Denetim, Güvence ve Kontrol Uzmanlarının BT Standartları, Rehberleri, Araçları ve Teknikleri Mesleki Etik Kuralları BT Denetim ve Güvence Standartları, Rehberleri ve Araçları ve Teknikleri BS Kontrol Uzmanları Standartları Çevirmen Ömer YURDAGÜL İÇ DENETÇİ 1 Mart 2010 dan İtibaren Geçerlidir 1
ISACA 2009-2010 YÖNETİM KURULU ÜYELERİ Emil D Angelo, George Ataya, Yonosuke Harada, Ria Lucas, Jose Angel Pena Ibarra, Robert E. Stroud, Kenneth L. Vander Wal, Rolf von Roessing, Lynn Lawton, Everett C. Johnson Jr., Gregory T. Grocholski, Tony Hayes, Howard Nicholson, J eff Spivey, CISA, CISM Tokyo Bankasu -Mitsubishi UFJ Ltd., ABD, Uluslararası BaĢkanı CISA, CISM, CGEIT, CISSP ICT Control SA-NV, Belçika, BaĢkan Yardımcısı CISA, CISM, CGEIT, CAIS InfoCom AraĢtırma ġirketi., Japonya, BaĢkan Yardımcısı CISA, CGEIT Telstra Limited ġirketi, Australia, BaĢkan Yardımcıs CGEIT Alintec, Meksika, BaĢkan Yardımcısı CGEIT CA ġirketi, ABD, BaĢkan YArdımcısı CISA, CPA Ernst & Young LLP (Emekli), USA, BaĢkan Yardımcısı CISA, CISM, CGEIT KPMG Almanya, Almanya, BaĢkan Yardımcısı CISA, FBCS CITP, FCA, FIIA KPMG LLP, UK, Uluslararası Eski BaĢkanı CPA Deloitte & Touche LLP (Emekli), ABD, Uluslararası Eski BaĢkanı CISA The Dow Kimyasal ġirketi., ABD, Yönetici CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA Queensland Hükümeti, Australia, Yönetici CISA, CGEIT City of Salisbury, Avustralya, Yönetici CPP, PSP Güvenlik Risk Yönetimi, USA, Vakıf Yöneticisi 2009-2010 MESLEKİ STANDART KURULU BaĢkan, John Ho Chi, Manuel Aceves, Xavier Jude Corray, Murari Kalyanaramani, John G. Ott, Edward J. Pelcher, Rao Hulgeri Raghavendra, Elizabeth M. Ryan, Meera Venkatesh, CISA, CISM, CBCP, CFE Ernst & Young LLP, Singapur CISA, CISM, CGEIT Cerberian DanıĢmanlık, Meksika CISA, MACSc Allsecure-IT Pty., Ltd., Australya CISA, CISM, CISSP British American Tobacco GSD, Malezya CISA, CPA AmerisourceBergen, ABD CISA, CGEIT Genel Denetim Ofisi, Güney Afrika CISA, CQA, PGDIM Oracle Finansal Hizmetler Yazılımı Ltd.ġti.,Hindistan CISA Deloitte & Touche LLP, ABD CISM, CISA, ACS, CISSP, CWA Microsoft Corp., ABD Standartlarda Sorumluluk Reddi ISACA, ET denetçileri ve Güvence Uzmanları için ISACA Mesleki Etik Kuralları nda belirtilen mesleki sorumlulukları karģılamak için gerekli kabul edilebilir asgari performans seviyesi olarak bu Rehberi hazırlamıģtır. ISACA, bu ürünün kullanımının baģarılı sonucu kesinlikle sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları verebilecek diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun belirlenmesinde güvenlik ve kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koģullarının ortaya koyduğu koģullara dair kendi mesleki yargılarını kullanmalıdırlar. Standartları Bildirimi ve Telif Hakkı Uyarısı 2010 ISACA. Bütün hakları mahfuzdur. Bu yayının herhangi bir kısmı ISACA nın yazılı izni alınmaksızın geri alınabilir bir sistemde kullanılamaz, çoğaltılamaz, yeniden üretilemez, değiģtirilemez, dağıtılamaz, gösterilemez, depolanamaz ya da herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt ya da diğerleri) aktarılamaz. Bu yayının herhangi bir parçasının yeniden üretilmesine sadece akademik, kurum içi ve ticari olmayan kullanım amaçlar için izin verilir ve 2009 ISACA. Bu belgede, ISACA nın izni ile yeniden basılmıģtır. ifadesi belirtilmelidir. Bu yayınla ilgili herhangi bir diğer izin ya da hak verilmesi söz konusu değildir. 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Faks: +1.847.253.1443 E-posta: standards@isaca.org Web sitesi: www.isaca.org 2010 ISACA Bütün hakları mahfuzdur. 2
İçindekiler Tablosu Sayfa Mesleki Etik Kuralları 4 Bu Yayınının Nasıl Kullanılacağı 5 BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi 6 BT Denetim ve Güvence Standartları, Rehberleri, Araçları ve Teknikleri Usülleri Ġndeksi 7 BT Denetim ve Güvence Standartları 9 BT Denetim ve Güvence Rehberleri Alfabetik Listesi 27 BT Denetim ve Güvence Rehberi 28 BT Denetim ve Güvence Araç ve Teknikleri 214 BT Bağımsız Denetim Meslek Standartları 314 GeçmiĢ 315 ISACA Standartları Yorum Formu Belgesi 316 3
Mesleki Etik Kuralları Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA), bu Meslek Etik Kurallarını, meslek uzmanlarının, Dernek üyesi olan bireylerin ve/veya Dernek sertifikasına sahip olanların ilgili denetimleri yürütmesinde rehberlik etmesi amacıyla oluģturmuģtur. ISACA sertifikası sahipleri ve üyeleri aģağıdakileri yapacaktır: 1. Bilgi sistemleri için uygun standartların, usullerin ve kontrollerin uygulanmasını desteklemek ve bunlarla uyumlu olmayı desteklemek. 2. Meslek standartları ve en iyi uygulamalar çerçevesinde görevlerini gerekli özen ve mesleki dikkati göstererek yapmak. 3. Yasalar çerçevesinde ve dürüst bir biçimde ilgililerin çıkarlarına uygun davranıģlarda bulunmak, bunu yaparken de yapılan iģlerin yüksek standartlarından ödün vermemek ve mesleğe zarar verecek davranıģlardan uzak durmak. 4. Yasal makamlarca açıklanması istenmediği sürece elde edilen bilginin mahrem ve gizli kalmasını sağlamak. Bu tür bir bilgi kiģisel çıkar amacıyla kullanılmamalı ve uygun olmayan taraflara açıklanmamalıdır. 5. Ġlgili olduğu alanlarda uzmanlığını geliģtirmek ve sadece bu faaliyetlerle ilgili konularda anlaģma yapmak, onlar mesleki yeterlilikle makul bir Ģekilde tamamlamasını bekler. 6. Yapılan iģin sonuçlarına dair uygun tarafları bilgilendirmek; bilinen tüm önemli bulguları açıklamak. 7. Bilgi sistemleri güvenlik ve kontrollerinde ilgili paydaģların anlayıģının geliģtirilmesinde uzmanlık eğitimlerini desteklemek. Burada belirtilen Meslek Etik Kurallarıyla uyumlu hareket etmemek üyenin ya da sertifika sahibinin davranıģları sonunda soruģturulmasına ve sonuçta disiplin yaptırımlarının uygulanmasına yol açabilir. 4
Bu Yayının Nasıl Kullanılacağı Standartların Rehberler ve Araçlar ve Tekniklerle ĠliĢkisi BT Denetim ve güvence Standartları, sertifika sahiplerinin denetim ve denetim bulguları hakkındaki raporları için zorunlu ihtiyaçlardır.. BT Denetim Rehberleri, Araç ve Teknikleri, bu standartların izlenmesinde ayrıntılı birer yol göstericidir. BT Denetim ve Güvence Rehberleri, BT denetim, ve Güvence Uzmanını rehberleri takip edemeyeceği durumların söz konusu olabileceği anlayıģıyla, BT denetçisinin normal olarak izleyeceği rehberlerdir. Bu durumda, iģin yapılma Ģeklini gerekçelendirmek BT denetim ve güvence uzmanının sorumluluğundadır. Araçlar ve Teknikler, BT denetim ve Güvence Uzmanlarının iģlev adımlarını gösterir ve BT Denetim ve Güvence rehberlerine kıyasla daha bilgilendiricidir. Örnekler, BT Denetim ve Güvence Standartları ve BT Denetim ve Güvence Rehberlerini izleyecek biçimde yapılandırılmıģtır ve BT Denetim ve Güvence Standartlarının izlenmesi hakkında bilgi sağlarlar. Bazı noktalarda, bunlar ayrıca izlenecek usuller için en iyi uygulamaları oluģturur. Kodlama Standartlar yayınlanma sıralarına göre ardıģık olarak verilmiģtir, S1 ile baģlar. Rehberler, yayınlanma sıralarına göre ardıģık olarak verilmiģtir, G1 ile baģlar. Araçlar ve Teknikler, yayınlanma sıralarına göre ardıģık olarak verilmiģtir, P1 ile baģlar. Kullanım BT denetim ve güvence uzmanı, yıllık denetim programı süresince ve yıl içinde yapılan bireysel denetimler boyunca, standartları gözden geçirerek bunlara uymayı sağlayıp sağlamadığını dikkate alması önerilir. BT denetim ve Güvence Uzmanı, ISACA standartlarına raporunda gönderme yaparken denetimin ülke yasalarına, yürürlükteki denetim düzenlemelerine ve ISACA standartlarına uygun olarak yapıldığını belirtebilir. Elektronik Kopyalar ISACA standartlarının, rehberlerinin ve usullerinin tamamı ISACA web sitesi www.isaca.org/standards üstünden gönderilir. Sözlükçe Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir. 5
BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi ISACA tarafından hazırlanmıģtır. Bilgi teknolojilerinin (BT) denetimi ve güvencesinin yapısı ve bu türde bir denetimi yerine getirmek için gereken yetenekler özellikle BT denetimi ve güvencesine uygulanması gereken standartları zorunlu kılar. ISACA nın amaçlarından biri, geniģ görüģlülüğü gereğince küresel olarak uygulanabilir standartları geliģtirmektir. BT Denetim ve Güvence Standartlarının geliģtirilmesi ve yaygınlaģması, denetçi topluluğuna ISACA nın uzman katkılarında bir köģe taģı niteliğini taģır. Rehberlerin çeģitli seviyeleri vardır : Standartlar, BT denetimi ve güvencesinde ve raporlamasında, zorunlu ihtiyaçları tanımlar. AĢağıdaki konularda bildirimde bulunurlar: ISACA nın Mesleki Meslek Etik Kurallarında oluģturulan BT Denetim ve Güvence Uzmanlarını mesleki sorumluluklarını, ET denetçilerinin kabul edilebilir asgari seviyede uygulanmasını sağlamak için zorunluluktur. Mesleği icra edenlerin ortaya çıkaracağı iģlerle ilgili yönetim ve diğer ilgili tarafların beklentilerini Bilgi Sistemleri Denetçisi Sertifikası Sahiplerinin (CISA) atanmasının Ģartlarını. Bu standartlara uymakta baģarısız olunması durumunda CISA sertifikası sahibi hakkında ISACA Yönetim Kurulu veya uygun ISACA Komitesince soruģturma açılır ve disiplin yaptırımı uygulanabilir. Rehberler, BT Denetim ve Güvence standartlarının uygulanmasında yol göstericilik sağlar. BT Denetim ve Güvence Uzmanı, bunları standartların baģarıyla uygulanmasında dikkate almalı, bunların uygulanmasında mesleki yargısını kullanmalı ve bunlardan herhangi bir biçimde ayrılırsa, ayrılma nedenlerini gerekçelendirmeye hazır olmalıdır. BT Denetim ve Güvence Rehberlerinin amacı, BT Denetim ve Güvence Standartlarıyla uyumun nasıl sağlanılacağı konusunda daha fazla bilgi sağlamaktır. Araç ve teknikler, bir BT denetim ve güvence uzmanının, denetim görevi sırasında kullanacağı usullerin örneklerini sağlar. Bu usul belgeleri, BT denetim ve güvence çalıģmasının yürütülmesi sırasında standartların nasıl sağlanacağına dair bilgi sağlar, ancak zorunluluklar öngörmez. BT Denetim ve Güvence Araç ve Tekniklerinin amacı, BT Denetim ve Güvence Standartlarıyla uyumun nasıl daha fazla sağlayacağı konusunda bilgi sağlamaktır. Bilgi ve Ġlgili Teknoloji için Kontrol Hedefleri (COBIT ) BT YönetiĢim Enstitüsü tarafından yayımlanmıģtır. Bu bir bilgi teknolojisi (BT) yönetiģim çerçevesidir ve yöneticilerin kontrol gereksinimleri, teknik meseleler ve iģ riskleri arasındaki boģluklarda köprüler kurmasına imkan sağlar. COBIT, tüm kurumlarda BT kontrolleri için açık politikalar geliģtirmesini ve iyi uygulamalara imkan sağlar. Düzenleyici uygulamalara vurgu yapar, kurumların BT den elde edeceği değerleri artırmasına yardımcı olur ve yönetimi sağlar ve CobIT çerçeve kavramlarının uygulanmasını kolaylaģtırır. CobIT, iģ dünyası ve BT yöneticileri ile BT denetim ve güvence uzmanlarının kullanması amacıyla tasarlanmıģtır, bu nedenle CobIT kullanıldığında iģ amaçlarının anlaģılmasını, iyi uygulamalarla iletiģim kurulmasını, ortak algı bağlamındaki önerileri ve saygın çerçevelerin algısını kolaylaģtırır. CobIT, ISACA sitesinin www.isaca.org/cobit adresinden indirilebilir. CobIT, çerçevesinde de tanımlandığı gibi aģağıdaki her bir ürün ve/veya unsur BT yönetim sürecinde örgütlenmiģtir: Kontrol hedefleri - BT süreçleriyle ilgili asgari seviyede iyi kontrol için türetilmiģ bildirimler Yönetim rehberleri OlgunlaĢma modellerini kullanarak, BT süreci performanslarının nasıl değerlendirileceğine ve geliģtirileceğine rehberlik eder; Sorumluluk, Hesap verebilirlik, DanıĢma ve/veya Bilgilendirme (RACI [SHDB]) Ģemaları; hedefler; ölçütler. Özellikle aģağıdaki konulara yoğunlaģarak sürekli ve geleceğe yönelik öz-değerlendirme kontrolünü yönetim eğilimli olarak sunar: Performans ölçümleri BT kontrolü belirgin özellikleri Farkındalık Kıyaslama COBIT Kontrol Uygulamaları Risk ve değer bildirimleri ve kontrol hedefleri için rehberin Nasıl uygulanacağı IT Güvence Rehberi Her bir kontrol alanında nasıl bir anlayıģ edinileceği, her bir kontrolün nasıl değerlendirileceği, uygunluk değerlendirmesi ve karģılanmayan risk kontrollerinin doğrulanmasına rehberlik sağlar. Terimleri içeren bir sözlükçe ISACA sitesinde www.isaca.org/glossary adresinde bulunabilir. Denetim ve Gözden Geçirme kavramları, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinde birbirinin yerine kullanılmaktadır. Sorumluluk Reddi: ISACA, BT denetçileri için ISACA Mesleki Etik Kuralları nda belirtilen mesleki sorumlulukları karģılamak için gerekli kabul edilebilir asgari performans seviyesi olarak bu rehberi hazırlamıģtır. ISACA, bu ürünün kullanımının baģarılı sonucu kesinlikle sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları verebilecek diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun belirlenmesinde, test yada kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koģullarının ortaya koyduğu koģullara dair kendi mesleki yargılarını kullanmalıdırlar. ISACA Standartlar Kurulu, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinin hazırlanmasında geniģ bir danıģmanlık yelpazesiyle iģbirliği yapmıģtır. Standartlar Kurulu, herhangi bir belge yayınlanmadan önce, söz konusu taslağını uluslararası kamuoyunun bilgisine sunmaktadır. Mesleki Standartlar Kurulu, ayrıca ele alınan konunun uzmanlarıyla veya bu konuyla özel olarak ilgilenenlerle gerekmesi durumunda iletiģim kurmaktadır. Standartlar Kurulunun, sürekli bir geliģtirme programı vardır ve ISACA üyelerinin ve diğer ilgili tarafların yeni standartlar gerektiren durumların varlığıyla ilgili girdilerine her zaman açıktır. Her türlü öneri, e-posta (standards@isaca.org), faks (+1.847. 253.1443) ya da posta yoluyla(kitabın sonundaki adrese) ISACA Uluslararası Merkezine, VAL IT faaliyeti yöneticisinin dikkatine gönderilebilir. 6
BT Denetim ve Güvence Standartları Ġndeksi Yürürlük Tarihi S1 Denetim Yönetmeliği 1 Ocak 2005 S2 Bağımsızlık 1 Ocak 2005 S3 Mesleki Etik ve Standartları 1 Ocak 2005 S4 Yeterlilik 1 Ocak 2005 S5 Planlama 1 Ocak 2005 S6 Denetim Görevinin Yürütülmesi 1 Ocak 2005 S7 Raporlama 1 Ocak 2005 S8 Denetim Sonrası Ġzleme Faaliyetleri 1 Ocak 2005 S9 Aykırılıklar ve YasadıĢı DavranıĢlar 1 Eylül 2005 S10 BT YönetiĢimi 1 Eylül 2005 S11 Denetim Planında Risk Değerlendirmesinin Kullanılması 1 Kasım 2005 S12 Denetimin Önemliliği 1 Temmuz 2006 S13 Diğer Uzman ÇalıĢmalarının Kullanımı 1 Temmuz 2006 S14 Denetim Kanıtı 1 Temmuz 2006 S15 BT Kontrolleri 1 ġubat 2008 S16 E-ticaret 1 ġubat 2008 BT Denetim ve Güvence Rehberleri Ġndeksi G1 Diğer Denetçilerin ÇalıĢmalarının Kullanılması 1 Haziran 1998 Gözden Geçirme 1 Mart 2008 G2 Denetim Kanıtı Gerekliliği 1 Aralık 1998 Gözden Geçirme 1 Mayıs 2008 G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) 1 Aralık 1998 Gözden Geçirme 1 Mart 2008 G4 BS Faaliyetlerinin DıĢ Kaynaktan Sağlanması 1 Eylül 1999 Gözden Geçirme 1 Mayıs 2008 G5 Denetim Yönetmeliği 1 Eylül 1999 Gözden Geçirme 1 ġubat 2008 G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları 1 Eylül 1999 Gözden Geçirme 1 Mayıs 2008 G7 Beklenen Uzman Özeni 1 Eylül 1999 Gözden Geçirme 1 Mart 2008 G8 Denetim Belgelendirilmesi 1 Eylül 1999 Gözden Geçirme 1 Mart 2008 G9 Aykırılıklar ve YasadıĢı Hareketler Açılarından Denetim Varsayımları 1 Mart 2000 Gözden Geçirme 1 Eylül 2008 G10 Denetim Örneklemesi 1 Mart 2000 Gözden Geçirme 1 Ağustos 2008 G11 Yaygın BS kontrollerinin Etkisi 1 Mart 2000 Gözden Geçirme 1 Ağustos 2008 G12 Kurumsal ĠliĢkiler ve Bağımsızlık 1 Eylül 2000 Gözden Geçirme 1 Ağustos 2008 G13 Denetim Planında Risk Değerlendirmesinin Kullanımı 1 Eylül 2000 Gözden Geçirme 1 Ağustos 2008 G14 Uygulama Sistemlerinin Gözden Geçirilmesi 1 Kasım 2001 G15 Denetimin Planlanması 1 Mayıs 2010 G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi 1 Mart 2009 G17 BT Denetim ve Güvence Uzmanının Bağımsızlığında Denetim DıĢı Rolünün Etkisi 1 Mayıs 2010 G18 BT YönetiĢimi 1 Temmuz 2002 G19 Aykırılıklar ve Yasa DıĢılıklar 1 Temmuz 2002 Kaldırılma 1 Eylül 2008 G20 Raporlama 1 Ocak 2003 G21 Kurumsal Kaynak Planlama (ERP) Sisteminin Gözden Geçirmesi 1 Ağustos 2003 G22 ġirketten-müģteriye (B2C) E-ticaret Gözden Geçirmesi 1 Ağustos 2003 Güncellenme 1 Ekim 2008 G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Denetimi Gözden Geçirmeleri 1 Ağustos 2003 G24 Internet Bankacılığı 1 Ağustos 2003 G25 Sanal Özel Ağların Gözden Geçirmesi 1 Temmuz 2004 G26 ĠĢ Süreci DeğiĢim Mühendisliği (BPR) Proje Gözden Geçirilmeleri 1 Temmuz 2004 G27 Kablosuz EriĢim Araçları 1 Eylül 2004 G28 Adli BiliĢim 1 Eylül 2004 G29 Uygulama Sonrasının Gözden Geçirmesi 1 Ocak 2005 G30 Yeterlilik 1 Haziran 2005 G31 KiĢisel Bilginin Gizliliği 1 Haziran 2005 G32 ĠĢ Süreklilik Planının (BCP) BT BakıĢıyla Gözden Geçirilmesi 1 Eylül 2005 G33 Internet Kullanımında Genel Varsayımlar 1 Mart 2006 G34 Sorumluluk, Yetki ve Hesap Verebilirlik 1 Mart 2006 G35 Denetim Sonrası Ġzleme Faaliyetleri 1 Mart 2006 G36 Biyometrik Kontroller 1 ġubat 2007 G37 Konfigürasyon Yönetim Süreci 1 Kasım 2007 G38 EriĢim Kontrolleri 1 ġubat 2008 G39 BT Organizasyonu 1 Mayıs 2008 G40 Güvenlik Yönetimi Uygulamalarının Denetimi 1 Aralık 2008 G41 Güvenlik Yatırımlarının Geri DönüĢü 1 Mayıs 2010 G42 Sürekli Güvence 1 Mayıs 2010 7
BT Denetim ve Güvence Araçları ve Teknikleri Ġndeksi P1 BT Risk Değerlendirmesi 1 Temmuz 2002 P2 Dijital Ġmzalar 1 Temmuz 2002 P3 Saldırı Tespiti 1 Ağustos 2003 P4 Virüsler ve diğer Zararlı Kodlar 1 Ağustos 2003 P5 Kontrol Risk Öz Değerlendirmesi 1 Ağustos 2003 P6 Güvenlik Duvarları 1 Ağustos 2003 P7 Aykırılıklar ve YasadıĢı Hareketler 1 Kasım 2003 P8 Güvenlik Değerlendirmesi Saldırı Testi ve Zayıflık Analizi 1 Eylül 2004 P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrollerinin Değerlendirilmesi 1 Ocak 2005 P10 ĠĢ Uygulamaları DeğiĢiklik Kontrolü 1 Ekim 2006 P11 Elektronik Fon Transferi (EFT) 1 Mayıs 2007 8
BT Denetim ve Güvence Standartları ISACA tarafından hazırlanmıģtır S1 Denetim Yönetmeliği GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, denetim süresince kullanılan Denetim Yönetmeliği ile ilgili olarak bir rehber oluģturmak ve sağlamaktır. Standart 03 Bilgi sistemi denetim iģlevi ya da biliģim sistemi denetim görevlerinin amacı, sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleģmesinde uygun biçimde belgelenmelidir. 04 Denetim Yönetmeliği ya da hizmet sözleģmesi üstünde kurum(lar) içinde uygun seviyede anlaģmaya varılmalı ve onaylanmalıdır. Açıklama 05 Kurum içi bilgi sistemleri denetim iģlevinin, bir Denetim Yönetmeliği sürekli faaliyetleri kapsayacak biçimde hazırlanmalıdır. Denetim Yönetmeliği, yıllık olarak yada sorumlulukların çeģitlenmesi ya da değiģmesi durumunda daha sıklıkla gözden geçirilmelidir. Bir hizmet sözleģmesi, Kurum içi BS denetçisinin denetime özel yada denetim dıģı görevlerin kapsamını yeterince netleģtirmek yada onaylamak için kullanılabilir.. DıĢarıdan bir BS denetçisi için hizmet sözleģmesi her denetim veya denetim dıģı görev için normal olarak hazırlanmalıdır. 06 Denetim Yönetmeliği ya da hizmet sözleģmesi, denetim iģlevi ya da görevinin amaç, sorumluluk ve kısıtlamaları arasında yeterli iliģkiyi kuracak kadar ayrıntılandırılmalıdır. 07 Denetim Yönetmeliği ya da hizmet sözleģmesi, yazılı hale getirilen amaç ve sorumluluğu sağladığından emin olmak için belirli aralıklarla gözden geçirilmelidir. 08 Denetim Yönetmeliği ya da hizmet sözleģmesi hazırlarken daha fazla bilgi için aģağıdaki rehberlere ilgi gösterilmelidir: BS Denetim Rehberi G5 Denetim Yönetmeliği COBIT Çerçevesi, Kontrol Hedefi M4 Yürürlük Tarihi 09 Bu ISACA Standardı, 1 Ocak 2005 tarihinde ve sonrasında baģlayan bütün Bilgi sistemleri denetimleri için geçerlidir. 9
S2 Bağımsızlık GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, denetim süresince bağımsızlık konusunda bir yol gösterici oluģturmak ve sağlamaktır. Standart 03 Mesleki Bağımsızlık, Denetimle ilgili bütün konularda, BS denetçisi hem tavır hem de görünüģ olarak denetlenen kurumdan bağımsız olmalıdır. 04 Kurumsal Bağımsızlık BS Denetim iģlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır. Açıklama 05 Denetim Yönetmeliği ya da hizmet sözleģmesi, denetim iģlevinin bağımsızlık ve hesap verebilirliğini içermelidir. 06 BS Denetçisi, tutum ve davranıģlarında daima bağımsız olmalı ve bağımsız görünmelidir. 07 Gerçekte ya da görünüģte bağımsızlık zarar görürse, zararın ayrıntıları ilgili taraflara açıklanmalıdır. 08 BS denetçisi, kurumsal olarak denetim alanından bağımsız olmalıdır. 09 Bağımsızlık, BS denetçisi, yönetim ve eğer var ise denetim komitesi tarafından düzenli olarak değerlendirilmelidir. 10 Düzenleyici kurumlar veya diğer mesleki standartlarca yasaklanmadıkça, BS denetçisinin, BS faaliyetlerindeki rolünün niteliği denetim dıģı olduğu durumlarda bağımsız olmasına veya bağımsız gibi görünmesine gerek yoktur. 11 Mesleki ve Kurumsal Bağımsızlık hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: BS Denetim Rehberi G17, BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi. BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık COBIT Çerçevesi, Kontrol Hedefi M4. Yürürlük Tarihi 12 Bu ISACA Standardı, 1 Ocak 2005 tarihinde baģlayan bütün Bilgi sistemleri denetimleri için geçerlidir. 10
S3 Mesleki Etik 1 ve Standartlar GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, BS denetçisinin ISACA nın Mesleki Etik Kurallarına bağlı kalmasına ve denetim görevinde beklenen mesleki özeni uygulamasında standart oluģturmak ve rehber sağlamaktır. Standart 03 BS denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır. 04 BS denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını gözeterek gereken mesleki özeni göstermelidir. Açıklama 05 ISACA tarafından yayımlanan ISACA Mesleki Etik Kuralları, denetim mesleğinin ortaya çıkan yönelim ve gereksinimlerine uygun olarak zaman içinde değiģecektir. ISACA üyeleri ve BS denetçileri, bir denetçi olarak görevlerini yerine getirirlerken en son ISACA Meslek Etik Kurallarına uygun davranmalıdırlar. 06 ISACA Meslek Etik Kuralları, sürekli geliģme için düzenli olarak gözden geçirilmekte ve denetim mesleğindeki zorluklara uyum sağlaması gereğini karģılamak amacıyla gerektiğinde değiģtirilmektedir. ISACA üyeleri ve BS denetçileri, denetim görevlerini yerine getirirlerken en son yürürlükteki BS denetim standartlarının farkında olmalı ve beklenen mesleki özeni göstermelidirler. 07 ISACA nın Mesleki Etiği Ġlkelerine ve/veya BS denetim standartlarına uyumda baģarısızlık, ISACA üyesinin ya da CISA sahibinin disiplin soruģturmasına uğraması ya da tamamen ihracıyla sonuçlanabilir. 08 ISACA üyeleri ve BS denetçileri, denetim görevlerini yerine getirirken kendi takım üyeleriyle iletiģim kurmak ve takımın Mesleki Etik Ġlkelerine ve uygulanabilir BS Denetim Standartlarına uymalarını sağlamak durumundadırlar. 09 BS denetçileri, denetim görevlerini yerine getirirlerken karģılaģtıkları her durumda Meslek Etiği uygulamaları veya BS Denetim Standartlarına uygun olarak iģlem yapmalıdırlar. Meslek Etik ve BS denetim standartları zarar görmüģ ya da zarar görüyor gibi görünüyorsa, BS denetçisi sözleģmeden çekilmeyi düģünmelidir. 10 BS denetçisi, en yüksek seviyede dürüstlüğü ve ahlakı korumalı ve yasadıģı, etik veya mesleki uygulamalarına uygun olmayan yöntemleri kullanılmamalıdır. 11 Meslek Etiği ve Standartları hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢılıklar BS Denetim Rehberi G7 Beklenen Mesleki Özen BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık COBIT Çerçevesi, Kontrol Hedefleri M4. Yürürlük Tarihi 12 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 1 Çevirenin Notu: Meslek etiği kavramına en çok uyacak kelimenin meslek töresi olduğu düşünülmektedir. Kullanımının yaygın oluşu ve genel kabul görmesi nedeniyle meslek etiği kavramı tercihan kullanılmıştır. Medeni Hukuk alanında yardımcı kaynak olarak töre kuralları kabul edilmektedir. Mahkemeler, kanunlarda bir düzenlemenin bulunmaması durumunda konu ile ilgili gelenek ve töreler ihtilafın çözümlenmesinde başvuru kaynağı kabul edilmektedir. 11
S4 Mesleki Yeterlilik GiriĢ 01 Temel ilkeleri ve ana unsurları içeren ISACA standartları kalın olarak belirtilmiģlerdir ve bunlar ilgili rehberle birlikte zorunludurlar. 02 Bu BS Denetim Standardının amacı, BS Denetçisinin mesleki yeterliğe ulaģıp bu yeterliğini muhafaza etmesi için ona rehberlik etmektir. Standart 03 BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan yeterli olmalıdır. 04 BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek durumundadır. Açıklama 05 BS Denetçisi, iģe baģlamadan önce, mesleki yeterliliğinin (planlanan iģle ilgili becerisi, bilgisi, ve tecrübesinin) bulunduğu konusunda makul güvence sağlamalıdır. ġayet bunlar yoksa, BS Denetçisi görevi red etmeli yada geri çekilmelidir. 06 Eğer zorunlu ise, BS Denetçisi, CISA nın sürekli mesleki eğitimi ya da geliģtirme gereksinimlerini ve denetimle ilgili diğer mesleki atama Ģartlarını karģılamalıdır. CISA ya ya da denetimle ilgili diğer atama Ģartlarına sahip olmayan ve bilgi sistemleri denetiminde yer alan ISACA üyeleri, yeterli resmi eğitim, hizmet içi eğitim ve iģ deneyimine sahip olmalıdır. 07 BS Denetçisi, denetim görevini yürüten bir takımı yönetiyor ise, bütün üyelerin, yaptıkları iģe uygun mesleki yeterlilik seviyesine sahip olduklarına makul güvence sağlamalıdır. 08 Mesleki Yeterlilik hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: CISA sertifikasyon ve eğitim materyali CISA sürekli sertifikasyon ve eğitim gereksinimleri COBIT çerçevesi, kontrol hedefleri M2, M3 ve M4. Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 12
S5 Planlama GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, denetimin planlaması konusunda standartları oluģturmak ve klavuz sağlamaktır. Standart 03 BS Denetçisi, denetiminin hedeflerini karģılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır. 04 BS Denetçisi, risk tabanlı bir denetim yaklaģımı geliģtirmeli ve belgelendirmelidir.. 05 BS Denetçisi, denetimin doğasını ve hedefleri, zamanlaması ve kapsam ve hedeflerini ve gerekli kaynakların ayrıntılarını listeleyen denetim planını geliģtirmeli ve belgelendirmelidir. 06 BS Denetçisi, denetimini gerçekleģtirmek için gerekli ayrıntılı Ģekilde denetim sürecinin doğasını, zamanlaması, ve sınırlarını içeren bir denetim programı ve/veya planı geliģtirmeli ve belgelendirmelidir. Açıklama 07 Bir iç denetim birimi, sürekli faaliyetler için en azından yıllık olarak bir plan geliģtirilmeli ve güncelleģtirilmelidir. Bu plan denetim faaliyetlerinin çerçevesi olmalı ve denetim yönetmeliğiyle oluģturulan sorumlulukları yerine getirmeyi sağlamalıdır. Yeni / güncellenmiģ plan, eğer var ise denetim komitesince onaylanmıģ olmalıdır. 08 Bir dıģ BS Denetiminde, normalde her bir denetim veya denetim dıģı görev için bir plan hazırlanmıģ olmalıdır. Bu plan denetimin hedeflerini kapsamalıdır. 09 BS Denetçisi, denetim faaliyetleri anlamalıdır. Gerekli bilginin kapsamını kurumun doğası, çevresi ve riskleri ve denetimin hedefleri belirlenmelidir. 10 BS Denetçisi, denetim sırasında bütün önemli konuların yeterli bir Ģekilde kapsayacağı konusunda makul güvence sağlamak için risk değerlendirmesi yapmak durumundadır. Denetim stratejileri, önemlilik seviyeleri ve kaynaklar sonra geliģtirilebilir. 11 Denetim programı ve/veya planının, denetimin yürütülmesinde ortaya çıkan durumlara göre (yeni riskler, yanlıģ varsayımlar veya hâlihazırda gerçekleģtirilmiģ iģlemlerden elde edilen bulgular gibi) denetim yönünün değiģtirilmesine ihtiyaç duyulabilir. 12 Bir denetim yönetmeliği veya hizmet sözleģmesi hazırlanması konusunda daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: BS Denetim Rehberi G6, Bilgi Sistemlerin Denetimi için Gereklilik Kavramları BS Denetim Rehberi G15, Planlama BS Denetim Rehberi G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı BS Denetim Rehberi G16 Bir Organizasyonunun BT kontrollerinde Üçüncü Tarafların Etkileri COBIT Çerçevesi, Kontrol Hedefleri Yürürlük Tarihi 14 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 13
S6 Denetim ĠĢinin Yürütülmesi GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standartlarının amacı, denetim iģinin yürütülmesi ile ilgili rehber ve standartlar oluģturmak ve sağlamaktır. Standart 03 Denetim ve Gözetim-BS Denetim Kadrosu, denetim hedeflerinin baģarıldığının ve yürürlükteki mesleki denetim standartlarının karģılandığının makul güvencesini sağlamak amacıyla denetimin iģinin yürütülmesi esnasında gözden geçirilmelidir. 04 Kanıt-Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baģarmak için gereken yeterli, güvenilir ve iliģkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir. 05 Dosyalama-Denetim süreci, yapılan denetimi ve BS Denetçisinin bulgu ve sonuçlarını destekleyen denetim kanıtını gösterir bir biçimde dosyalanmak zorundadır. Açıklama 06 BS Denetim takımının rol ve sorumlulukları, asgari karar verme, uygulama ve gözden geçirme rollerini belirleyecek biçimde, denetimin baģlangıcında oluģturulmalıdır. 07 SözleĢme kapsamında gerçekleģtirilmekte olan iģ, önceden belirlenmiģ usuller takip edilerek sınıflandırılmalı ve dosyalanmalıdır. Bu dosyada, iģ kapsam ve hedefleri, denetim programı, yürütülecek denetim aģamaları, toplanan kanıtlar, bulgular, sonuçlar ve öneriler gibi Ģeyler bulunmalıdır. 08 Denetim dosyası, bağımsız bir tarafın denetim sırasında gerçekleģtirilen bütün görevleri yeniden gerçekleģtirdiğinde aynı sonucu elde etmesine fırsat tanıyacak biçimde düzenlenmelidir. 09 Denetim dosyası, her denetim görevini kimin gerçekleģtirdiğini ve rolünün ne olduğunu ayrıntılı biçimde içermelidir. Genel bir kural olarak, takımın bir üyesi veya bir üyeler grubu tarafından yapılan denetimle ilgili her görev, karar ve adım veya ortaya çıkan sonuç, ilgili konunun önemine uygun olarak görevlendirilen aynı takımın diğer bir üyesi tarafından gözden geçirilmelidir. 10 BS Denetçisi, denetim kanıtının elde edilmesi için gerekli zaman, çaba ve denetim hedefinin önemiyle tutarlı ulaģılabilir en iyi denetim kanıtını kullanmayı planlamalıdır. 11 Denetim kanıtı, BS Denetçisinin bulgu ve sonuçlarını desteklemek ve görüģlerini Ģekillendirmek için yeterli, güvenilir, ilgili ve faydalı olmalıdır. BS Denetçisi, denetim kanıtının bu kıstasları karģılamadığına karar verir ise daha fazla denetim kanıtı elde etmelidir. 12 Denetim iģinin yürütülmesi hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: COBIT Çerçevesi, Kontrol Hedefleri Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 14
S7 Raporlama GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, BS denetçisinin raporlama sorumluluğunu yerine getirirken kullanacağı standardı oluģturmak ve yol göstericilik sağlamaktır. Standart 03 BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır. Rapor, kurumu, hedeflenen alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. 04 Denetim raporu, yürütülen denetim iģinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. 05 Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini veya sınırlandırmalarını belirtmelidir. 06 BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına sahip olmalıdır. 07 BS Denetçisi, raporunu bitirdiği zaman raporunu imzalamalı, tarih atmalı ve denetim yönetmeliği veya hizmet sözleģmesine göre dağıtmalıdır. Açıklama 08 Raporun Ģekli ve içeriği, hizmet türü ve anlaģma açısından çeģitlilik gösterir. Bir BS Denetçisi aģağıdaki maddelerden herhangi birisini uygulayabilir: Denetim (doğrudan veya onaylı) Gözden geçirme (doğrudan veya onaylı) Üzerinde anlaģılmıģ usuller 09 BS Denetçisi, anlaģma maddeleri uyarınca kontrol ortamı üzerinde fikir beyan etmesi gerektiğinde ve önemli veya kayda değer bir zayıflığın denetim kanıtı bulunması durumu, BS Denetçisinin iç kontrollerin etkili olduğu yönünde sonuca varmasını imkansız hale getirir. BS Denetçisinin raporu, önemli ve kayda değer zayıflıkları ve bunların kontrol kıstaslarının hedeflerinin baģarılmasına etkilerini tanımlamalıdır. 10 BS Denetçisi taslak raporun içeriğini söz konusu alanda sonlandırılmadan ve yayınlanmadan önce yönetimle tartıģmalı,. nihai raporunda, yönetimin yorumlarına uygun yerlerde vermelidir.. 11 BS Denetçisinin, kontrol ortamında önemli hatalar bulduğu durumlarda, bu hataları denetim komitesine veya sorumlu yetkililere bildirmelidir ve önemli hatalara dair bildirimin yapıldığını raporunda açıklamalıdır. 12 BS Denetçisi, ayrı raporlar hazırladığı durumlarda nihai raporunda tüm ayrı raporlara gönderme yapmalıdır. 13 BS Denetçisi, büyük hatalardan daha az önemli olan küçük boyutta iç kontrol yetersizliklerini yönetime bildirip bildirmeme konusunu kendisi düģünüp değerlendirmelidir. Bildirmesi durumunda, BS Denetçisi denetim komitesine veya sorumlu yetkililere bu iç kontrol yetersizliklerinin yönetime iletildiğini bildirmelidir. 14 BS Denetçisi, uygun ve zamanında önlemlerin alınıp alınmadığını belirlemek için önceki rapor bulgu, sonuç ve önerileriyle ilgili bilgileri istemeli ve değerlendirmelidir. 15 Rapor hazırlama hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurulabilir: BS Denetim Rehberi G20 Raporlama COBIT Çerçevesi, Kontrol Hedefleri M4.7 ve M4.8 Yürürlük Tarihi 16 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 15
S8 Denetim Sonrası Ġzleme Faaliyetleri GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standardının amacı, BS Denetim sürecinde kullanılmak üzere denetim sonrası izleme faaliyetleri standardını oluģturmak ve yol göstericilik sağlamaktır. Standart 03 Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi yönetim tarafından zamanında ve uygun bir Ģekilde harekete geçilip geçilmediğini belirlemek için ilgili bilgileri istemeli ve değerlendirmelidir. Açıklama 04 Eğer yönetim, rapordaki uygulama önerilerine dair eylem planını BS Denetçisiyle tartıģmıģ yada ona bildirmiģ ise, bu eylemler nihai raporda yönetimin verdiği yanıt olarak kaydedilmelidir. 05 Denetim sonrası izleme faaliyetlerinin, doğası, zamanlaması ve kapsamı, raporlanan bulguların önemini ve düzeltici faaliyetlerin gerçekleģtirilmemesinin etkisini dikkate almalıdır. Asıl raporla ilgili olarak, BS Denetim sonrası faaliyetlerin zamanlamasını bağlantılı risklerin doğası yada büyüklüğü ve kuruma maliyeti gibi çok sayıda varsayıma bağlı olarak ortaya çıkan mesleki yargısıyla belirlemelidir. 06 Ġç denetim BS birimi, yönetimin eylemleri etkili biçimde uygulamasını sağlamak ve izlemek için denetim sonrası izleme süreci oluģturmalıdır aksi takdirde üst yönetim harekete geçmemenin riskini kabul eder. Denetim sonrası izleme faaliyetleri sorumluluğu, iç denetim birimi yönetmeliğinde tanımlanabilir. 07 Görevin alanı ve Ģartlarına bağlı olarak dıģ BS Denetçileri, kendilerinin üzerinde anlaģtıkları önerileri izlemek için bir iç BS Denetim birimine güvenebilirler. 08 Önerileri uygulamak için yapılan etkinliklerle ilgili olarak yönetimin bilgi sağladığı ve BS Denetçisinin de sağlanan bu bilgilerle ilgili Ģüphelerinin oluģtuğu durumlarda, denetim sonrası izleme faaliyetleriyle ilgili sonuca varmadan önce gerçek durumun belirlenmesi amacıyla uygun test yada diğer usullerin kullanılması gereklidir. 09 Üzerinde anlaģmaya varılmıģ ama uygulanmamıģ önerileri de içeren, denetim sonrası izleme faaliyetlerinin durumuyla ilgili bir rapor eğer var ise denetim komitesine sunulabilir veya aynı rapor diğer bir seçenek olarak uygun seviyedeki kurum yönetimine sunulabilir. 10 Denetim sonrası izleme faaliyetlerinin bir parçası olarak BS Denetçisi eğer uygulanmadıysa bulguların hala geçerli olup olmadığını değerlendirmek durumundadır. Yürürlük Tarihi 11 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 16
S9 Aykırılıklar ve YasadıĢı Hareketler GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu ISACA Standardının amacı, denetim sürecinde BS denetçisinin göz önünde bulundurması gereken aykırılıklar ve yasadıģı hareketlerle ilgili standardı oluģturmak ve yol göstericilik sağlamaktır. Standart 03 BS Denetçisi,Denetim riskini düģük bir seviyeye indirmek için denetimi planlanmasında ve yürütülmesinde aykırılıklar ve yasadıģı hareketler riskini göz önünde bulundurmalıdır. 04 BS Denetçisi denetim süresince; aykırılıklar ve yasadıģı hareketlerden dolayı önemli yanıltıcı ifadelerin olabileceği ihtimalini dikkate alarak, aykırılıklar ve yasadıģı hareketler riski ilgili kendi değerlendirmelerine bakmaksızın mesleki Ģüphecilik tutumunu sürdürmelidir. 05 BS Denetçisi, iç kontroller dahil kurumun kendisine ve çevresine hakim olmalıdır. 06 BS Denetçisi,. yönetimin veya kurum içindeki diğer kiģilerin mevcut, Ģüpheli veya iddia edilen herhangi bir düzensizlik ve yasadıģı hareketle ilgili bilgilerinin olup olmadığını belirlemek için yeterli ve uygun denetim kanıtı elde etmelidir. 07 BS Denetçisi, kurumun kendisi ve çevresine hakim olmak için denetim sürecini yürütürken aykırılıklar ve yasadıģı hareketlerin riskini gösterebilecek sıra dıģı veya beklenmedik iliģkileri göz önünde bulundurmalıdır. 08 BS Denetçisi, iç kontrollerin uygunluğunu ve yönetimin bu kontrolleri ihlâl etme riskini test etmek için süreçleri tasarlamalı ve gerçekleģtirmelidir. 09 BS Denetçisi, yanıltıcı bir ifade belirlediğinde bu yanıltıcı ifadenin bir aykırılık ve yasadıģı hareket göstergesi olup olmadığını değerlendirmelidir. BS Denetçisi, böyle bir gösterge var ise, denetimin diğer yanları ile özellikle de yönetimin temsilcileriyle iliģkilerinin çıkarımlarını da dikkate almalıdır. 10 BS Denetçisi yönetimden, en azından yılda bir kez veya denetim görevine bağlı olarak daha sık, yazılı açıklama istemelidir. Bu açıklama aģağıdakileri içermelidir: Aykırılık veya yasadıģı hareketleri önleyici ve tespit edici iç kontrollerin tasarlanması ve uygulanması için sorumluluğunu kabul ettiğini göstermelidir. Bir aykırılık veya yasadıģı hareket sonucu olarak önemli yanıltıcı bir ifadenin var olabileceğinin risk değerlendirmesinin sonuçlarını BS Denetçisine bildirmelidir. BS Denetçisine, kurumu etkileyen aykırılık ve yasadıģı hareketlere dair aģağıdakilerle ilgili bilgilerini bildirmelidir. Yönetim Ġç Kontrolde önemli rolü olan çalıģanlar BS Denetçisine, çalıģanlardan, önceki çalıģanlardan veya düzenleyiciler tarafından bildirilmiģ, kurumu etkileyen aykırılık veya yasadıģı hareket iddialarını ya da aykırılık ve yasadıģı hareket Ģüphelerini bildirmelidir. 11 Eğer BS Denetçisi, somut bir aykırılık veya yasadıģılık belirlemiģse veya somut bir aykırılık ya da yasadıģılık olması ihtimali bilgisini edinmiģse, bu meseleleri yönetimin uygun kademesine zamanında bildirmelidir. 12 Eğer BS Denetçisi, yönetimle ilgili veya iç kontrolde önemli rolü olan çalıģanlarla ilgili bir somut aykırılık veya yasadıģı bir hareket belirlenmiģse, bu meseleleri yetkili mercilere zaman geçirmeden iletmelidir. 13 BS Denetçisi, denetim esnasında dikkatini çeken düzensiz ve yasadıģı hareketleri önleyici ve tespit edici kontrollerin tasarımında ve iģleyiģinden sorumlu uygun yönetim seviyesini ve yetkili mercileri önemli zayıflıklardan haberdar etmelidir. 14 BS Denetçisi, denetimi devam ettirmede kendisini etkileyen ve yasadıģı bir hareketten veya yanıltıcı bir ifadeden kaynaklanan istisnai bir durumla karģılaģırsa, böyle durumlarla ilgili yürürlükteki yasal ve mesleki sorumlulukları dikkate almalı, sözleģme taraflarına veya bazı durumlarda yetkili yönetime veya düzenleyici kurumlara rapor etmeyi veya sözleģmeden çekilmeyi düģünmelidir. 15 BS Denetçisi, yönetime, yetkili mercilere, düzenleyicilere ve diğerlerine rapor edilmiģ bir önemli aykırılık veya yasadıģı bir hareketle ilgili bütün iletiģimi, planlamayı, sonuçları, değerlendirmeleri ve yorumları dosyalamalıdır. Açıklama 16 BS Denetçisi, bir aykırılık veya yasadıģı hareket ne demektir tanımlamak için BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢı Hareketler Bölümüne baģvurmalıdırlar. 17 BS Denetçisi, aykırılıklar ve yasadıģı hareketlerden kaynaklanan önemli yanıltıcı ifadeler olmamasına makul güvence sağlamalıdır. BS Denetçisi, bir görüģün kullanılması, test kapsamı ve iç kontrollerin kalıtsal sınırları gibi etmenlerden dolayı mutlak güvence sağlayamaz. Bir denetim sırasında BS Denetçisinin elde edebildiği denetim kanıtı, kesin delil olmaktan ziyade ikna edici olmalıdır. 18 Bir yasadıģı hareketten kaynaklanan somut yanıltıcı bir ifadenin tespit edilememesi riski, bir aykırılık veya hatadan kaynaklanan somut yanıltıcı ifadenin tespit edilememesi riskinden daha yüksektir, çünkü yasadıģı hareketler, olayları saklamayı veya BS Denetçisine verilen kasıtlı yalan beyanda bulunmaya uygun tasarlanmıģ karmaģık planları içerebilirler. 19 BS Denetçisinin kuruma dair önceki deneyimi ve bilgisi denetim sırasında BS Denetçisine yardımcı olmalıdır. Sorgulamalar yaparken ve denetim usullerini yürütürken BS Denetçisinin geçmiģ deneyimi tamamen göz ardı etmesi beklenmemeli. ancak belli seviyede mesleki bir Ģüphecilik içinde bulunması beklenmelidir. BS Denetçisi, ikna edici denetim kanıtı yerine yönetimin ve yetkili mercilerin doğru ve dürüst olduğu inancına dayanan düģük seviyede bir denetim kanıtından tatmin olmamalıdır. ikna edici denetim kanıtı hariç. BS Denetçisi ve denetim takımı, planlama ve tüm denetim boyunca kurumun aykırılıklar ve yasadıģı hareket Ģüphe edilebilirliğini tartıģmalıdır. 17
S9 Aykırılıklar ve YasadıĢı Hareketler 20 Somut aykırılılar ve yasadıģı hareketlerin varlığı riskini değerlendirmek için BS Denetçisi aģağıdakileri kullanmayı düģünmelidir: Kurumla ilgili önceki bilgi ve deneyimi (yönetim ve yetkili mercilerin doğruluğu ve dürüstlüğü ile ilgili bilgisi dahil) Yönetimin yaptığı soruģturmalardan elde edilen bilgi Yönetim açıklamaları ve iç kontrol beyanları Denetim sırasında elde edilen diğer güvenilir bilgi Yönetimin aykırılık ve yasadıģı hareketlerle ilgili risk değerlendirmesi ve bu riskleri tanımlama ve risklere müdahale süreci 21 Aykırılıklar ve yasadıģı hareketlerle ilgili daha fazla bilgi için aģağıdaki rehberlere baģvurmalıdır: BS Denetim Rehberi G5, Denetim Yönetmeliği COBIT Çerçevesi, Kontrol Hedefleri DS3, DS5, DS9, DS11 VE PO6 Sarbanes -Oxley Yasası, 2002 Yabancı Uygulamalar Yasası 1977 Yürürlük Tarihi 22 Bu BS Denetim standardı, 1 Eylül 2005 tarihinde veya sonrasında baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 18
S10 BT YönetiĢimi GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standartlarının amacı, denetim sürecinde BT yönetiģimi alanlarında BS denetçinin ihtiyaç duyacağı standardı oluģturmak ve rehberlik sağlamaktır. Standart 03 BS Denetçisi, BS iģlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle uyumlu olup olmadığını gözden geçirmeli ve değerlendirmelidir. 04 BS Denetçisi, BS biriminin iģ (etkililik ve etkinlik) tarafından beklenen hizmeti ve baģarısının değerlendirilmesi hakkında açık bir bildirime sahip olup olmadığını gözden geçirmelidir. 05 BS Denetçisi, BS kaynaklarının ve performans yönetim sürecinin etkililiğini denetlenmeli ve değerlendirmelidir. 06 BS Denetçisi, yasal, çevresel ve bilgi niteliği ve güvenlik ve emniyet gereksinimlerine uygunluğunu denetlenmeli ve değerlendirmelidir. 07 BS Denetçisi, risk temelli bir yaklaģım kullanarak BS birimini değerlendirmelidir. 08 BS Denetçisi, kurumun kontrol ortamını gözden geçirmeli ve değerlendirmelidir. 09 BS Denetçisi, BS ortamını olumsuz yönde etkileyebilecek riskleri gözden geçirmeli ve değerlendirmelidir. Açıklama 10 BS Denetçisi BS Denetim Rehberi G18, BT YönetiĢimine iģaret etmelidir. 11 BS Denetçisi, iģ sürecini destekleyen BS iģ ortamı risklerini gözden geçirmeli ve değerlendirmelidir. BS Denetim etkinliği, risk yönetimi ve kontrol sistemleri geliģimine katkı sunarak ve maruz kalınan önemli riskleri tanımlayıp değerlendirerek kuruma destek sunmalıdır. 12 BT yönetiģimi, kendi kendine ya da gözden geçirilen her BS iģlevi bağlamında gözden geçirilebilir. 13 BS Denetçisi, BT yönetiģimi hakkında daha fazla bilgi için aģağıdaki rehberlere baģvurabilir: BS Denetim Rehberleri: G5 Denetim Yönetmeliği G6 Bilgi Sistemleri Denetimi Ġçin Önemlilik Kavramları G12 Kurumsal ĠliĢki ve Bağımsızlık G13 Denetim Planlamasında Risk Değerlendirmesi Kullanımı G15 Planlama G16 Kurum BT kontrollerine Üçüncü Tarafların Etkisi G17 BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi COBIT Yönetim Rehberleri COBIT Çerçevesi, Kontrol Hedefleri; bu standart bütün COBIT alanları kontrol hedefleriyle iliģkilidir BT Yönetişimi Kurul Bilgilendirmesi 2. Basım; BT YönetiĢim Enstitüsü Sarbanes Oxley için BT kontrol Hedefleri, BT YönetiĢim Enstitüsü US Sarbanes Oxley Yasası 2002 ve diğer özel yönetmelikler ayrıca uygulanabilir Yürürlük Tarihi 14 Bu BS Denetim standardı, 1 Eylül 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir. 19
S11 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir. 02 Bu BS Denetim Standartlarının amacı, denetim sürecinde risk değerlendirmesinin kullanımı için bir standart oluģturmak ve yol göstericilik sağlamaktır. Standart 03 BS Denetçisi, BS Denetim planının tamamını geliģtirmede ve BS Denetim kaynaklarının etkili dağıtımı için önceliklerin belirlenmesinde kullanılabilecek uygun bir risk değerlendirme tekniği veya yaklaģımı kullanmalıdır. 04 BS Denetçisi, kiģisel denetim planlamasında, denetlenen alanla ilgili riskleri tanımlamalı ve değerlendirmelidir. Açıklama 05 Risk değerlendirmesi, BS Denetim evrenindeki denetlenebilir birimleri kontrol etmek, gözden geçirmek ve en yüksek risklere sahip alanları, BS yıllık planına dahil etmek için seçmede kullanılan bir tekniktir. 06 Denetlenebilir bir birim, her kurumun ve onun sistemlerinin ayrı bir parçası olarak tanımlanmıģtır. 07 BS Denetim evreninin belirlenmesi, kurumun BT stratejik planı iģleyiģine ve ilgili yönetim birimleriyle yapılan görüģmelerinin bilgisine dayanmalıdır 08 BS Denetim planını geliģtirmeyi kolaylaģtırmak için risk değerlendirmesi uygulaması, en azından yılda bir kez yapılmalı ve dosyalanmalıdır. Kurumsal stratejik planlar, amaçlar ve kurumsal risk yönetim çerçevesi uygulamaları risk değerlendirmesinin bir parçası olarak değerlendirilmelidir. 09 BS Denetçisine, denetim projelerinin seçiminde risk değerlendirmesinin kullanımı, BS Denetim planını veya belirli bir gözden geçirmeyi tamamlamak için gereken BS Denetim kaynaklarının miktarını belirlemek ve gerekçelendirmek için olanak tanır. Ayrıca, BS Denetçisi, risk algılamalarına dayanarak ve risk yönetim çerçevesinin raporlamasına katkı sağlamak için gözden geçirmelerin zamanlamasını da önceliklendirebilir. 10 Bir BS Denetçisi, gözden geçirilen alanla ilgili risklerin bir ön değerlendirmesini gerçekleģtirmelidir. Her bir özellikli gözden geçirme için, BS Denetim görev amaçları böyle bir risk değerlendirmesinin sonuçlarını yansıtmalıdır. 11 BS Denetçisi, gözden geçirmenin tamamlanmasından sonra, gözden geçirme bulgu ve önerileri ile denetim sonrası faaliyetleri yansıtması için, eğer böyle bir kayıt varsa kurumun Kurumsal risk yönetiminin çerçevesinin veya risk kütüğünün güncellenmesini sağlamalıdır. 12 BS Denetçisi, BS Denetim Rehberi G13 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı bölümüne ve BS Denetim usulü P1 BS Risk Değerlendirmesi Ölçümü bölümüne baģvurmalıdır. Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Kasım 2005 tarihinde baģlayan bütün bilgi sistemleri denetimlerinde geçerlidir 20