olay meydana geldikten sonra buna karşılık gelen Problemin çözümüyle ilgilidir (reactive yaklaşım). Olay Yönetimi: Olay yönetim sürecinin birincil amacı normal servis işletimine mümkün olduğunca çabuk geri dönmek ve iş işletimi üzerindeki ters etkiyi en aza indirgemek ve sonuç olarak en iyi olası servis kalite seviyesini tutturmak, kullanılırlığı sağlamak. Burada anılan Normal servis işletimi, Servis Seviye Anlaşması sınırları içinde yürütülen servis işletimidir. ITIL terminolojisinde Olay şu şekilde tanımlanır: 33 TEMMUZ - AĞUSTOS - EYLÜL 2011

12 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri larda kullanıcılar tarafından yapılmakta olan bir isteğin cevaplandırılması için idealdir. Bütün istekler kayıt edilmeli ve izlenilmelidir. Bu süreç içerisinde aynı zamanda dikkat edilmesi gereken en önemli konu ise isteğin cevaplanmadan önce onay sürecine sokulmasıdır Hizmet İyileştirme Devamlılığı: Değişen iş ihtiyaçlarına göre fonksiyonların, süreçlerin ve hizmetlerin yeniden uyumlu hale getirilmesi sürecidir. Aynı zamanda Genel Hizmet yönetimi içerisindeki kalite yönetim yöntemleri uygulama tutarlığı ile ilgilenir. Standart servis işletiminin bir parçası olmayan ve kesintiye ya da o servisin kalitesinin düşmesine neden olan duruma Olay denir. Olay kategorilerine şu örnekleri verebiliriz : Uygulama Servis kullanılabilir değil Uygulama yanlışı/sorgu Müşterinin çalışmasını önlüyor Disk-kullanım eşik değeri aşıldı Donanım Sistem çalışmıyor Otomatik uyarı Yazıcı çalışmıyor Konfigürasyon bilgisine erişilemiyor Servis istekleri Bilgi/öneri/belge istemi Unutulmuş şifre Erişim Yönetimi: Erişim Yönetimi kimlik ve haklar ile ilgilenir. Bu süreç kimlik ve yetki doğrulama, hizmetlere erişim verme, işlem günlüğü, erişim izlemekaldırma yada durum veya rollerin haklarını değiştirmeyi içerir. Erişim Yönetimi, gizlilik, kullanılabilirlik ve veri bütünlüğünü yönetmenize yardımcı olur. Yetkili olmayan kullanıcıların erişimlerini engellerken, erişim yetkisi olan kullanıcıların bir servise yada servis grubuna erişimini sağlar. İsteğin Yerine Getirilmesi: Hata yönetimine dahil edilemeyecek ortak kullanıcı istekleri olarak adlandırılmaktadır. Yeni bir ekipman yada bir eğitim isteği bu başlığın altında değerlendirilir. Özellikle belirli periyot- ITIL içerisinde Ölçü (Measurement) kritik bir rol almaktadır. Hizmet iyileştirme sürekliliğinin bir parçası, aynı zamanda Hizmet Seviyesi Yönetiminin ve tüm süreçlerin önemli bir parçasıdır. Ölçümleri burada 4 temel amaç için kullanılabilir; Doğrulamak (Justify) Direkt (Direct) Müdahale (Intervenne) Onaylamak (Validate) 7 adımda iyileştirme süreci ölçümleme ile hizmet performansının düzeltilmesi ve iyileştirilmesini sağlıyor. Karar = Ne Ölçülmelidir Karar =Ne Ölçülebilir Veri Toplama Veri İşleme Veri Analizi Veri Kullanma ve sunma Düzeltici Eylem (Aksiyon) uygulama Hizmet Seviyesi Yönetimi (SLM) aynı zamanda Servis Tasarım yaşam döngüsü aşamasının içerisindeki süreçlerden birisidir. Birçok aktivite ve nesne hizmet iyileştirme sürekliliği ile ortaktır. Özellikle her iki hizmet seviyesi yönetimi ve iyileştirme sürekliliği düzenli ölçüm, servislerin gözden geçirilmesini ve servis yönetim başarımının diğer yönlerini vurgulamaktadır. 6. INTOSAI (Uluslararası Yüksek Denetim Kurumları Birliği) Standartları Yüksek denetim kurumları arasında işbirliğinin sağlanması, geliştirilmesi ve güçlendirilmesi amacıyla 1953 yılında Küba da INTOSAI (International Organization of Supreme Audit Institutions Uluslararası Yüksek Denetim Kurumları Birliği) oluşturulmuştur. 34 TEMMUZ - AĞUSTOS - EYLÜL 2011

13 Ahmet TOPKAYA INTOSAI nin temel amacı, farklı ülkelerin yüksek denetim kurumları arasındaki ilişkileri güçlendirerek, özellikle kamusal mali denetim alanında bilgi, görüş ve deneyim alışverişini geliştirmek, üyelerine ihtiyaç duydukları her alanda destek sağlamaktır. INTOSAI, bu amaçla her üç yılda bir ve değişik ülkelerde Kongreler düzenleyerek, kamu mali yönetimi ve denetimi alanında güncel konu ve sorunların tartışılmasını ve kararlar alınmasını sağlamaktadır. INTOSAI nin denetim standartlarında bilişim sistemleri ile ilgili hususlar iç kontrollerin değerlendirilmesi aşamasında değerlendirilmektedir. Bu çerçevede bilişim sistemleri ile ilgili INTOSAI standartları şunlardır; 6. Temel önermeler şunlardır: g) Yeterli bir iç kontrol sisteminin varlığı hata ve düzensizliklere ilişkin riski asgariye indirir Sayıştaylar sıkça katı denetim tanımı içine sokulamayan, fakat daha iyi bir yönetimin oluşumuna katkıda bulunan çeşitli işler yaparlar. Denetim tanımı içine sokulamayan işlere ilişkin örnekler şunlardır; (f) bilgi işlem fonksiyonları. Denetim tanımı içine sokulamayan bu tür faaliyetler, karar verme durumunda bulunan kişilere değerli bilgiler sağladığından, bunların sürekli olarak üstün vasıflarını korumaları gerekir. 39. Düzenlilik denetimi şunları içerir:. d) İç denetimin ve iç kontrol fonksiyonlarının denetimi;. 40. Performans denetimi, verimlilik, etkinlik ve tutumluluğun denetimi ile ilgili olup şunları kapsar:.. b) İnsan, mali ve diğer kaynakların kullanımındaki verimliliğin, bilgi sistemleri, performans ölçüleri ve gözetim düzenlemeleri ve denetlenen kurumlarca belirlenen eksiklikleri gidermek için izlenen yöntemlerin incelenmesi de dahil olmak üzere denetlenmesi; 86. Sayıştay, denetim görevinin etkin bir şekilde yerine getirilmesi için gerekli olan deneyim ve beceriler kapsamını belirlemelidir. Yüklenilen denetim görevinin tabiatı ne olursa olsun denetim, bu görevin niteliği, güçlüğü ve kapsamı ile orantılı eğitim ve tecrübeye sahip kişilerce yerine getirilmelidir. Sayıştayın kendisini, iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını, istatistiki örneklemeyi ve bilgi işlem sistemlerinin denetimini içeren tüm güncel denetim metodolojileri ile donatması gerekmektedir. Planlama 134. Bir denetimin planlanmasında denetçi;.. e) Belli başlı yönetim sistem ve kontrollerini belirlemeli ve bunların hem güçlü hem de zayıf taraflarını ortaya çıkarmak amacıyla ön değerlendirme yapmalı; f) Üzerinde durulacak konuların önemliliğine karar vermeli; g) Denetlenen kurumun iç denetimini ve çalışma programını gözden geçirmeli; h) Diğer denetçilerin, örneğin iç denetimin, güvenilebilirlik derecesini değerlendirmeli; i) En verimli ve en etkin denetim yaklaşımına karar vermeli;.. İç Kontrolün İncelenmesi ve Değerlendirilmesi 35 TEMMUZ - AĞUSTOS - EYLÜL 2011

14 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri 142. Denetlenen kurumun iç kontrolü, yürütülen denetim tipine göre değerlendirilmelidir. Düzenlilik (mali) denetiminde bu değerlendirme, varlıkları ve kaynakları teminat altına almaya yönelik ve muhasebe kayıtlarının doğru ve tam olmasını sağlayan iç kontroller üzerinde yapılmalıdır. Düzenlilik (uygunluk) denetiminde söz konusu değerlendirme, idarenin kanun ve nizamlara uymasını sağlayan kontroller üzerinde yapılmalıdır. Performans denetiminde ise anılan değerlendirme denetlenen kuruluşun işlemlerinin ekonomik, verimli ve etkin bir şekilde yürütülmesine ve bu arada yönetim politikalarına bağlı kalınmasına ve vaktinde güvenilir mali ve idari bilgi üretilmesine yardımcı olan kontroller üzerinde yapılmalıdır Muhasebe ve diğer bilgi sistemlerinin bilgisayarlaştırıldığı ortamlarda denetçi, denetlenen kurumun iç kontrolünün doğruluk, tamlık ve güvenilirliği ne dereceye kadar sağladığını araştırmak durumundadır. Denetim Kanıtı 153. Denetim bulgu sonuç ve tavsiyeleri kanıta dayanmalıdır. Denetçilerin denetlenen kurum hakkındaki tüm bilgileri değerlendirmeleri her zaman mümkün olmadığından, veri toplama ve örnekleme tekniklerinin dikkatli seçilmesi gerekmektedir. Bilgisayar temelli sistem verileri denetimin önemli bir parçasını oluşturduğunda ve veri güvenirliği denetim hedefini gerçekleştirmede hayati bir rol oynadığında, denetçilerin verinin güvenilir ve hedefle ilgili olduğu konusunda tatmin olmaları gerekmektedir. INTOSAI Denetim Standartlarında; işlerin yeterli kalitede yürütebilmesi için gerekli yeterliliğe sahip olunması ve iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını ve bilişim sistemlerinin denetimini içeren tüm güncel denetim metodolojileriyle donatılması gerektiği belirtilmektedir. KAYNAKÇA Emini, Filiz Tufan, (2007), Kamu Yönetiminde Bilişim Sistemlerinin Strateji Gelitirme Amaçlı Kullanımı:Kuram ve Selçuk Üniversitesiİktisadi İdari Bilimler Fakültesi İçin Bir Model Önerisi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü,Konya. IT Governance Institute, COBIT 4.0, Illinois Eyaleti, IT Governance Institute, COBIT 4.1, Illinois Eyaleti, Kayrak, Musa, (2007) Bilişim Sistemeleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, Sayı:65 Köse, Hacı Ömer (2007), Dünyada ve Türkiye de Yüksek Denetim, aras12yukden.htm (Erişim Tarihi: ) Özbilgin, İzzet Gökhan; İmamoğlu Meltem Yıldırım, (2010) Bilişim Sistemleri Denetimi ve Kamu Kurumları, Todai-KAYFOR Özkul, Davut, (2002) Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi, Sayıştay Dergisi, Sayı: 44 45, Özkul, Davut, (2002) Bilişim Sistemleri Denetimi,, G.Ü. Sosyal Bilimler Enstitüsü, Ankara, Yıldız, Özcan Rıza,(2007) «Bilişim Sistemleri Denetimi ve Şayıştay», Sayıştay Dergisi, Sayı: 65, Weber, R., (2003) Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Research Project TEMMUZ - AĞUSTOS - EYLÜL 2011