Sayıtay Dergisi Sayı: 44-45 BLM SSTEM KAVRAMI VE BLM SSTEMLERNN DENETM Davut ÖZKUL Sayıtay Badenetçisi GR Bilgisayar teknolojisi hızla gelimekte ve bu teknolojinin getirmi olduu imkanlardan yararlanmak için hemen her alandaki iletme ve organizasyonda bilgisayar kullanımı giderek artmaktadır. Kuruluların manuel sistemi bırakıp kayıt, ilem ve çıktılarını bilgisayar ortamında düzenlemeleri, bu kuruluların denetimini de etkilemektedir. Bilgisayar kullanımı, bu teknolojinin kendine özgü risklerini de beraberinde getirmektedir. Manuel sistemden farklı olan bu yeni sistemde üretilen çıktıların doruluunun kontrol edilmesi gerei öncelikle biliim sisteminin denetlenmesini zorunlu kılmaktadır. Ayrıca, biliim sistemlerinin kurulması ve iletilmesinde, kaynakların verimlilik, etkinlik ve tutumluluk ilkeleri dorultusunda kullanılıp kullanılmadıının yani biliim sistemlerinin performans denetiminin nasıl yapılacaı ve biliim sistemlerinin gelitirilmesi aamalarında denetçilerin ne tür görevler alacakları, bilgisayarlı sistemlerin nasıl ve kimler tarafından denetlenecei sorularını karımıza çıkarmaktadır. Biliim sistemlerinin denetimini yapacak denetçilerin, mevcut birikimlerine ek olarak; Bilgisayar kavramı ve sistem dizaynını anlama, Bilgisayarlı ortamlarda ortaya çıkan yeni riskleri tanıma ve hangi kontrollerin bu riskleri etkin bir ekilde düüreceini bilme, 11
Sayıtay Dergisi Sayı: 44-45 Bilgisayarlı ortamları denetlemek için bilgisayardan nasıl yararlanacaını bilme konularında kendilerini gelitirmek zorundadırlar. I. BLM SSTEM A. Bilgi Çaı 19. Yüzyıla kadar insanların büyük çounluu tarımla uraırlardı. 1800'lü yılların baından itibaren ise, insanlar makineleri ilerinde yardımcı olarak kullanmaya baladılar. Endüstri çaı diyebileceimiz bu dönemde, makineler içilerin kapasitelerini arttırdı. Makineleme ve otomasyon arttıkça sanayide çalıanların sayısı da arttı. Bugün tarım ve endüstri hala önemli olmakla birlikte, gelimi ülkelerde insanların çounluu, bilginin yaratılması, uygulanması ve daıtılması ile ilgili ilerde çalımaktadır. Amerika Birleik Devletlerinde 1957'de ilk defa bilgi ile ilgili ilerde çalıanların sayısı tarım ve endüstride çalıanların sayısından daha fazla olmutur ki; bu tarih bilgi çaının balangıcı olarak kabul edilir. 1 Bilgi çaı, bilgi toplumunun douu ile birlikte ortaya çıkmıtır. Bilgi toplumunda, bilgi ile uraanların sayısı tarım ve endüstride çalıanların toplam sayısından daha fazladır. Amerika Birleik Devletleri, ngiltere, Avustralya ve Japonya gibi gelimi ülkeler bilgi toplumuna örnek olarak gösterilebilir. 2 Bilgi çaının özellikleri: Bilgi çaında, i üretebilmek için bilgi teknolojisinin sunduu imkanlardan yararlanmak gerekir. Bilgi çaında, i süreçleri üretkenlii arttırma yönünde dönütürülür. Bilgi çaında baarı, büyük oranda kullanılan bilgi teknolojisinin etkinliine balıdır. 1 James A. Senn (1995), Information Technology in Business, (New Jersey: Prentice-Hall Inc.), s. 9. 2, a.g.e., s. 10. 12
Sayıtay Dergisi Sayı: 44-45 Bilgi çaında, bilgi teknolojisi üretilen pek çok ürün veya hizmetin içinde (örnein; rezervasyon hizmetlerinde, araba, uçak veya dier taıtlarda) yer almaktadır. Bilgi çaında bir insanın partneri bir baka insan ve temel araç da bilgi teknolojisidir. B. Bilgi Teknolojisi Bilgi Teknolojisi terimi, bilginin yaratılması, depolanması ve daıtılması için kullanılan çeitli araç ve yöntemleri ifade eder. Bilgisayarlar, iletiim araçları ve know-how bilgi teknolojisinin ayrılmaz üç temel parçasını oluturur. Bilgi Teknolojisinin amacı, insanları yaptıkları faaliyetlerde bilgi teknolojisini kullanmadıkları duruma göre daha etkin ve yaratıcı kılmak ve problemleri daha hızlı çözmektir. "Bilgi" ile "veri" birbirinden farklı kavramlardır. Veri, ham haldeki olayları, rakamları ve detayları ifade ederken, bilgi organize edilmi anlamlı ve yararlı veri çıkarsamalarını ifade eder. Örnein, perakende satı yapan bir maazada, bir müterinin sipariinde yer alan müterinin kimlii, sipari ettii ürün, satın almak istedii ürün miktarı ve ürün fiyatı maaza için ham haldeki verilerdir. Ancak dönem sonunda, bütün siparilerle ilgili detaylar biraraya getirilip toplanıp o dönem beklentileri ile karılatırıldıında, çıkan sonuç, maaza yöneticisine, o dönemin performansının beklenen performanstan daha iyi veya kötü olduu konusunda bilgi sunar. Bilgi Teknolojisi, bilginin içerii ile deil biçimiyle (veri olarak alınması, ilenmesi, saklanması, ona eriilmesi, iletilmesi vs.) ilgilenir. Dolayısıyla bilgi teknolojisinden söz ettiimizde bilgisayardan çok daha geni bir dünyadan bahsediyoruzdur. Tabii ki bilgisayar bilgi ilem ve iletiim araçlarının en gelimi örnei olarak, bu dünyanın en önemli öesidir.3 3 PCWORD Bilgisayar Okulu Ansiklopedik Klavuz, (Fasikül 1, stanbul: Özer Yayıncılık Ltd. ti., Haziran 1998, s. 12-13. 13
Sayıtay Dergisi Sayı: 44-45 C. Biliim Sistemi Kavramı Sistem, ortak bir amaç için birlikte çalıan birbirine baımlı ve birlikte hareket etme yeteneine sahip parçaların oluturduu bir bütündür 4. Örnein, eitim sistemi, ulaım sistemi, stok sistemi. Kurumlar, veri ve bilgilerin çalıanlar ve bölümler arasında aktıı bilgi sistemlerine baımlı çalıır. Bilgi sistemleri, birimler arası haberlemeden telefon hatlarına, bilgisayardan çeitli alıcılar için periyodik raporlar üreten komünikasyon sistemlerine kadar her eyi kapsar. Bilgi sistemleri, aynı amaç dorultusunda verimli çalımak için farklı birimler arasında balantı kurarak bir iletmenin bütün sistemlerine hizmet sunarlar. 5 Bilgisayarlar kullanılarak oluturulan bilgi sistemleri için "Bilgisayar Tabanlı Bilgi Sistemleri" ya da "Biliim Sistemleri" kavramı kullanılmaktadır. Bu çalımada biliim sistemleri kavramının kullanılması tercih edilmitir. D. Biliim Sisteminin Unsurları Biliim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaımını gerçekletirmek için bilgisayarları birbirine balayan alar (Network) ve onları kullanan insanlardan oluur. 1. Donanım Bilgisayarın fiziksel parçalarıdır. Bilgisayar donanımı; merkezi ilem birimi (CPU) ve ana bellek, veri girileri için girdi birimleri, bilgi ve sonuçları göstermek için çıktı birimleri ve gelecekte kullanılması amacıyla veri ve programların depolanması için depolama birimlerinden oluur. Süperbilgisayarlardan mainframe bilgisayarlara, minibilgisayarlardan kiisel bilgisayarlara kadar bütün bilgisayar türlerinde, veriler bu dört tür donanım kullanılarak aynı ekilde ilenir. Bilgisayarlar arasındaki farklılık, onların ilem güçleri, fiyatları, fiziksel büyüklükleri ve kullandıkları girdi ve çıktı birimlerinin sayısından ve çeidinden kaynaklanır. 6 4 T. J. O'Leary ve Brian K. Williams, a.g.e., s. 49. 5 Senn, a.g.e., s. 19. 6 Nancy Stern ve Robert A. Stern (1996), Computing in the Information Age (Second Ed. New York: John Wiley and Sons Inc.,), s. 2. 14
Sayıtay Dergisi Sayı: 44-45 Merkezi lem Birimi (CPU) ve Ana Bellek: Merkezi ilem birimi (CPU), bilgisayarın beyni olarak kabul edilir ve çeitli donanım bileenlerinden ve yazılımlardan gelen komutları iler, çeitli bileenlere komut gönderir. Ana Bellek, genelde RAM (Random Access Memory - Rastgele Eriimli Bellek) olarak anılır. Bilgisayarın ilemcisi çok hızlıdır; ancak ilemcinin, ihtiyaç duyduu bilgileri çok hızlı biçimde ona iletebilecek bir bilgi depolama alanına, kısacası bellee ihtiyacı vardır. te RAM böyle bir bellek türüdür. Üzerine yüklenen bilgiler geçicidir, yani bilgisayar kapatıldıında yok olur. Girdi Birimleri: Bilgisayara veri giriine imkan salayan aygıtlardır. Örnein, klavye, fare, barkod okuyucu, scanner, mikrofon, dijital kameralar vb. Çıktı Birimleri: Bilgisayarda ilenen bilgi ve sonuçları göstermeye imkan salayan aygıtlardır. Örnein, monitör, yazıcı, plotter vb. Depolama Birimleri: Veri ve programların depolanmasına imkan salayan aygıtlardır. Örnein, harddisk, disket sürücü, CD sürücü, DVD sürücü vb. 2. Yazılım Bilgisayarların veri ilemesini salayan programlardır. Bilgisayarlar üzerinde çok deiik katmanda birden çok program çalıır. Bunu bir piramide benzetirsek, piramidin en üst noktasında kullanıcıların çalıtıı programlar bulunur. Bir alt katmanında bu programların yazıldıı programlama dilleri ve bu dilleri çalıtıran programlar (derleyiciler) vardır. Daha alt katmanda, bu programların çalıması için bilgisayarın en temel ilemleri yapabilmesini salayan iletim sistemi programı vardır. Bir katman daha aaıda, iletim sisteminin üzerinde çalıtıı ve bilgisayar üretilirken üretici firma tarafından bilgisayarın içine konulan programlar vardır. En alt düzeyde ise, fiziksel bir takım ilemlere karılık gelen mikro komutlar ve elektrik devreleri bulunur. 7 7 PCWORD Bilgisayar Okulu Ansiklopedik Klavuz, s. 20. 15
Sayıtay Dergisi Sayı: 44-45 Bilgisayar çalıırken, bütün bu karmaık programlar silsilesi de, makinenin fiziksel alt yapısını harekete geçirmek, ilenen bilgileri elektrik devrelerinin davranıına indirgemek, elde edilen sonuçları da tekrar kullanıcının anlayabilecei biçime dönütürmek için ileyip durmaktadır. 8 Yazılımları, sistem yazılımları ve uygulama yazılımları olarak iki genel kategoriye ayırabiliriz: a. Sistem Yazılımları Bilgisayarın kendi çalıması için kullandıı yazılımlardır. letim sistemi kullanıcının muhatap olduu tek sistem yazılımıdır ve bilgisayar ile onu kullanan arasında köprü görevi görür. letim sistemi, çeitli iler için kullandıımız yazılımlarla donanım aygıtlarımız arasında köprü oluturan, kullandıımız yazılımların standart olmasını salayan en temel yazılımlardır. Örnein, MS-DOS, Windows NT, Unix, Linux gibi. b. Uygulama Yazılımları Bilgisayar kullanıcılarının kullanımı için yazılan ve paket programlar olarak da adlandırılan bu yazılımlar, çok sayıda ve çok çeitlidir. Bunlara, kelime ilemciler, hesap tabloları, veritabanı, sunu programları, grafik yazılımları, animasyon, oyunlar ve iletiim yazılımlarını örnek verebiliriz. 3. Network Sistemi Kaynak paylaımı amacıyla iki ya da daha fazla bilgisayarı birbirine balayan sisteme network (a) sistemi denir. Bilgisayarların kullanıldıı ilk zamanlarda, insanlar disketlerle bir bilgisayardan aldıkları bilgileri dier bilgisayara götürerek basit anlamda bir network oluturuyorlardı. Daha sonra kablolarla bilgisayarları birbirine balayarak network oluturulmaya balandı. Veri iletiimi için çeitli iletiim araçları kullanılabilir. En temel iletiim aracı bakır tellerdir. Ancak, fiber optik, mikrodalga ve radyo sinyalleri gibi baka alternatifleri de vardır. 9 8 PCWORD Bilgisayar Okulu Ansiklopedik Klavuz, s. 20. 9 INTOSAI EDP Committee: IT Awareness Student Notes (1997), (London), s. 55. 16
Sayıtay Dergisi Sayı: 44-45 Network sistemi etkili, tutumlu ve verimli haberleme, bilgi paylaımı, yazılım ve donamın (ortak yazıcı kullanımı gibi) paylaımı yapmak amacıyla kurulur. Network sistemi, yalnız bilgi kaynaklarının daha verimli kullanılmasını salamakla kalmadı, bunun yanında farklı türdeki bilgisayarların birlikte çalıması için donanım ve yazılımların gelitirilmesini de saladı. Böylece, bir kurumun bütün bilgisayar kaynaklarının daha etkili kullanılmasını ve daha iyi kontrol yapılmasını saladı. 10 a. Network Çeitleri Bir a yerel yapıda olabilir. Örnein bir bina içindeki bilgisayarları birbirine balayan aa Yerel Alan Aı (Local Area Network (LAN)) denir. Birbirine yakın aynı bölge veya ehir içindeki iki veya daha fazla bina, ofis ya da ubeleri birbirine balayan alara ehir Alan Aı (Metropolitan Area Network (MAN)) denir. Dünyanın çeitli yerlerindeki ülkeleri veya ehirleri birbirine balayan aa Geni Alan Aı (Wide Area Network (WAN)) denir. Örnein: Internet. 4. nsan Faktörü Biliim sistemleri, yazılım ve donanım parçalarından oluur. Ancak bilgisayarlı ortamda yapılacak ileri, hangi tür yazılım, donanım ve a sisteminin kurulup gelitirileceini, kontrol mekanizmalarının nasıl oluturulacaını belirleyen ve sistemi kullanan insandır. Bu anlamda biliim sistemi ile ilikili olan insanlar; kullanıcılar ve bilgi teknolojisi uzmanlarıdır. Kullanıcılar, sisteme veri giren, günlük ilerinde bilgisayarları kullanan ve karar vermek için sistemde üretilmi bilgileri analiz eden kiilerdir. Bunlar; veri giri operatörleri, personel ve yöneticilerdir. Bilgi teknolojisi uzmanları, bilgisayar ve network ile ilgili yazılım ve donanımın alınması, gelitirilmesi, bakımı ve iletilmesiyle sorumlu olan kiilerdir. 11 Bunlar; programcılar, sistem analistleri, sistem kurucuları (systems 10 Stern ve Stern, a.g.e., s. 12. 11 Senn, a.g.e., s. 68. 17
Sayıtay Dergisi Sayı: 44-45 designers), proje yöneticileri, network uzmanları, eiticiler ve bilgisayar operatörleridir. D. Biliim Sisteminin Çalıma Prosedürü Biliim sisteminin kurulmasının ana nedeni verilerin hızlı ve etkili bir ekilde ilenmesidir. Sistem, veri ileme ilemini altında çalıtıı programlara göre yapar. Bütün biliim sistemleri, hangi büyüklükte olurlarsa olsunlar, girdi, ilem ve çıktı sürecine balı olarak çalıır. Biliim sisteminde veri ilem süreci, veri girii ile balar. Veri girii yapılan, klavye, fare, scanner, barkot okuyucu, ses tanıma araçları gibi çok çeitli girdi birimleri vardır. Her bir girdi birimi belirli formlardaki verileri okuyabilir. Örnein, scanner grafik, fotoraf, çizim ve elle veya daktilo ile yazılmı dokümanları okurken, klavye üzerindeki tularda bulunan karakterleri girebilir. Girdi birimleri, verileri ana bellee gönderilecek ve merkezi ilem biriminde ilenecek ekilde elektrik sinyallerine çevirirler. 12 lenecek veriler ve programlar ana bellekte depolanır ve merkezi ilem birimi (CPU), bütün bilgisayar ilemlerini kontrol eder. Merkezi ilem birimi, verileri ana bellekten okur ve programa göre verileri iler ve çıktı birimlerini harekete geçirerek bilgiyi sunar. Ana bellek ile merkezi ilem birimi, kablolarla veya telefon hatları gibi iletiim kanallarıyla biliim sistemindeki bütün girdi ve çıktı birimleri ile balantılı olmalıdır. Biliim sistemindeki çıktı birimleri, merkezi ilem biriminin kontrolünde ana bellekten aldıkları bilgileri uygun bir çıktı formatına dönütürürler. Örnein, çıktı eer bir metin veya grafik ise bir çıktı birimi olan monitör aracılıı ile sunulur. Bilgisayar kapatıldıında merkezi ilem birimince ilenmi olan veri ve programlar kaybolur. Bu nedenle, veri ve talimatların tekrar tekrar kullanılabilmesi için elektronik bir formda saklanacaı ayrı bir depolama birimine ihtiyaç vardır. 13 Bu anlamda disklerin genel bir kullanımı vardır. 12 Stern ve Stern, a.g.e., s. 7. 13, a.g.e., s. 8. 18
Sayıtay Dergisi Sayı: 44-45 II. BLM SSTEMLERNN DENETM A. Biliim Sistemlerinin Kurulmasına Duyulan htiyaç Klasik usulde manuel olarak kayıt ve belgelerini tutan kurulular, bilgisayar teknolojisinde meydana gelen gelimelerden yararlanmak amacıyla bilgisayarlı sisteme ya geçtiler ya da geçme hazırlıındalar. Onları sistem deiikliine götüren sebeplerin baında bilgisayar teknolojisinin sunduu u imkanlar bulunmaktadır: Doru ve güvenilir veri tabanları oluturabilme, Verilere kolay ulaım, Veri girii sonrasında manuel ortamda yapılan birçok ara ilemi ortadan kaldırarak bu ilemleri otomatik yapabilme, Verileri iyi depolama/saklama ve yer tasarrufu salama, Hızlı ilem yapabilme, Kolay dosya yönetimi, Karmaık hesaplamalar yapabilme ve problemleri daha iyi çözme, verimliliini arttırma, Maliyetleri düürme, Daha iyi kontrol mekanizmaları oluturabilme, Uzaktan bilgiye ulaabilme ve veri alıveriinde bulunma, Kolay ve rahat iletiim imkanı. Bilgisayar teknolojisinin sunduu bu imkanlar dolayısıyla, finans, medya, tıp, hukuk, ulaım, mühendislik, elence, eitim, emniyet, milli savunma, bilimsel aratırma ve gelitirme ile üretim sektörü bata olmak üzere hemen her alanda bilgisayarlı sisteme geçilmitir. B. Bilgisayarların Denetime Etkisi Biliim teknolojisindeki geliim, denetim birimleri üzerinde iki yönlü etkide bulunmaktadır. Birincisi denetim elemanlarının denetim iini kolaylatırmak için bizzat biliim teknolojisinden faydalanmaları, ikincisi 19
Sayıtay Dergisi Sayı: 44-45 denetledikleri kurumların biliim teknolojisine geçmeleri dolayısıyla denetim esnasında karılatıkları biliim teknolojisine özgü yeni risk alanlarıdır. Denetlenen kurulularda biliim teknolojisi kullanımı; Denetim kanıtı ve denetim izini deitirir, ç kontrol ortamını deitirir, Yeni suç ve hata yapma mekanizmaları ve fırsatları ortaya çıkarır, Yeni denetim prosedürleri oluturulmasına sebep olur. 14 1. Denetim zi ve Denetim Kanıtlarında Meydana Gelen Deiim Mali denetim yapabilmek için denetim izinin (ilemin kim tarafından ne zaman yapıldıının) bulunması gerekir. Aksi halde denetlenen kuruluun hesaplarının doru tutulup tutulmadıı ve mali tabloların gerçei yansıtıp yansıtmadıı konusunda elde edilmesi gereken uygun denetim kanıtlarını toplamakta güçlük çekilebilir. Denetlenen kuruluun bütün mali ilemleri bilgisayar ortamında tutuluyor ve bilgisayar belleinde fazla yer tutmasın diye bütün ilemler depolanmayıp ilem sonuçları haftalık veya aylık toplamlar olarak saklanıyorsa, denetçinin bu ilemleri özel bazı denetim araçları ve teknikleri kullanarak çıkarması gerekir. Bazı bilgisayar sistemlerinde yapılan ilemler ve veriler bilgisayar belleinde belirli bir süre tutulduktan sonra otomatik olarak silinir. Bu durumda da bu ilem ve veriler farklı kaynaklardan aratırılarak doruluunun onaylanması gerekir. Bazı ilemler, örnein duran varlık amortismanları bazı programlarda her ayın sonunda bilgisayarda otomatik olarak hesaplanıp gelir veya gider hesaplarına otomatik olarak yansıtılır. Bu tür ilemler bir yetkili onayından geçmedii için hatalı olma riski yüksektir. Denetçi hangi programların bu ilemleri otomatik olarak yaptıını bilmeli ve doruluklarını incelemelidir. Çou kurulu internet üzerinden ticaret yapmaktadır. Bu ticaret dolayısıyla 14 INTOSAI EDP Committee: IT Controls Student Notes (1996), (London), s. 5. 20
Sayıtay Dergisi Sayı: 44-45 yapılan anlamaların kanunlara veya ilgili mevzuata uygun ekilde yapılıp yapılmadıının da kanıtlarıyla birlikte denetlenmesi gerekir. 2. ç Kontrol Sisteminde Meydana Gelen Deiim Bilgi ilem departmanında görevli olan personelin bu ii yapmak için gerekli eitim ve tecrübeye sahip olup olmadıı incelenmeli, dolayısıyla hata yapma riskleri deerlendirilmelidir. Bilgi ilem personeli arasında görev bölüümü yapılıp yapılmadıı, ilem ve prosedürlerin farklı kiilerce yürütülüp yürütülmedii incelenmelidir. Çünkü çou kuruluta bilgisayarla ilgili bütün ilemlerin bir veya birkaç kii tarafından yapıldıı görülmekte bu da ilemlerde deiiklik yapılma riskini arttırmaktadır. Biliim hizmetleri dıardan üçüncü kiilerce yürütülebilir, bu durumda, bu kiilerin güvenirlilii kontrol edilmelidir. Manuel sistemlerde kayıt ve belgelere yetkisiz kiilerin ulaımını engellemek için belgelerin bulunduu yerler kilitlenir. Oysa bilgisayarlamı, özellikle internete balı sistemlerde, yetkisiz kiilerin uzaktan sisteme girmeleri ve deiiklik yapma riski yüksektir. Sistemdeki programların kontrol mekanizmalarının yeterli olmama veya düzgün çalımama ihtimali vardır. Bu kontroller deerlendirilmelidir. Biliim sistemlerinde korunacak materyal, manuel sistemdekinden farklıdır ve iyi korunup korunmadıkları incelenmelidir. 3. Yeni Suç ve Hata Yapma Mekanizmaları ve Fırsatlarının Ortaya Çıkması Manuel sistemlerden farklı olarak bilgisayarlı sistemlerde, sistematik hatalar görülmektedir. Kullanılan programa göre yapılan bir ilem eer doru sonuç veriyorsa ondan sonra yapılan aynı ilemler hep doru sonuç verir, ancak yapılan ilem yanlı sonuç veriyorsa aynı nitelikteki dier ilemlerde hep yanlı sonuç verir 15 ki; buna sistematik hata denilmektedir. Sistem, aynı girdinin birden fazla giriine izin verebilir. Bilgisayarlı sistemlerde görülen dier bir hata çeidi, bilgisayar programlarınca yapılan ve görünmeyen otomatik ilemlerden kaynaklanan hatalardır. Örnein; stok 15 INTOSAI EDP Committee: IT Controls Student Notes (1996), London, s. 9. 21
Sayıtay Dergisi Sayı: 44-45 kontrol sistemlerinde, stoklar belli bir seviyenin altına düünce otomatik alı emri verilmesi gibi. Bu tür hataları görmek için program kontrollerinin yapılması ve bilgisayar destekli denetim tekniklerinin uygulanması gerekir. 4. Yeni Denetim Prosedürleri Oluturulması Gereinin Ortaya Çıkması Biliim sistemlerinin denetiminde farklı denetim ilemlerinin yapılması, özellikle bilgisayar destekli denetim tekniklerinin kullanılma zorunluluu, denetim prosedürlerinin deimesine sebep olmaktadır. C. Biliim Sistemleri Denetiminin Kapsamı Biliim sistemleri denetiminin kapsamı, dier denetim türleri (mali denetim, risk denetimi ve performans denetimi) ile aynıdır. Farkı inceledii biliim sisteminin kendine özgü özellikleri ve risklerinden kaynaklanmaktadır. D. Denetim Kurumlarınca Biliim Sistemleri Denetimi Yapılacak Kurumların Tespiti Kamu kurum ve kurulularını denetleyen baımsız denetim kurumları, üç tür biliim sistemi denetim planı yaparlar. Bunlar; Uzun dönem stratejik planlama (3-5 yıllık), Orta dönem stratejik planlama ve Uygulama planıdır. Hangi kurumların biliim sistemleri denetiminin yapılacaı önceliini belirlemek için u hususlara dikkat edilir; Kurulu biliim sisteminin parasal deeri, Sistemin güvenlik derecesi, Kullanıcıların sisteme müdahale etme derecesi, Sistemi gelitirme maliyetlerinin yükseklii, (sistemin zayıf olduunu ve kullanıcı ihtiyaçlarına cevap vermediini gösterir) Teknik olarak sistemin karmaıklıı, 22
Sayıtay Dergisi Sayı: 44-45 Sistemin incelenmesi için özel taleplerin olması (örnein; medya, politik gruplar ya da kurumun kendisi), Parlamento ilgisi (yolsuzluk ve suiistimallerin olması durumunda), Tüketici veya tüketiciyi koruma kurulularının ikayetleri, Sistemin çıktısı baka kurumların sisteminin girdisi olması durumu, Sistemin geçmite kötü performans göstermi olması, Kurumun iç denetçilerine olan güven derecesi, Yakın zamanda biliim sistemleri denetimi yapılıp yapılmadıı. Bir kurumda biliim sistemleri denetimine gerek olup olmadıını belirleyen faktörler: Kurumun biliim sisteminin büyüklüü, Kurumun biliim sisteminin karmaıklıı (network), Biliim sisteminden kaynaklanan risklerin büyüklüü ve çeidi, Kurumun biliim sistemleri denetiminden beklentisi ve talepleri, Bilgi ilem departmanında çalıan personelle ilgili önceden sorun yaanıp yaanmadıı, Biliim sisteminde önemli deiiklikler olup olmadıı, Üçüncü kiilerin biliim sistemleri denetimi yapılması konusundaki talepleri, Daha önce biliim sisteminde hata, suç ve güvenlikle ilgili sorunlar olup olmadıı, Biliim sisteminin performansının düük olduuna yönelik kanıt olup olmadıı, 23
Sayıtay Dergisi Sayı: 44-45 Sistemde bilgisayar destekli denetim tekniklerinin kullanılıp kullanılamayacaı. u durumlarda biliim sistemleri denetimine gerek olmayabilir: - Kurumun biliim sisteminin basit olması, - Kurumun biliim sistemini kendi ana iiyle ilgili kullanmaması, - Kurumun biliim sisteminde, son yapılan biliim sistemleri denetiminden bu yana, çok az veya ihmal edilebilir deiiklikler olması. E. Biliim Sistemleri Denetçilerinin Görevleri Biliim teknolojisi kullanılan bir kurum denetlenecei zaman, kim tarafından denetlenecei konusunda bir karar verilmesi gerekir. Bunun için iki alternatif vardır: - Kurumun tüm kayıt ve bilgi sistemi bilgisayar ortamında tutuluyor ve manuel sistemden hiç veya çok az yararlanılıyorsa, kurum denetimi biliim sistemleri denetçileri tarafından yapılır. - Kurumun temel uraı konusunda bilgisayar kullanımı youn deilse veya basit bir biliim sistemi kullanılıyorsa, kurum denetimi genel denetçiler tarafından yapılır ve ihtiyaç duyulursa biliim sisteminin denetimi için biliim sistemleri denetçilerinden yardım alınır. Bir biliim sistemleri denetçisi veya denetçi grubu, u ileri yapar: Biliim sistemleri denetiminin planlanması, Sistem kontrollerinin deerlendirilmesi, Bilgisayar destekli denetim tekniklerinin kullanılması, Biliim sistemlerinin performans denetimi, Gelitirilmekte olan biliim sistemlerinin denetimi, Biliim sistemleri denetim sonuçlarının incelenmesi ve raporlanması. 24
Sayıtay Dergisi Sayı: 44-45 Biliim sistemleri denetçisi, bir kurumun denetimini yaparken yukarda sayılan ilerin hepsini birden yapmak zorunda deildir. Örnein gelitirilmekte olan biliim sistemlerinin denetimi ancak sistem gelitirilmesi esnasında yapılır. Biliim sistemlerinin performans denetimi de dier görevlerden baımsız bir ekilde yapılabilir. F. Biliim Sistemleri Denetiminin Planlanması Biliim sistemleri denetiminin gerektii gibi planlanması ve icra edilmesi için, denetlenen kurum veya kuruluun yaptıı iin iyice anlaılması ve kullandıı biliim sistemi ile ilgili bilgi toplanması gerekir. Bunun için bavurulacak balıca bilgi kaynakları: ç denetim raporları, Geçmi biliim sistemleri denetim raporları, Yöneticiler ve iç denetim elemanları ile görüme, Yıllık raporlar ve yayınlar, Yıllık bütçe, Biliim sistemi strateji dokümanları, Yönetim kurulu kararları, Biliim sistemi komisyonu kararları, Basında denetlenen kurumla ilgili çıkan yazılar, Bilgiilem departmanının kuruluunu ve çalıma esaslarını düzenleyen mevzuat, Biliim sisteminin genel olarak incelenmesi. Toplanan bilgiler ve ön inceleme bulguları ııında biliim sistemi denetim planı hazırlanır. Bu planda denetimin süresi, kapsamı, zamanlaması, denetime katılacak denetçi sayısı ve görev alanları, dıardan danıman çalıtırılıp çalıtırılmayacaı, çalıtırılacaksa ne tür danıman çalıtırılacaı ve çalıma alanı, denetimin tahmini maliyeti (seyahatler), kullanılacak 25
Sayıtay Dergisi Sayı: 44-45 bilgisayar destekli denetim teknikleri ve buna göre denetimde kullanılacak araçlar (donanım ve yazılım) belirlenir. G. Sistem Kontrollerinin Deerlendirilmesi Biliim sistemlerinin kontrol mekanizmalarının incelenmesi, biliim sistemleri denetçisinin denetim yaklaımını etkiler ve iç kontrollere güvenilip güvenilmeyeceini belirler. Denetçi, var olduu söylenen kontrol mekanizmalarının gerçekten var olup olmadıını, kontrollerin verimli çalııp çalımadıını ve kontrollerin amaçlanan güvenlii salayıp salamadıını kontrol eder ve problemli alanları belirlemeye çalıır. Genel hatları ile kontrolleri u balıklar altında toplayabiliriz: Mali tabloların kontrolü: Hesapların tam ve doru olup olmadıı, doru kapatılıp kapatılmadıı ve mali tablolar ile özet tablolarda deiiklik yapılıp yapılmadıı denetlenir. Girdi kontrolleri: Veri girilerinde hata veya hile yapılıp yapılmadıı, veri girilerinin yetkili kiilerce onaylanıp onaylanmadıı, yanlı tarihli veri girii yapılıp yapılmadıı (eer veri giri tarihi yanlı yazılırsa, ilem yanlı hesap dönemine aktarılmı olur.) incelenir. Süreç kontrolleri: lemlerin doru veriler kullanılarak doru hesaplanıp hesaplanmadıı incelenir. Çıktı kontrolleri: Ödemeler (çek veya EFT ödeme dosyaları) yazıcıda yazılmak için bekletilirken veya transfer edilirken, ayrıntılarının deitirilmediinden veya bir off-shore banka hesabına yönlendirilmediinden emin olunmalıdır. Buraya kadar ki kontroller uygulama kontrollerine ilikindi. Uygulama kontrolleri, manuel kontrollerin bilgisayar ortamındaki versiyonudur. Örnein manuel ortamda, ilem ve kayıtları onaylama ii, bir efin ilgili kaıt üzerine imza atması ile gerçekleirken, bilgisayar ortamında onaylama yetkisi olan kiinin ilem veya kayda bir giri kodu yazması ile gerçekleir. 26
Sayıtay Dergisi Sayı: 44-45 letim sistemleri kontrolleri: Hangi personelin hangi uygulamaya eritiinin kontrol edilmesidir. Örnein finansal uygulamalar dier pek çok program (personel programı, stok kontrol programı vb.) ile birlikte merkezi bilgisayar sistemi içinde çalıır. Dier uygulamalara erienlerin finansal uygulamalara eriimlerini engelleyici mekanizmanın (ifreleme) kurulup kurulmadıı kontrol edilir. Network eriim kontrolleri: Bir çok finansal sistem bir yerel veya geni aa balıdır. Network sisteminde yetkili olmayan kiilerin sisteme girilerini engelleyici mekanizmanın (ifreleme) kurulup kurulmadıı kontrol edilir. Sistem güvenlii ve iç kontrol birimlerinin kontrolü: Sistem güvenlik birimleri ile iç kontrol birimleri yapı ve personel açısından incelenerek, belirtilen riskleri kabul edilebilir bir seviyeye düürüp düüremeyecekleri deerlendirilir. Personel seçimi ve eitiminin kontrolü: Bilgi ilem departmanına personel alım prosedürü incelenir ve istihdam edilen personelin dürüst, eitimli ve güvenilir olup olmadıı kontrol edilir. Fiziksel ve çevresel kontroller: Bilgisayarların donanım ve yazılım olarak çalınma, kırılma, virüs bulama v.s. risklere karı iyi korunup korunmadıının kontrol edilmesidir. H. Bilgisayar Destekli Denetim Tekniklerinin Uygulanması Bilgisayar destekli denetim teknikleri, bilgisayarın hızından ve gücünden yararlanılarak denetimi daha etkin ve verimli yürütmek için kullanılan denetim teknikleridir. Denetçiler, bu teknikleri uygulayabilmek için bu amaca yönelik yazılmı paket programlardan yararlanabilecekleri gibi kendileri de program yazabilirler. 27
Sayıtay Dergisi Sayı: 44-45 Bilgisayar destekli denetim teknikleri, denetim sürecinde denetim kanıtlarının toplanması, analiz ve deerlendirilmesinde en yaygın biçimde kullanılır. Bilgisayar destekli denetim tekniklerini iki ana kategoriye ayırabiliriz: Veri inceleme teknikleri Sistem kontrollerini inceleme teknikleri 1. Veri nceleme Teknikleri Programlardaki süreçlerin doruluunun saptanmasında ya da veri dosyalarının incelenmesinde kullanılır (Veri dosyaları eksiksiz mi, veriler doru ekilde ileniyor mu, tüm kayıtlar doru hesap alanlarına yerletiriliyor mu, kayıt mükerrerlii var mı?) Bu kategoride denetlenen kurumun verilerinin incelenmesi için yararlanılacak balıca teknikler unlardır: Snapshot (anlık görüntü alma): lem sürecinin belirli bir noktasında programı dondurmaya imkan veren bir araçtır. Program çalıırken görünmeyen ilem ve süreci kontrol etmeyi salar. Bu teknik uygulanmakta olan bir ileme ilikin matematiksel hesaplamalardaki muhtemel hataların belirlenmesinde yararlıdır. Örnein Otomatik KDV hesaplamasında program durdurularak kullanılan deikenlerin deerleri aratırılabilir. Denetçinin programın yazılmasında yararlanılan program diline aina olması gerekir. Tracing (z sürme): Programın her aamasının incelenmesini salar. z sürme sayesinde her komutun ilenen verilerde veya programın kendisinde nasıl bir etki yarattıını görme imkanı verir. Yapılan ilemde hata varsa, problemin nerede ortaya çıktıı anlaılıncaya kadar adım adım program aracılııyla ilemin izlenmesine imkan salar. Paralel Simülasyon: Denetçinin programın tümünü veya bir bölümünü kendisi yazıp gerçek programdaki verileri yazdıı bu programda test ederek aldıı sonuçları gerçek programdaki sonuçlarla 28
Sayıtay Dergisi Sayı: 44-45 karılatırmasıdır. Denetçinin sistemi iyi bilmesi ve programlama deneyiminin olması gerekir. Sisteme Yerletirilen Denetim Modülleri: Denetçilerin, denetlenen kurumun ürettii verilerin tümüne ihtiyaç duymadıı durumlarda, sistemin normal çalıması sırasında ihtiyaca uygun verilerin sistemden çıkarılması için sisteme kodlanmı alt programlardır. Dosya Karılatırılması: Farklılıkları bulmak amacıyla iki benzer dosyanın sistemden çıkartılarak karılatırılmasında kullanılır. Örnekleme: Denetim testi için dosyadan temsili kayıtların seçilmesini salar. Test Üreteçleri ve Entegre Test Araçları: Denetçinin ihtiyaç duyduu verilerin üretilmesini salar. Verilerin doru biçimde ilenip ilenmediinin kontrolüne uygundur. Kayıt Mükerrerlii Mükerrer Ödeme Kontrolleri Dönemlere Ayırma (Ageing): Bir dönem boyunca yapılan ödemelerin yapısını gösterir. in teslimi ve ödenmesi arasındaki periyot gözlenebilir. Performans denetimi için yararlı bir araçtır 16. Boluk Belirleme ve Dizi Kontrolü: Seri içindeki hatalı rakamları ve bolukları ortaya çıkarır. Örnein eksik çek numaraları. 2. Sistem Kontrollerini nceleme Teknikleri Bu kategoride sistem içinde ileyen kontrol mekanizmalarının etkinlii incelenir. Sistemde tutulan hesap ve kayıtlara güvenebilmemiz için anahtar kontrollerin verimli çalııp çalımadıı incelenir (personel dier kiilerin ifrelerini kullanabiliyor mu, yetkili olmayan kiiler sisteme girebiliyor mu, yetkisiz kullanıma karı bazı kodlar eklendi mi, yetki alınmadan sistemde 16 T.C. Sayıtay Bakanlıı (2000), Bilgisayar Destekli Denetim Teknikleri, Çev. Emine Yarar, Ankara: T.C. Sayıtay Bakanlıı Hizmet çi Eitim Yayınları: 9, s. 11. 29
Sayıtay Dergisi Sayı: 44-45 deiiklik yapmak mümkün mü, geçersiz hesap kodları gibi doru olmayan bilgilerin sisteme giriine engel olmak üzere kontroller yapıldı mı). Bu kategoride u teknikler kullanılabilir: Harita Çıkarma: Uygulamaya konulmu fakat çalıtırılamayan kodun (örnein sahtecilie karı korunma kodu) belirlenmesinde kullanılır. Kaynak Karılatırılması: Kullanılan programın orijinaliyle aynı olup olmadıı, orijinal programda deiiklik yapılıp yapılmadıı aratırılır. Bu ekilde sahtecilie karı koruma amaçlı kodda deiiklik yapılıp yapılmadıı ve hatalar bulunur. Kullanıcı Kütüü Analiz Yazılımı: Çou sistemde kullanıcı girilerinin bir kütüü ve denenmi kütük açılıları bulunur. Bu teknik, yetkisi olmayan kiilerin sisteme girme çabalarını ve ifre ihlallerini belirler.. Biliim Sistemlerinin Performans Denetimi Biliim sistemlerinin varlık nedeni bizatihi kurum amacını gerçekletirmek için yapılan faaliyetleri desteklemektir. Biliim sistemi için harcanan kaynakların tutumluluk, verimlilik ve etkinlik ilkeleri dorultusunda kullanılıp kullanılmadıının incelenmesi biliim sistemlerinde performans denetiminin konusunu oluturur. Tutumluluk ilkesi, biliim sistemlerinin girdileri ile ilgilidir ve girdinin, uygun kalite ve uygun fiyatla tedarik edilip edilmedii ile ilgilenir. Etkinlik ilkesi, biliim sistemlerinin çıktıları ile ilgilidir ve uygun kaynaklar verimli bir ekilde kullanılarak hedeflenen amaçlara ulaılıp ulaılmadıı ile ilgilenir. Verimlilik ilkesi, biliim sistemlerinin süreçleri ile ilgilidir ve kaynakların yetersiz i süreçleriyle israf edilip edilmedii ile ilgilenir. Kullanılan biliim sisteminin tutumlu, etkin ve verimli bir ekilde çalııp çalımadıını deerlendirmek için biliim sistemi denetçisi performansın dütüünü gösteren kanıtları toplar. Kanıt toplamak için, 30