Bölüm 1
Sermaye piyasası lisanslama sınavları kapsamında bilgi sistemleri yönetimi ve denetimi konusunu ele alacağımız bu ders içeriğinde, öncelikle bilgi sistemlerinin temel tanımlarından başlayarak kurumsal strateji ile olan ilişkisini ve yönetişim mekanizmalarını detaylandıracağız. Bilgi sistemleri, en genel tanımıyla işletmelerde planlama, kontrol, analiz ve karar verme süreçlerinde kullanılmak üzere veri toplama, işleme, saklama ve yayma amacıyla bir arada çalışan ilişkili unsurlar bütünüdür. Bu sistemler, bilgi teknolojileri ile kullanıcıların etkileşimde bulunduğu yönetsel ve karar destek yapılarını ifade eder. Bilgi sistemlerinin temel işlevi, veriyi anlamlı bilgilere dönüştürerek işletmenin ihtiyaç duyduğu noktada ve zamanda güvenilir bir şekilde sunmaktır. Bu noktada sınav açısından kritik bir tanımı vurgulamak gerekir. Bilgi sistemleri sadece yazılım ve donanımdan ibaret değildir; bir işletmenin iş süreçlerini kolaylaştıran tüm teknolojik unsurlar ile bu durumu sürekli kılan insan gücünün toplamıdır. Bilgi sistemlerinin en önemli unsuru insan gücüdür. İnsan unsuru devreden çıkarıldığında geriye sadece donanım ve kod yığınları kalır. Bu nedenle bilgi sistemlerinin etkinliği doğrudan insan ve yönetim kalitesine bağlıdır. İşletmelerin büyüklüğü, iş modeli ve faaliyet gösterdiği sektör gibi faktörler bilgi sistemlerinin kullanım düzeyini belirler. Geçmişte sadece bir destek hizmeti olarak görülen bu sistemler, özellikle son yirmi yılda stratejik birer araç haline gelmiştir. Bu stratejik dönüşümü anlamak için bilgi sistemleri stratejisinin geliştirilmesi sürecine odaklanmak gerekir. Strateji kavramını doğru konumlandırmak için misyon, vizyon ve değerler hiyerarşisini iyi analiz etmeliyiz. Misyon, bir işletmenin varlık sebebidir ve ne yaptığını tanımlar. Vizyon ise işletmenin gelecekte ulaşmak istediği pozisyonu ifade eder. Vizyon belirlenirken genellikle beş yıllık bir zaman dilimi esas alınır. Değerler ise bu hedeflere ulaşırken bağlı kalınacak etik ilkelerdir. Güncel bir örnek olarak yeşil bilişim kavramı, işletmelerin çevreye verilen zararı en aza indirme hedefiyle teknoloji kullanımını düzenleyen bir değerler bütünüdür. Strateji ise vizyona ulaşmak için seçilen yoldur. Kurumsal strateji işletmeye özgüdür, üst yönetim tarafından geliştirilir ve dinamik bir yapıya sahiptir. Sınavda sıklıkla karşınıza çıkabilecek bir ayrım olarak stratejinin ne ve ne zaman sorularına odaklandığını, ancak uygulama detaylarını içermediğini belirtmek gerekir. Bilgi sistemleri stratejisi, kurumsal stratejinin gerçekleşmesine destek veren bir fonksiyon stratejisidir. İşletme stratejisi bağımsız olarak belirlenebilirken, bilgi sistemleri stratejisi mutlaka kurumsal stratejiye bağlı olmak ve onunla uyum içinde olmak zorundadır. Bu stratejinin yönetim kurulu ve üst yönetim tarafından sahiplenilmesi, performansının ölçülebilir olması ve tüm paydaşlarca kabul görmesi esastır. Bilgi sistemleri stratejisi geliştirilirken izlenen adımlar sınav sorularında karşınıza çıkabilir. Bu süreçte ilk olarak işletmenin misyon ve vizyonu anlaşılmalı, ardından mevcut durum analizi yapılarak işleyen sistemlerin bir envanteri çıkarılmalıdır. İşletmenin veri ihtiyaçları belirlendikten sonra, hedeflere ulaşmak için gerekli olan ancak henüz mevcut olmayan çözümler tespit edilir. Bu aşamada yapılan boşluk analizi, bulunulan nokta ile varılmak istenen hedef arasındaki farkı ortaya koyar. Son olarak kaynak planlaması ve önceliklendirme yapılarak ölçüm metrikleri belirlenir. Bilgi sistemleri denetimi sırasında strateji geliştirme sürecinin değerlendirilmesi büyük önem taşır. Denetçi, bilgi sistemleri stratejisinden önce bir işletme stratejisinin varlığını sorgulamalıdır. Eğer üst yönetim işletme stratejisini belirlerken bilgi sistemleri yöneticilerini masaya dahil etmiyorsa, bu durum ciddi bir uyum riski olarak not edilmelidir. Bilgi sistemleri stratejisindeki her bir hedef, mutlaka bir işletme hedefine bağlanmalıdır. Strateji dokümanları yazılı, onaylı ve çalışanlara duyurulmuş olmalıdır. Bu noktada yönetişim ve yönetim kavramları arasındaki farkı netleştirmek gerekir. Yönetim günlük işleyişle ilgilenirken, yönetişim tüm paydaşların haklarını koruyan, hesap verebilirliği sağlayan ve işletmenin geleceğini kurgulayan daha geniş bir çerçevedir. Bilgi sistemleri yönetişimi, bu sistemlerin işletmeye değer katmasını sağlamak ve riskleri kabul edilebilir seviyede tutmak amacıyla yürütülen süreçler bütünüdür. Bilgi sistemleri yönetişiminin temel unsurları arasında iş stratejisiyle uyum, kaynak yönetimi, risk yönetimi ve performans ölçümü yer alır. Üst yönetimin sorumluluğunda olan bu fonksiyon, yatırımların karşılığının alınmasını ve yasal düzenlemelere uyumu garanti altına almayı hedefler. Bu kapsamda bilgi güvenliği yönetişimi de kritik bir alt başlıktır. Bilgi güvenliği artık sadece teknik bir konu değil, iş sürekliliğini doğrudan etkileyen bir yönetim sorumluluğudur. Bilgi güvenliği politikalarının oluşturulması, risklerin yönetilmesi ve farkındalık eğitimlerinin verilmesi bu yönetişim yapısının parçasıdır. İşletmelerde bu süreçleri koordine etmek üzere bilgi sistemleri yönlendirme komiteleri kurulur. Bu komite, yönetim kuruluna rapor verir ve bilgi sistemleri yatırımlarının önceliklerini belirler. Komitenin teknoloji odaklı değil, iş odaklı bir yapı olduğunu ve içinde iş birimi yöneticilerinin de bulunması gerektiğini unutmamak gerekir. Bilgi sistemleri ve iş uyumu konusu, yönetişimin en zorlu ancak en hayati alanıdır. İş birimleri ile bilgi sistemleri birimleri arasında odak kaymaları yaşanması sık rastlanan bir durumdur. Uyumsuzluğun göstergeleri arasında, önemli iş toplantılarına bilgi sistemleri temsilcilerinin çağrılmaması, bilgi sistemleri biriminin sadece en yeni teknolojiye odaklanıp işe katacağı değeri ihmal etmesi ve iletişim noksanlığı sayılabilir. İş tarafının bilgi sistemlerini sadece bir maliyet merkezi veya destek birimi olarak görmesi, stratejik uyumu engeller. Bu engelleri aşmak için dil birliği sağlanmalı, teknik terimler yerine iş sonuçlarına odaklanan bir jargon geliştirilmelidir. Örneğin, bir sistemin yüzde doksan dokuz virgül beş oranında ayakta kalması teknik bir veridir; ancak bunun iş süreçlerindeki kesintisizliği nasıl sağladığını açıklamak iş uyumunun bir parçasıdır. Sınav hazırlığında dikkat edilmesi gereken bir diğer husus, bilgi sistemleri stratejisinin durağan olmadığıdır. Ekonomik koşullar, teknolojik gelişmeler ve hukuki çerçeve değiştikçe strateji de güncellenmelidir. Denetim perspektifinden bakıldığında, stratejinin sadece var olması yeterli değildir; bu stratejinin uygulanabilirliği ve izlenebilirliği de kanıtlanmalıdır. Bilgi sistemleri yönetişimi, işletmenin tüm kaynaklarını nihai amaçlara yönlendiren bir liderlik fonksiyonudur. Bu süreçte verimlilik, etkinlik ve tutumluluk kıstasları her zaman ön planda tutulmalıdır. Özellikle büyük ölçekli işletmelerde, strateji komitesi ve yönlendirme komitesi gibi yapılar arasındaki görev dağılımı, kurumsal yönetimin etkinliğini belirleyen temel unsurlardır. Sonuç olarak, bilgi sistemleri yönetimi ve denetimi dersinin bu ilk bölümünde, sistemlerin sadece teknik birer araç değil, işletme vizyonunu gerçekleştiren stratejik varlıklar olduğunu gördük. Bilgi sistemleri stratejisinin kurumsal stratejiyle tam uyumu, üst yönetimin yönetişim süreçlerine aktif katılımı ve iş birimleri ile kurulan sağlıklı iletişim, sınavda karşınıza çıkacak soruların temel mantığını oluşturmaktadır. Bir sonraki aşamada bu yapıların operasyonel unsurlarını ve denetim metodolojilerini daha detaylı inceleyeceğiz. Bu temel kavramları, yani misyon, vizyon, strateji ve yönetişim arasındaki hiyerarşik bağı özümsemek, karmaşık denetim senaryolarını çözmenizde size rehberlik edecektir. Bilgi sistemleri yönetişiminin çıktıları, iş gereksinimlerine uygun performans ve süreklilik düzeyinde işletilen hizmetlerdir. Bu hizmetlerin işe kattığı değer, yönetişim başarısının en somut göstergesidir. Sınavda sayısal veriler ve tarihler konusunda metne sadık kalmak, özellikle otuz bir Aralık iki bin yirmi beş gibi güncel tarihleri ve stratejik planlama sürelerini doğru hatırlamak başarınız için belirleyici olacaktır.
Bölüm 2
Bilgi sistemleri ve iş birimleri arasındaki odak kaymaları, teknoloji kullanımının yoğun olduğu modern işletme ortamlarında sıklıkla karşılaşılan bir durumdur. Bu iki yapı arasındaki uyumu garanti altına almak amacıyla geliştirilen bilgi sistemleri ve iş uyumu kavramı, kurumsal başarı için kritik bir unsurdur. Her ne kadar bu uyumun varlığı ideal bir senaryo olarak kabul edilse de, uygulamada her zaman yakalanamadığı görülmektedir. Bu uyumsuzluğun temel sebeplerini ve göstergelerini analiz etmek, sınav hazırlık sürecinde konunun mantığını kavramak açısından büyük önem taşımaktadır. İş tarafının yeni ürün veya hizmet geliştirilmesi ya da mevcut faaliyetlerde önemli değişiklikler yapılması gibi kritik toplantılarında bilgi sistemleri temsilcilerinin yer almaması, bu uyumsuzluğun en belirgin işaretlerinden biridir. Ayrıca, kurum genelinde bilgi sistemleri ve iş uyumu kavramına dair bir farkındalık eksikliğinin bulunması, sürecin en başından aksamasına neden olmaktadır. Bilgi sistemleri tarafında, işe katacağı değer göz ardı edilerek sadece en yeni teknolojilere yönelme eğilimi de uyumu bozan faktörler arasındadır. Bilgi sistemleri hedeflerinin kurumsal stratejiden ziyade kişilere veya mevcut yönetime aşırı bağlı olması, yönetim değiştikçe odak noktasının da değişmesine yol açmaktadır. İşgücü, zaman ve teknoloji gibi gerekli kaynakların eksikliği de bu süreçte önemli bir engeldir. Özellikle bilgi sistemleri ve iş tarafı arasındaki iletişim noksanlığı, projelerin başarısız olmasındaki temel etkenlerden biridir. Değişime karşı direnç, sadece iş tarafında değil, bilgi sistemleri tarafında da görülebilen bir durumdur. İş tarafının yeniliklere ve teknolojinin potansiyeline ikna edilmesindeki zorluklar, bilgi sistemlerinin sadece bir destek noktası olarak görülmesine neden olmaktadır. Bu bakış açısı, bilgi sistemleri için gerekli olan iş süreçlerinin bir kaynak israfı olarak değerlendirilmesine ve özellikle iş gücü yatırımının ihmal edilmesine yol açmaktadır. Tüm projelerin sürekli acil olarak nitelendirilmesi, ekipleri günlük ve geçici çözümlere yönlendirerek uzun vadeli stratejik uyumu zayıflatmaktadır. Bilgi sistemleri ve iş uyumu için temel şart, ortada net bir iş stratejisinin bulunmasıdır. Eğer tanımlanmış bir iş stratejisi yoksa, bilgi sistemleri birimi mecburen günlük operasyonel işlerin peşinden koşmak zorunda kalacaktır. Strateji mevcut olsa bile, iyi tanımlanmamış olması veya iş stratejisi hızla değişirken bilgi sistemleri stratejisinin buna ayak uyduramaması uyumu imkansız hale getirmektedir. Bilgi sistemleri çalışanlarının işe her zaman teknik açıdan başlaması ve müşteri odaklı olmak yerine performans, hız ve son teknoloji gibi konuları önceliklendirmesi de uyumu zorlaştıran bir yaklaşımdır. Sınav sorularında bu uyumsuzluk nedenleri sıklıkla karşımıza çıkmaktadır; bu nedenle teknik odaklılık ile iş odaklılık arasındaki dengenin nasıl bozulduğunu iyi anlamak gerekmektedir. Bilgi sistemleri ve iş arasındaki mesafeyi kapatmak için teknolojiden önce insan unsuruna odaklanmak gerekir. İş odaklı olarak tanımlanan, yani işin dilinden anlayan ve bu konuya odaklanan bilgi sistemleri çalışanları ile bilgi sistemlerine yatkın iş tarafı çalışanları, bu iki dünya arasında köprü görevi görmektedir. Bu uyumu yakalamak için dikkat edilmesi gereken bazı temel noktalar bulunmaktadır. Bunların başında dil birliği gelmektedir. İş ve bilgi sistemleri taraflarının aynı dili konuşabilmesi, kurum jargonunun her iki tarafça da öğrenilmesi gerekmektedir. Peter Drucker tarafından ifade edilen ölçemezsen iyileştiremezsin ilkesi burada da geçerlidir. Stratejik hedefler mutlaka ölçülebilir olmalıdır. En iyi, en hızlı veya en ucuz gibi soyut hedefler ölçülemediği için iyileştirilemezler. Bilgi sistemleri tarafındaki ölçümler, iş tarafının da anlayacağı şekilde makro düzeyde yapılmalıdır. Örneğin, bir sistemin yüzde doksan dokuz virgül beş oranında ayakta olması teknik bir birim için anlamlı olsa da, bunun iş süreçlerine kattığı değerin iş tarafına açıklanması gerekmektedir. Teknolojinin iş geliştirme konusundaki potansiyeli hakkında bazen işletme dışından bir üçüncü göz yardımı almak faydalı olabilir. Dışarıdan gelen uzmanların görüşleri bazen kurum içinde daha fazla dikkate alınabilmektedir. Bilgi sistemleri biriminin ve özellikle yönetim kademesinin proaktif bir yaklaşım sergilemesi elzemdir. Artık teknik birimlerin sadece biz teknik işimizi yaparız, siz ne istediğinizi söyleyin yaklaşımından kaçınması gerekmektedir. Bunun yerine işi anlamak ve uygun çözümleri kullanıcıya proaktif olarak anlatmak, işletme içinde bir iş geliştirme ekibi gibi çalışmak modern bir gerekliliktir. Ayrıca, teknoloji trendleri yakından takip edilmeli ve mevcut durum sorunsuz işlese bile teknolojinin sunabileceği yeni potansiyellere odaklanılmalıdır. Bilgi sistemlerindeki her çalışanın kurumsal stratejiden haberdar olması ve kendi rolünün bu stratejideki yerini bilmesi gerekmektedir. Bilgi sistemleri yönetişimi yaklaşımı, işletmenin büyüklüğüne ve yapısına uygun şekilde hayata geçirilmelidir. Büyük projelerde takım içerisinde mutlaka iş tarafının temsilcilerinin bulunması, projenin iş ihtiyaçlarına uygunluğunu garanti eder. Bilgi sistemleri ve iş uyumunun değerlendirilmesi, yönetişimin temel unsurlarından biridir. Bu değerlendirme yapılırken yöneticilerin farkındalığı ve uyumsuzluk belirtilerinin varlığı araştırılmalıdır. Bilgi sistemleri biriminin çalışma planlarının doğrudan stratejiden kaynaklanıp kaynaklanmadığı ve gerekli kaynak planlamasının yapılıp yapılmadığı sorgulanmalıdır. Stratejiye dayalı planların olmaması veya bu planların sahaya yansımasına dair göstergelerin bulunmaması, ciddi bir risk teşkil etmektedir. Sınavda, bir işletmenin stratejik planları ile bilgi sistemleri faaliyetleri arasındaki bağın kopuk olmasının yaratacağı riskler üzerine sorular gelebilir. Bilgi sistemleri, iş hedeflerine katkı sağlarken çeşitli kaynakları kullanmak zorundadır. Bu kaynakların belirlenmesi, finanse edilmesi, edinimi ve yönetimi bilgi sistemleri yönetişiminin bir parçasıdır. Faaliyetlerin gerçekleştirilmesi sürecinde bilgi sistemleri birçok riskle karşı karşıyadır. Yüksek maliyetli yatırımlar, her geçen gün artan bilgi güvenliği zafiyetleri ve yasal düzenlemeler, risk yönetimini zorunlu kılmaktadır. Özellikle finansal işletmelerde risk yönetimi yasal bir zorunluluk olsa da, bilgi sistemleri risk yönetimi görece yeni ve kritik bir gereksinimdir. Performans yönetimi ise tüm faaliyetlerin planlandığı gibi yürütülüp yürütülmediğini, kaynakların etkinliğini ve hedeflere ulaşma düzeyini belirlemektedir. Bu üç kavram, yani kaynak, risk ve performans yönetimi, bilgi sistemleri yönetiminin temel taşlarıdır. Bilgi sistemleri yönetişiminin değerlendirilmesi sürecinde, işletme düzeyindeki farkındalık, süreç tasarımı, rol ve sorumluluk tanımları gibi hususlar ele alınmalıdır. İşletmenin büyüklüğü bu değerlendirmede önemli bir parametredir. Küçük işletmelerde tüm yönetişim mekanizmalarını görmek mümkün olmayabilir; ancak burada önemli olan bilgi sistemlerinin bir iş ortağı olarak görülüp görülmediğidir. Kurumsal kararlar alınırken, yeni bir sektöre girilirken veya yeni bir ürün geliştirilirken bilgi sistemlerinin sürece dahil edilmesi gerekmektedir. Bilgi güvenliği yönetişimi farkındalığı ve bu konunun üst yönetim seviyesinde ele alınması da değerlendirilmesi gereken bir diğer önemli noktadır. Bilgi sistemleri yönetişimi sadece teknik bir birime bırakılmamalı, yönetim kurulu seviyesinde takip edilmelidir. Kurumsal mimari ve veri mimarisi kavramlarına geçecek olursak, bir işletmenin elindeki tüm teknolojik imkanlara rağmen bunları nasıl kullanacağını bilememesi, kaynakların verimsiz kullanıldığını gösterir. Kurumsal mimari; kişiler, süreçler, uygulamalar, teknolojiler ve veri arasındaki ilişkiyi gösteren bir yaklaşımdır. Bu yapı, işletmeyi oluşturan parçaların işlevlerini, birbirleriyle olan ilişkilerini ve iş akışlarını yöneten kuralların bütünüdür. Kurumsal mimari, her çalışana işletmenin nihai hedeflerini hatırlatarak günlük operasyonlar içinde stratejinin kaybolmasını önler. Bu mimari işletmeye özgüdür ve değişen çevresel koşullara göre güncellenmelidir. Amacı, iş stratejilerinin gerçekleştirilmesi için bilgi sistemlerinin neler yapabileceğini ortaya koymak ve kaynakları en verimli şekilde kullanmaktır. Kurumsal mimarinin geliştirilmesi, yukarıdan aşağıya bir bakış açısı gerektirir ve döngüsel bir süreçtir. Hiçbir işletme tamamen mimarisiz değildir; ancak çoğu zaman bu mimari adı konmamış, kötü tasarlanmış ve ihtiyaçlara cevap veremeyen bir yapıdadır. İyi tasarlanmış bir mimari, piyasadaki değişimlere hızlı adaptasyon sağlar, yönetim giderlerini azaltır ve iş süreçlerinin analizini destekler. Geliştirme sürecinde ilk adım kapsamın belirlenmesidir. Ardından iş uzmanlarının da yer aldığı bir ekip oluşturulmalı ve net hedefler belirlenmelidir. Mevcut durumun belirlenmesi aşamasında işletmeye dört farklı açıdan bakılır. Bunlar; işletmenin misyonunu ve ürünlerini kapsayan iş mimarisi, kullanılan uygulamaları içeren işlevsel mimari, verinin dolaşımını belirleyen veri mimarisi ve donanım ile iletişim altyapısını kapsayan altyapı mimarisidir. Sınavda bu dört mimari katman arasındaki farklar ve her birinin neleri kapsadığı sıklıkla sorulmaktadır. Mevcut durum belirlendikten sonra, güçlü ve zayıf yanlar analiz edilir ve hedef mimari oluşturulur. Hedef mimari, işletmenin üç ile beş yıllık vizyonunu gerçekleştirmek için gerekli olan yapıdır. Kurumsal mimari projelerinin yüzde altmış altı gibi yüksek bir oranda başarısızlıkla sonuçlandığı bilinmektedir. Bu başarısızlığı önlemek için asıl hedefin teknolojik iyileştirme değil, iş hedeflerini gerçekleştirmek olduğu unutulmamalıdır. Mimari çalışmaları teknik bir projeye dönüştüğünde üst yönetimin desteği kaybolmaktadır. Kurumsal mimari bir amaç değil, bir araçtır. Terminolojinin çok teknik olması ve iş birimlerinin sürece dahil edilmemesi en sık yapılan hatalardır. Başarılı bir kurumsal mimari, stratejik karar mekanizmalarını destekler, maliyetleri azaltır ve sürdürülebilir büyümeyi mümkün kılar. Veri mimarisi, kurumsal mimarinin bir alt dalıdır ve iş hedefleri için gerekli olan verinin toplanması, saklanması ve kullanımını modeller. Veri mimarisinin temel prensiplerine göre veri, işletmede ortak bir kaynaktır ve bölümlerin ayrı ayrı veri depoları olmamalıdır. Veriye erişim kolay olmalı, ancak güvenlik ve yetkilendirme kuralları titizlikle uygulanmalıdır. Veri akışı optimize edilerek maliyetler düşürülmeli ve kurumsal çeviklik artırılmalıdır. Kurumsal veri mimarisinin üç katmanı vardır: kavramsal iş modeli, mantıksal sistem modeli ve fiziksel teknoloji modeli. Veri mimarisi, özellikle büyük işletmelerde iş zekası uygulamaları için bir zorunluluktur. Bu mimari de basit, anlaşılır ve iş birimleri tarafından kullanılabilir olmalıdır. Kontrol ortamı konusuna gelecek olursak, Amerika Birleşik Devletleri'nde kurulan COSO modelinden bahsetmek gerekir. COSO modeline göre iç kontrolün beş bileşeni bulunmaktadır. Bunlar; kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ile izleme ve değerlendirmedir. Kontrol, maruz kalınan riskleri azaltmaya yarayan her türlü süreç ve mekanizmadır. İç kontrol ise hataların ve hilelerin önlenmesi, yasal uyumun sağlanması ve iş hedeflerine ulaşılması için oluşturulan geniş bir yapıdır. Bu sistemin merkezinde insan vardır ve işletmedeki her çalışanı etkiler. Kontrol ortamı, üst yönetimin kontrollere yaklaşımını ve kurum kültürünü ifade eder. Üst yönetim, kontrol ortamının havasını belirleyen en önemli unsurdur. Kontrollerin bir maliyeti vardır ve bu maliyetin beklenen faydayı aşmaması gerekir; ancak yasal zorunluluklar bu maliyet kriterinden muaftır. Politika, prosedür, süreç ve talimat kavramları arasındaki farklar sınavda karıştırılabilen ancak net bir hiyerarşiye sahip olan unsurlardır. Politika, yönetimin niyetini ve yönünü belirleyen en üst seviye dokümandır; genel çerçeveyi çizer ancak detay içermez. Prosedür ise işlerin nasıl yapılacağını belirleyen, adımların tanımlandığı dokümandır ve her prosedür aslında bir kontroldür. Süreç ise birbiriyle ilişkili aktiviteler grubudur; bir amacı, girdisi ve çıktısı vardır. Kontroller genellikle süreçlerin içine yedirilir. Talimat ise prosedürden çok daha detaylı olan, adım adım işin nasıl yapılacağını yorum gerektirmeyecek şekilde açıklayan dokümandır. Kontrol ortamının değerlendirilmesinde dürüstlük, etik değerler, yönetim felsefesi ve insan kaynakları uygulamaları gibi bileşenlere bakılır. Bilgi sistemleri açısından hiçbir kontrolün olmaması büyük bir risk olduğu gibi, hiyerarşisi bozuk ve uygulanmayan bir kontrol yığını da ayrı bir risk teşkil etmektedir. Yönetim kavramı, bir grup insanı belirli hedefler doğrultusunda, kısıtlı kaynakları etkin kullanarak çalıştırmak olarak tanımlanır. Yönetim hem bir bilim hem de bir sanattır. Temel yönetim fonksiyonları planlama, örgütleme, yöneltme ve denetim olmak üzere dört grupta toplanır. Planlama, amaca ulaşmak için neyin, ne zaman ve nasıl yapılacağının belirlenmesidir. Üst yönetim stratejik, orta kademe taktik, alt kademe ise operasyonel planlama yapar. Örgütleme, planların hayata geçmesi için gerekli yapının kurulması ve yetki dağılımının yapılmasıdır. Yöneltme veya yürütme fonksiyonu, çalışanların motive edilmesi, liderlik gösterilmesi ve iletişimin sağlanması ile ilgilidir. Denetim ise planlanan ile gerçekleşen arasındaki farkların tespit edilmesi ve düzeltici önlemlerin alınması sürecidir. Yönetici, ortak bir amaç için farklı uzmanlıklardaki kişileri yönlendiren ve kaynak kullanımını optimize eden kişidir. Yöneticinin teknik yetenek, iletişim yeteneği, beşeri ilişkiler, kavramsal ve analitik yetenek gibi çeşitli becerilere sahip olması gerekir. Bu yeteneklerin ağırlığı, bulunulan yönetim kademesine göre değişiklik gösterir. Örneğin, alt kademe yöneticilerde teknik yetenek ön plandayken, üst kademe yöneticilerde kavramsal yetenek ve stratejik düşünme becerisi daha kritik bir rol oynamaktadır. Sınavda yönetim fonksiyonlarının sırası ve her bir fonksiyonun temel özellikleri üzerine sorularla karşılaşmanız muhtemeldir. Bu nedenle planlamanın bir öngörü süreci, denetimin ise bir ölçme ve düzeltme süreci olduğunu unutmamak gerekir. Yönetim fonksiyonlarının üçüncü aşaması olan yürütme, diğer adıyla yöneltme fonksiyonu, organizasyon yapısına hareket kazandıran ve bu yapıyı sürekli kılan temel süreçtir.
Bölüm 3
Yönetim fonksiyonlarının üçüncü aşaması olan yürütme, diğer adıyla yöneltme fonksiyonu, organizasyon yapısına hareket kazandıran ve bu yapıyı sürekli kılan temel süreçtir. Planlama ve örgütleme aşamalarında işler kağıt üzerinde tasarlanırken, yürütme fonksiyonu ile bu tasarımlar fiiliyata dökülür. Bu aşama, işyerinde iletişim mekanizmalarının tesis edilmesi, çalışanların motive edilmesi, pozitif ve barışçıl bir çalışma ortamının oluşturulması, çatışmaların çözümlenmesi ve işlerin belirlenen hedefler doğrultusunda ilerlemesiyle doğrudan ilgilidir. Yöneticiler liderlik vasıflarını en belirgin şekilde bu aşamada sergilerler. Yönetimin hem bir bilim hem de bir sanat olduğu kabul edilirse, yürütme fonksiyonu bu disiplinin sanat kısmını oluşturur. Motivasyon, sorun çözme, liderlik, iletişim ve kurum kültürü gibi kavramlar bu fonksiyonun merkezinde yer alır. Yürütme fonksiyonunun temel amacı, planlanan ve örgütlenen işlerin gerçekten yapılmasını sağlamak ve beklenen çıktıların oluşmasına zemin hazırlamaktır. Emir komuta zinciri de yürütme fonksiyonunun bir parçasıdır. İşlerin doğru ve verimli bir şekilde icra edilmesi, çalışanların görev ve sorumluluklarının bilincinde olmasına ve emir verme sisteminin sağlıklı işlemesine bağlıdır. Etkin bir yöneltme sisteminin kurulabilmesi için belirli şartların sağlanması zorunludur. Bu şartlar arasında takım ruhunun gerçekleştirilmesi, çalışanların yetkinliklerinin ve karakterlerinin iyi tanınması, görev ve sorumlulukların ehil olan çalışanlara tevdi edilmesi yer alır. Ayrıca yöneticinin çalışanlarına örnek teşkil etmesi, onlarla iyi ilişkiler ve sağlıklı bir iletişim kurması, çalışanları sürekli gözetim altında tutması ve işletme içerisinde hem sözlü hem de yazılı güçlü bir raporlama altyapısı oluşturması gerekmektedir. Bu unsurlar sınav sorularında yöneltme fonksiyonunun etkinliğini belirleyen faktörler olarak karşınıza çıkabilir. Yönetim fonksiyonlarının dördüncüsü ve sonuncusu denetim, yani kontrol fonksiyonudur. Bu aşamada planlanan işlerin yapılıp yapılmadığı, belirlenen amaçlara ulaşılıp ulaşılmadığı, aksayan noktaların neler olduğu, kaynakların yeterliliği ve işlerin zamanında tamamlanıp tamamlanmadığı gibi kritik soruların cevapları aranır. Denetim fonksiyonu ile daha önce belirlenmiş kriterler ile fiili durum karşılaştırılır ve ortaya çıkan sapmalar analiz edilir. Sapmalar belirlendikten sonra gerekli düzeltici tedbirler alınır. Yönetim biliminde ölçme yapılmadan iyileştirme yapılamayacağı ilkesi esastır. Bu nedenle denetim aşamasında yönetim için ölçüm yaklaşımlarının ve metriklerin önceden belirlenmiş olması şarttır. Denetimin evreleri sistematik bir sıra izler. İlk olarak denetime konu hususlarda standartlar belirlenir. Ardından mevcut fiili durum tespit edilir. Üçüncü aşamada mevcut durum ile standartlar karşılaştırılır. Daha sonra sapmalar tespit edilerek yorumlanır ve son aşamada bu sapmalara yönelik düzeltici tedbirler belirlenir. Bu dört yönetim fonksiyonu olan planlama, örgütleme, yöneltme ve denetim, birbirini sürekli takip eden bir döngü içerisindedir. Bu fonksiyonlar hem doğrusal bir akış izler hem de karşılıklı olarak birbirini besler. Fonksiyonların işletiminde belirli bir esneklik payı bırakılmalıdır ki işletme değişen dış ve iç koşullara uyum sağlayabilsin. Örneğin piyasa koşulları değiştiğinde planlar revize edilebilir veya organizasyon yapısında değişikliğe gidilebilir. Bu esneklik, işletmenin sürdürülebilirliği açısından kritik önem taşır. Yönetimsel roller ve yetkinlikler konusuna geçtiğimizde, yöneticinin tanımını doğru yapmak gerekir. Yönetici, ortak bir amaç için bir araya gelmiş farklı uzmanlıklardaki kişilerin yönlendirilmesi ve idaresinden sorumlu olan kişidir. Bir yöneticinin başarması gereken temel hususlar, ortak amaca belirlenen niteliklere uygun şekilde ulaşmak, kaynakları organize etmek ve kaynak kullanımını optimum düzeyde tutmaktır. Kaynakların sınırlı olduğu gerçek hayat senaryolarında, bu kaynakların paylaşımı sırasında çatışmaların çıkması kaçınılmazdır. Bu noktada yöneticinin çatışma yönetimi becerisi devreye girer. Yöneticilik tekil bir rol olmayıp, birden fazla yetkinliği ve rolü bünyesinde barındıran şemsiye bir kavramdır. Yöneticinin sahip olması gereken özellikler karakter özellikleri, entelektüel özellikler ve sosyal özellikler olarak kategorize edilebilir. Ayrıca yönetim düzeyine göre ağırlığı değişmekle birlikte teknik yetenek, iletişim yeteneği, beşeri ilişkiler yeteneği, kavramsal yetenek, analitik yetenek ve karar verme yeteneği gibi temel becerilere sahip olunması beklenir. Yönetim düşünürü Henry Mintzberg tarafından geliştirilen ve literatürde geniş kabul gören sınıflandırmaya göre, yöneticinin oynaması gereken on değişik rol vardır ve bunlar üç ana kategoride toplanır. İlk kategori kişiler arası rollerdir. Bu roller işletme çalışanları ve diğer taraflar arasındaki ilişkileri düzenler. Bu gruptaki ilk rol temsil rolüdür. Yönetici, kendi birimini veya takımını dışarıya ve üst yönetime karşı temsil ederken, üst yönetimi de kendi takımına karşı temsil eder. İkinci rol liderlik rolüdür. Bu rol, yöneticinin çalışanlarıyla olan ilişkisinin niteliğini belirler. Yönetici çalışanlarını motive eder, takım ruhu yaratır ve hedeflere ulaşılması için şevk uyandırır. Üçüncü rol ise irtibat rolüdür. Yöneticinin organizasyon dışındaki kişi ve gruplarla iletişimde olması, yani güçlü bir network ağına sahip olması organizasyona stratejik fayda sağlar. İkinci ana kategori bilgilendirici rollerdir. Bilgi akışını sağlayan bu roller, yöneticinin işletme faaliyetleri hakkında yeterli bilgiye sahip olmasını ve bu bilgiyi işleyebilmesini gerektirir. Bu kategorideki ilk rol gözetim rolüdür. Yönetici bu rolüyle birimdeki işlerin gidişatı hakkında veri toplar. İkinci rol dağıtım rolüdür. İşletme içinden ve dışından elde edilen faydalı bilgilerin çalışanlara yayılmasını sağlar. Üçüncü rol ise sözcülük rolüdür. Yönetici, birimi veya işletmesi hakkında dış dünyaya veya üst makamlara resmi açıklamalar yapar ve bilgi verir. Üçüncü ana kategori karar verici rollerdir. Yöneticinin temel görevi karar vermek olduğundan, bu roller hayati önem taşır. Bu gruptaki ilk rol girişimcilik rolüdür. Yeni fikirlerin geliştirilmesi, yeni ürün veya hizmetlerin tasarlanması ve yeni teknolojilerin adaptasyonu bu kapsamdadır. Girişimcilik rolü, organizasyonun sadece günlük işlere odaklanıp yerinde saymasını engeller. İkinci rol sorun çözme rolüdür. Kriz anlarında veya takımdaki çatışmalarda yöneticinin müdahale ederek çözüme ulaşmasını ifade eder. Üçüncü rol kaynak dağıtıcı rolüdür. Sınırlı kaynakların önceliklere göre paylaştırılması, görevlerin icrası için gereken kaynakların minimum maliyetle ve doğru zamanda sağlanması bu rolün gereğidir. Son rol ise arabulucu rolüdür. İsteklerin sonsuz ancak kaynakların sınırlı olduğu durumlarda, yöneticinin hem takım içinde hem de işletme genelinde pazarlık yapması ve dengeyi kurması beklenir. Yönetim kademeleri ise üst yönetim, orta kademe ve alt kademe olarak üçe ayrılır. Üst yönetim, yönetim kurulu, genel müdür ve genel müdür yardımcılarından oluşur. İşletmenin tümünü etkileyen stratejik kararlar alırlar ve uzun dönemli başarıdan sorumludurlar. Özellikle dış etkenleri, yani hissedarları, ekonomiyi, hukuku ve kamu otoritelerini izleyerek işletme ve bilgi sistemleri stratejilerini belirlerler. Orta kademe yöneticiler, birim veya bölüm yöneticileridir. Görevleri, üst yönetimin belirlediği stratejik planları kendi birimlerinin aksiyonlarına çevirmek ve koordinasyonu sağlamaktır. Alt kademe yöneticiler ise günlük operasyonların yürütülmesinden sorumludur. Sahadaki problemleri ilk gören ve çalışanlarla doğrudan temas halinde olan bu yöneticiler, işlerin yapılmasından ve hedeflere ulaşılmasından doğrudan sorumludur. Bilgi sistemleri organizasyonu, roller ve sorumluluklar konusuna odaklandığımızda, bu birimin temel işlevinin işletme amaçlarını gerçekleştirmek için teknoloji tabanlı hizmetler sunmak ve bu yapıyı çalışır durumda tutmak olduğunu görürüz. Bilgi sistemleri birimleri, tarihsel süreç içerisinde destek noktası konumundan stratejik ortak konumuna evrilmiştir. Bu değişim, bilgi sistemlerinin işletmeye kattığı değer ile doğrudan ilişkilidir. Günümüzde bilgi sistemlerinden sadece e-posta veya internet erişimi gibi temel hizmetler değil, bizzat yeni iş modelleri ve çözümleri geliştirmesi beklenmektedir. Bilgi sistemleri organizasyonu tasarlanırken iki ana karar verilmelidir: Birimin işletme içindeki konumu ve kendi içindeki düzeni. İdeal olan, işletme stratejisine uygun bir bilgi sistemleri stratejisi belirlemek ve organizasyonu buna göre yapılandırmaktır. Bilgi sistemlerinin beş temel fonksiyonu altyapı yönetimi, yazılım ve sistem geliştirme, güvenlik, veri ve destek hizmetleri olarak sınıflandırılabilir. Daha detaylı bir incelemede ise sekiz ana başlık öne çıkar. Birincisi bilgi sistemleri yönetimidir. Burada stratejilerin hazırlanması, başarı göstergelerinin belirlenmesi ve üst yönetimle iletişim süreçleri yürütülür. İkincisi kurumsal mimaridir. İşletme stratejisinin ve iş süreçlerinin teknolojik çözümlerle hayata geçirilmesini sağlar. Büyük işletmelerde bu fonksiyon için müstakil ekipler kurulurken, küçük işletmelerde farklı birimlerin katılımıyla proje bazlı yürütülebilir. Üçüncüsü yardım masasıdır. Son kullanıcıya yazılım ve donanım sorunlarında destek verir. Dördüncüsü sistem ve ağ yönetimidir. Sunucuların ve ağ altyapısının kurulumu, yapılandırılması, yedekleme hizmetleri ve felaket kurtarma planlarının hazırlanması bu birimin sorumluluğundadır. Beşincisi uygulama hizmetleridir. Uygulamaların geliştirilmesi, dış kaynakla temini ve bakımı süreçlerini kapsar. Altıncısı güvenlik fonksiyonudur. Tehdit ve riskleri ele alır. İşletme büyüdükçe güvenlik fonksiyonu genellikle bağımsız bir birim haline gelir. Yedincisi veri yönetimidir. Verilerin güvenli ve uygun maliyetle toplanması, saklanması, veri tabanı yönetimi ve veri analizi işlevlerini yürütür. Sekizincisi ise uyum fonksiyonudur. Düzenleme ve standartlara uyumu denetler. Özellikle sermaye piyasası kurumlarında Kurumsal Siber Olaylara Müdahale Ekipleri olan Kurumsal SOME yapılanması bu kapsamda değerlendirilir. Görevler ayrılığı ilkesi, bilgi sistemleri yönetiminde hata, ihmal ve suistimal risklerini azaltmak için kullanılan en kritik kontrollerden biridir. İngilizce segregation of duties veya kısaca SoD olarak adlandırılan bu ilke, bir işi başlatan, gerçekleştiren ve onaylayan kişilerin farklı olmasını gerektirir. Hiçbir çalışanın bir işlemin başından sonuna kadar tüm aşamalarında kritik sorumluluk almaması esastır. Örneğin, bir yazılım geliştiricinin üretim ortamına doğrudan erişiminin olmaması veya bir yetki talebinin talep edenden farklı bir üst merci tarafından onaylanması görevler ayrılığına örnektir. Bu ilkenin uygulanması için iş süreçlerinin analiz edilmesi ve hangi adımların ayrıştırılması gerektiğinin belirlenmesi şarttır. Bu amaçla hazırlanan SoD matrisi, hangi iş adımının hangi görev tanımıyla birleşebileceğini veya birleşemeyeceğini gösteren bir rehber dokümandır. Görevler ayrılığı ilkesinin uygulanması, iş süreçlerini uzatabilir ve daha fazla personel gerektirdiği için maliyeti artırabilir. Bu noktada risk ve kontrol dengesi gözetilmelidir. Personel sayısının kısıtlı olduğu küçük işletmelerde görevler ayrılığı tam olarak sağlanamıyorsa, telafi edici kontroller devreye girer. Telafi edici kontroller, riskleri tamamen önleyemese bile gerçekleştikten sonra fark edilmesini sağlar. En yaygın örneği, kritik işlemlere dair iz kayıtlarının, yani logların toplanması ve bu kayıtların düzenli olarak bağımsız bir kişi tarafından gözden geçirilmesidir. İz kayıtları asgari olarak kaydı oluşturan sistemi, tarih ve saat bilgisini, yapılan değişikliğin mahiyetini ve işlemi yapan tekil kullanıcı bilgisini içermelidir. Ayrıca iş rotasyonu ve zorunlu tatil uygulamaları da telafi edici kontroller arasında yer alır. Bu yöntemlerle bir çalışanın uzun süre aynı kritik görevi tek başına yürütmesi engellenerek olası usulsüzlüklerin ortaya çıkarılması hedeflenir. Bilgi sistemleri birimleri için en iyi uygulama örnekleri incelendiğinde, yöneticinin odağının teknik konulardan ziyade bilgi sistemleri ve iş uyumuna kayması gerektiği görülür. Yatırımların işletmeye nasıl değer katacağı üst yönetime rasyonel bir dille anlatılmalıdır. Her süreç ve iş ölçülmeli, personel gelişimine kaynak ayrılmalı ve işlerin zamanında, bütçe dahilinde bitirilmesi hedeflenmelidir. Gündelik operasyonel işler ile yenilikçilik arasında bir denge kurulmalı, işler mümkün olduğunca otomatikleştirilmelidir. Ayrıca teknoloji okuryazarlığı artan son kullanıcılara, güvenlik sınırları dahilinde inisiyatif verilerek bilgi sistemleri biriminin üzerindeki yük hafifletilmelidir. Bilgi sistemleri organizasyonunun değerlendirilmesi sürecinde ise strateji belgeleri, politikalar, organizasyon şeması ve görev tanımları titizlikle incelenmelidir. Organizasyon şemasının onaylı olması ve birimin işletme içindeki konumunun çıkar çatışmasına yol açmayacak şekilde belirlenmesi önemlidir. Tüm görev tanımlarının yazılı olması ve sahadaki uygulama ile örtüşmesi denetim açısından kritik bir husustur. Ayrıca birimin iç veya dış denetimden geçip geçmediği, denetim raporlarındaki bulgulara karşı alınan aksiyonlar ve görevler ayrılığı ilkesinin ne derece uygulandığı değerlendirmenin temel taşlarını oluşturur. Kaynak yönetimi konusuna geldiğimizde, işletmelerde kaynakların her zaman kısıtlı olduğu gerçeğiyle karşılaşırız. Kaynak yönetimi, doğru iş için doğru zamanda doğru kaynakların mevcut olmasını ve verimli kullanılmasını sağlar. Bilgi sistemlerinde kaynaklar insan kaynağı, uygulamalar, teknoloji bileşenleri, tesisler, veri, finansal kaynaklar ve zaman olarak sınıflandırılır. Kaynak planlama sürecinde yapılan en büyük hatalardan biri, çalışanların zamanlarının yüzde yüz ünü sadece bir projeye ayıracağını varsaymaktır. Gerçek hayatta toplantılar, e-postalar ve acil müdahaleler nedeniyle bu oran çok daha düşüktür. Kaynak tahsisi yapılırken iş öncelikleri rasyonel kriterlere göre belirlenmeli, sadece en son gelen veya en çok ses çıkaran işe odaklanılmamalıdır. İnsan kaynakları yönetimi, bilgi sistemleri güvenliğinin de ayrılmaz bir parçasıdır. İçeriden gelebilecek tehditlere karşı işe alım aşamasında geçmiş araştırması yapılması, gizlilik anlaşması ve rekabet etmeme anlaşması imzalatılması temel kontrollerdir. Çalışma süresince ise zorunlu tatil, iş rotasyonu, görevler ayrılığı ve sürekli eğitim gibi mekanizmalar işletilmelidir. Doğru iş gücünü işe almak kadar, bu kaynağı motive ederek elde tutmak da stratejik bir başarı faktörüdür. Kaynak yönetiminin değerlendirilmesinde ise kaynak envanterinin güncelliği, tahsislerin kurumsal önceliklere uyumu ve projelerin kazanımlarının ölçülebilirliği incelenmelidir. Son olarak risk yönetimi, bilgi sistemlerinin hedeflerine ulaşmasını engelleyecek veya kurumsal kayba yol açacak olayların önceden fark edilmesi ve yönetilmesi sürecidir. Risk, işletme için bir maliyettir ve bu maliyetin minimize edilmesi gerekir. Risk yönetimi süreci risklerin tanımlanması, değerlendirilmesi, önlenmesi ve azaltılması adımlarından oluşur. Finansal, operasyonel, yasal, stratejik ve teknolojik riskler gibi farklı kategoriler bulunsa da, işletme genelinde ortak bir risk yönetim çerçevesinin kullanılması tutarlılık sağlar. Kurumsal risk yönetimi yaklaşımı, risklerin yönetilmesinden nihai olarak üst yönetimi sorumlu tutar. Bilgi sistemleri risk yönetimi de bu genel yapının bir parçası olarak, teknolojik varlıkların ve süreçlerin korunmasını hedefler. Sınavda risk yönetimi aşamaları ve kategorileri arasındaki farklar sıkça sorulmaktadır, bu nedenle riskin sadece teknik bir konu değil, kurumsal bir yönetim disiplini olduğu unutulmamalıdır. Bilgi sistemleri yönetiminde insan kaynağının planlanması ve yönetilmesi, teknik becerilerin ötesinde stratejik bir yaklaşım gerektirmektedir.
Bölüm 4
Bilgi sistemleri yönetiminde insan kaynağının planlanması ve yönetilmesi, teknik becerilerin ötesinde stratejik bir yaklaşım gerektirmektedir. İşe alım aşamasından itibaren adayların yetkinliklerinin yanı sıra kurumsal güvenliği ve ticari sırları korumaya yönelik rekabet etmeme anlaşması gibi hukuki prosedürlerin işletilmesi esastır. İşe alım süreci tamamlandıktan sonra personelin iş ortamına, işletme kültürüne ve sektörel dinamiklere uyum sağlaması amacıyla gerekli bilgilendirmelerin yapılması, politika ve prosedürlerin aktarılması ve eğitim süreçlerinin başlatılması kritik önem taşır. Çalışma süreci boyunca personelin denetimi ve güvenliği için zorunlu tatil uygulaması, iş rotasyonu, görevler ayrılığı ilkesi ve sürekli eğitim gibi kontrollerin titizlikle uygulanması gerekmektedir. İnsan kaynağı yönetiminde doğru yeteneklerin istihdam edilmesi kadar bu kaynağın kurum bünyesinde tutulması da hayati bir husustur. Bu bağlamda çalışanları motive edecek, verimliliği artıracak ve iş kalitesi hedeflerine ulaşılmasını sağlayacak performans ve ödüllendirme sistemlerinin kurulması bir zorunluluktur. Kaynak yönetiminin değerlendirilmesi sürecine geçildiğinde, öncelikle bilgi sistemleri biriminin sahip olduğu tüm kaynakların envanterinin çıkarılması ve detaylı bir şekilde incelenmesi gerekmektedir. Bu süreçte izleme amacıyla çeşitli yazılım araçları kullanılıyorsa, bu araçların etkinliği ve sağladığı yararlar da denetim kapsamına alınmalıdır. Kaynak tahsisi yapılırken, bu tahsisin bilgi sistemleri stratejisi ve genel işletme stratejisi ile uyumlu olup olmadığı mutlaka sorgulanmalıdır. Kurumsal önceliklerin kaynak dağılımına yansıyıp yansımadığı, her bir projenin kazanımlarının ölçülebilir kriterlerle ifade edilip edilmediği denetçiler tarafından incelenen temel noktalardır. Ayrıca kaynak yönetimine ilişkin politika ve prosedürlerin güncelliği, uygunluğu ve işlerliği düzenli olarak değerlendirilmelidir. İnsan kaynağı da dahil olmak üzere tüm kaynakların kullanım durumları, projelerle olan ilişkileri ve kayıt altına alınma süreçleri takip edilmelidir. Bu süreçlerin sonunda üretilen raporların üst yönetime ve yönetim kuruluna sunulup sunulmadığı, bu raporlar doğrultusunda hangi aksiyonların alındığı da değerlendirme sürecinin ayrılmaz bir parçasıdır. Risk yönetimi konusuna odaklandığımızda, günümüzde bilgi sistemlerinin etkin ve verimli çalışabilmesi için bilgi varlıklarının ve yürütülen görevlerin korunmasının bir zorunluluk olduğu görülmektedir. Risk kavramı en genel haliyle bir zarara uğrama tehlikesi veya zarar görme olasılığı olarak tanımlanabilir. Kurumsal bağlamda ise risk, iş hedeflerine ulaşılmasını engelleyecek veya maddi kayıp, değer kaybı ve müşteri kaybı gibi sonuçlar doğuracak olayları ifade eder. İşletmeler için risk bir maliyet unsurudur ve bu maliyetin minimize edilmesi hedeflenir. Riski tamamen ortadan kaldırmak her zaman mümkün olmasa da, olası kötü senaryoların belirlenmesi, gerçekleşme ihtimallerinin hesaplanması ve etkilerinin analiz edilmesi yoluyla önleyici tedbirler alınabilir. Risk yönetimi fonksiyonu, işletme faaliyetleri sırasında ortaya çıkabilecek risklerin fark edilmesi, tanımlanması, değerlendirilmesi ve azaltılması için gerekli süreçlerin işletilmesini kapsar. Risk yönetimi süreçlerinin başarısı için risklerin belirli kategorilere ayrılması yönetim kolaylığı sağlar. Bu kategoriler arasında finansal riskler, operasyonel riskler, yasal ve mevzuattan kaynaklanan riskler, stratejik yönetim riskleri, teknoloji riskleri ve doğal afetlerden kaynaklanan riskler yer almaktadır. Risk yönetimi kurumsal bir tabana yayılmalı ve her birim kendi uzmanlık alanındaki risklerin yönetimine dahil olmalıdır. İşletme genelinde ortak risk yönetimi yöntemlerinin kullanılması, farklı birimlerin sonuçlarının karşılaştırılabilir ve tutarlı olmasını sağlar. Modern yönetim yaklaşımlarında risk yönetiminden nihai olarak üst yönetim sorumlu tutulmaktadır. Bilgi sistemleri risk yönetimi de bu genel yapının ve yönetişimin ayrılmaz bir parçasıdır. Bilgi sistemleri riski, bilgi teknolojilerinin kullanılmasından kaynaklanan riskleri ifade eder. Burada dikkat edilmesi gereken husus, bilgi sistemlerini kullanmanın bir risk olduğu kadar, bu sistemleri kullanmamanın da ayrı bir risk faktörü oluşturduğudur. Üst yönetim, işletmenin risk yönetim tarzını, sorumluluklarını ve en önemlisi risk iştahını belirlemekle yükümlüdür. Kabul edilebilir risk seviyesi olarak da adlandırılan risk iştahı, bir işletmenin hedeflerine ulaşmak için göze alabildiği veya tolere edebildiği risk düzeyini ifade eder. Bu seviyenin altında kalan riskler için ek bir aksiyon alınmayabilirken, üzerinde kalan riskler için mutlaka bir karar verilmesi ve müdahale edilmesi gerekir. Risk iştahı belirlenirken işletmenin yapısı, büyüklüğü, finansal gücü, sektörü, kurum kültürü ve yasal çerçeve gibi faktörler göz önünde bulundurulur. Örneğin sağlık ve güvenlik sektörlerinde risk iştahı genellikle düşük tutulurken, teknoloji gibi yenilikçi sektörlerde daha yüksek olabilir. Ayrıca büyük işletmelerin risk iştahı görece düşük, büyüme hedefindeki küçük işletmelerin ise yüksek olabilir. Risk iştahı çerçevesi; risk kapasitesi, risk limiti ve risk profili ile bir bütün oluşturur. Risk kapasitesi, işletmenin mevcut finansal ve hukuki ortamda alabileceği azami risk düzeyini temsil ederken; risk limiti, iş birimlerine veya personele tahsis edilen risk miktarını belirtir. Bir riskten söz edebilmek için dört temel ön koşulun varlığı gereklidir. Bunlar değerli bir varlık veya sistem, bu varlığın yapısında bulunan bir zafiyet veya açık, bir tehdit unsuru ve bu zafiyetin tehdit tarafından kullanılması sonucunda oluşacak zararlı etkidir. Risk yönetimi adımları genellikle yukarıdan aşağıya bir yaklaşımla varlıkların belirlenmesi ve aşağıdan yukarıya bir yaklaşımla bu varlıkların maruz kaldığı risklerin yönetilmesi şeklinde kurgulanır. Sürecin ilk adımı olan risk belirleme aşamasında, işletmenin amaçlarına ulaşmasına engel olabilecek riskler teşhis edilir. Bu aşamada işletme ve bilgi sistemleri stratejileri incelenerek kritik varlıklar belirlenir. Varlıkların sadece listelenmesi yeterli değildir; bu varlıkların iş süreçlerindeki değeri ve önemi de tanımlanmalıdır. İkinci adım olan risk analizi aşamasında, teknoloji kategorisindeki riskler için bilgi sistemleri personeli görev almalıdır. Yazılım, donanım ve altyapı gibi varlıkların zafiyetleri, bu zafiyetleri tetikleyebilecek tehditler ve bunların gerçekleşme olasılıkları ile muhtemel etkileri analiz edilir. Üçüncü adım olan risk değerlendirme aşamasında ise elde edilen veriler kullanılarak her varlık için bir risk değeri hesaplanır ve bu değerlere göre bir sıralama yapılır. Risk iştahının üzerinde kalan riskler için dördüncü adım olan risk işleme safhasına geçilir. Risk işleme seçenekleri arasında en çok tercih edilen yöntem olan riski azaltma, çeşitli kontrollerle riskin düşürülmesini kapsar. Riski engelleme seçeneğinde, riske neden olan süreç veya ürünün kullanımına tamamen son verilir. Riski transfer etme veya paylaşma yönteminde, dış kaynak kullanımı veya sigorta gibi araçlarla risk üçüncü taraflara aktarılır. Riski kabul etme ise riskin bilinçli olarak üstlenilmesi durumudur ki bu genellikle en son başvurulan seçenektir. Sürecin son adımı olan gözetim aşamasında ise tüm uygulamaların performansı izlenir ve kayıt altına alınır. Bilgi sistemleri risk yönetimi için en iyi uygulama örneklerine bakıldığında, bu sürecin diğer iş süreçlerine tam entegre edilmesi gerektiği görülmektedir. Risk değerlendirmeleri yılda en az bir kez düzenli olarak yapılmalı, ayrıca yeni tehditlerin ortaya çıkması veya yeni varlıkların edinilmesi gibi durumlarda tekrarlanmalıdır. Sadece teknik kontrollerle yetinilmemeli, yönetimsel ve idari kontroller de sürece dahil edilmelidir. Bilgi güvenliği eğitimleri tüm personeli kapsayacak şekilde ve güncel içeriklerle periyodik olarak yenilenmelidir. Risk yönetiminin temel amacı sadece yasal uyum sağlamak değil, bu bilinci kurum kültürünün bir parçası haline getirmek olmalıdır. Unutulmamalıdır ki hiçbir teknoloji veya standart bir işletmeyi tüm risklerden tamamen koruyamaz ve bazen bir riski azaltmaya çalışırken başka bir riskin artması söz konusu olabilir. Bu nedenle koordineli bir yönetim anlayışı esastır. Kalite yönetimi konusuna geçtiğimizde, kalitenin bir ürün veya hizmetin sahip olması gereken özelliklere sahip olma derecesi olarak tanımlandığını görmekteyiz. Bilgi sistemleri özelinde kalite; müşteri odaklı nitelikler, tasarım odaklı kriterler ve yasal düzenlemelerden kaynaklanan gereksinimler olmak üzere üç temel boyutta ele alınır. Kalite yönetimi, sadece nihai ürünün kontrol edilmesi değil, ürünün geliştirilme sürecinin tamamının belirli ilkeler doğrultusunda yönetilmesidir. Kalite güvencesi, ürünün yaşam döngüsü boyunca hata önleme ve planlama faaliyetlerini kapsarken; kalite kontrol, ürünün standartlara uygunluğunun test edilmesi ve doğrulanması aşamasıdır. Etkin bir kalite yönetim sistemi kurumsallaşmaya katkı sağlar, çalışan motivasyonunu artırır, maliyetleri düşürür ve işletmenin imajını güçlendirir. Denetim aşamasında, kalite yönetiminin sadece son ürüne odaklanıp odaklanmadığına bakılır; zira kalitenin sadece sonda aranması bir risk göstergesidir. Performans yönetimi, stratejik hedeflere ne ölçüde ulaşıldığının ve kaynakların ne kadar verimli kullanıldığının ölçülmesini sağlayan süreçler bütünüdür. Ölçülemeyen bir sürecin iyileştirilmesi mümkün değildir. Performans yönetiminde en yaygın kullanılan yöntemlerden biri Kurumsal Karne, yani Balanced Scorecard yöntemidir. Bu yöntem finansal perspektif, müşteri perspektifi, iç süreçler ve kurumsal öğrenme ile gelişim olmak üzere dört ana boyutta ölçüm yapar. Stratejik hedefler bu perspektifler altında anahtar başarı göstergeleri yani KPI'lar ile takip edilir. KPI'ların işletmeye özgü olması, anlaşılır olması, verilerinin güncel ve bütün olması gerekmektedir. Bilgi sistemleri için uyarlanan IT-BSC modelinde ise iş birimlerinin memnuniyeti, kullanıcı deneyimi, operasyonel süreçlerin performansı ve insan kaynağı yetkinliği gibi kriterler ön plana çıkar. Denetçi, performans yönetimi sürecinin varlığını, metriklerin uygunluğunu ve ölçüm sonuçlarına göre alınan aksiyonları değerlendirmekle yükümlüdür. Dış kaynak kullanımı, yani outsourcing, işletmelerin uzmanlık alanı dışındaki fonksiyonları üçüncü taraflardan temin etmesi stratejisidir. Bu modelin temel motivasyonları arasında teknolojik gelişmelere erişim, maliyetlerin azaltılması, verimlilik artışı ve risklerin paylaşımı yer almaktadır. Uluslararası Menkul Kıymetler Komisyonları Örgütü olan IOSCO tarafından belirlenen ilkeler, dış kaynak kullanımında rehber niteliğindedir. Bu ilkelere göre servis sağlayıcılar titizlikle seçilmeli, mutlaka yazılı bir sözleşme imzalanmalı, bilgi güvenliği ve iş sürekliliği kontrolleri sağlanmalı ve düzenleyici otoritelerin bilgiye erişim hakları korunmalıdır. Sermaye piyasası mevzuatı da bu konuda belirli zorunluluklar getirmektedir. Dış kaynak kullanımının beraberinde getirdiği risklerin başında kontrol kaybı gelmektedir. İşletme, sürece doğrudan hakim olamadığı için sözleşme hükümlerine raporlama ve ölçülebilir metrikler gibi kontroller eklemelidir. Servis sağlayıcı seçimi de kritik bir risk alanıdır; sağlayıcının tecrübesi, mali yapısı, personel yetkinliği ve referansları detaylıca incelenmelidir. Gizlilik ve güvenlik riskleri, özellikle kritik verilerin paylaşılması durumunda en önemli endişe kaynağıdır. Bu riskin yönetimi için hukuki yaptırımların yanı sıra servis sağlayıcının güvenlik standartlarının işletmenin standartlarından düşük olmaması sağlanmalıdır. Ayrıca iş kapsamının net çizilememesi, alan bilgisi eksikliği ve öngörülemeyen maliyetler de dikkat edilmesi gereken diğer hususlardır. Dış kaynak kullanımında servis sağlayıcının yerleşimi de farklı risk profilleri oluşturur. Denizaşırı dış kaynak kullanımında maliyet avantajı yüksek olsa da iletişim bariyerleri ve zaman dilimi farklılıkları zorluk yaratabilir. Yerel dış kaynak kullanımı ise yasal uyum ve iletişim kolaylığı açısından tercih edilebilir. Sürecin en kritik aşamalarından biri de çıkış stratejisidir. Sözleşmenin sona ermesi veya beklenmedik şekilde feshedilmesi durumunda iş süreçlerinin kesintiye uğramaması için bir B planı hazırlanmalıdır. Bu strateji kapsamında kimlerin görev alacağı, varlıkların nasıl transfer edileceği ve bilgi aktarımının nasıl yapılacağı yazılı olarak belirlenmelidir. Yoğunlaşma riski, belirli bir konuda uzmanlaşmış servis sağlayıcı sayısının az olması durumunda ortaya çıkar ve bu durum servis sağlayıcının piyasa gücünü artırarak hizmet kalitesinin düşmesine veya maliyetlerin yükselmesine neden olabilir. Ayrıca birçok kurumun aynı sağlayıcıdan hizmet alması sistemik riskleri tetikleyebilir. Denetim ve gözetim riski bağlamında, düzenleyici otoritelerin servis sağlayıcı nezdinde inceleme yapma hakkının sözleşmede yer alması yasal bir zorunluluktur. Son olarak, tek bir servis sağlayıcıya aşırı bağımlılık riskine karşı farklı hizmetlerin farklı sağlayıcılardan alınması bir alternatif olarak değerlendirilmelidir. Tüm bu süreçlerin yönetimi, sözleşme imzalandıktan sonra da devam eden ve sözleşme yönetimi olarak adlandırılan profesyonel bir yaklaşımı gerektirmektedir. Sözleşme yönetiminin temel amacı, imzalanan anlaşmadan beklenen stratejik ve operasyonel faydanın eksiksiz bir şekilde elde edilmesidir. Dış kaynak kullanımı sürecinde işletmenin hazırlıklı olması gereken en kritik aşamalardan biri çıkış stratejisidir. İşletme içinde dış kaynak tedariğine ilişkin bir B planının hazırlanması, operasyonel süreklilik açısından hayati önem taşır.
Bölüm 5
Dış kaynak kullanımı sürecinde işletmenin hazırlıklı olması gereken en kritik aşamalardan biri çıkış stratejisidir. İşletme içinde dış kaynak tedariğine ilişkin bir B planının hazırlanması, operasyonel süreklilik açısından hayati önem taşır. Çıkış stratejisi, strateji kavramının özünde olduğu gibi, belirli bir amaca ulaşmak için yapılan planlamayı ifade eder. Buradaki temel amaç, işletmenin sözleşme imzaladığı hizmet sağlayıcı ile ilişkisini, tüm haklarını güvence altına alarak ve en önemlisi sözleşmeye konu olan ürün veya hizmetlerin ait olduğu iş süreçlerini kesintiye uğratmadan sorunsuz bir şekilde sonlandırmaktır. Başarılı bir çıkış stratejisinin hazırlanması aşamasında dikkat edilmesi gereken belirli hususlar bulunmaktadır. Öncelikle, çıkış stratejisi mutlaka yazılı dokümanlar haline getirilmeli ve izlenecek yol sadece zihinsel bir plan olarak kalmamalıdır. Çıkış sürecinde işletme bünyesinde kimlerin görev alacağı ve sorumlulukların neler olacağı net bir şekilde belirlenmelidir. Servis sağlayıcıdan teslim alınacak her türlü fiziki veya elektronik materyal, bilgi ve varlık ile bunların transfer yöntemi yazılı olarak kararlaştırılmalı ve bu detaylar ana sözleşmeye eklenmelidir. Eğer süreçte alt yükleniciler mevcutsa, bunlarla ilgili düzenlemeler de strateji kapsamında yer almalıdır. Sözleşmenin işletme tarafından vaktinden önce sonlandırılması durumunda ortaya çıkabilecek maliyetler önceden analiz edilmeli ve dikkate alınmalıdır. Ayrıca, çıkış sürecine ilişkin ortalama bir zaman hedefi ve süreç boyunca yapılacak toplantıların takvimi belirlenmelidir. Mevcut personelle veya yeni servis sağlayıcıya yapılacak bilgi aktarımının içeriği netleştirilmeli, başarılı bir çıkış için gerekli kriterler tanımlanmalı ve çıkış sonrası bu kriterlere göre ölçümleme yapılmalıdır. Dış kaynak kullanımında karşılaşılan bir diğer risk faktörü yoğunlaşma riskidir. Bu durum, özellikle servis sağlayıcıların belirli alanlarda uzmanlaştığı ve sayıca az olduğu piyasalarda belirginleşir. Servis sağlayıcılar piyasayı kontrol eder hale geldiklerinde, işletmenin sözleşmeye eklemek istediği hükümleri, hatta mevzuat gereği zorunlu olan maddeleri bile kabul etmeme eğilimi gösterebilirler. Benzer şekilde, pazar güçlerine dayanarak sunulan hizmetler için daha yüksek ücretler talep edebilirler. Rekabetin azaldığı bu tür ortamlarda, servis sağlayıcıların hizmet kalitesini artırma, teknolojik yatırım yapma veya hizmetleri iyileştirme konusundaki motivasyonları düşebilir. Sermaye piyasası kurumları açısından bakıldığında, birçok kurumun aynı servis sağlayıcıdan hizmet alması sistemik riski artıran bir unsurdur. Servis sağlayıcının yaşayacağı teknik bir sorun veya hizmet sunumundaki yetersizlik, tüm piyasa aktörlerinin faaliyetlerini aynı anda ve olumsuz yönde etkileyebilir. Gözetim konusu da dış kaynak kullanımında üzerinde durulması gereken bir risk faktörüdür. İşletme tarafından dışarıdan temin edilen hizmetlerin ait olduğu iş fonksiyonlarının düzenleyici otorite tarafından denetlenmesi esastır. Düzenleyici otoritenin ihtiyaç duyduğu tüm bilgi ve belgelere zamanında erişebilmesi ve servis sağlayıcı nezdinde denetim yapabilme hakkı sözleşmede mutlaka güvence altına alınmalıdır. Türkiye sermaye piyasası mevzuatında bu durum bir zorunluluk olarak düzenlenmiştir. Bununla birlikte işletme, servis sağlayıcının sözleşme koşullarına uyup uymadığını denetlemek amacıyla kendi denetim hakkını, yani literatürdeki adıyla right to audit hakkını da sözleşmeye eklemeyi değerlendirmelidir. Bağımlılık riski ise işletmenin çok sayıda ürün veya hizmeti tek bir servis sağlayıcıdan temin etmesiyle ortaya çıkar. Bu durum işletmeyi ilgili servis sağlayıcıya aşırı bağımlı hale getirir. Servis sağlayıcının teknik sorunlar yaşaması, işletmenin tüm faaliyetlerinin aksamasına yol açabilir. Bu riski bertaraf etmek adına, farklı hizmetlerin farklı servis sağlayıcılardan edinilmesi bir alternatif olarak değerlendirilmelidir. Sözleşme yönetimi konusuna geçecek olursak, dış kaynak yoluyla sağlanan hizmetlerin bir sözleşme çerçevesinde yürütüldüğünü görmekteyiz. Ancak dış kaynak kullanımı sadece sözleşmenin imzalanmasıyla tamamlanan bir işlem değil, sürekli yönetilmesi gereken bir süreçtir. Sözleşme yönetimi, imzalanan sözleşmeden beklenen faydanın maksimize edilmesini amaçlar. Bu süreç, sözleşme imzalanmadan önceki karar alma ve servis sağlayıcı seçimi aşamalarında başlar; sözleşmenin oluşturulması, imzalanması ve icrasıyla devam eder. Sözleşmenin bitimi veya yenilenmesiyle döngü başa döner. Sözleşme aktif olduğu sürece işletmenin ihtiyaçları doğrultusunda sürekli bir değişim içindedir ve bu değişimin takibi operasyonel ve finansal performansın artırılması, risklerin azaltılması açısından kritiktir. Sözleşme yönetimi, sadece dış kaynak kullanımıyla sınırlı kalmayıp satın alma, fikri mülkiyet, gizlilik ve lisanslama gibi tüm yükümlülük içeren sözleşmeleri kapsayan geniş bir alandır. Bu süreç; finans, hukuk, satın alma ve ilgili teknik birimlerin, örneğin bilgi sistemleri biriminin katılımıyla yürütülen bir ekip işidir. Sözleşme yönetimi temel olarak sözleşmenin yazılması, onaylanması, işletime alınması, izlenmesi, çatışmaların çözümü, ek protokollerin yönetimi ve son olarak yenileme veya sonlandırma aşamalarından oluşur. Dış kaynak kullanımının değerlendirilmesi aşamasında ise işletmedeki farkındalık düzeyi ele alınmalıdır. Günümüzde bilgi sistemleri özelinde tüm işlerini kendi bünyesinde yürüten bir işletme bulmak neredeyse imkansızdır. İnternet bağlantısı gibi basit satın alma işlemleri bile, bir servis sağlayıcı seçimi ve hizmet seviyesi taahhüdü içerdiği için dış kaynak kullanımı kapsamında değerlendirilebilir. Bu sürecin değerlendirilmesinde ilgili politika, prosedür ve kontrollerin varlığı, uygunluğu ve işlerliği incelenmelidir. İşletme içinde bu süreci yönetmekle görevli, bilgi sistemleri uzmanlarını da içeren bir yapının varlığı ön şarttır. Sınav hazırlığı kapsamında şu örnek soruyu incelemek faydalı olacaktır. İşletmede bilgi sistemleri stratejisi geliştirmek için atılacak ilk adım, işletmenin kurumsal stratejisini incelemektir. Bir diğer önemli husus ise kontrol kaybı riskine karşı geliştirilen önlemlerdir. Sözleşme konusu iş hakkında gelişim raporları düzenlenmesi, ölçüm metriklerinin belirlenmesi ve teknik sorumlu istihdam edilmesi bu riskle doğrudan ilgilidir; ancak servis sağlayıcının güvenlik politikalarının incelenmesi daha çok güvenlik riskiyle ilgili bir kontroldür. Bilgi sistemleri denetimi konusuna giriş yapacak olursak, denetim kavramını bir standarda veya kılavuza uyulup uyulmadığını, kayıtların doğruluğunu ve hedeflere ulaşılıp ulaşılmadığını kontrol etmek amacıyla yapılan resmi bir doğrulama süreci olarak tanımlayabiliriz. Bilgi sistemleri denetimi ise, bir bilgisayar sisteminin varlıkları koruyup korumadığı, veri bütünlüğünü sağlayıp sağlamadığı ve kurumsal amaçlara etkin şekilde ulaşıp ulaşmadığını belirlemek amacıyla yapılan kanıt toplama sürecidir. Uluslararası standartlara göre etkili bir denetim faaliyeti yedi temel ilkeye dayanmalıdır. Bu ilkeler dürüstlük, adil sunum, mesleki özen, gizlilik, bağımsızlık, kanıta dayalı yaklaşım ve risk temelli yaklaşımdır. Dürüstlük, denetimin hiçbir etki altında kalmadan adil ve tarafsız yürütülmesini; adil sunum, sonuçların doğru aktarılmasını; mesleki özen ise titiz çalışmayı ifade eder. Bağımsızlık ilkesi, denetçinin faaliyet alanından bağımsız olmasını ve çıkar çatışması yaşamamasını gerektirir. Denetim türlerini denetçinin statüsüne göre iç denetim ve dış denetim olarak ikiye ayırabiliriz. İç denetim işletmenin kendi çalışanlarıyla yaptığı bir faaliyetken, dış denetim bağımsız kuruluşlarca gerçekleştirilir. Dış denetim de kendi içinde ikinci taraf ve üçüncü taraf denetim olarak ikiye ayrılır. İkinci taraf denetim, işletmenin tedarikçilerine yaptığı denetimleri; üçüncü taraf denetim ise yasal veya belgelendirme amaçlı bağımsız denetimleri ifade eder. Bilgi sistemleri denetimi, altyapı içindeki kontrollerin incelenmesiyle ilgilidir ve varlıkların korunması, veri bütünlüğü gibi konularda görüş oluşturmayı amaçlar. Sermaye Piyasası Kurulu'nun Bilgi Sistemleri Bağımsız Denetim Tebliği uyarınca bu denetim, bilgi sistemi unsurlarının yönetim ilkeleri doğrultusunda değerlendirilmesi sürecidir. Finansal denetim ise mali kayıtların doğruluğunu ve genel kabul görmüş muhasebe ilkelerine uygunluğunu saptamak için yapılır. Operasyonel denetim, işletme operasyonlarının etkinlik ve verimliliğini, iç kontrollerin düzgün işleyip işlemediğini değerlendirir. Bütünleşik denetim ise finansal, operasyonel ve bilgi sistemleri denetim süreçlerinin risk odaklı bir yaklaşımla ve tek bir konsolide raporla sonuçlanacak şekilde birleştirilmesidir. Diğer denetim türleri arasında uyum denetimi, yasalara ve iç politikalara bağlılığın incelenmesini kapsar. İdari denetim belirli bir bölümün operasyonel verimliliğine odaklanırken, adli denetim dolandırıcılık veya suç eylemlerine yönelik yasal kanıt elde etmeyi amaçlar. Dolandırıcılık denetimi, kasıtlı usulsüzlükleri tespit etmek için veri analizi tekniklerini kullanır. Üçüncü taraf hizmet denetimi, dışarıdan alınan bulut bilişim veya yazılım hizmetlerinin denetlenmesidir. Adli bilişim denetimi ise dijital medyadaki verilerin bilimsel yöntemlerle toplanması ve analiz edilmesi sürecini kapsar. Son olarak fonksiyonel denetim, bir yazılımın veya departmanın işlevselliğinin ve performansının hedeflerle uyumunu inceler. Kontroller konusuna gelecek olursak, kontroller işletme risklerini yönetmek için kullanılan idari, teknik veya yasal nitelikteki önlemlerdir. Etkili bir kontrol, istenmeyen olayları önlemeli, tespit etmeli veya etkisini sınırlamalıdır. Kontroller alanına göre genel kontroller ve uygulama kontrolleri olarak ikiye ayrılır. Genel kontroller, tüm bilgi sistemleri altyapısını kapsayan ve uygulama yazılımları için güvenli bir ortam sağlayan kontrollerdir. Bunlar arasında yönetim kontrolleri, fiziksel ve çevresel kontroller, ağ yönetimi, mantıksal erişim, işletim, değişim yönetimi ve iş sürekliliği kontrolleri yer alır. Yönetim kontrolleri, stratejik planlama ve güvenlik politikaları gibi üst düzey yönetsel tedbirleri içerir. Fiziksel kontroller ise donanımı yangın, su baskını veya yetkisiz fiziksel erişim gibi tehditlere karşı korumayı amaçlar. Ağ yönetimi kontrolleri, ağ sisteminin güvenliğini ve katmanlı mimariyi esas alır. Mantıksal erişim kontrolleri, sistem kaynaklarına ve verilere yetkisiz erişimi engellemek için şifre politikaları ve yetkilendirme mekanizmalarını kullanır. İşletim kontrolleri, sistemin sürekliliğini ve veri tabanı güvenliğini sağlar. Sistem geliştirme ve değişim yönetimi kontrolleri, yazılım projelerinin kalitesini ve kullanıcı ihtiyaçlarını karşılamasını hedefler. Acil durum ve iş sürekliliği planlaması ise felaket anında faaliyetlerin devam etmesini sağlayan yedekleme ve kurtarma süreçlerini kapsar. Uygulama kontrolleri ise verilerin sistemlere tam, doğru ve yetkili şekilde girilmesini, işlenmesini ve raporlanmasını sağlar. Girdi kontrolleri, hatalı veya mükerrer veri girişini önlemeyi amaçlar. Veri transfer kontrolleri, verinin bir uçtan diğerine güvenli iletimini sağlar. İşlem kontrolleri, verinin iş süreçlerine uygun işlenmesini ve denetim izinin korunmasını hedefler. Çıktı kontrolleri ise üretilen raporların doğruluğunu ve sadece yetkili kişilere ulaşmasını garanti altına alır. Kontroller uygulanma şekline göre otomatik ve manuel olarak da sınıflandırılabilir. Otomatik kontroller teknoloji tabanlıdır ve insan hatasını azaltır. Manuel kontroller ise insan müdahalesi gerektirir ve genellikle karmaşık karar süreçlerinde veya otomatik kontrollerin izlenmesinde kullanılır. Amacına göre kontroller önleyici, tespit edici ve düzeltici olarak üçe ayrılır. Önleyici kontroller, hataların ve kötü niyetli hareketlerin meydana gelmesini en baştan engellemeye çalışır. Yetkin personel istihdamı, görevler ayrılığı, güvenlik duvarları ve anti virüs programları önleyici kontrollere örnektir. Tespit edici kontroller, meydana gelen hataları veya yetkisiz kullanımları belirlemek ve raporlamak için vardır. İç denetim, iz kayıtlarının incelenmesi, saldırı tespit sistemleri ve performans raporları bu gruptadır. Düzeltici kontroller ise bir sorun tespit edildikten sonra sistemin tekrar sağlıklı çalışmasını sağlar. İş sürekliliği planları, yedekten dönme prosedürleri, yama yönetimi ve arıza onarım sözleşmeleri düzeltici kontroller arasında yer alır. İşlevsel özelliklerine göre ise kontroller teknik, fiziksel ve idari olarak gruplandırılır. Teknik kontroller yazılım ve donanım tabanlıyken, fiziksel kontroller somut ve dünyevi önlemlerdir. İdari kontroller ise politika ve prosedür gibi yönetsel düzenlemeleri ifade eder. Sınavda bu kontrol türlerinin tanımları ve birbirlerinden farkları sıklıkla sorulmaktadır; bu nedenle her bir kontrolün hangi amaca hizmet ettiğini ve hangi kategoride yer aldığını bilmek büyük önem taşımaktadır. Bilgi sistemleri güvenliği ve denetimi çerçevesinde kontrol mekanizmalarının sınıflandırılması, sistemlerin sürdürülebilirliği ve risk yönetimi açısından temel bir gerekliliktir.
Bölüm 6
Bilgi sistemleri güvenliği ve denetimi çerçevesinde kontrol mekanizmalarının sınıflandırılması, sistemlerin sürdürülebilirliği ve risk yönetimi açısından temel bir gerekliliktir. Bu kapsamda ele alınması gereken önemli bir kategori tespit edici kontrollerdir. Tespit edici kontroller, hataların, ihmallerin ve yetkisiz kullanımların veya kayıtların meydana geldiği zamanları belirlemek ve raporlamak amacıyla tesis edilir. Bu kontrollerin temel felsefesi, bir olayın meydana gelmesini engellemekten ziyade, olay gerçekleştikten sonra bunun en hızlı şekilde fark edilmesini sağlamaktır. Hata, ihmal veya kötü niyetli kullanımları önlemek ne kadar önemliyse, bu olaylar önlenemediğinde nasıl meydana geldiklerinin belirlenmesi de etkilerin azaltılması için o derece kritiktir. Örneğin, bir sisteme yönelik düzenli yetkisiz giriş denemeleri kayıt altına alınabilir ve bu kayıtlar periyodik olarak gözden geçirilip raporlanabilir. Olayın daha hızlı farkına varılabilmesi ve duruma göre aksiyon alınabilmesi için bu kontroller üzerinden alarm mekanizmaları kurulması, denetim ve güvenlik süreçlerinin etkinliğini artıracaktır. Tespit edici kontrol örneklerini detaylandırmak gerekirse, iç denetim faaliyetleri aracılığıyla operasyonel süreçlerin gözden geçirilmesi bu kategorideki en temel uygulamalardan biridir. Bilgi sistemleri tarafından tutulan iz kayıtlarının, yani log dosyalarının izlenmesi, sistemdeki her türlü hareketin takibini sağlar. Yazılım geliştirme süreçlerinde kalite güvence faaliyetlerinin yürütülmesi, yazılımın beklenen standartlarda olup olmadığını denetler. Teknik bir uygulama olarak, bir dosyadaki belirli alanların sayısal toplamı alınarak özet toplamının, yani hash total değerinin oluşturulması ve bu değerin karşılaştırmak üzere saklanması, veri bütünlüğünün korunup korunmadığını anlamamıza yardımcı olur. Uygulama kaynak kodu incelemeleri, ağ trafiği üzerinde saldırı tespit sistemlerinin, yani IDS mekanizmalarının kullanılması ve sunucuların periyodik performans raporlarının alınması da tespit edici kontroller arasındadır. Ayrıca yapılan hesaplamaların tekrar edilerek kontrol edilmesi, CCTV güvenlik kamera görüntülerinin kaydedilmesi ve saldırganları şaşırtmak amacıyla kurulan balküpü yani honeypot tuzak sistemleri bu sınıfa dahil edilir. Sınav açısından bu kontrollerin olay gerçekleştikten sonraki sürece odaklandığını bilmek büyük önem taşımaktadır. Kontrol hiyerarşisinde bir sonraki aşama düzeltici kontrollerdir. Düzeltici kontroller; hatalar, eksiklikler, yetkisiz kullanımlar ve izinsiz girişler tespit edildikten sonra bunları düzeltmek amacıyla tasarlanmıştır. Bilgi sistemlerinde istenmeyen bir durumun meydana geldiği tespit edici kontrollerle belirlendikten sonra, sistemin tekrar sağlıklı bir şekilde çalışır hale getirilmesi için bu planlamalara ihtiyaç duyulur. Düzeltici kontrollerin temel amacı, sorunun kaynağına yönelik uygun çözümler geliştirerek doğru ve zamanında bir müdahaleyle tehdidin ortadan kaldırılması, etkisinin azaltılması ve hataların düzeltilmesidir. Bu kapsamda iş sürekliliği planları ve yedekten dönme prosedürleri en hayati düzeltici kontrollerdir. Felaket kurtarma planları, işlem tersine çevirme veya geri alma işlemleri, bir bilgisayara bulaştığı tespit edilen bir virüsün karantina altına alınması bu grupta yer alır. Ayrıca yangın söndürücüler, sistemin ağ bağlantısının koparılarak izole edilmesi, sisteme yama geçilerek güncellenmesi, siber olay müdahale planları ve arıza onarım sözleşmeleri düzeltici kontrol mekanizmalarının somut örnekleridir. Kontrolleri işlevsel özelliklerine göre sınıflandırdığımızda ise teknik, fiziksel ve idari kontroller olmak üzere üçlü bir yapı ile karşılaşırız. Teknik kontroller, genellikle fiziksel olmayan, soyut nitelikteki kontrollerdir ve literatürde mantıksal kontroller olarak da ifade edilirler. Bu kontroller teknoloji bağımlıdır ve doğrudan bilgi sistemleri donanım ve yazılım unsurları üzerinden yürütülür. Teknik kontrollere örnek olarak güvenlik duvarları, saldırı tespit ve önleme sistemleri olan IDS ve IPS yapıları, şifreleme teknolojileri ve güvenlik bilgileri ile olay yönetimi yazılımı olan SIEM gösterilebilir. Erişim kontrol listeleri, antivirüs yazılımları, veri sızıntısı önleme yani DLP sistemleri, ağ erişim kontrolü sağlayan NAC sistemleri, çok faktörlü kimlik doğrulama olan MFA ve güvenlik açıklığı yamaları da teknik kontrollerin ayrılmaz parçalarıdır. Fiziksel kontroller ise teknik kontrollerin aksine fiziksel dünyada mevcut olan somut önlemlerdir. Bu kontroller, fiziksel ve çevresel risklere karşı koruma sağlamak amacıyla tasarlanır. Güvenlik görevlileri, gaz, hareket veya sıcaklık sensörleri, biyometrik giriş sistemleri, yangın söndürücüler ve kilitli kapılar bu kapsamdadır. Ayrıca kesintisiz güç kaynakları olan UPS sistemleri, ışıklandırma, kamera sistemleri, çitler, duvarlar ve güvenli kablolama altyapıları fiziksel kontrollerin temel unsurlarıdır. Sınavda teknik ve fiziksel kontroller arasındaki ayrım, kontrolün dijital mi yoksa fiziksel bir bariyer mi olduğu üzerinden sıklıkla sorulmaktadır. İdari kontroller, kurumsal politika ve prosedürlerden oluşan yönetsel düzenlemelerdir. Bu kontrollerin en belirgin özelliği insan faktörünü odak noktasına almasıdır. Operasyonel etkinlik, verimlilik ve mevzuata uyum ile ilgili kurallar bu grupta toplanır. Güvenlik politikaları, görevler ayrılığı ilkesi, iş rotasyonu uygulamaları ve veri sınıflandırması idari kontrollerin başında gelir. Çalışanların işe alınma ve işten çıkarılma süreçleri, farkındalık eğitimleri, iç denetim faaliyetleri, zorunlu izin kullandırılması, felaket kurtarma planları ve bilgi sistemi kullanım kuralları idari kontrol örnekleridir. Bir kontrolün özelliği itibarıyla birden fazla sınıfa girebileceği unutulmamalıdır. Örneğin, veri merkezine girişte kartlı sistem kullanılması hem teknik hem fiziksel bir yön taşırken, kapıdaki uyarı yazısı caydırıcı bir idari kontrol niteliğindedir. Caydırıcı kontroller, istenmeyen faaliyetin yapılmasını doğrudan engellemez ancak gerçekleştirilmemesi yönünde ikna edici bir mahiyet taşır. Kontrol sistemlerinde örtüşen ve telafi edici kontrol kavramları da mevcuttur. Örneğin, kartlı giriş sistemine ek olarak anahtarlı kilit kullanılması örtüşen kontroldür; her iki kontrol de tek başına yeterlidir ve birbirini tamamlar. İşletmeler bu kontrolleri etkinlik, verimlilik, uygunluk, güvenilirlik, gizlilik, bütünlük ve erişilebilirlik hedeflerine ulaşmak için tesis ederler. Kontrol hedefi, belirli bir süreçte kontrol prosedürlerinin uygulanmasıyla elde edilecek istenen sonucun ifadesidir. Her bir kontrol faaliyeti mutlaka bir kontrol hedefiyle ilişkilendirilmelidir. Kontrol hedefleri genel olarak operasyonel süreçlerin verimliliği, yasal mevzuata uyum, varlıkların korunması ve bilginin bütünlüğü hususlarını ele alır. Kontrol önlemleri ise tehdit oluşma riskini önlemek veya azaltmak için uygulanan somut faaliyetlerdir. Bilgi sistemleri denetiminde önemlilik ve risk kavramları, sürecin en kritik bileşenleridir. Risk, kurumun amaçlarına ulaşmasını engelleyebilecek veya zarara yol açabilecek durumların olasılığı ve etkisinin birleşimidir. Risk formülasyonunda iki temel yaklaşım mevcuttur. Birinci yaklaşımda risk, olasılık ile etkinin çarpımı olarak modellenir. İkinci yaklaşımda ise risk, güvenlik zafiyeti ile tehdidin birleşimi olarak ele alınır. Güvenlik zafiyeti, sistemin iç kontrolündeki bir zayıflıktır ve işletme tarafından kontrol edilebilir. Tehdit ise bu zayıflıktan yararlanabilecek, işletmenin kontrolü dışındaki dış unsurlardır. Donanım arızaları, elektrik kesintileri, siber saldırılar ve kullanıcı hataları bilgi sistemleri için temel tehdit kaynaklarıdır. Denetim riski, denetçinin denetim bulgularına dayanarak yanlış bir sonuca varma olasılığıdır. Denetim riski üç bileşenden oluşur: doğal risk, kontrol riski ve tespit riski. Doğal risk, herhangi bir kontrol uygulanmadan önce varlıkların hata içerme eğilimidir. İşletmenin yapısı, yönetimin dürüstlüğü ve teknolojik gelişmeler doğal riski etkiler. Kontrol riski, mevcut iç kontrollerin bir hatayı zamanında önleyememesi veya tespit edememesi riskidir. Tespit riski ise denetçinin uyguladığı prosedürlerin önemli bir hatayı ortaya çıkaramamasıdır. Denetim riski formülü, doğal risk, kontrol riski ve tespit riskinin çarpımı şeklinde ifade edilir. Denetçi, doğal ve kontrol riskinin yüksek olduğu alanlarda tespit riskini düşürmek için daha kapsamlı testler yapmalıdır. Kontroller uygulandıktan sonra geriye kalan risk ise artık risk olarak tanımlanır. Önemlilik kavramı, bir bilginin veya hatanın işletmenin işleyişi üzerindeki etkisini ifade eder. Önemlilik ile denetim riski arasında ters bir ilişki vardır. Daha yüksek önemliliğe sahip alanlarda denetim riskini azaltmak için daha fazla kanıt toplanması gerekir. Finansal raporları etkileyen kontrollerde işlemin değeri ve sıklığı önemlilik kriteriyken, finansal olmayan alanlarda iş sürecinin kritikliği ve hataların muhtemel sonuçları dikkate alınır. Denetim kanıtı toplama sürecinde ise kanıtların yeterli, uygun, ilgili ve güvenilir olması şarttır. Yeterlilik kanıtın miktarını, uygunluk ise kalitesini ifade eder. Kanıt toplama yöntemleri arasında tetkik, gözlem, dış teyit, yeniden hesaplama, yeniden uygulama, analitik prosedürler ve sorgulama yer alır. Ayrıca güvenlik denetimi, sızma testi ve kaynak kod analizi gibi teknik yöntemler de bilgi sistemleri denetiminde yaygın olarak kullanılır. Denetim örneklemesi, popülasyonun tamamı yerine belirli bir alt küme üzerinden sonuca varma işlemidir. İstatistiksel örnekleme matematiksel temellere dayanırken, istatistiksel olmayan örnekleme denetçinin yargısına dayanır. İstatistiksel örnekleme yöntemleri arasında öznitelik örneklemesi, değişken örnekleme, dur ya da git örneklemesi, keşif örneklemesi ve tabakalı örnekleme bulunur. Öznitelik örneklemesi bir özelliğin varlığını yani kaç tane olduğunu sorgularken, değişken örnekleme parasal tutar gibi niceliksel değerleri yani ne kadar olduğunu sorgular. Keşif örneklemesi ise popülasyonda en az bir hata veya usulsüzlük bulmak amacıyla kullanılır. Örnekleme sürecinde iki tip riskle karşılaşılabilir. Tip bir risk, kontroller güvenilir olduğu halde güvenilir olmadığı sonucuna varılmasıdır; bu durum alfa riski veya yanlış ret riski olarak adlandırılır. Tip iki risk ise kontroller güvenilir olmadığı halde güvenilir olduğu sonucuna varılmasıdır; bu da beta riski veya yanlış kabul riski olarak bilinir. Denetim prosedürleri amaçlarına göre uyumluluk testleri ve önemli doğruluk testleri olarak ikiye ayrılır. Uyumluluk testleri kontrollerin varlığını ve işleyiş etkinliğini ölçerken, önemli doğruluk testleri işlemlerin ve verilerin doğruluğunu ve tamlığını inceler. Genellikle önce uyumluluk testleri yapılır ve buradan elde edilen güven seviyesine göre önemli doğruluk testlerinin kapsamı belirlenir. Bilgi sistemleri denetim faaliyeti, BSBD Tebliği uyarınca bilgi sistemleri yönetimi ve işletimi kapsamındaki unsurların yönetim ilkeleri doğrultusunda değerlendirilmesi sürecidir. Bu süreç planlama, kanıt toplama, değerlendirme ve raporlama aşamalarından oluşur. Risk tabanlı denetim yaklaşımı benimsenerek kaynaklar en riskli alanlara yönlendirilir. Denetimin planlanması aşamasında denetim hedefleri belirlenir ve bir yol haritası oluşturulur. Bu planlama, denetim kaynaklarının verimli kullanımı ve denetim görüşüne makul bir güvence sağlanması için temel teşkil eder. Sınavda denetim sürecinin bu aşamalı yapısı ve her aşamada kullanılan tekniklerin birbirini nasıl tamamladığı sıklıkla sorgulanan konular arasındadır. Özellikle uyumluluk testlerinde öznitelik örneklemesinin, önemli doğruluk testlerinde ise değişken örneklemenin tercih edildiği bilgisi unutulmamalıdır. Uyumluluk testleri ve önemli doğruluk testleri arasındaki temel farkları ve bu testlerin denetim sürecindeki stratejik rollerini inceleyerek dersimize başlıyoruz.
Bölüm 7
Uyumluluk testleri ve önemli doğruluk testleri arasındaki temel farkları ve bu testlerin denetim sürecindeki stratejik rollerini inceleyerek dersimize başlıyoruz. Denetim literatüründe uyumluluk testleri, işletme bünyesinde tesis edilmiş olan kontrollerin varlığını ve bu kontrollerin öngörüldüğü şekilde işleyip işlemediğini analiz etmek amacıyla gerçekleştirilir. Buna karşın önemli doğruluk testleri, denetime konu olan işlemlerin, verilerin, çıktıların ve raporların tamlığını ve doğruluğunu somut veriler üzerinden ortaya koymayı hedefler. Denetim sürecinde bu iki test türü arasında doğrusal bir ilişki söz konusudur. Eğer denetçi, kontrollerin varlığını değerlendirdiği uyumluluk testleri sonucunda kontrollerin etkin olduğu kanaatine varırsa, işlemlerin bütünlüğünü incelemek için yapacağı detaylı doğruluk testlerinin kapsamını daraltabilir veya bu testlere daha az ihtiyaç duyabilir. Ancak denetim örneklemesi aşamasında hangi yöntemin seçileceği, doğrudan testin amacıyla ilişkilidir. Sınav hazırlık sürecinde bu ayrım kritik bir öneme sahiptir. Uyumluluk testlerinde öznitelik örneklemesi yani attribute sampling yöntemi tercih edilirken, önemli doğruluk testlerinde değişken örnekleme yani variable sampling yöntemi kullanılmaktadır. Uyumluluk testi ve önemli doğruluk testi arasındaki temel farkları somut örneklerle detaylandırmak gerekirse, uyumluluk testinde kontrollerin varlığı değerlendirilirken, önemli doğruluk testinde bilginin bütünlüğü ve doğruluğu sorgulanır. Örneğin, bir işletmede envantere kayıt prosedürlerinin varlığının ve bu prosedürlere uygun hareket edilip edilmediğinin incelenmesi bir uyumluluk testidir. Buna mukabil, varlık envanterinin fiziksel olarak sayılarak kayıtlardaki rakamlarla doğrulanması bir önemli doğruluk testidir. Zamanlama açısından bakıldığında uyumluluk testleri önce gerçekleştirilir. Önemli doğruluk testleri ise uyumluluk testlerinden elde edilen sonuçlara bağlı olarak ve ihtiyaç duyulması halinde sonraki aşamada icra edilir. Örnekleme yöntemleri açısından da uyumluluk testlerinde kullanıcı erişim haklarının bir örneklem üzerinden gözden geçirilmesi gibi öznitelik bazlı yaklaşımlar sergilenirken, önemli doğruluk testlerinde dokümantasyonun doğrulanması için karmaşık bir hesaplama işleminin örneklem üzerinde yeniden yapılması gibi değişken örnekleme yöntemleri uygulanır. Bilgi sistemleri denetim faaliyetinin tanımı ve kapsamı, Bilgi Sistemleri Bağımsız Denetim Tebliği içerisinde net bir şekilde çizilmiştir. Bu tebliğe göre bilgi sistemleri denetimi; bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyetlerin, yazılım ve donanım gibi sistem unsurlarının ve bu sistem dahilinde tesis edilen kontrollerin, yönetim ilkeleri doğrultusunda değerlendirilmesi sürecidir. Bu sürecin sonunda bir görüş oluşturulması ve bu görüşün rapora bağlanması esastır. Denetimin temel amacı, bilgi sistemlerinin ve bu sisteme ilişkin iç kontrollerin uyumluluk, etkinlik ve yeterliliği hakkında makul bir güvenceye ulaşmaktır. Denetim süreci, işin kabul edilmesiyle başlar ve raporun sunulmasıyla nihayete erer. Bu süreç genel olarak planlama, kanıt toplama, değerlendirme ve raporlama aşamalarından oluşur. Denetim kaynaklarının sınırlı olması, bu kaynakların en riskli alanlara yönlendirilmesini zorunlu kılar. Bu noktada risk tabanlı denetim yaklaşımı devreye girer. Risk tabanlı denetim yaklaşımında, risk yönetim sürecinin temel aşamaları denetim faaliyetleriyle bütünleşik olarak uygulanır. Risk tabanlı denetim yaklaşımı çerçevesinde izlenen genel metodoloji beş temel adımdan oluşur. İlk olarak, incelenen bilgi sisteminden kaynaklanabilecek potansiyel riskler belirlenir. İkinci aşamada, bu riskleri minimize edecek kontrol mekanizmaları tespit edilir. Üçüncü adımda, bu kontrol mekanizmalarının işletmenin yapısına uygun olarak oluşturulup oluşturulmadığı ve etkin çalışıp çalışmadığı incelenir. Dördüncü aşamada, inceleme sonrası iç kontrollerdeki zayıflıklar değerlendirilir. Son aşamada ise elde edilen tüm bulgular belirli bir prosedüre göre raporlanır. Bilgi sistemleri denetimi, denetim alanını etkileyen unsurların ve entegrasyon noktalarının anlaşılması bakımından bütüncül bir yaklaşım gerektirir. Bu kapsamda denetim süreci; denetim planlama, denetim gerçekleştirme ve raporlama olmak üzere üç ana başlık altında ele alınmaktadır. Denetimin planlanması aşaması, denetim hedeflerini gerçekleştirmek amacıyla izlenmesi gereken adımların belirlendiği bir yol haritası oluşturma sürecidir. Bu aşama, denetimin verimli bir şekilde yürütülmesi için zorunludur. Planlama kapsamında incelenecek sistem, faaliyet ve kontrollere yönelik olarak risk odaklı bir bakış açısıyla ve önemlilik kriteri esas alınarak yazılı bir plan oluşturulur. Denetimin etkin bir proje yönetimi bakış açısıyla yürütülmesi, denetim görüşüne makul güvence sağlanması açısından hayatidir. BDS üç yüz Finansal Tabloların Bağımsız Denetiminin Planlanması Standardı uyarınca denetçinin temel amacı, denetimin etkin şekilde yürütülmesini sağlayacak bir planlama yapmaktır. Denetim planı, denetlenecek alanları, planlanan işin türünü, amaçlarını, kapsamını, bütçesini, kaynak tahsisini ve zamanlamasını içeren kapsamlı bir dokümandır. Yeterli bir planlama, denetçinin önemli alanlara odaklanmasına, muhtemel problemlerin zamanında belirlenmesine, denetim ekibinin yetkinliklerine göre seçilmesine ve iş dağılımının doğru yapılmasına yardımcı olur. Denetim planlaması süreci dört temel adımdan oluşmaktadır. Bu adımlar; denetim amaç ve kapsamının belirlenmesi, denetim ekibinin oluşturulması, risk değerlendirmesinin gerçekleştirilmesi ve başlangıç düzeyinde bir denetim programının tanımlanmasıdır. Planlamanın sağlıklı yapılabilmesi için öncelikle bir denetim stratejisinin oluşturulması gerekir. Denetim stratejisi genel bir çerçeve sunarken, denetim planı daha ayrıntılı hususları içerir. Denetim amaçları çoğunlukla iş riskini azaltmak için iç kontrollerin varlığını doğrulamaya odaklanır. Bilgi sistemleri denetiminde teknoloji bir esas tema değil, bir kolaylaştırıcı olarak görülmelidir. Denetim evreni, denetim planlama sırasında denetlenebilir bütün süreç ve sistemleri içeren bir envanterdir. Bu evrenin belirlenmesinden sonra risk değerlendirmesi aşamasına geçilir. Risk değerlendirmesi, risk tanımlama ve risk analizi olmak üzere iki ana faaliyetten oluşur. Risk tanımlama aşamasında teknolojik gelişmeler, rekabet ve ekonomik faktörler gibi dış unsurlar ile personel kalitesi ve işletme yapısı gibi iç unsurlar değerlendirilir. Risk analizi aşamasında ise bu risklerin oluşma ihtimalleri ve yaratacakları etkiler tahmin edilir. Bilgi sistemleri denetimi kapsamında risk değerlendirmesi yapılırken stratejik etki, faaliyetler, düzenlemelere uyum, bilgi sistemleri kaynakları, organizasyon yapısı ve finansal etkiler gibi unsurlar göz önünde bulundurulur. Bu değerlendirme, denetim prosedürlerinin içeriğini, kapsamını ve zamanlamasını belirlemede denetçiye rehberlik eder. Denetim riskinin makul bir düzeye indirilebilmesi için doğal risk ve kontrol riskinin yüksek olduğu alanlara odaklanılarak tespit riskinin düşürülmesi hedeflenir. Planlama çalışmasının son adımı olan denetim programı, denetim riskini en aza indirecek test ve yöntemlerin doğasını, kapsamını ve zamanlamasını içerir. Denetim programı; organizasyon ve yönetim, varlık yönetimi, görevler ayrılığı, fiziksel güvenlik, ağ güvenliği, kimlik doğrulama, yetkilendirme, veri bütünlüğü ve gizliliği gibi pek çok kritik alanı kapsar. Ayrıca dış kaynak kullanımı, kayıt mekanizmaları, zaman senkronizasyonu, bilgi güvenliği ihlalleri, sistem edinimi ve değişiklik yönetimi de bu programın ayrılmaz parçalarıdır. Denetimin gerçekleştirilmesi aşaması, planlama aşamasında oluşturulan program dahilinde kanıt toplama ve değerlendirme faaliyetlerinin yürütüldüğü safhadır. BDS üç yüz otuz standardı uyarınca denetçinin amacı, önemli yanlışlık riski olarak değerlendirdiği hususlara karşı yeterli ve uygun denetim kanıtı elde etmektir. Kanıt, herhangi bir iddiayı doğrulayan veya çürüten bilgidir. Denetim kanıtlarının yeterli ve uygun özellikte olması şarttır. Denetçi bu aşamada gözlem, belge inceleme, mülakat, işlemlerin yeniden çalıştırılması ve analitik inceleme gibi yöntemler kullanır. Denetim prosedürlerinin yapısını denetçinin mesleki yargısı belirler. Görüşülecek kişiler, talep edilecek belgeler ve kullanılacak denetim araçları bu aşamada netleştirilir. Bilgi sistemleri denetiminde personel görev tanımlarının incelenmesi, politika ve prosedürlerin gözden geçirilmesi, ağ topolojisinin analizi ve sistem günlüklerinin tetkik edilmesi en sık kullanılan kanıt toplama yöntemleridir. Bilgi sistemleri denetimi dört ana unsur üzerinde yoğunlaşır. Bunlar; işletme seviyesi ve yönetişim kontrolleri, yönetim süreçleri, uygulama kontrolleri ve teknik güvenlik kontrolleridir. Denetçi, süreç içindeki riskleri önemli ölçüde düşürecek olan anahtar kontrolleri belirler ve bu kontrollerin tasarım etkinliğini sorgular. Bir kontrolün yeterliliğini değerlendirirken, hata veya usulsüzlük olasılığını azaltıp azaltmadığı, riskin etkilerini minimize edip etmediği ve doğru aşamada yer alıp almadığı gibi sorulara yanıt aranır. Kanıtların toplanması sürecinde Bilgisayar Destekli Denetim Teknikleri yani BDDT kullanımı büyük avantaj sağlar. BDDT, büyük ve karmaşık verileri analiz etmek için kullanılan otomatik araçlardır. Genelleştirilmiş denetim yazılımları, test veri üreteçleri ve özel denetim araçları bu kapsamda değerlendirilir. BDDT kullanımı denetim maliyetlerini düşürür, zaman tasarrufu sağlar ve denetim kalitesini artırır. Sürekli denetim yaklaşımı, bilgi sistemleri denetçisinin gerçek zamanlıya yakın bir ortamda testler yapmasına olanak tanır. Bu yaklaşımda yaygın olarak kullanılan beş temel yöntem bulunmaktadır. İlk yöntem olan Entegre Test Tesisi yani ITF, bilgi sistemine dahil edilen sahte kayıtlar ve test verileriyle gerçek verilerin aynı anda işlenmesi esasına dayanır. İkinci yöntem olan Sistem Kontrol Denetimi İnceleme Dosyası ve Yerleşik Denetim Modülleri yani SCARF veya EAM, önemli işlemler hakkında veri toplamak için sisteme yerleştirilen modülleri ifade eder. Üçüncü yöntem olan Anlık Görüntü yani Snapshots, işlemlerin işlenme şeklini belirli anlarda kayıt altına alarak denetim izi oluşturur. Dördüncü yöntem olan Denetim Kancası yani Audit Hook, şüpheli işlemleri ve istisnaları işaretleyen rutinlerdir. Beşinci yöntem olan Sürekli ve Aralıklı Simülasyon yani CIS ise veritabanı yönetim sistemine yerleştirilen bir modül aracılığıyla işlemlerin paralel bir simülasyon programında doğrulanmasıdır. Denetimin raporlanması aşaması, denetim çalışmalarının nihai ürünü olan raporun hazırlandığı ve ilgili taraflara sunulduğu safhadır. Denetim raporu; denetim hedeflerini, kapsamını, değerlendirilen kontrolleri, bulguları ve iyileştirme önerilerini içermelidir. Raporun tam, güvenilir, objektif, yeterli kanıta dayalı, açık ve anlaşılır olması temel zorunluluktur. Raporda teknik terimler kullanılması gerekiyorsa bunlar mutlaka açıklanmalıdır. Tespit edilen zayıflıklar bulgu olarak nitelendirilir. Bir bulgunun hazırlanması sırasında mevcut durum, kök neden, riskler ve kriterler net bir şekilde belirtilmelidir. Bulgular önem derecesine göre kritik, yüksek, orta ve düşük olarak sınıflandırılır. Denetim raporu yayımlanmadan önce yönetimle bir kapanış toplantısı yapılması, bulguların doğruluğunun teyit edilmesi ve önerilerin müzakere edilmesi açısından önemlidir. Denetim raporunda sunulabilecek dört çeşit görüş türü bulunmaktadır. Olumlu görüş, herhangi bir önemli kontrol eksikliği bulunmaması ve kapsam kısıtlaması yaşanmaması durumunda verilir. Şartlı görüş, önemli bir kontrol eksikliği bulunmakla birlikte sistemin bütününe yayılmadığı durumlarda veya kısıtlı bir kapsam sınırlaması olduğunda tercih edilir. Olumsuz görüş, tespit edilen eksikliklerin sistemin bütününü veya büyük bir kısmını etkilediği kanaatine varıldığında verilir. Görüş bildirmekten kaçınma ise kanıt yetersizliği veya ciddi belirsizlikler nedeniyle denetçinin bir görüşe ulaşamadığı durumlarda söz konusu olur. Denetim süreci raporun sunulmasıyla bitmez; rapor sonrasında tavsiyelerin uygulanıp uygulanmadığına dair bir takip süreci yürütülür. Bu takip faaliyetlerinde yönetimin belirlediği aksiyon planı ve zaman çizelgesi esas alınır. Sermaye piyasası mevzuatı açısından bağımsız denetim standartları, Seri X No yirmi iki sayılı Tebliğ ile düzenlenmiştir. Bu tebliğ, bağımsız denetim faaliyetlerine, yetkilendirilecek kuruluşlara ve denetçilere ilişkin standartları belirler. iki bin on dört yılından itibaren bağımsız denetimin Türkiye Denetim Standartları yani BDS çerçevesinde yapılması hüküm altına alınmıştır. Tebliğ kapsamında üç tür denetim tanımlanmıştır: Bağımsız denetim, sınırlı bağımsız denetim ve özel bağımsız denetim. Bağımsız denetim, yıllık finansal tabloların makul güvence sağlayacak şekilde denetlenmesidir. Sınırlı bağımsız denetim veya inceleme, ara dönem finansal tabloların bilgi toplama ve analitik inceleme teknikleriyle değerlendirilmesidir. Özel bağımsız denetim ise halka arz, birleşme, bölünme gibi özel durumlarda gerçekleştirilen denetimdir. Bağımsız denetime tabi olan işletmeler belirlenirken Türk Ticaret Kanunu ve Cumhurbaşkanlığı Kararları ile uyum gözetilir. Yatırım kuruluşları, kolektif yatırım kuruluşları, portföy yönetim şirketleri, ipotek finansmanı kuruluşları, varlık kiralama şirketleri ve borsada işlem gören anonim şirketler bağımsız denetime tabidir. Borsada işlem görmeyen ancak halka açık sayılan şirketler için üç kriterden ikisinin art arda iki hesap döneminde sağlanması şartı aranır. Bu kriterler; aktif toplamının otuz milyon Türk Lirası ve üzeri olması, yıllık net satış hasılatının kırk milyon Türk Lirası ve üzeri olması ve çalışan sayısının elli kişi ve üzeri olmasıdır. Sınırlı bağımsız denetime tabi olanlar arasında ise yatırım kuruluşları, yatırım fonları hariç kolektif yatırım kuruluşları ve borsada işlem gören anonim ortaklıkların altı aylık ara dönem raporları yer alır. Bağımsız denetimin temel ilkelerinden biri mesleki şüpheciliktir. Mesleki şüphecilik, denetçinin sorgulayıcı bir yaklaşımla hareket ederek hata veya hileye karşı dikkatli olmasını ve kanıtları titizlikle değerlendirmesini ifade eder. Denetçi, işletme yönetiminin ne tamamen dürüst ne de dürüst olmadığı varsayımıyla hareket etmelidir. Yönetimin açıklamaları tek başına yeterli kanıt olarak kabul edilemez. Bu yaklaşım, denetim risklerini azaltan ve denetimin kalitesini artıran en önemli unsurdur. Sınavda özellikle denetim türleri, işletme limitleri ve denetçi görüşleri arasındaki farkların sorulabileceği unutulmamalıdır. Örneğin, otuz milyon Türk Lirası aktif toplamı ve kırk milyon Türk Lirası net satış hasılatı limitleri, halka açık sayılan şirketlerin denetim yükümlülüğünü belirleyen temel sayısal eşiklerdir. Bu değerlerin doğruluğu sınav başarısı için kritiktir.
Bölüm 8
Kooperatif şirketlerinin finansal raporlama süreçlerine ilişkin düzenlemeleri inceleyerek dersimize devam edelim. Bu tür yapıların yıllık finansal raporlarının tam kapsamlı bir bağımsız denetime tabi tutulması yasal bir zorunluluktur. Bununla birlikte altı aylık ara dönem finansal raporları için sınırlı bağımsız denetim yükümlülüğü öngörülmüştür. Bu ayrım, finansal şeffaflığın sürekliliğini sağlamak adına büyük önem taşımaktadır. Şimdi özel bağımsız denetime tabi işletmeler konusunu detaylandıralım. Özel bağımsız denetim kavramı, sermaye piyasası araçlarının halka arzı için Sermaye Piyasası Kurulu’na yapılan başvurular sırasında veya işletmelerin birleşme, bölünme, devir ve tasfiye gibi yapısal değişiklik süreçlerinde gündeme gelmektedir. Bu tür durumlarda, söz konusu amaçlar doğrultusunda herhangi bir tarih itibarıyla düzenlenmiş finansal tabloların denetlenmesi süreci özel bağımsız denetim olarak adlandırılır. Özellikle payları borsada veya teşkilatlanmış diğer pazar yerlerinde işlem gören anonim ortaklıkların halka arz süreçlerinde, Kurul düzenlemeleri çerçevesinde öngörülen ara dönem finansal tablolarının sınırlı bağımsız denetime tabi tutulması esastır. Sınav hazırlığı sürecinde olan adayların, özel bağımsız denetimde finansal tabloların hazırlanma tarihine ilişkin kuralı iyi bilmesi gerekir. Düzenlemeye göre, denetlenecek tabloların bağımsız denetim çalışmasının başladığı ay sonu veya daha sonraki bir tarih itibarıyla hazırlanmış olması zorunludur. Denetim sürecinin başlangıcı ise bağımsız denetim sözleşmesinin imzalandığı tarih olarak kabul edilmektedir. Eğer geçmiş yıllara ait tabloların denetiminde süre faktörü nedeniyle bazı teknikler uygulanamıyorsa, bağımsız denetimde önemlilik kavramı çerçevesinde bir değerlendirme yapılarak denetim görüşü oluşturulur. Bağımsız denetimin amacı ve genel ilkeleri konusuna geçiş yapalım. Finansal tabloların bağımsız denetimindeki temel gaye, bu tabloların finansal raporlama standartları doğrultusunda işletmenin finansal durumunu ve faaliyet sonuçlarını tüm önemli yönleriyle gerçeğe uygun ve doğru bir biçimde gösterip göstermediği konusunda denetçinin görüş bildirmesini sağlamaktır. Bu amaca ulaşmak için kullanılan yöntem ve teknikler denetimin kapsamını belirler. Denetim kapsamı belirlenirken ilgili tebliğ hükümleri, Bağımsız Denetim Standartları yani BDS’ler ve Kurul’un özel düzenlemeleri esas alınır. Denetim sürecinin en kritik unsurlarından biri mesleki şüphecilik ilkesidir. Mesleki şüphecilik, denetçinin sorgulayıcı bir yaklaşımla hareket etmesini, hata veya hile kaynaklı yanlışlıklara karşı daima dikkatli olmasını ve elde edilen kanıtları titizlikle değerlendirmesini ifade eden bir tutumdur. Bağımsız denetçi, işletme yönetiminin ne tamamen dürüst olmadığı ne de kuşkusuz bir şekilde dürüst olduğu varsayımıyla hareket eder. Bu dengeyi korumak, denetim risklerini azaltan en önemli faktördür. Sınav sorularında sıklıkla vurgulandığı üzere, işletme yönetiminin beyanları tek başına yeterli ve uygun bir denetim kanıtı olarak kabul edilemez. Denetçi, elde edilen kanıtların birbiriyle veya yönetim açıklamalarıyla çelişip çelişmediğini mesleki şüphecilik çerçevesinde kontrol etmelidir. Bir diğer temel ilke ise mesleki muhakemedir. Mesleki muhakeme veya diğer adıyla mesleki yargı, denetçinin sahip olduğu eğitim, bilgi ve deneyimi kullanarak mevzuat ve etik standartlar çerçevesinde karar alması sürecidir. Denetçi, önemlilik düzeyinin belirlenmesinden denetim tekniklerinin seçimine, toplanan kanıtların yeterliliğinin değerlendirilmesinden nihai görüşün oluşturulmasına kadar her aşamada mesleki muhakemesini kullanır. Bu yargı sürecinin en önemli özelliği, makul ve tutarlı sonuçlara ulaşmayı hedeflemesidir. Mesleki muhakemenin denetim sürecinde belgelendirilmesi de yasal bir gerekliliktir. Çalışma kağıtları, denetimle ilgisi olmayan tecrübeli bir denetçinin bile varılan sonuçları ve kullanılan yargıları anlayabileceği şekilde hazırlanmalıdır. Bu noktada makul güvence kavramına değinmek gerekir. Bağımsız denetim, mutlak bir güvence değil, yüksek ancak mutlak olmayan bir makul güvence sunar. Makul güvence elde edilemediği durumlarda denetçi görüş bildirmekten kaçınmalı veya şartlı görüş vermelidir. Bağımsız denetimin doğasından kaynaklanan bazı kısıtlamalar, mutlak güvence verilmesini engeller. Bu kısıtlamalar arasında örnekleme yönteminin kullanılması, iç kontrol sisteminin yapısal zayıflıkları, kanıtların çoğunlukla ikna edici ancak kesin olmaması ve muhakeme gerektiren işlemlerin varlığı sayılabilir. Önemlilik kavramı, bağımsız denetimin odak noktasını belirler. Denetçi, finansal tablo kullanıcılarının kararlarını etkileyebilecek büyüklükteki yanlışlıklarla ilgilenir. Bir yanlışlığın önemli olup olmadığına karar verilirken hem niceliksel büyüklüğü hem de niteliksel özellikleri dikkate alınır. Önemlilik düzeyi denetimin planlama aşamasında belirlenir ancak denetim sırasında elde edilen yeni bilgiler ışığında güncellenebilir. Önemlilik ile bağımsız denetim riski arasında ters yönlü bir ilişki vardır. Bağımsız denetim riski, finansal tabloların önemli bir yanlışlık içermesi durumunda denetçinin uygun olmayan bir görüş verme olasılığıdır. Bu risk üç bileşenden oluşur: yapısal risk, kontrol riski ve tespit edememe riski. Yapısal risk, işletmenin faaliyetlerinin doğası gereği hata içerme olasılığıdır. Örneğin karmaşık hesaplamalar veya yüksek değerleme belirsizliği taşıyan kalemler daha yüksek yapısal risk taşır. Kontrol riski ise işletmenin iç kontrol sisteminin bir hatayı zamanında engelleyememesi veya düzeltememesi riskidir. Bu iki risk bileşeni işletmeye aittir ve denetçiden bağımsız olarak mevcuttur. Tespit edememe riski ise denetçinin uyguladığı prosedürlerin bir hatayı ortaya çıkaramaması olasılığıdır. Denetçi, bağımsız denetim riskini kabul edilebilir düşük bir seviyeye indirmek için denetim tekniklerini tasarlar ve uygular. Sermaye piyasasında bağımsız denetim faaliyetinde bulunabilmek için belirli şartların yerine getirilmesi zorunludur. Bağımsız denetim kuruluşlarının öncelikle Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu yani KGK tarafından yetkilendirilmiş olması gerekir. Ayrıca bu kuruluşların uygun bir organizasyon yapısına, teknik donanıma ve bir Kalite Kontrol Güvence Komitesi’ne sahip olmaları şarttır. Mesleki sorumluluk sigortası konusu sınavlar açısından kritik bir sayısal değer içerir. Kuruluşlar, asgari tutarı iki yüz bin Türk Lirası’den az olmamak üzere, bir önceki faaliyet döneminde elde ettikleri gelirin iki katından az olmayacak şekilde mesleki sorumluluk sigortası yaptırmak zorundadır. Denetçilerin unvanları ve deneyim süreleri de belirli kurallara bağlanmıştır. Sorumlu ortak başdenetçi veya başdenetçi unvanı için en az fiilen on yıl, kıdemli denetçi için en az fiilen altı yıl ve denetçi unvanı için en az fiilen üç yıl mesleki deneyim şartı aranmaktadır. Denetçi yardımcılarının ise en az fiilen iki yıl süren bir staj dönemini tamamlamaları ve bu süreçte toplam iki yüz saatten az olmamak üzere hizmet içi eğitime katılmaları gerekmektedir. Bağımsız denetim sözleşmelerinin yönetimi de sıkı kurallara tabidir. İşletmeler, hesap dönemi bitimini takip eden üç ay içerisinde bağımsız denetim kuruluşunu seçmek zorundadır. Eğer bu süre zarfında bir seçim yapılamazsa, durumun ortaya çıktığı tarihi izleyen ilk iş gününde Kurul’a bildirim yapılmalıdır. Sözleşmelerin sona erdirilmesi konusunda tarafların keyfi davranma yetkisi yoktur. Müşteri işletme ancak Kurul tarafından onaylanacak haklı gerekçelerle, denetim kuruluşu ise çalışma alanının kısıtlanması gibi durumlarda Kurul’dan görüş alarak sözleşmeyi feshedebilir. Bağımsız denetçilerin uyması gereken etik ilkeler dürüstlük, tarafsızlık, mesleki yeterlilik ve özen, sır saklama ve mesleğe uygun davranıştır. Bağımsızlık ilkesi bu etik yapının temel taşıdır. Bağımsızlığı ortadan kaldıran durumlar arasında denetçinin müşteriyle ortaklık ilişkisine girmesi, borç alacak ilişkisi içinde olması veya denetim ücretinin denetim sonucuna bağlanması gibi hususlar yer alır. Ayrıca soğuma dönemi olarak bilinen kurala göre, bir denetçi denetlediği işletmede rapor tarihinden itibaren iki yıl geçmedikçe üst düzey yönetici olarak görev alamaz. Denetim ekiplerinin oluşturulması ve görev dağılımı da belirli standartlara göre yapılır. Her bir bağımsız denetim işi için en az üç asil ve üç yedek olmak üzere toplam altı kişiden oluşan bir ekip belirlenmelidir. Fiili denetim ise en az üç kişilik bir ekip tarafından yürütülür. Sorumlu ortak başdenetçi, tüm sürecin koordinasyonundan ve finansal tabloların mevzuata uygunluğu konusundaki nihai karardan sorumludur. Denetim raporlarının kesinleşmesi, raporun sorumlu ortak başdenetçi tarafından imzalanmasıyla gerçekleşir. Hazırlanan raporlar en geç izleyen ilk iş günü mesai saati bitimine kadar işletme yönetimine teslim edilmeli ve Kamuyu Aydınlatma Platformu üzerinden kamuya duyurulmalıdır. İşletmelerde kurulan denetimden sorumlu komiteler, bağımsız denetim sürecinin gözetiminde merkezi bir rol oynar. Payları borsada işlem gören şirketlerde bu komitenin en az iki üyeden oluşması zorunludur. Komite, bağımsız denetim kuruluşunun seçiminden denetim sürecinin etkinliğine kadar her aşamayı izler ve en az üç ayda bir olmak üzere yılda en az dört kez toplanır. Son olarak finansal tabloların hazırlanması ve sunulmasındaki sorumluluğun esas olarak işletme yönetim kuruluna ait olduğunu, bağımsız denetimin bu sorumluluğu ortadan kaldırmadığını vurgulayarak bu bölümü tamamlayalım. İşletme yöneticileri, finansal tabloların gerçeğe uygunluğu konusunda bir sorumluluk beyanı imzalamak ve kamuya açıklamakla yükümlüdürler.
Bölüm 9
Sermaye piyasası mevzuatı çerçevesinde kurumsal yönetimin en kritik unsurlarından biri olan denetimden sorumlu komite yapılanmasını ele alarak dersimize başlayalım. İşletmeler, finansal raporlama ve denetim süreçlerinin sağlıklı bir şekilde yürütülmesini temin etmek amacıyla en az iki üyeden oluşan bir denetimden sorumlu komite kurmak zorundadırlar. Bu noktada sınav hazırlığı açısından şu hususa dikkat etmek gerekir ki, şayet bir işletmenin denetim komitesi kurma zorunluluğu bulunmuyorsa, bu komiteye atfedilen tüm görev ve sorumluluklar doğrudan yönetim kurulu tarafından yerine getirilir. Denetimden sorumlu komitenin temel fonksiyonu, işletmenin muhasebe sistemi, finansal bilgilerin kamuya açıklanması süreci, bağımsız denetim faaliyetleri ile iç kontrol sisteminin işleyişini ve etkinliğini gözetim altında tutmaktır. Bağımsız denetim kuruluşunun seçilmesi, denetim sözleşmelerinin hazırlanması ve denetim sürecinin her aşamasındaki çalışmaların takibi bu komitenin gözetiminde gerçekleştirilir. Komite, hizmet alınacak bağımsız denetim kuruluşunu ve bu kuruluştan alınacak hizmetlerin kapsamını belirleyerek genel kurulun onayına sunulmak üzere yönetim kuruluna bildirir. Bağımsız denetim kuruluşları ile denetimden sorumlu komite arasındaki iletişim kanalları mevzuatla sıkı bir şekilde düzenlenmiştir. Bağımsız denetim kuruluşu, işletmenin muhasebe politikaları ve uygulamalarıyla ilgili önemli hususları, Kurulun muhasebe standartları çerçevesindeki alternatif uygulama seçeneklerini ve bunların muhtemel sonuçlarını derhal denetimden sorumlu komiteye yazılı olarak bildirmekle yükümlüdür. Ayrıca, işletme yönetimiyle gerçekleştirilen önemli yazışmalar da bu bildirim yükümlülüğü kapsamındadır. Komite, muhasebe ve iç kontrol sistemi ile bağımsız denetim süreçlerine ilişkin işletmeye ulaşan şikayetlerin incelenmesi ve sonuca bağlanması konusunda uygulanacak yöntemleri belirler. Çalışanların bu konulardaki bildirimlerinin gizlilik ilkesi çerçevesinde değerlendirilmesi de yine komitenin sorumluluk alanındadır. Finansal tabloların kamuya açıklanmasından önce komite, bu tabloların işletmenin izlediği muhasebe ilkelerine uygunluğunu, gerçeğe uygunluğunu ve doğruluğunu sorumlu yöneticiler ve bağımsız denetçilerin görüşlerini alarak değerlendirir ve bu değerlendirmeyi yönetim kuruluna yazılı olarak sunar. Denetimden sorumlu komitenin çalışma düzenine ilişkin sayısal veriler sınavda sıklıkla sorulmaktadır. Komite, en az üç ayda bir olmak üzere yılda en az dört kere toplanmak zorundadır. Bu toplantı sonuçları tutanağa bağlanarak yönetim kuruluna sunulur. Komite, kendi görev alanıyla ilgili ulaştığı her türlü tespit ve öneriyi derhal yönetim kuruluna yazılı olarak bildirmekle mükelleftir. Burada unutulmaması gereken hukuki bir ayrıntı mevcuttur. Denetimden sorumlu komitenin varlığı ve faaliyetleri, yönetim kurulunun Türk Ticaret Kanunu’ndan doğan sorumluluğunu ortadan kaldırmaz. Finansal tablo ve yıllık raporların hazırlanması ve bildirilmesi sürecinde asıl sorumluluk, Türk Ticaret Kanunu ve sermaye piyasası mevzuatı çerçevesinde işletme ile kusurlarına göre yönetim kurulu üyelerine aittir. Yönetim kurulu, finansal tabloların ve yıllık raporların kabulüne dair ayrı bir karar almak zorundadır. Finansal tabloların bağımsız denetime tabi tutulmuş olması da yönetim kurulunun bu sorumluluğunu hafifletmez. Finansal raporlama sürecinde imza yetkisi ve sorumluluk beyanı hususu da büyük önem arz eder. İşletmelerin finansal tablo ve yıllık raporlarının ilanı sırasında; işletme genel müdürü, finansal raporlamadan sorumlu bölüm başkanı ve varsa bu konuda görevlendirilmiş yönetim kurulu üyesi tarafından imzalanmış bir sorumluluk beyanına yer verilmesi zorunludur. Yönetim kurulu, bu imzacıların gerekli tüm bilgilere ulaşabilmesi için uygun tedbirleri almakla yükümlüdür. İmza yükümlüsü olan görevliler ise iç kontrol sistemiyle ilgili eleştiri ve önerilerini yönetim kuruluna, denetimden sorumlu komiteye ve bağımsız denetim kuruluşuna bildirmek zorundadırlar. Bağımsız denetim kuruluşlarının Kurul’a karşı olan bildirim yükümlülüklerini incelediğimizde, sürelerin ve içeriklerin kesin çizgilerle belirlendiğini görmekteyiz. Bağımsız denetim kuruluşları; esas sözleşmeleri, adresleri, ortaklık yapıları, yöneticileri, denetçileri ve yurt dışındaki bağlantıları hakkındaki her türlü değişikliği en geç altı iş günü içinde elektronik ortamda Kurul’a bildirmek zorundadır. Aynı şekilde, imzalanan bağımsız denetim sözleşmelerinin de en geç altı iş günü içinde Kurul’a gönderilmesi gerekmektedir. Kalite Kontrol Güvence Komitesi tarafından hazırlanan rapor özetlerinin her yıl Ağustos ayı sonuna kadar Kurul’a iletilmesi bir diğer önemli yükümlülüktür. Ayrıca, yıllık finansal tabloların ve gelir gider dökümlerinin, bilanço tarihini izleyen dönemin bitiminden sonra en geç Mart ayı sonuna kadar bildirilmesi esastır. Ancak sınavda güncel bir istisna olarak karşımıza çıkabilecek bir husus mevcuttur. Enflasyon muhasebesi uygulaması nedeniyle Kurul’un yirmi sekiz Aralık iki bin yirmi üç tarihli kararı ile iki bin yirmi üç yılı finansal tabloları için bu süre on hafta uzatılmıştır. Bağımsız denetimin geçerliliği ve sorumluluk halleri konusuna geçecek olursak, bağımsız denetim standartlarına aykırılık veya bağımsızlığı ortadan kaldıran durumların tespiti halinde denetimin hiç yapılmamış sayılacağını görmekteyiz. Eğer geçersiz sayılan bir rapor daha önce ilan edilmişse, bu durumun aynı usullerle yeniden ilan edilmesi gerekir. Denetimin geçersiz sayılmasında denetçinin kusuru varsa, ilan masrafları ve doğacak zararlardan sorumlu ortak baş denetçi ve denetim kuruluşu müteselsilen sorumludur. Hukuki ve cezai sorumluluk kapsamında, standartlara aykırı rapor düzenlenmesi nedeniyle üçüncü kişilerin uğrayacağı zararlardan denetim kuruluşu ile raporu imzalayanlar birlikte sorumludur. Ayrıca, Sermaye Piyasası Kanunu’nun doksan altıncı maddesi uyarınca; kuruluş şartlarının kaybedilmesi, etik ilkelere uyulmaması, hatalı veya yanıltıcı rapor düzenlenmesi gibi durumlarda Kurul, denetim kuruluşunun yetkisini iptal edebilir. Etik ilkelere aykırılık durumunda ise ilgili denetçilerin sermaye piyasasında denetim yapması iki yıldan az olmamak üzere süreli veya süresiz olarak yasaklanabilir. Şimdi, on üç Mart iki bin yirmi beş tarihli ve otuz iki bin sekiz yüz kırk sayılı Resmi Gazete’de yayımlanan yedi, yüz yirmi sekiz nokta on sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği, kısa adıyla BSYUE Tebliği konusunu detaylandıralım. Bu tebliğ otuz Haziran iki bin yirmi beş tarihinde yürürlüğe girmiştir. Önemli bir geçiş süreci olarak, Kripto Varlık Hizmet Sağlayıcılar dışındaki kurumların otuz bir Aralık iki bin yirmi beş tarihine kadar bu tebliğe uyum sağlaması gerektiği hükme bağlanmıştır. BSYUE Tebliği, bilgi sistemlerinin yönetimi, bilgi güvenliği politikalarının oluşturulması ve risk yönetimi süreçlerini kapsamlı bir şekilde düzenlemektedir. Tebliğ kapsamında bilgi güvenliği politikasının üst yönetim tarafından hazırlanması ve yönetim kurulu tarafından onaylanması zorunludur. Bu politika yılda en az bir kez gözden geçirilmelidir. Üst yönetimin gözetim sorumluluğu kapsamında, bilgi sistemleri üzerindeki kontrollerin etkinliğinden yönetim kurulu sorumludur. Bilgi güvenliği ihlallerinin takibi, personele yılda en az bir kez eğitim verilmesi ve risk yönetimi süreçlerinin oluşturulması bu sorumluluklar arasındadır. Ayrıca, bilgi sistemleri güvenliği alanında en az beş yıl tecrübeye sahip bir bilgi güvenliği sorumlusunun belirlenmesi gerekmektedir. Bu sorumlunun üst yönetime bağlı çalışması ve bilgi sistemleri işletimiyle ilgili başka bir görevinin bulunmaması esastır. Ancak Kurul’un yirmi beş Aralık iki bin yirmi beş tarihli ilke kararı ile bazı muafiyetler getirilmiştir. Örneğin, dar yetkili aracı kurumlar, portföy yönetim şirketlerinin belirli bir kısmı ve bazı halka açık ortaklıklar, bilgi güvenliği sorumlusu bulundurma yükümlülüğünden otuz Haziran iki bin yirmi altı tarihine kadar muaftır. Bilgi sistemleri risk yönetimi sürecinde, risk analizlerinin yılda en az bir defa yapılması ve önemli değişikliklerde tekrarlanması zorunludur. İşletmeler, sızma testi konusunda uluslararası belgeye sahip uzmanlara yılda en az bir kez sızma testi yaptırmakla yükümlüdür. Bu testlerin sonuçları en geç takip eden yılın otuz bir Ocak tarihine kadar Kurul’a gönderilmelidir. Varlık yönetimi açısından, tüm bilgi varlıklarının envanterinin çıkarılması ve güvenlik sınıflarının belirlenmesi gerekir. Fiziksel güvenlik önlemleri kapsamında, veri merkezlerine erişimin kaydedilmesi ve kesintisiz güç kaynaklarının kullanılması şarttır. Özellikle Borsa İstanbul, Merkezi Kayıt Kuruluşu, Takasbank, geniş yetkili aracı kurumlar ve kripto varlık hizmet sağlayıcılar için kamera kayıtlarının asgari bir yıl boyunca saklanması zorunluluğu sınavda karşınıza çıkabilecek kritik bir detaydır. Ağ güvenliği ve kimlik yönetimi konularında ise katmanlı güvenlik yaklaşımı benimsenmiştir. Uzaktan erişimlerde çok faktörlü kimlik doğrulama kullanımı zorunludur. Kimlik doğrulama yöntemleri, başarısız girişimlerde sistem hakkında bilgi vermemeli ve belirli sayıda başarısız denemeden sonra hesabı bloke etmelidir. Kullanıcı parolalarının karmaşıklığı, düzenli değiştirilmesi ve ekran üzerinde maskelenmesi temel gerekliliklerdir. Erişim yönetiminde ise en düşük yetki prensibi uygulanır ve tüm yetkiler yılda en az bir kez gözden geçirilir. Bilgi sistemlerinin işletimi sürecinde, zararlı yazılımlara karşı güncel koruma sistemlerinin bulundurulması ve elektronik posta trafiğinin güvenlik analizinden geçirilmesi esastır. BSYUE Tebliği’nde tanımlanan temel kavramlara da değinmek gerekir. API, bir yazılımın başka bir yazılımdaki işlevleri kullanabilmesi için oluşturulan arayüzdür. Bilgi güvenliği ihlali, sistemin gizlilik, bütünlük veya erişilebilirliğinin bozulmasıdır. Çok faktörlü kimlik doğrulama; bildiğimiz bir bilgi, sahip olduğumuz bir cihaz veya biyometrik bir özelliğimizden en az ikisinin kullanılmasıdır. Hassasiyet kavramı, verinin ele geçirilmesi durumunda kişinin zarar görme ihtimalini ifade ederken; kritiklik kavramı, varlığın iş hedeflerine ulaşmadaki önemini belirtir. Tebliğin kapsamı oldukça geniştir; borsalardan portföy saklayıcılarına, halka açık ortaklıklardan kripto varlık hizmet sağlayıcılara kadar tüm sermaye piyasası aktörlerini içine alır. Banka ve sigorta şirketleri gibi kurumlar ise kendi özel mevzuatlarına tabi olmakla birlikte bu tebliğdeki yükümlülükleri yerine getirmiş sayılırlar. Son olarak, bilgi sistemleri süreklilik planının hazırlanması ve görevler ayrılığı ilkesinin uygulanması süreçlerini ele alalım. Kritik işlemlerin tek bir personele bağımlı olmaması için görevlerin ayrılması esastır. Eğer bu tam olarak mümkün değilse, telafi edici kontroller tesis edilmelidir. Bilgi sistemleri bileşenlerinin yapılandırma ayarları yedeklenmeli ve her türlü değişiklik kayıt altına alınmalıdır. İşletmeler, bilgi sistemleri aracılığıyla edindikleri müşteri bilgilerinin gizliliğini sağlamak için her türlü teknik ve idari önlemi almakla yükümlüdür. Bu kapsamda, iç denetim fonksiyonunun bilgi sistemleri kontrollerine uyumu değerlendirmesi ve tespit edilen eksiklikleri yılda en az bir kez üst yönetime raporlaması gerekmektedir. Sınavda bu süreçlerin süreleri, imza yetkilileri ve muafiyet tarihlerine özellikle dikkat etmeniz başarınız açısından belirleyici olacaktır. Bilgi sistemleri yönetimi kapsamında dışarıdan hizmet alımı süreçleri de sıkı denetim altındadır. Üst yönetim, dış hizmet alımından kaynaklanabilecek riskleri değerlendirmek ve yönetmek için etkin bir gözetim mekanizması kurmak zorundadır. Dış hizmet sağlayıcılarla yapılan sözleşmelerde hizmet seviyesi taahhütleri ve güvenlik kriterleri açıkça belirtilmelidir. Ayrıca, işletmelerin kullandığı tüm bilgi sistemlerinde ortak saat kaynaklarını kullanması, denetim izlerinin bütünlüğü açısından zorunlu bir uygulamadır. Her türlü bilgi güvenliği ihlal olayı ve tespit edilen güvenlik açıkları, belirlenen kontroller çerçevesinde yönetilmeli ve gerekli hallerde Kurumsal veya Sektörel Siber Olaylara Müdahale Ekiplerine bildirilmelidir. Bu yapı, sermaye piyasalarının güvenilirliğini ve teknolojik altyapısının sağlamlığını korumayı amaçlayan bütünsel bir düzenleme teşkil etmektedir. İşletmelerin bilgi sistemleri üzerindeki denetim izi kayıt mekanizması, işlemlerin geriye dönük olarak takip edilebilmesini sağlayacak şekilde tasarlanmalıdır. Bu kayıtlar, verilerin bütünlüğünü ve gizliliğini koruyacak şekilde saklanmalıdır. Özellikle kritik sistemlerde gerçekleştirilen erişim ve yetkilendirme işlemlerinin her adımı kayıt altına alınmalıdır. Görev değişikliği veya işten ayrılma durumlarında, ilgili personelin erişim haklarının derhal iptal edilmesi ve bu sürecin yazılı prosedürlere bağlanması gerekir. Bilgi sistemleri edinimi ve geliştirilmesi aşamasında ise, yazılımların güvenli kodlama prensiplerine uygun olarak hazırlanması ve canlı ortama alınmadan önce gerekli testlerden geçirilmesi zorunludur. Tüm bu düzenlemeler, sermaye piyasası kurumlarının operasyonel risklerini minimize etmeyi ve yatırımcı güvenini en üst düzeyde tutmayı hedeflemektedir. Dersimizi tamamlarken, bağımsız denetim kuruluşlarının bildirim sürelerini ve BSYUE Tebliği’ndeki kritik tarihleri tekrar hatırlatmakta fayda görüyorum. Bağımsız denetim sözleşmelerinin altı iş günü içinde bildirilmesi, kalite kontrol raporlarının Ağustos sonuna kadar iletilmesi ve finansal tabloların Mart sonuna kadar Kurul’a sunulması temel takvimdir. BSYUE Tebliği için ise otuz Haziran iki bin yirmi beş yürürlük tarihi ve otuz bir Aralık iki bin yirmi beş uyum tarihi en önemli eşiklerdir. Bazı kurumlar için bilgi güvenliği sorumlusu atama muafiyetinin otuz Haziran iki bin yirmi altı’ya kadar uzandığını da unutmamalısınız. Bu teknik detaylar ve sayısal sınırlar, lisanslama sınavlarında doğrudan soru potansiyeli taşımaktadır. İşletme yönetim kurullarının, denetim komitelerinin ve bağımsız denetçilerin birbirleriyle olan hiyerarşik ve fonksiyonel ilişkilerini bu çerçevede değerlendirmeniz konuyu bütünüyle kavramınızı sağlayacaktır.
Bölüm 10
Bilgi sistemleri yönetimi ve güvenliği çerçevesinde ele alacağımız bir diğer kritik başlık kimlik yönetimidir. İşletmeler, bilgi sistemleri üzerinden gerçekleştirilen tüm işlemler için, ilgili bilgi varlığının güvenlik sınıfına uygun kimlik doğrulama yöntemlerini belirlemek ve uygulamakla yükümlüdür. Kimlik doğrulama süreci, kullanıcıların sisteme dahil oldukları andan itibaren işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçen tüm aşamaları kapsayacak şekilde yapılandırılmalıdır. Bu noktada, oturumun başından sonuna kadar kimlik doğrulama bilgisinin doğruluğunu garanti altına alacak önlemlerin alınması esastır. Kimlik doğrulama verilerinin saklandığı ortamların ve bu amaçla kullanılan araçların güvenliği, sistemin genel güvenliği açısından hayati önem taşır. Bu veriler, güçlü şifreleme algoritmaları kullanılarak veya geriye dönüştürülmesi mümkün olmayacak şekilde saklanmalıdır. Ayrıca, bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve verilerin aktarımı sırasında gizliliğin korunması yasal bir zorunluluktur. Sınav hazırlığı sürecinde, kimlik doğrulama yöntemlerinin asgari işlevlerini bilmek büyük önem arz eder. Başarısız kimlik doğrulama girişimlerinde sisteme veya kullanıcıya dair bilgi verilmemesi, belirli sayıda başarısız girişimden sonra erişimin engellenmesi ve kullanıcının bilgilendirilmesi bu işlevlerin başında gelir. Ayrıca, belirli bir süre işlem yapılmayan oturumların otomatik olarak sonlandırılması veya kilitlenmesi ve bilgi güvenliği sorumlusunun onayı olmadan aynı kullanıcı için birden fazla oturum açılmasına izin verilmemesi gerekmektedir. Kullanıcı parolalarının yönetimi, kimlik yönetiminin en temel unsurlarından biridir ve sınavda bu teknik detaylar sıklıkla karşımıza çıkmaktadır. İşletmeler, kullanıcıların sisteme ilk girişlerinde parolalarını değiştirmelerini zorunlu kılmalıdır. Parolaların tahmin edilmesi zor, belirli bir karmaşıklıkta ve uzunlukta olması, düzenli aralıklarla değiştirilmesi ve geriye dönük olarak belirli sayıda eski parolanın tekrar kullanılmasının engellenmesi temel güvenlik kriterleridir. Yeni kurulan sistemlerdeki varsayılan parolaların değiştirilmesi ve parolaların ekran üzerinde maskelenmiş şekilde görüntülenmesi de ihmal edilmemesi gereken hususlardır. Kritik sistem ve uygulamalarda ise birbirinden bağımsız çok faktörlü kimlik doğrulama mekanizmalarının kullanılması zorunludur. Burada faktörlerin bağımsızlığı, bir faktörün ele geçirilmesinin diğerinin güvenliğini tehlikeye atmaması anlamına gelir. Özellikle ayrıcalıklı kullanıcı hesapları için çok faktörlü kimlik doğrulama kullanımı esastır. Kimlik doğrulama süreçlerinde gerçekleşen başarılı ve başarısız tüm işlemlere ilişkin denetim izleri tutulmalı, kilitli veya parola süresi dolmuş hesaplar için otomatik raporlar üretilerek ilgili birimlere iletilmelidir. Erişim yönetimi konusuna geçtiğimizde, işletmelerin bilgi sistemlerine erişim ve uygulamaların kullanımı için uygun kontrolleri tesis etmesi gerektiğini görmekteyiz. Kullanıcılara yetki verilirken en düşük yetki seviyesinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı, yani bilmesi gereken prensibi esas alınır. Yetki ve sorumlulukların belirlenmesinde görevler ayrılığı ilkesiyle tutarlı hareket edilmeli ve rol tabanlı erişim kontrolü uygulanmalıdır. Tüm yetkiler, yılda en az bir defa ilgili bilgi varlığının sorumlusu tarafından gözden geçirilmeli ve iş gereksinimi kalmayan yetkiler derhal iptal edilmelidir. Kullanıcı hesap açma ve yetkilendirme işlemleri mutlaka bir onay sürecine bağlanmalı, tüm bu işlemlerin denetim izleri düzenli olarak incelenmelidir. Görev değişikliği veya işten ayrılma durumlarında yetkilerin ivedilikle iptal edilmesi ve bu sürecin yazılı hale getirilmesi gerekmektedir. Bilgi sistemlerinde ortak veya varsayılan hesapların kullanımı kısıtlanmalı, yerel yönetici hakları ise sadece zorunlu hallerde ve bilgi güvenliği sorumlusunun onayıyla verilmelidir. Ayrıcalıklı yetkiler için ayrı hesaplar açılmalı ve bu hesaplarla yapılan işlemler yakından izlenmelidir. Acil durumlara özgü yetkilendirmeler ise geçici olarak yapılmalı ve bu süreçteki tüm işlemler kayıt altına alınmalıdır. İşlemlerin, kayıtların ve verilerin bütünlüğü ile gizliliği, bilgi sistemleri yönetiminin bir diğer temel sütunudur. İşletmeler, verinin iletimi, işlenmesi ve saklanması aşamalarının tamamında bütünlüğü sağlayacak önlemleri almalıdır. Kritik verilerdeki bozulmaları saptayacak ve zamanında bildirim yapacak tekniklerin kullanılması bu noktada kritiktir. Veri gizliliği kapsamında ise veriler güvenlik sınıfına göre korunmalı, erişim hakları görev çerçevesinde belirlenmeli ve hassas veriler tüm ortamlarda şifrelenmelidir. Şifreleme işlemlerinde güvenilirliği ispatlanmış algoritmalar kullanılmalı, şifreleme anahtarlarının güvenliği ve değişim sıklığı operasyonun önemine göre belirlenmelidir. Verilerin kasten veya yanlışlıkla işletme dışına sızmasını önleyecek mekanizmalar kurulmalı ve kişisel verilerin korunması hususunda altı bin altı yüz doksan sekiz sayılı Kişisel Verilerin Korunması Kanunu hükümlerine tam uyum sağlanmalıdır. Saklama süresi dolan verilerin geri döndürülemez şekilde silinmesi ve bu işlemin kaydedilmesi de yasal bir gerekliliktir. Bilgi sistemlerine ilişkin dışarıdan hizmet alımı süreçleri, üst yönetimin gözetimi altında yürütülmelidir. Dışarıdan hizmet alımının doğuracağı riskler değerlendirilmeli ve hizmet sağlayıcı kuruluşlarla ilişkiler etkin bir şekilde yönetilmelidir. Tesis edilecek gözetim mekanizması, dış hizmet sağlayıcının bilgi güvenliği ilkelerinin işletmenin kendi ilkeleriyle uyumlu olmasını, iş sürekliliğinin korunmasını ve nihai karar alma gücünün işletmede kalmasını sağlamalıdır. Hizmet sağlayıcı seçilmeden önce kuruluşun teknik donanımı, mali gücü, tecrübesi ve insan kaynağı değerlendirilerek bir teknik yeterlilik raporu hazırlanmalı ve üst yönetimin onayına sunulmalıdır. Dışarıdan alınan kritik hizmetlerin performansı ve güvenliği, yeterli bilgi ve tecrübeye sahip sorumlular tarafından takip edilmeli ve yılda en az bir kez üst yönetime raporlanmalıdır. Hizmet sözleşmeleri; hizmet seviyesi tanımlarını, sonlandırma koşullarını, veri imha yükümlülüklerini, gizlilik şartlarını ve denetim haklarını içerecek şekilde detaylı olarak hazırlanmalıdır. Özellikle hizmet sağlayıcının, Sermaye Piyasası Kurulu veya ilgili diğer otoriteler tarafından talep edilecek bilgi ve belgelere erişim hakkı tanıması sözleşmede mutlaka yer almalıdır. Bulut hizmeti kullanımı da dışarıdan hizmet alımı kapsamında değerlendirilir ve bu süreçte bilgi sistemleri sürekliliği yükümlülükleri dikkate alınmalıdır. Dışarıdan alınan yazılım ve donanımlar için tedarikçiden, sistemde kasıtlı güvenlik açığı bulunmadığına dair taahhütname alınması gerekmektedir. Müşterilerin bilgilendirilmesi noktasında ise işletmeler, elektronik ortamda sunulan hizmetlerin riskleri ve güvenlik ilkeleri hakkında müşterilerini açıkça bilgilendirmeli ve bu bilgilendirmenin yapıldığını ispat edebilmelidir. Müşteri şikayetlerinin iletilebileceği mekanizmalar kurulmalı ve gelen uyarılar doğrultusunda gerekli iyileştirmeler yapılmalıdır. Üçüncü taraflarla bilgi değişimi yapılmadan önce güvenlik gereksinimleri tanımlanmalı, veri aktarımları kötüye kullanıma karşı korunmalı ve tüm bu süreçlerin denetim izleri tutulmalıdır. Bu tedbirlerin Kurulun denetim faaliyetlerini engelleyici nitelikte olmaması gerektiği unutulmamalıdır. Kayıt mekanizmasının oluşturulması, bilgi sistemlerinin etkin denetimi için vazgeçilmezdir. İşletmeler, kritik sistemlerdeki değişiklikleri, hassas verilere erişimi ve yetkilendirme işlemlerini kapsayan detaylı bir denetim izi mekanizması kurmalıdır. Denetim izlerinde işlemin türü, gerçekleştiren uygulama ve kişi, zaman, sonuç ve erişilen dosya adı gibi bilgiler yer almalıdır. Bu kayıtlar en az beş yıl süreyle saklanmalı ve yetkisiz müdahalelere karşı korunmalıdır. Denetim izlerinin bütünlüğü düzenli olarak gözden geçirilmeli ve olağan dışı durumlar için otomatik uyarı mekanizmaları kurulmalıdır. Ayrıca, kritik sistem yöneticileri ile denetim izlerini yöneten kişilerin farklı olması, yani görevler ayrılığı ilkesinin burada da uygulanması esastır. Zaman senkronizasyonu için ise tüm sistemlerin atomik saatler vasıtasıyla tek bir referans kaynağına göre senkronize edilmesi gerekmektedir. Bilgi güvenliği ihlallerinin yönetimi, işletmelerin hazırlıklı olması gereken bir diğer alandır. Her türlü ihlal veya güvenlik açığı en kısa sürede kaydedilmeli ve önceden belirlenmiş kriterlere göre değerlendirilmelidir. Bu kriterler arasında kesinti süresi, veri sızıntısının boyutu ve gelir kaybı gibi ölçütler yer alır. Üst yönetim tarafından onaylanmış bir olay müdahale planı bulunmalı ve bu plan; roller, iletişim esasları ve iyileştirme aşamalarını içermelidir. Kritik bir ihlal durumunda Sermaye Piyasası Kurulu ve ilgili taraflar derhal bilgilendirilmelidir. Olay sonrası hazırlanan siber olay müdahale raporu üst yönetime sunulmalı, eğer kritik sistemler etkilenmişse rapor Kurula da iletilmelidir. Olay müdahale planı yılda en az bir kez test edilmeli ve personelin yetkinliği eğitimlerle artırılmalıdır. Ayrıca, Sektörel Siber Olaylara Müdahale Ekibi tarafından gerekli görülmesi halinde işletme bünyesinde Kurumsal Siber Olaylara Müdahale Ekibi, yani Kurumsal SOME kurulması ve bu ekibin faaliyetlerinin yıllık olarak raporlanması zorunludur. Kurumsal SOME Faaliyet Raporu, takip eden yılın otuz bir Ocak tarihine kadar ilgili mercilere iletilmelidir. Bilgi sistemlerinin edinimi, geliştirilmesi ve bakımı süreçlerinde de sıkı kontroller uygulanmalıdır. Güvenli yazılım geliştirme prosedürleri oluşturulmalı, geliştirme, test ve gerçek ortamlar birbirinden tamamen ayrılmalıdır. Test ortamlarında gerçek müşteri verileri kullanılmamalıdır. Kritik uygulamalar gerçek ortama alınmadan önce fonksiyonel ve güvenlik testlerinden geçirilmeli ve bir onay sürecine bağlanmalıdır. Uygulama geliştiricilerin gerçek ortama erişimi kısıtlanmalı, kaynak kod değişiklikleri için sürüm kontrol araçları kullanılmalıdır. Uygulama güvenliği kapsamında girdi ve çıktı denetimleri yapılmalı, hata mesajları sistem güvenliğini tehlikeye atmayacak şekilde yapılandırılmalıdır. Çerez kullanımı sınırlandırılmalı ve API erişimlerinde güvenli protokoller tercih edilmelidir. Mobil uygulamalarda ise güvenlik daha da ön plana çıkmaktadır. SMS yoluyla tek kullanımlık parola gönderimi, belirli istisnalar dışında bir kimlik doğrulama faktörü olarak kullanılmamalıdır. Bunun yerine, SIM kart değişikliği veya numara taşıma kontrolleri yapılarak iki faktörlü kimlik doğrulama yöntemleri uygulanmalıdır. Müşterilere işlem limitleri ve güvenli alıcı listeleri gibi ek güvenlik seçenekleri sunulmalı, tüm kritik güncellemeler için kullanıcılar zorlanmalıdır. Bilgi sistemleri sürekliliği açısından işletmelerin birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur. İkincil sistem, birincil sistemle aynı risklere maruz kalmayacak farklı bir coğrafi konumda tesis edilmelidir. İş sürekliliği planı kapsamında kabul edilebilir kesinti süreleri ve azami veri kaybı değerleri belirlenmeli, kurtarma prosedürleri oluşturulmalıdır. Bu plan yılda en az bir kez test edilmeli ve sonuçlar üst yönetime raporlanmalıdır. Birincil sistemin tamamen devre dışı kalması durumunda, faaliyetlerin en geç yirmi dört saat içerisinde sürdürülebilir hale gelmesi esastır. Yedekleme işlemleri de bu planın bir parçası olarak düzenli yürütülmeli ve yedekten geri dönme testleri yılda en az bir kez yapılmalıdır. Kripto varlık hizmet sağlayıcıların bu süreklilik hükümlerine otuz bir Aralık iki bin yirmi beş tarihine kadar uyum sağlamaları gerekmektedir. Değişiklik yönetimi kapsamında ise sistemdeki her türlü değişiklik; kayıt altına alınmalı, test edilmeli, onaylanmalı ve geri dönüş planlarıyla birlikte yürütülmelidir. İç denetim süreci, bilgi sistemleri yönetiminin etkinliğini ölçmek için yılda en az bir kez gerçekleştirilmelidir. Bu denetim, işletme dışından hizmet alımı yoluyla yapılamaz ve denetimi yapacak kişilerin Bilgi Sistemleri Bağımsız Denetim Lisansına sahip olmaları zorunludur. Kripto varlık hizmet sağlayıcılar ve diğer işletmeler için bu lisans şartına uyum süresi otuz bir Aralık iki bin yirmi altı olarak belirlenmiştir. İç denetim sonuçları yönetim kuruluna raporlanmalı ve tespit edilen bulgular için bir aksiyon planı oluşturulmalıdır. Denetimi gerçekleştirecek kişilerin göreve başlamasını takiben on iş günü içinde ilgili kuruluşa bildirilmesi gerekmektedir. Son olarak muafiyetler konusuna değinmek gerekirse, asgari özsermaye yükümlülüğü çerçevesinde belirli kurumların bazı maddelerden muaf tutulduğunu görmekteyiz. Örneğin, yönetilen portföy büyüklüğü bir milyar Türk Lirası’ye kadar olan portföy yönetim şirketlerinin asgari özsermayesi otuz milyon Türk Lirası, bir milyar bir Türk Lirası ile dört milyar Türk Lirası arasında olanların kırk milyon Türk Lirası, dört milyar bir Türk Lirası ile otuz altı milyar Türk Lirası arasında olanların ise elli milyon Türk Lirası olması zorunludur. Dar yetkili aracı kurumlar, varlık kiralama şirketleri ve halka açık ortaklıklar gibi kurumlar, tebliğin belirli teknik ve operasyonel hükümlerinden muaf tutulabilmektedir. Ancak bu muafiyetler, Kurulun bilgi alma ve denetim yetkisini kısıtlamaz. Bilgi sistemleri bağımsız denetim zorunluluğu olmayan halka açık ortaklıklar, birincil ve ikincil sistemlerini yurt içinde bulundurma zorunluluğundan muaf olabilirler. Platformlar ise müşteri emirlerinin eşleştiği ortamlar için, yurt içinde temsilciliği bulunan sağlayıcılardan yurt dışı bulut hizmeti alabilirler; ancak tüm kayıtların gün sonunda yurt içindeki sistemlere aktarılması şarttır. Bu detaylar, sınavda kurum türlerine göre farklılık gösteren yükümlülükleri ayırt edebilmeniz açısından kritik öneme sahiptir.
Bölüm 11
Bilgi sistemlerinin işletimi konusundaki düzenlemeleri inceleyerek dersimize devam ediyoruz. Bilgi Sistemleri Yönetimi Tebliği uyarınca, bilgi sistemleri bileşenlerinin yaşam döngüsü boyunca tutarlı, beklenen performans, kalite ve güvenlik düzeyinde çalışmasını sağlamak amacıyla yapılandırma ayarlarının titizlikle takip edilmesi esastır. Bu kapsamda, bilgi sistemleri bileşenlerinde gerekli olmayan tüm işlevlerin kapatılması zorunludur. Her bileşen türü için temel yapılandırma ayarları belirlenmeli ve eksiksiz uygulanmalıdır. Yeni güvenlik açıkları ortaya çıktığında veya mevcut bileşenlerde yeni sürümlere geçildiğinde, yapılandırma ayarları uygunluk ve yeterlilikleri açısından yeniden gözden geçirilmelidir. Bir bileşendeki yapılandırma ayarı değişikliğinin diğer bileşenlere olan etkisi mutlaka takip edilmelidir. Yapılandırma ayarlarındaki her türlü değişiklik gerekçesiyle beraber kayıt altına alınmalı ve izlenmelidir. Ayrıca tüm bileşenlerin yapılandırma ayarlarının yedeklenmesi ve bu değişikliklerin değişiklik yönetimi çerçevesinde ele alınması gerekmektedir. Bilgi sistemlerinde taşınabilir ortamlara bağlantı noktaları kapatılmalıdır. Taşınabilir ortamların kullanılabilmesi için geçerli bir iş gereksiniminin bulunması ve bilgi güvenliği sorumlusunun onayı aranmaktadır. Elektronik posta hizmetinin güvenliğinin sağlanması için şifreli iletişim esastır. İnternet ortamında sahte elektronik posta gönderimini önlemeye yönelik geliştirilen etki alanı kimlik doğrulaması yöntemleri, sahip olunan etki alanları için yapılandırılmalı ve bu yöntemler kullanılarak doğrulanmış etki alanlarından elektronik posta alınması sağlanmalıdır. Gelen ve giden bütün elektronik posta içeriği güvenlik analizinden geçirilmeli, zararlı yazılım ve bağlantılara erişim engellenmelidir. Kimlik yönetimi hususunda ise kullanılan kimlik doğrulama verilerinin tutulduğu ortamların ve bu amaçla kullanılan araçların güvenliğini sağlamaya yönelik gerekli önlemler alınmalıdır. Bu önlemler asgari olarak kimlik doğrulama verilerinin güçlü şifreleme algoritmalarıyla şifrelenerek veya geriye dönüştürülmesi mümkün olmayacak şekilde saklanmasını, bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemlerin kurulmasını, yeterli denetim izlerinin tutulmasını ve güvenliğinin sağlanmasını içermektedir. Kimlik doğrulama verilerinin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınması şarttır. Kritik sistem ve uygulamalarda birbirinden bağımsız çok faktörlü kimlik doğrulama mekanizması kullanılmalıdır. Faktörlerin bağımsız olması, bir faktörün ele geçirilmesinin diğer faktörün güvenliğini tehlikeye atmamasını ifade eder. Kullanıcının sahip olduğu faktörün kullanıcıya özgü olması ve taklit edilememesi esastır. Ayrıcalıklı kullanıcı hesapları mutlaka çok faktörlü kimlik doğrulama mekanizması ile kullanılmalıdır. Kritik sistem ve uygulamalarda kimlik doğrulama süreçlerinde gerçekleşen başarılı ve başarısız işlemlere ilişkin denetim izi tutulmalıdır. Kullanıcı hesaplarına yönelik olarak kilitli hesaplar, devre dışı bırakılmış hesaplar, parola geçerlilik süresini aşan hesaplar ve parola son kullanma süresi hiçbir zaman dolmayacak şekilde ayarlanmış hesaplar için otomatik olarak rapor üreten yöntemler kullanılmalı ve bu raporlar gerekli önlemleri alması için ilgililere iletilmelidir. Bu ayrıntılar sınavda kimlik yönetimi güvenliği kapsamında sıklıkla sorulmaktadır. Erişim yönetimi çerçevesinde, ayrıcalıklı kullanıcı hesapları ile yapılan erişimleri de kapsayacak şekilde anormal veya beklenmedik erişim girişimlerini tespit edecek ve erken uyarı oluşturacak mekanizmalar tesis edilmelidir. Acil durumlara özgü yetkilendirmeler geçici olarak yapılmalı ve bu yetkilendirme süresince gerçekleştirilecek işlemlerin takibine imkan verecek denetim izlerinin tutulması sağlanmalıdır. İşlemlerin, kayıtların ve verilerin bütünlüğü başlığı altında, kritik işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak ve zamanında gerekli bildirimleri yapacak teknikler kullanılmalıdır. Veri gizliliği açısından kurum, kuruluş ve ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlere ilişkin üretilen, iletilen, işlenen ve saklanan verilerin kasten veya yanlışlıkla dışarı sızmasını önlemeye yönelik olarak güvenlik sınıfına uygun önlemleri almakla yükümlüdür. Kayıt mekanizmasının oluşturulması noktasında denetim izleri sürekli gözetim altında tutulmalıdır. Olağan dışı durumlar için otomatik uyarı mekanizması kurulmalı ve ilgililere bildirim yapılmalıdır. Bu bildirimlerin her biri üzerinde inceleme yapılmalı ve sonuçlar kayıt altına alınmalıdır. Denetim izleri merkezi bir kayıt yönetim sistemi aracılığıyla izlenmeli ve analiz edilmelidir. Olası güvenlik olaylarının erken tespiti için korelasyon kuralları tanımlanmalı ve uyarı mekanizmaları oluşturulmalıdır. Kritik faaliyetlerin gerçekleştiği bilgi sistemlerinin yöneticileri ile bu sistemlere ilişkin denetim izlerini yöneten kişiler mutlaka birbirinden ayrıştırılmalıdır. Bu görevler ayrılığı ilkesi denetimlerde kritik bir öneme sahiptir. Bilgi güvenliği ihlali durumunda yasal işlemler için kanıtların bütünlüğünün bozulmadan toplanması ve korunması için kontroller tesis edilmelidir. Olay müdahale planının etkinliğini ve güncelliğini temin etmek üzere yılda en az bir kez test yapılmalı ve test sonuçları üst yönetime raporlanmalıdır. Bilgi sistemleri edinimi, geliştirilmesi ve bakımı süreçlerinde, alınan hizmetin kritikliği ve tedarikçinin iş dışı kalması olasılığı dikkate alınarak, yazılımı dış bir firma tarafından geliştirilen ve kaynak kodu tedarik edilemeyen uygulamalar için üçüncü tarafların da katılımıyla bir yazılım saklama sözleşmesi yapılmalıdır. Bilgi sistemlerinde gerçekleştirilecek büyük ölçekli geliştirme, değişiklik veya edinim süreçleri, proje yönetim faaliyetleri çerçevesinde yürütülmelidir. Gerçekleştirilecek projeler üst yönetim tarafından onaylanmalı ve ilerleme raporları belirli periyotlarda üst yönetime sunulmalıdır. Yazılım geliştirme yaşam döngüsünün tüm aşamalarını kapsayacak şekilde güvenli yazılım geliştirme prosedürü oluşturulmalıdır. Gerekli hallerde değiştirilmiş veya yeni geliştirilmiş sistemin gerçek ortamda kullanıma alınmadan önce belirli bir olgunluk seviyesine ulaşana kadar eski sistemle beraber çalıştırılmasına devam edilmelidir. Paralel işletimin mümkün olmadığı durumlarda ise eski sistem veri kayıpsız olarak devreye alınabilir halde tutulmalıdır. Uygulama güvenliği konusu tebliğde oldukça kapsamlı bir şekilde ele alınmıştır. Kurumlar, uygulamaların güvenli çalışmasını temin etmek amacıyla girdi ve çıktı denetimini, hataların ele alınmasını, güncellemeleri ve erişim denetimini içeren kontroller geliştirmelidir. Uygulamalarda veri girişlerinin tam, doğru ve geçerli şekilde yapılması sağlanmalı; veri ve işlem kaybı ile yetkisiz değişiklikler önlenmelidir. Girdi doğrulama ve filtreleme mekanizmaları tesis edilerek girdilerin önceden belirlenen uzunluk ve format gereksinimlerine uygunluğu sağlanmalıdır. Uygulamaların ürettiği hata mesajları sistem güvenliğini tehlikeye atmayacak şekilde yapılandırılmalıdır. Gizlilik ve bütünlüğü etkileyebilecek hatalar için kayıt tutulmalı ve normalden sık tekrarlanan hatalar için otomatik bildirim gönderilmelidir. Hassas verilerin çerezlerde saklanması engellenmeli, çerezler asgari sürelerde tutulmalı ve oturum kapandığında otomatik olarak silinmelidir. Çerezler her oturumda kullanıcıya özel ve benzersiz olarak üretilmelidir. Geçici veya misafir kullanıcı erişimleri belirli sürelerle sınırlandırılmalı ve süre dolduğunda devre dışı bırakılmalıdır. API erişimlerinde kimlik doğrulama için belirteç yani token bazlı güvenli protokoller kullanılmalı, aşırı yüklenmeye karşı talep sınırlandırma ve yavaşlatma mekanizmaları uygulanmalıdır. Uygulama oturum zaman aşımı süreleri kritikliğe göre belirlenmeli ve süre dolduğunda kullanıcı yeniden girişe zorlanmalıdır. Mobil uygulama güvenliği açısından da önemli kısıtlamalar mevcuttur. Mobil uygulamayı yükleyerek aktif hale getiren müşterilere, oturum açma veya işlem doğrulaması amacıyla SMS yoluyla tek kullanımlık parola gönderilmemeli ve bu yöntem bir kimlik doğrulama faktörü olarak kullanılmamalıdır. Ancak ilk kurulum veya aktifleştirme durumları bu kuralın istisnasıdır. SMS yoluyla tek kullanımlık parola gönderilmeden önce müşterinin SIM kart değişikliği yapıp yapmadığı veya numara taşıma işlemi gerçekleştirip gerçekleştirmediği mobil haberleşme operatörleri ile sağlanan entegrasyon üzerinden kontrol edilmelidir. Değişiklik belirlenirse müşteri teyit edene kadar SIM karta dayalı kimlik doğrulama engellenmelidir. Bu teyit işlemlerinde iki faktörlü kimlik doğrulama kullanımı esastır. Kritik işlemler için ek kimlik doğrulama adımları uygulanmalı; günlük işlem limitleri ve güvenli alıcılar listesi gibi önlemler sunulmalıdır. Tek kullanımlık parolalar tahmin edilmesi zor, rastgele ve eşsiz olarak üretilmeli, belirli bir süre geçerli olmalıdır. Mobil uygulamalar güvenlik güncellemelerini otomatik bildirmeli, kritik güncellemeler için kullanıcılar zorlanmalı ve eski sürümler devre dışı bırakılmalıdır. Aynı kullanıcı hesabıyla birden fazla cihazda eş zamanlı oturum açılması engellenmelidir. Mobil uygulamaların cihaz tanıma özelliğine sahip olması ve en az izinle çalışması sağlanmalıdır. Cihaz üreticisi kontrolünde olan parola, PIN veya biyometrik veriler, müşterinin bildiği veya biyometrik karakteristiği olan unsurlar olarak kabul edilmemektedir. Bu teknik ayrıntı sınav sorularında yanıltıcı bir seçenek olarak karşınıza çıkabilir. İş sürekliliği planlaması kapsamında ikincil sistem tesis edilmesi zorunludur. İkincil sistemde kritik veri ve sistem yedekleri kullanıma hazır bulundurulmalıdır. Birincil sistemin tamamen devre dışı kaldığı durumlarda kurumların en geç yirmi dört saat içerisinde faaliyetlerini sürdürüebilir hale gelmesi esastır. Bu durum gerçekleştiğinde Sermaye Piyasası Kurulu derhal bilgilendirilmelidir. İkincil sistemden birincil sisteme geri dönüş prosedürleri önceden hazırlanmalıdır. Değişiklik yönetimi başlığı altında ise yazılım, donanım ve altyapı bileşenlerine yapılan her türlü değişiklik için kayıt oluşturulmalı; değişikliğin sebebi, kapsamı, riski ve maliyeti tanımlanmalıdır. Planlanan değişiklikler uygulanmadan önce detaylı test süreçlerinden geçirilmeli ve onay sürecinden geçmedikçe işleme konulmamalıdır. Acil durum değişiklikleri için özel prosedürler tanımlanmalı ve kayıtlar en kısa sürede tamamlanmalıdır. Değişiklikler ilgili taraflara önceden duyurulmalı ve hatalı durumlarda uygulanacak geri dönüş prosedürleri belirlenmelidir. İç denetim faaliyetleri, kurumlar tarafından yılda en az bir kez gerçekleştirilmelidir. İç denetim faaliyeti dışarıdan hizmet alımı yoluyla icra edilemez; bu nokta sınav açısından oldukça önemlidir. Denetimi gerçekleştirecek kişilerin bilgi sistemlerinin tasarımı ve işleyişinde görevi bulunmamalı ve Bilgi Sistemleri Bağımsız Denetim Lisansına sahip olmaları zorunludur. İç denetim sonuçları bir rapor halinde yönetim kuruluna sunulmalı ve tespitlere ilişkin bir aksiyon planı oluşturulmalıdır. İç denetimi gerçekleştirecek kişiler, göreve başlamalarını takiben on iş günü içinde Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu Anonim Şirketine bildirilmelidir. Şimdi Bilgi Sistemleri Bağımsız Denetim Tebliği üç, altmış iki nokta iki hükümlerini ele alalım. Bu tebliğ, sermaye piyasasında bilgi sistemleri bağımsız denetimi faaliyetlerinin genel esaslarını, yetkilendirmeyi ve raporlama usullerini belirler. Tebliğ kapsamına halka açık ortaklıklar, sermaye piyasası kurumları, öz düzenleyici kuruluşlar ve kripto varlık hizmet sağlayıcılar girmektedir. Ancak her kurumun denetim yükümlülüğü periyodu farklıdır. Borsa İstanbul Anonim Şirketi, İstanbul Takas ve Saklama Bankası Anonim Şirketi, Merkezi Kayıt Kuruluşu Anonim Şirketi, borsalar, piyasa işleticileri, merkezi takas ve saklama kuruluşları ile veri depolama kuruluşları her yıl bilgi sistemleri bağımsız denetimi yaptırmak zorundadır. Kripto varlık hizmet sağlayıcılar da her yıl bu denetimi yaptırmakla yükümlüdür. Kısmi ve geniş yetkili aracı kurumlar ile asgari özsermaye yükümlülüğü yüz milyon Türk Lirası olan portföy yönetim şirketleri iki yılda bir denetim yaptırır. Ayrıca yönetilen portföy büyüklüğünün yetmiş iki milyar Türk Lirası’yi aşması halinde, aşan tutarın yüzde sıfır virgül iki’si kadar ilave özsermayeye sahip olması gereken portföy yönetim şirketleri de bu iki yıllık periyoda tabidir. Üç yılda bir denetim yaptıracaklar ise özsermaye yükümlülüğü bir milyar Türk Lirası’ye kadar olan ve özsermayesi asgari otuz milyon Türk Lirası olan, bir milyar bir Türk Lirası ile dört milyar Türk Lirası arasında olup özsermayesi asgari kırk milyon Türk Lirası olan ve dört milyar bir Türk Lirası ile otuz altı milyar Türk Lirası arasında olup özsermayesi asgari elli milyon Türk Lirası olan portföy yönetim şirketleri ile Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu Anonim Şirketidir. Dar yetkili aracı kurumlar, halka açık ortaklıklar, kolektif yatırım kuruluşları, varlık kiralama şirketleri ve emeklilik yatırım fonları gibi kurumların periyodik denetim yükümlülüğü bulunmamaktadır. Ancak bu kurumlar isteğe bağlı olarak denetim yaptırabilirler. Statü değişikliği durumunda, örneğin dar yetkiliden kısmi veya geniş yetkiliye geçişte, ilk denetim izin tarihinden sonraki yıl yapılmalı; sonraki denetimler ise kısmi yetkililer için çift yıllarda, geniş yetkililer için tek yıllarda gerçekleştirilmelidir. Bilgi sistemleri bağımsız denetiminin temel amacı, işletmelerin bilgi sistemlerinin ve iç kontrollerinin uyumluluk, etkinlik ve yeterliliği hakkında görüş oluşturmaktır. Denetçi, risk odaklı bir bakış açısıyla ve önemlilik kriterini esas alarak çalışır. Önemlilik, kontrol zayıflıkları sonucu ortaya çıkabilecek hataların finansal raporlamaya veya hizmet kesintisine etkisinin değerlendirilmesidir. Denetim riski ise yapısal risk, kontrol riski ve tespit riski bileşenlerinden oluşur. Yapısal risk, kontrolün olmaması nedeniyle bir eksikliğin var olması riskidir. Kontrol riski, mevcut kontrolün eksikliği önleyememesi riskidir. Tespit riski ise denetçinin bu eksikliği ortaya çıkaramaması olasılığıdır. Denetçi, tespitlerini kontrol zayıflığı, kayda değer kontrol eksikliği ve önemli kontrol eksikliği olarak sınıflandırır. Önemli kontrol eksikliği, finansal raporlamada önemli bir yanlışlığın önlenmesini engelleyecek veya faaliyetlerin bütünlüğüne önemli olumsuz etki yapacak durumları ifade eder. Son olarak denetçi unvanları ve şartlarına değinelim. Denetçiler; denetçi yardımcısı, denetçi, kıdemli denetçi, başdenetçi ve sorumlu başdenetçi unvanlarını alırlar. Sorumlu başdenetçi için en az on yıllık mesleki tecrübe, CISA veya Bilgi Sistemleri Bağımsız Denetim Lisansı ve Kurul onayı şarttır. Denetçi unvanı için ise üç yıllık tecrübe ve ilgili sertifikalar gereklidir. Mesleki tecrübe süresinin hesabında yüksek lisans derecesi bir yıl, doktora derecesi ise iki yıl ek tecrübe sayılmaktadır. Denetim kadrosunda en az iki sorumlu bilgi sistemleri başdenetçisi bulunmalıdır. Denetçilerin yılda en az yirmi saat, üç yılda ise en az seksen saat sürekli eğitim almaları zorunludur. Bu sayısal veriler ve unvanlar arasındaki farklar sınavda doğrudan soru olarak karşınıza gelebilir. Dersimizi burada sonlandırıyoruz.
Bölüm 12
Bilgi sistemleri bağımsız denetimi alanında yetkili kuruluşların ve denetçilerin sahip olması gereken nitelikler, uymaları gereken etik ilkeler ve denetim sürecine ilişkin yasal yükümlülükler sermaye piyasası mevzuatının en kritik konuları arasında yer almaktadır. Bu ders kapsamında, bilgi sistemleri denetçilerinin unvanlarından başlayarak denetim raporlamasına kadar uzanan süreci akademik bir titizlikle ele alacağız. Bilgi sistemleri denetçileri, mesleki kıdem ve yetkinliklerine göre beş temel unvan altında gruplandırılmaktadır. Bu unvanlar hiyerarşik olarak sorumlu bilgi sistemleri başdenetçisi, bilgi sistemleri başdenetçisi, bilgi sistemleri kıdemli denetçisi, bilgi sistemleri denetçisi ve bilgi sistemleri denetçi yardımcısı şeklinde sıralanmaktadır. Her bir unvan için belirlenmiş olan tecrübe, lisans ve yetkinlik şartları sınavda sıklıkla soru olarak karşınıza çıkmaktadır. Bu nedenle her bir kategorinin detaylarını dikkatle incelemek gerekir. Bilgi sistemleri denetçisi unvanı için adayların Bilgi Sistemleri Denetçisi Sertifikası olan CISA veya Bilgi Sistemleri Bağımsız Denetim Lisansı olan BSBDL belgesine sahip olmaları zorunludur. Bunun yanı sıra en az üç yıllık mesleki tecrübe ve dört yıllık lisans mezuniyeti şartı aranmaktadır. Bu seviyedeki bir denetçi, denetim programının hazırlanması gibi işin ayrıntılı çalışmalarından sorumludur. Ayrıca denetçi yardımcılarını işe tahsis etmek, onların çalışmalarına nezaret etmek ve hazırladıkları çalışma kağıtlarını incelemekle görevlidir. İşin daha karmaşık bölümlerini bizzat yürütmek ve işletme ile olan görüşmeleri koordine etmek de bu unvanın sorumlulukları arasındadır. Bilgi sistemleri kıdemli denetçisi olabilmek için yine CISA veya BSBDL sertifikasına sahip olmak gerekirken, aranan mesleki tecrübe süresi altı yıla çıkmaktadır. Kıdemli denetçiler, denetim faaliyetlerinin planlanması, yürütülmesi ve çalışma kağıtlarının incelenmesi noktalarında denetçilerin sorumluluklarını paylaşırlar. Bilgi sistemleri başdenetçisi unvanı için ise tecrübe şartı on yıl olarak belirlenmiştir. Hiyerarşinin en üstünde yer alan sorumlu bilgi sistemleri başdenetçisi unvanı için on yıllık mesleki tecrübenin yanı sıra ek idari şartlar mevcuttur. Bu unvana sahip kişilerin denetim raporlarını yetkili kuruluş adına imzalama yetkisi ve sorumluluğu olduğuna dair yönetim kurulu kararı bulunmalı ve Kurul onayı alınmış olmalıdır. Sorumlu başdenetçiler, diğer denetçilerin görevlerine ek olarak bilgi sistemlerinin Bilgi Sistemleri Yönetimi ve Yetkilendirilmiş Bağımsız Denetim Kuruluşları Tebliği’ne uygunluğu konusunda nihai kararı verme yetkisine sahiptirler. Denetçi yardımcısı unvanı için ise dört yıllık lisans mezuniyeti yeterli olup, mesleki tecrübe şartı aranmamaktadır. Ancak mesleki tecrübe süresinin hesaplanmasında belirli faaliyet alanları dikkate alınır. Bilgi sistemleri bağımsız denetimi, profesyonel bilgi sistemleri kontrolü veya güvenliği, bilgi sistemleri geliştirme ve işletimi faaliyetlerinde geçirilen sürelerin toplamı tecrübe olarak kabul edilir. Bu noktada sınav açısından önemli bir istisna mevcuttur. CISA veya İç Denetçi Sertifikası olan CIA belgesine sahip olanlar ile bilgi sistemleri alanında yüksek lisans yapanlar için tecrübe süresine ilave bir yıl eklenir. Doktora derecesi olanlar için ise bu süre ilave iki yıl olarak hesaplanır. Denetçilerin taşıması gereken genel şartlar da oldukça katıdır. Denetçilerin müflis olmamaları, yüz kızartıcı veya bilişim alanındaki bir suçtan mahkûm bulunmamaları esastır. Ayrıca Türkiye'de yerleşik olmaları ve tam zamanlı çalışmaları gerekmektedir. Sermaye piyasası mevzuatına muhalefetten dolayı mahkûmiyet almamış olmaları ve faaliyet yetki belgesi iptal edilen kuruluşlarda sorumluluklarının bulunmaması şarttır. Sorumlu başdenetçi dışındaki unvan terfileri yetkili kuruluşlar tarafından yapılır ancak liyakat ve yetenek şartı tecrübe şartı kadar önemlidir. Ayrıca sürekli eğitim yükümlülüğü kapsamında denetçilerin yılda en az yirmi saat, üç yılda ise en az seksen saat eğitim almaları veya vermeleri zorunludur. Yetkili kuruluşlar ve denetçiler, Kamu Gözetimi Kurumu tarafından yayımlanan etik ilkelere uymakla yükümlüdür. Bu ilkeler dürüstlük, objektif olma yani tarafsızlık, mesleki yeterlilik ve özen, sır saklama ve mesleğe uygun davranış olarak beş ana başlıkta toplanır. Bu ilkelerin ihlali, denetim faaliyetinin güvenilirliğini ortadan kaldıracağı için yasal yaptırımlara tabidir. Denetim faaliyetine ilişkin yükümlülükler kapsamında denetlenen işletmelerin de önemli sorumlulukları bulunmaktadır. İşletmeler, tüm bilgi sistemleri dokümantasyonunu, kayıtlarını ve sistemlerini denetime hazır hale getirmek zorundadır. Denetçinin talep ettiği her türlü bilgi, belge ve iç denetim raporu eksiksiz olarak sunulmalıdır. Ayrıca işletme yönetimi, iç denetçiler ile bağımsız denetçiler arasındaki koordinasyonu sağlamakla yükümlüdür. Bu süreçte en önemli belgelerden biri yönetim beyanıdır. İşletme yönetim kurulu, bilgi sistemlerine ilişkin iç kontrollerin etkinliği ve yeterliliği konusunda güvence veren bir beyan sunar. Yönetim beyanı amaç, kapsam, dönem ve içerik bölümlerinden oluşur. Beyanın kapsamı bir Ocak ile otuz bir Aralık arasındaki dönemi kapsar ve bağımsız denetim raporu tarihi ile uyumlu olmalıdır. Beyanda, iç kontrol sisteminin incelendiği, önemli eksikliklerin belirtildiği ve bağımsız denetim kuruluşunun çalışmalarının bu değerlendirmede kullanılmadığı taahhüt edilir. Ayrıca suiistimaller, yolsuzluklar ve önceki dönemlerde giderilmemiş bulguların durumu da bu beyanda yer almalıdır. Yetkili kuruluşlar ve denetçiler ise mesleki şüphecilik çerçevesinde hareket etmelidir. Denetçiler, yöneticilerin açıklamalarını tek başına yeterli kanıt olarak görmemeli, mutlaka doğrulayıcı kanıtlar aramalıdır. Hata ve suiistimaller tespit edildiğinde işletme yönetimine ve denetimden sorumlu komiteye derhal yazılı bilgi verilmelidir. Kurul’a bildirim süreleri sınavda sıklıkla sorulmaktadır. Yetkilendirme koşullarındaki değişiklikler altı iş günü içinde, mevzuata aykırı işlemler veya olumsuz görüşe yol açabilecek gelişmeler ise on iş günü içinde Kurul’a yazılı olarak bildirilmelidir. Denetim sürecinin hukuki zemini bağımsız denetim sözleşmesi ile kurulur. İşletmeler, denetim sözleşmesini denetim döneminin ilk dört ayı içinde, yani en geç Nisan ayı sonuna kadar imzalamalıdır. Sözleşme imzalandıktan sonra altı iş günü içinde Kurul’a gönderilmelidir. Rotasyon kuralı uyarınca, bir işletme on yıllık bir dönem içinde en fazla yedi yıl aynı kuruluştan denetim hizmeti alabilir. yedi yılın sonunda üç yıllık bir ara verilmesi zorunludur. Sözleşmenin feshi ancak Kurul’un onaylayacağı haklı gerekçelerle mümkündür ve taraflar kendi aralarında anlaşarak sözleşmeyi sona erdiremezler. Denetim planlaması aşamasında BDS üç yüz hükümleri kıyasen uygulanır. Denetçi, denetimin kapsamını ve zamanlamasını belirleyen genel bir strateji oluşturur. Denetim planı, risk değerlendirme prosedürlerini ve planlanan diğer denetim prosedürlerini içermelidir. Denetim kanıtı toplama sürecinde ise tetkik, gözlem, dış teyit, yeniden hesaplama, yeniden uygulama, analitik prosedürler ve sorgulama teknikleri kullanılır. Bu tekniklerin her birinin tanımı ve uygulama alanı sınav açısından önem arz eder. Örneğin, yeniden uygulama tekniği, işletmenin iç kontrol prosedürlerinin denetçi tarafından bağımsız olarak tekrar yürütülmesidir. Denetim örneklemesi yapılırken BDS beş yüz otuz hükümleri esas alınır. Denetçi, örneklem hacmini belirlerken riskin yüksek olduğu alanlarda daha geniş bir örneklem seçmeli ve kanıtların güvenilirliğini artırmalıdır. Sadece sorgulama tekniği ile elde edilen kanıtlar bir kontrolün etkinliği hakkında görüş oluşturmak için yeterli değildir. Denetim sürecinin sonunda hazırlanan bilgi sistemleri bağımsız denetim raporu dört tür görüş içerebilir. Olumlu görüş, herhangi bir önemli kontrol eksikliği bulunmadığında ve kısıtlama yaşanmadığında verilir. Şartlı görüş, önemli bir eksiklik olmasına rağmen bu eksikliğin sistemin bütününü etkilemediği durumlarda veya yeterli kanıt elde edilemediğinde tercih edilir. Olumsuz görüş ise tespit edilen eksikliklerin sistemin bütününü veya büyük bir kısmını etkilediği kanaati oluştuğunda verilir. Eğer denetçi, görüş oluşturmasını engelleyecek derecede büyük belirsizliklerle veya kısıtlamalarla karşılaşırsa görüş bildirmekten kaçınma yoluna gider. Raporlama aşamasında tespit edilen bulguların kodlanması belirli bir sistematik izler. Kodlama yapısı denetim yılı, solo veya konsolide ayrımı, kontrol alanı kısaltması, bulgu sıra numarası ve önemlilik derecesinden oluşur. Örneğin iki bin yirmi nokta S nokta BSY tire bir nokta üç nokta ÖK kodu, iki bin yirmi yılında solo bir denetimde bilgi sistemleri yönetimi alanında tespit edilen üç numaralı önemli kontrol eksikliğini ifade eder. Önemlilik dereceleri kontrol zayıflığı için KZ, kayda değer kontrol eksikliği için KD ve önemli kontrol eksikliği için ÖK olarak kısaltılır. Denetim raporu, sorumlu başdenetçi tarafından imzalandığında kesinleşir ve takip eden ilk iş günü işletmeye teslim edilir. İşletme ise raporu, dönemin bitimini izleyen ayın sonuna kadar yönetim kurulu kararı ile birlikte Kurul’a göndermek zorundadır. Bu raporlar kamuya açıklanmaz, sadece Kurul’a bildirilir. Son olarak Türkiye'deki diğer düzenlemelere baktığımızda Bankacılık Düzenleme ve Denetleme Kurumu'nın öncü rolü görülmektedir. Bankalar için ilk düzenleme iki bin altı yılında yapılmış, zamanla COBIT referansları kaldırılarak daha güncel yönetmelikler yürürlüğe girmiştir. Güncel durumda bankalar, finansal kiralama, faktöring ve finansman şirketleri gibi kuruluşlar Bankacılık Düzenleme ve Denetleme Kurumu düzenlemelerine tabidir. Bankalar ve risk merkezleri için hem bilgi sistemleri hem de iş süreçleri denetimi zorunluyken, diğer kuruluşlar için sadece bilgi sistemleri denetimi yeterli görülmektedir. Bankalarda denetim yapacak kuruluşların mutlaka banka denetim yetkisine sahip olması şartı aranırken, diğer kuruluşlar için Kamu Gözetimi Kurumu yetkilendirmesi yeterli olmaktadır. Bu ayrım, kurumların risk düzeylerine göre belirlenmiş stratejik bir yaklaşımdır.
Bölüm 13
Bilgi sistemleri ve iş süreçlerinin denetimine ilişkin yasal çerçeveyi ve bu alandaki güncel düzenlemeleri ele alacağımız bu derste, özellikle Bankacılık Düzenleme ve Denetleme Kurumu ile Gelir İdaresi Başkanlığı tarafından yayımlanan mevzuat hükümlerine odaklanacağız. Bilgi sistemleri bağımsız denetimi süreçlerinin yapılandırılması, yetkilendirilecek kuruluşların nitelikleri ve denetçilerde aranan şartlar, finansal piyasaların güvenliği açısından kritik bir öneme sahiptir. Bu bağlamda, önceki düzenlemeler ile güncel yönetmelik arasındaki temel farkları ve yeni getirilen esasları detaylı bir şekilde incelemek gerekmektedir. Yeni yönetmelik ile birlikte bilgi sistemleri ve iş süreçlerinin denetimine ilişkin genel kavramlar, yetkilendirilecek bağımsız denetim kuruluşları ve denetçilerde aranacak koşullar, yetkinin kaldırılması, tarafların yükümlülükleri ve denetim metodolojisi gibi alanlarda önemli geliştirmeler yapılmıştır. Bu süreçte dikkat çeken en önemli değişikliklerden biri, bilgi sistemleri bağımsız denetim siciline ilişkin esasların ilk kez düzenlenmiş olmasıdır. Ayrıca, önceki dönemlerde bilgi sistemleri denetiminde temel referans noktası olarak kabul edilen COBIT standartlarına yapılan doğrudan atıf bu yönetmelik ile kaldırılmıştır. Yeni dönemde bilgi sistemleri denetiminin, uluslararası standartların yanı sıra doğrudan bu yönetmelik hükümleri kapsamında yürütülmesi esası getirilmiştir. Bu durum, denetim faaliyetlerinin yerel mevzuatla daha uyumlu ve özgün bir yapıda icra edilmesini amaçlamaktadır. Bilgi sistemleri bağımsız denetimi kavramını tanımlayarak devam edelim. Bu kavram, bilgi sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım ve donanım gibi tüm unsurların yanı sıra, denetlenen kuruluşun faaliyetlerine ilişkin süreçlerin ve bu yapılar dahilinde tesis edilen iç kontrollerin değerlendirilmesi sürecini ifade eder. Bu değerlendirme sonucunda bir görüş oluşturulması ve bu görüşün rapora bağlanması denetimin nihai hedefidir. Burada genel kontroller kavramı da büyük önem taşır. Genel kontroller, bilgi sistemlerinden beklenen fonksiyonların doğru bir şekilde yerine getirilmesini, istenmeyen olayların engellenmesini, belirlenmesini ve düzeltilmesini hedefler. Bu kontroller, bilgi sistemlerini oluşturan sistemlerin, bileşenlerin ve verilerin tamamına veya büyük bir bölümüne tatbik edilen politika ve prosedürler bütünüdür. Sınav hazırlığı açısından, iş süreçleri tanımının bankaların faaliyetleri ile risk merkezi ve bilgi alışverişi kuruluşlarının mevzuat çerçevesindeki faaliyetlerini kapsadığını bilmek önem arz etmektedir. Kontrol ve kontrol hedefi kavramları arasındaki ayrım da teknik açıdan belirleyicidir. Kontrol, iş hedeflerinin gerçekleştirilmesi ve risklerin yönetilmesi amacıyla oluşturulan politikalar, prosedürler ve organizasyonel yapıların tamamıdır. Kontrol hedefi ise belirli bir bilgi sistemleri aktivitesi içinde, istenen bir sonucun veya amacın gerçekleştirilmesini sağlayan spesifik hedefleri tanımlar. Yönetmelik kapsamında önemlilik, kontrol zafiyetlerinin sınıflandırılması, etkinlik, yeterlilik ve uyumluluk gibi kavramlar, Bilgi Sistemleri Bağımsız Denetimi Tebliği ile benzer şekilde tanımlanmıştır. Bilgi sistemleri bağımsız denetimi, kısa adıyla BSD olarak ifade edilmektedir. Bankalar, risk merkezi ve bilgi alışverişi kuruluşları hem bilgi sistemleri hem de iş süreçleri açısından denetime tabidir. Diğer kuruluşlar için ise sadece bilgi sistemleri denetimi zorunluluğu bulunmaktadır. Yetkilendirilecek kuruluşlar için getirilen üç temel koşul bulunmaktadır ve bu koşullar sınav sorularında sıklıkla karşımıza çıkmaktadır. İlk olarak, bankalar ve risk merkezi gibi kuruluşlarda denetim yapacak kurumların, bankalarda bağımsız denetim yapma yetkisine sahip bir bağımsız denetim kuruluşu olması şarttır. Diğer kuruluşlar için ise Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu yani KGK tarafından yetkilendirilmiş olmak yeterli görülmektedir. İkinci koşul, yeterli sayı ve nitelikte denetçiye ve etkin bir bilgi sistemine sahip olmaktır. Üçüncü koşul ise kalite kontrol sistemine ilişkin yapı ve yazılı politikalara sahip olma zorunluluğudur. Bankalarda bağımsız denetim yetkisi olan kuruluşlar, Bankacılık Düzenleme ve Denetleme Kurumu’dan izin almak kaydıyla bilgi sistemleri denetim faaliyetini dış hizmet alımı yoluyla da gerçekleştirebilirler. Ancak bu durumda, tüm faaliyetlerden ve yükümlülüklerden hem kendileri hem de dış hizmet kuruluşu adına nihai olarak sorumlu tutulurlar. Bir bağımsız denetim kuruluşu, bir seferde en fazla üç dönem için dış hizmet alımı izni başvurusu yapabilir ve bu süre dolduğunda başvuruyu yenileyebilir. Dış hizmet kuruluşlarının denetim yapabilmesi için bağımsız denetim kuruluşu ile sözleşme imzalamış olması ve belirli kriterleri karşılaması gerekir. Bu kriterler arasında denetçilerin yönetmelikteki nitelikleri haiz olması, yeterli sayıda denetçi istihdam edilmesi, denetçilerin geçmişteki faaliyetlerinde bağımsızlık ilkesini zedelememiş olması ve rotasyon hükümlerine uyulması yer almaktadır. Denetçi unvanları ise kıdem sırasına göre bilgi sistemleri bağımsız başdenetçisi, bilgi sistemleri bağımsız kıdemli denetçisi ve bilgi sistemleri bağımsız denetçisi olarak üç gruba ayrılmıştır. Mesleki tecrübe şartları, sınavda karıştırılmaması gereken en kritik sayısal veriler arasındadır. Bilgi sistemleri bağımsız denetçisi için üç yıllık mesleki tecrübenin en az bir yılının, kıdemli denetçi için altı yıllık tecrübenin en az iki yılının, başdenetçi için ise on yıllık tecrübenin en az üç yılının fiilen bilgi sistemleri denetimi alanında olması zorunludur. Ayrıca, başdenetçilik unvanı için Bankacılık Düzenleme ve Denetleme Kurumu’nın uygun görüşünün alınması şarttır. Önemli bir not olarak, yeni düzenleme ile CISA ve CIA belgelerinin mesleki tecrübe sayılmasındaki ayrıcalıklar ve başdenetçiler için CISA sahibi olma zorunluluğu kaldırılmıştır. Denetimlerin sıklığı ve kapsamı konusuna geçecek olursak, bankalar, risk merkezi ve bilgi alışverişi kuruluşlarında iş süreçleri denetimi her yıl, bilgi sistemleri denetimi ise iki yılda bir kez yapılmaktadır. Bilgi sistemleri denetimi yapılmayan ara yıllarda, denetçi tarafından geçmiş dönem bulgularının değerlendirilmesi ve önemli değişikliklerin incelenmesi gerekmektedir. Diğer finansal kuruluşlar için ise bilgi sistemleri bağımsız denetimi üç yılda bir yapılmaktadır. Bankacılık Düzenleme ve Denetleme Kurumu, gerekli gördüğü durumlarda bu süreleri ve kapsamı değiştirme yetkisine sahiptir. Denetim süreci sonunda tespit edilen kontrol zayıflıkları, nitel ve nicel yöntemler kullanılarak kayda değer kontrol eksikliği veya önemli kontrol eksikliği olarak sınıflandırılmalıdır. Özellikle Türkiye Muhasebe Standartlarının uygulanması, mevzuata uyum kontrolleri, sahteciliği önleyen programlar ve yıl sonu finansal raporlama süreçlerindeki zayıflıklar, en azından kayda değer kontrol eksikliği olarak kabul edilmek zorundadır. Denetçinin önemli kontrol eksikliğine işaret eden durumları saptaması, denetim raporunun sıhhati açısından hayatidir. Örneğin, finansal tablolarda daha önce fark edilmemiş önemli bir yanlış beyanın denetçi tarafından bulunması, birimler arası veri tutarsızlıkları, yönetimin denetçiye yanlış beyanda bulunması veya aksiyon planındaki taahhütlerin yerine getirilmemesi gibi durumlar güçlü birer eksiklik göstergesidir. Ayrıca, yöneticilerin dahil olduğu küçük ölçekli bir sahteciliğin tespiti veya denetim komitesinin etkin bir gözetim sağlamaması da bu kapsamda değerlendirilir. Bilgi sistemleri denetim raporları, aksi belirtilmedikçe finansal tablo bağımsız denetim raporuyla birlikte tamamlanır. Bu raporlar gizli bilgi niteliğindedir, yayımlanamaz ve reklam amaçlı kullanılamaz. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik hükümleri, bankaların teknolojik altyapılarını nasıl yönetmeleri gerektiğini asgari usul ve esaslar bazında belirler. Bu yönetmelikte bilgi varlığı; veriler, sistemler, yazılımlar, ağ cihazları ve iş süreçleri gibi banka için değeri olan tüm unsurları kapsar. Yönetim kurulunun sorumluluğu altında, bilgi sistemleri strateji komitesi ve bilgi sistemleri yönlendirme komitesi kurulması zorunludur. Strateji komitesi, yatırımların iş hedefleriyle uyumunu gözetir ve yılda en az iki defa toplanarak yılda en az bir defa yönetim kuruluna rapor sunar. Yönlendirme komitesi ise projelerin önceliklendirilmesi ve kaynak çatışmalarının çözümü ile ilgilenir. Bilgi güvenliği yönetimi kapsamında ise yönetim kurulu adına faaliyet gösteren bir bilgi güvenliği komitesi tesis edilmelidir. Bankalarda bilgi sistemleri fonksiyonundan bağımsız bir bilgi sistemleri güvenlik fonksiyonu oluşturulması ve bu yapının doğrudan yönetim kuruluna veya genel müdüre bağlı olması esastır. Bilgi güvenliği sorumlusu, politikaların oluşturulması, risk yönetimine katkı sunulması ve farkındalık programlarının yürütülmesinden sorumludur. İş sürekliliği yönetimi kapsamında ise bir bilgi sistemleri süreklilik planı hazırlanmalı ve bu süreci yönetecek bir komite kurulmalıdır. Siber olay yönetimi başlığında ise bankaların kurumsal bir siber olaylara müdahale ekibi yani SOME kurması ve bu ekibin iletişim bilgilerini Bankacılık Düzenleme ve Denetleme Kurumu’ya iletmesi zorunludur. Ciddi kesintilere yol açan siber olaylarda kök neden analizi yapılarak sektörel SOME’ye bildirimde bulunulmalıdır. Sızma testleri, banka bilgi sistemlerindeki güvenlik açıklarının tespiti için yılda en az bir defa bağımsız ekiplere yaptırılmalıdır. Bu testler; iletişim altyapısı, DNS servisleri, e-posta, veritabanı, web ve mobil uygulamalar, kablosuz ağlar ve ATM sistemleri gibi geniş bir alanı kapsamalıdır. Ayrıca sosyal mühendislik ve dağıtık servis dışı bırakma testleri de bu kapsamda yer alır. Birincil ve ikincil sistemlerin yurt içinde bulundurulması zorunluluğu, veri egemenliği ve güvenlik açısından kritik bir kuraldır. Bankacılık işlemlerinin yurt dışı bağlantısı kesilse dahi yurt içindeki sistemler üzerinden devam edebilmesi şarttır. Dış hizmet veya bulut bilişim hizmeti alınması durumunda da bu sistemlerin ve yedeklerinin yurt içinde bulunması zorunluluğu devam eder. İç kontrol ve iç denetim fonksiyonlarına dair tecrübe şartları da sınavda dikkat edilmesi gereken hususlardandır. Bilgi sistemleri iç kontrol sorumlusu ve iç denetim sorumlusu için en az beş yıllık mesleki tecrübe şartı aranmaktadır. İç denetim planları yıllık olarak hazırlanmalı ve denetim komitesinin onayından geçmelidir. Bilgi sistemleri iç denetim döngüsü iki yılı aşmayacak şekilde kurgulanmalıdır. Risk yönetimi sürecinde ise varlık envanterinin çıkarılması, tehditlerin analizi, risk derecelendirmesi ve aksiyon planlarının oluşturulması adımları izlenir. Kabul edilen risklerin, koşulların değişme ihtimaline karşı periyodik olarak gözden geçirilmesi ve yılda en az bir defa üst yönetime raporlanması gerekmektedir. Son olarak Gelir İdaresi Başkanlığı tarafından düzenlenen e-Belge özel entegratörlerine ilişkin esaslara değinelim. Özel entegratörler, bilgi sistemleri denetimini iki yılda bir yaptırmak zorundadır. Hazırlanan denetim raporları, rapor tarihinden itibaren en fazla iki yıl süreyle geçerlidir ve raporun tamamlanmasını takip eden on beş gün içinde GİB’e yazılı olarak gönderilmesi zorunludur. Raporun süresinde teslim edilmemesi durumunda özel entegratörün izni askıya alınır ve altı aylık bir ek süre tanınır. Bu süre sonunda da yükümlülük yerine getirilmezse izin iptal edilir. Özel entegratörlerin ISO yirmi bin:bir iki bin on bir, ISO yirmi yedi bin bir:iki bin on üç ve ISO yirmi iki bin üç yüz bir sertifikalarına sahip olmaları ve yılda en az bir kez sızma testi yaptırmaları zorunludur. Denetim raporunun olumlu olması durumunda, tespit edilen eksiklikler için bir eylem planı sunulması yeterliyken, olumsuz raporlar faaliyet izninin iptaline kadar varan yaptırımlara yol açabilmektedir.
Bölüm 14
Özel entegratör kuruluşlarının yasal yükümlülükleri ve denetim süreçlerini ele alarak dersimize başlayalım. Özel entegratör kuruluşları, vergi mevzuatı kapsamında elektronik ortamda oluşturulmasına imkan verilen ve e-belge olarak adlandırılan belgelerin oluşturulması, imzalanması, iletilmesi veya saklanmasına ilişkin hizmetlerin tamamını veya bir kısmını verme yetkisine sahiptirler. Bu kuruluşların faaliyetlerinin güvenilirliği, bilgi sistemleri denetimi ile yakından ilişkilidir. Mevzuat uyarınca özel entegratör kuruluşları, bilgi sistemleri denetimini, ilk denetim tarihini takip eden her iki yılda bir yaptırmakla yükümlüdürler. Bu noktada sınav açısından sürelerin takibi büyük önem arz etmektedir. Bakanlık ya da Gelir İdaresi Başkanlığı, kısa adıyla GİB, gerek görmesi durumunda bu kuruluşların altyapı sistemlerini dilediği anda ve dilediği şekilde denetleme veya denetletme yetkisine sahiptir. Bilgi sistemleri bağımsız denetim raporlarının geçerlilik süresi ve ibraz süreçlerine dair düzenlemeleri inceleyelim. GİB’e sunulan bilgi sistemleri bağımsız denetim raporları, rapor tarihinden itibaren en fazla iki yıl süre ile geçerli kabul edilmektedir. Kuruluşlar, söz konusu sürenin bitiminden önce yeni bilgi sistemleri bağımsız denetim raporunu GİB’e ibraz etmek zorundadırlar. Denetim raporunun GİB’e gönderilme süresi ise rapor tarihinden itibaren en geç on beş gün olarak belirlenmiştir ve bu gönderimin yazılı olarak yapılması şarttır. GİB, yetkilendirilmiş özel entegratörlere veya ilk başvuru aşamasında olan adaylara ilişkin denetim sonuçlarını ebelge.gib.gov.tr internet adresi üzerinden kamuoyuyla paylaşabilir. Belirlenen yasal süreler içerisinde denetim raporu GİB’e ulaşmamış olan özel entegratörler ile aday kuruluşların izinleri veya başvuruları öncelikle askıya alınır. Bu durum ilgili internet adresinden duyurulur. Askıya alma işleminin ardından özel entegratöre denetim raporlarını teslim etmesi için altı aylık bir ek süre tanınır. Bu altı aylık süre zarfında da denetim raporlarını teslim etmeyen veya edemeyen özel entegratörün faaliyet izni iptal edilir. Bilgi sistemleri denetiminin kapsamı ve teknik gereklilikleri üzerine devam edelim. İlgili kılavuzda denetimin içeriği oldukça geniş tutulmuştur. Bu kapsamda kritik varlıklar ve aktörler, fiziki güvenlik şartları ve tedbirleri, sızma testleri, risk yönetimi, iş sürekliliği ve felaketten kurtarma merkezi yönetimi, değişiklik yönetimi, denetim izlerinin oluşturulması ve saklanması gibi başlıklar denetimin temelini oluşturur. Ayrıca dış hizmet alımı, personelin niteliğine ilişkin gereksinimler, uluslararası standartlara ilişkin sertifikasyonlar ve özel entegratörün denetime ilişkin sorumlulukları da bu kapsamdadır. Kılavuzun eklerinde ise denetim değerlendirme sınıfları kontrol tabloları, denetçinin görüşünü oluşturması için rehber bilgiler, denetim rapor formatı ve görüş yazısı şablonları yer almaktadır. Sınavda karşınıza çıkabilecek teknik bir ayrıntı olarak, özel entegratör kuruluşlarının yılda en az bir kez sızma testi yaptırmakla yükümlü olduklarını belirtmek gerekir. Bu testlerde tespit edilen açıklara ilişkin alınan tedbirler ve bir takvime bağlanmış eylem planı mutlaka kayıt altına alınmalıdır. Özel entegratör kuruluşu, ilk denetim haricindeki bilgi sistemleri bağımsız denetimi sırasında, son iki sızma testi raporunu ve alınan tedbirlerin yer aldığı kayıtları denetçiye bildirmek zorundadır. Sertifikasyon süreçleri ve denetim sonuçlarına göre uygulanacak yaptırımları detaylandıralım. Özel entegratör kuruluşları, bilgi sistemlerinin tamamını içerecek bir kapsamda belirli sertifikasyon belgelerine sahip olmalıdır. Bu belgeler ISO/IEC yirmi bin taksim bir iki bin on bir Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi, ISO/IEC yirmi yedi bin bir iki bin on üç Bilgi Güvenliği Yönetim Sistemi Belgesi ve ISO yirmi iki bin üç yüz bir İş Sürekliliği Yönetim Sistemi Belgesi olarak sıralanmaktadır. GİB, denetim raporunun sonuçlarına göre üç farklı kategoride yaptırım uygulayabilir. Rapor sonucunun olumlu olması halinde, varsa tebliğ edilen eksikliklerin giderilmesine ilişkin eylem planı on beş gün içinde GİB’e bildirilmelidir. Şartlı görüş veya görüşten kaçınma durumunda kuruluş ivedilikle uyarılır ve denetimin en geç doksan gün içinde tekrarlanması istenir. Eğer üst üste iki kez şartlı görüş veya görüşten kaçınma durumu yaşanırsa, kuruluşun faaliyeti olumlu görüş alana kadar askıya alınır. Bu askıya alma süresi üç aydan kısa olamaz. Rapor sonucunun olumsuz olması durumunda ise faaliyet ivedilikle geçici süreyle durdurulur. altı ay içinde olumlu görüş bildiren yeni bir rapor sunulmazsa yetki iptal edilir. Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu, yani SEDDK tarafından getirilen düzenlemelere geçelim. yirmi beş Kasım iki bin yirmi bir tarihli ve otuz bir bin altı yüz yetmiş sayılı Resmi Gazete’de yayımlanan Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik, sektördeki kuruluşların iç kontrol, risk yönetimi, aktüerya ve iç denetim sistemlerini düzenlemektedir. Bu yönetmelik, bilgi sistemlerinin kullanılmasından kaynaklı risklerin izlenmesini ve kontrolünü zorunlu kılar. Bilgi sistemleri tanımı, Bankacılık Düzenleme ve Denetleme Kurumu yönetmeliği ile paralellik göstermektedir. Yönetmelik uyarınca, genel bilgi sistemi kontrolünün yapılması için COBIT çerçevesi esas alınmaktadır. Kuruluşlar, her yıl nisan ayı sonuna kadar SEDDK’ya üç temel rapor göndermekle yükümlüdür. Bunlar iş süreçleri raporu, bilgi sistemleri raporu ve iç kontrol fonksiyonuna ilişkin yıl içinde yapılan kontrolleri içeren rapordur. Bu raporların birim yöneticisi ve en az bir denetim komitesi üyesi tarafından imzalanmış olması şarttır. Türkiye Cumhuriyet Merkez Bankası tarafından ödeme ve elektronik para kuruluşları için getirilen düzenlemeleri ele alalım. bir Aralık iki bin yirmi bir tarihli ve otuz bir bin altı yüz yetmiş altı sayılı Resmi Gazete’de yayımlanan tebliğ, bu kuruluşların bilgi sistemleri yönetimi ve denetimi ile veri paylaşım servislerine ilişkin usul ve esasları belirlemiştir. Tebliğ kapsamında bilgi sistemleri; donanım, yazılım, veri, süreç ve insan kaynağından oluşan yapının tamamı olarak tanımlanmıştır. Bilgi sistemleri denetimi bu kuruluşlarda iki yılda bir gerçekleştirilir. Yeni faaliyet izni alan bir kuruluş için ilk denetim, izni takip eden yılı kapsayacak şekilde yürütülür. Denetim raporlarının, denetim dönemini izleyen yılın şubat ayı sonuna kadar Merkez Bankası’na bildirilmesi gerekmektedir. Ayrıca bu kuruluşlar, bilgi güvenliği gereklerinin yerine getirilmesi amacıyla yılda en az bir defa sızma testi yaptırmak zorundadırlar. Sızma testleri, sızma testi konusunda ulusal veya uluslararası belgeye sahip bağımsız gerçek veya tüzel kişilerce yapılmalıdır. Sayıştay Başkanlığı’nın bilgi sistemleri denetimindeki rolünü inceleyerek devam edelim. Sayıştay, kamu kurumlarının finansal süreçlerinde bilgi sistemlerini yoğun olarak kullanması nedeniyle iki bin on üç yılında Bilişim Sistemleri Denetim Rehberi’ni yayımlamıştır. Bu rehberin amacı, kamu kurumlarındaki mali denetim sürecine destek vermek ve bilgi sistemlerindeki kontrol zayıflıklarını tespit etmektir. Rehber hazırlanırken Bilgi Güvenliği Standartları, Uluslararası Sayıştaylar Birliği rehberleri ve ISACA standartlarından yararlanılmıştır. Sayıştay’ın yaklaşımı süreç odaklıdır ve denetimin planlanması, sistem kontrollerinin değerlendirilmesi ile sonuçların raporlanması aşamalarından oluşur. Bu rehber, genel ve uygulama kontrollerine ilişkin sistem kontrollerinin nasıl değerlendirileceğine dair kapsamlı düzenlemeler içermektedir. Uluslararası düzenlemeler ve standartlar konusuna geçiş yapalım. Bilgi sistemleri denetimi alanında dünya genelinde kabul görmüş COBIT, ISO/IEC yirmi yedi bin serisi, COSO, ITAF ve ITIL gibi çerçeveler bulunmaktadır. Bu standartlar, gelişen teknolojilere uyum sağlamak ve denetimlerin objektifliğini artırmak amacıyla sürekli güncellenmektedir. Bilgi Sistemleri Bağımsız Denetim Tebliği’nde hüküm bulunmayan hallerde bu uluslararası standartların ve mesleki en iyi uygulamaların esas alınacağı belirtilmiştir. Bu nedenle sınav başarısı için bu çerçevelerin temel özelliklerini bilmek elzemdir. COBIT çerçevesini detaylı olarak ele alalım. Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri anlamına gelen COBIT, işletmelerin bilgi sistemlerinden kaynaklanan riskleri yönetmesi ve bu sistemlerden en yüksek faydayı sağlaması için oluşturulmuş bir öneriler bütünüdür. COBIT, işletmelerin ne yapması gerektiğine odaklanır, ancak bunların nasıl yapılacağı konusundaki teknik detaylarla ilgilenmez. İlk kez bin dokuz yüz doksan altı yılında oluşturulan COBIT, zamanla denetim odaklı bir yapıdan yönetim ve yönetişim odaklı bir yapıya evrilmiştir. En güncel sürüm olan COBIT iki bin on dokuz, dijitalleşme ve yeni teknoloji trendlerini içerecek şekilde yapılandırılmıştır. COBIT iki bin on dokuz’un performans yönetimi, yetenek ve olgunluk seviyelerinin sıfır ile beş arasında ölçüldüğü CMMI Performans Yönetim Planı’na dayanmaktadır. COBIT çerçevesinin temel ilkelerini ve kolaylaştırıcı unsurlarını inceleyelim. COBIT’in altı temel ilkesi bulunmaktadır. Bunlar paydaşa değer sağlama, bütüncül yaklaşım, dinamik yönetişim sistemi, yönetimden ayrı yönetişim, uçtan uca yönetişim sistemi ve kurumsal ihtiyaçlara uyarlamadır. Bu ilkeler yedi adet alt kolaylaştırıcı ilkeye dayanır. Bu kolaylaştırıcılar; ilkeler, politikalar ve çerçeveler, süreçler, bilgi, örgütsel yapılar, kültür, etik ve davranış, hizmetler, altyapı ve uygulamalar ile insanlar, beceriler ve yetkinlikler olarak tanımlanmıştır. COBIT beş ile birlikte sistem teorisinin temel varsayımları kullanılarak bütüncül bir yaklaşım benimsenmiştir. ISO/IEC yirmi yedi bin standart serisi ve özellikle ISO yirmi yedi bin bir Bilgi Güvenliği Yönetim Sistemi standardı üzerinde duralım. ISO yirmi yedi bin bir, bilgi güvenliği yönetim sistemi için gereklilikleri ortaya koyan ve uluslararası alanda en iyi uygulama olarak kabul edilen ana standarttır. Bilgi güvenliği; gizlilik, bütünlük ve süreklilik olmak üzere üç temel unsurdan meydana gelir. Bu unsurlardan herhangi birinin zarar görmesi güvenlik zafiyeti olarak nitelendirilir. ISO yirmi yedi bin bir standardı on temel alanda güvenliğin sağlanmasına odaklanır. Bu alanlar güvenlik politikası, organizasyonel güvenlik, varlık sınıflaması ve kontrolü, personel güvenliği, fiziksel ve çevresel güvenlik, iletişim ve operasyon yönetimi, erişim kontrolü, sistem geliştirme ve bakım, iş sürekliliği yönetimi ve uyumdur. ISO yirmi yedi bin bir’in odaklandığı bu on alanı daha yakından incelemek sınav sorularını yanıtlamak adına faydalı olacaktır. Güvenlik politikası, üst yönetimin bilgi güvenliğine olan taahhüdünü yansıtır. Organizasyonel güvenlik, işletme içinde bir yönetim çerçevesi oluşturulmasını gerektirir. Varlık sınıflaması ve kontrolü aşamasında tüm bilgi, yazılım, fiziksel ve soyut varlıkların envanteri tutulmalıdır. Personel güvenliği, hırsızlık ve dolandırıcılık gibi risklere karşı eğitim ve gizlilik anlaşmalarını kapsar. Fiziksel ve çevresel güvenlik, tesislerin yangın, sel gibi afetlere ve yetkisiz girişlere karşı korunmasını hedefler. İletişim ve operasyon yönetimi, doğru dokümante edilmiş operasyonel prosedürlerin varlığını şart koşar. Erişim kontrolü, izin verilmedikçe her şey yasaktır prensibiyle hareket eder. Sistem geliştirme ve bakım sürecinde güvenlik, sistemin en başından itibaren tasarıma dahil edilmelidir. İş sürekliliği yönetimi, felaket anında aksaklıkları azaltacak planların test edilmesini içerir. Uyum ise yasal ve sözleşmeye bağlı gereksinimlerin karşılanmasını ifade eder. ITAF çerçevesine geçelim. Bilgi Teknolojisi Güvence Çerçevesi olarak bilinen ITAF, bilgi sistemleri denetim ve güvence uzmanlarının rol, sorumluluk, bilgi ve becerilerine yönelik standartlar oluşturur. ITAF, ISACA tarafından geliştirilmiştir ve üç ana bölümden oluşur. Bunlar standartlar, kılavuzlar ve araçlar ile tekniklerdir. ITAF, denetçiler için tek bir referans kaynağı sunarak denetim programlarının etkinliğini artırmayı amaçlar. Denetimlerinde ITAF’ı uygulayan bir denetçi, çerçeve içindeki standartlara uymak zorundadır; ancak rehberler ve araçlar zorunlu olmayan destekleyici unsurlardır. COSO çerçevelerini ve iç kontrol bileşenlerini analiz edelim. COSO, finansal raporlamanın kalitesini artırmak amacıyla kurulmuş gönüllü bir kuruluştur. COSO’nun iki temel çerçevesi vardır. Birincisi İç Kontrol Entegre Çerçevesi, ikincisi ise Kurumsal Risk Yönetimi çerçevesidir. COSO iç kontrol modeli beş bileşenden oluşur. Kontrol ortamı, iç kontrolün temelini oluşturur ve işletmenin disiplinini belirler. Risk değerlendirmesi, hedeflere ulaşmayı engelleyebilecek risklerin analiz edilmesidir. Kontrol faaliyetleri, riskleri azaltmaya yönelik politika ve prosedürlerdir. Bilgi ve iletişim, bilginin işletme içinde ve dışında doğru şekilde akmasını sağlar. İzleme ise sistemin performansının zaman içinde değerlendirilmesidir. Bu yapı COSO küpü olarak tasvir edilir ve unsurlar, amaçlar ve örgüt yapısı olmak üzere üç boyutu kapsar. COSO Kurumsal Risk Yönetimi modelini inceleyelim. Bu model iki bin on yedi yılında güncellenmiş olup beş bileşen ve yirmi ilkeden oluşmaktadır. Bileşenler; yönetişim ve kültür, strateji ve hedef oluşturma, performans, gözden geçirme ve düzeltme ile bilgi, iletişim ve raporlamadır. Kurumsal risk yönetimi, iç kontrol çerçevesini genişleterek risk yönetimi ile birleştirir. Bu modelde risk iştahı kavramı strateji belirleme süreciyle entegre edilir. Performans bileşeni altında risklerin tanımlanması, şiddetlerinin değerlendirilmesi ve önceliklendirilmesi süreçleri yer alır. İnceleme ve revizyon aşamasında ise organizasyondaki önemli değişikliklerin risk yönetimi üzerindeki etkileri gözden geçirilir. Son olarak ITIL servis yönetim metodolojisini ele alalım. Bilgi Teknolojisi Altyapı Kütüphanesi olan ITIL, bilgi teknolojileri hizmetlerini en iyi kalitede yönetmek için geliştirilmiş bir rehberdir. ITIL v3 sürümünde hizmet yaşam döngüsü beş aşamada açıklanmıştır. Bu aşamalar hizmet stratejisi, hizmet tasarımı, hizmet geçişi, hizmet operasyonu ve devamlı hizmet iyileştirmedir. iki bin on dokuz yılında yayımlanan ITIL dört ise hizmet yönetimine daha bütünsel bir yaklaşım getirmiştir. ITIL dört servis değer sistemi; servis değer zinciri, rehber ilkeler, yönetişim, pratikler ve sürekli iyileştirme unsurlarından oluşur. ITIL uygulayan işletmeler maliyetleri düşürmeyi, erişilebilirliği artırmayı ve kaynakları verimli kullanmayı hedeflerler. Bu sistemin başarılı entegrasyonu, işletmenin iş ihtiyaçlarına uygun hizmetleri sürekli olarak geliştirmesini sağlar.
Bölüm 15
Kurumsal risk yönetiminin temel taşlarından biri olan bilginin paylaşılması, organizasyonun tüm kademelerinde sürekli tekrar eden dinamik bir süreç olarak karşımıza çıkmaktadır. Yönetim, kurumsal risk yönetimini sağlıklı bir zemine oturtmak ve desteklemek amacıyla hem kurum içerisinden hem de dış kaynaklardan elde edilen uygun bilgileri kullanmak durumundadır. Organizasyonlar, bu devasa bilgi ve veri yığınını tutmak, işlemek ve etkin bir şekilde yönetmek için bilgi sistemlerinden en üst düzeyde yararlanır. Tüm bileşenlere ilişkin veriler titizlikle işlenerek organizasyon kültürü, risk algısı ve performans göstergelerine dair kapsamlı raporlamalar üretilir. Bu noktada kurumsal risk yönetimi çerçevesinde bilginin ve teknolojinin etkin kullanımı, riske ilişkin verilerin doğru kanallarla iletilmesi ve risk, kültür ile performans üçgeninde raporlama yapılması temel ilkeler olarak belirlenmiştir. COSO tarafından yayınlanan bu çerçevelerin birbirinin alternatifi olmadığını, aksine birbirini tamamlayan yapılar olduğunu belirtmek gerekir. Kurumsal risk yönetimi çerçevesi, iç kontrol çerçevesini genişleterek risk yönetimi ile entegre etmiş ve işletmenin yönetim yapısını desteklemede iç kontrolden çok daha geniş bir perspektif sunmuştur. Bu ayrım, sınav sorularında sıklıkla karşımıza çıkabilecek temel bir teorik bilgidir. Bilgi teknolojileri hizmetlerinin yönetiminde dünya çapında kabul görmüş bir diğer önemli metodoloji ise kısa adı ITIL olan Bilgi Teknolojisi Altyapı Kütüphanesidir. ITIL, servis yönetimini eksiksiz ve en yüksek kalitede gerçekleştirmek için geliştirilmiş bir rehber niteliğindedir. Tarihsel gelişimine baktığımızda, 1980li yıllarda İngiltere Ticaret Bakanlığı tarafından bilgi teknolojileri altyapı ve hizmet süreçlerini standartlaştırmak amacıyla başlatıldığını görmekteyiz. İlk versiyonu bin dokuz yüz seksen beş yılında yayınlanmış olsa da, asıl disipliner yaklaşım iki bin bir yılında sekiz kitap halinde yayınlanan ikinci versiyon ile ön plana çıkmıştır. iki bin yedi yılında yayınlanan üçüncü versiyon ile modüler yapıdan hizmet yaşam döngüsü yapısına geçilmiş, böylece bir servisin planlanmasından sonlandırılmasına kadar geçen tüm süreç kapsama alınmıştır. iki bin on dokuz yılında yayınlanan ITIL dört versiyonu ise modern bilgi teknolojileri ortamına uyum sağlamak amacıyla daha bütünsel ve kapsayıcı bir yaklaşım getirmiştir. Bu gelişim süreci ve versiyonlar arasındaki temel farklar, özellikle yaşam döngüsü ve bütünsel yaklaşım kavramları üzerinden sınavda sorgulanabilmektedir. ITIL çerçevesinde bilgi sistemleri hizmet yönetimi; iş ihtiyaçlarına uygun hizmetlerin planlanması, tedarik edilmesi, tasarlanması, uygulanması, işletilmesi, desteklenmesi ve geliştirilmesi süreçlerini kapsar. Bu yaklaşım, işletmelere maliyetleri düşürme, erişilebilirliği artırma, kapasiteyi doğru ayarlama ve kaynakların verimli kullanılmasını sağlama gibi stratejik avantajlar sunar. ITIL’ın hizmet yaşam döngüsü beş ana aşamadan oluşmaktadır. Bu aşamalar sırasıyla hizmet stratejisi, hizmet tasarımı, hizmet geçişi, hizmet operasyonu ve devamlı hizmet iyileştirmedir. İşletmeler önce uzun dönemli hedeflerini belirleyen bir strateji oluşturur, bu doğrultuda tasarımlarını yapar ve hizmeti canlı ortama geçirir. Hizmetin sürekliliğini sağlamak ve performansı artırmak için operasyonel çalışmalar ve sürekli iyileştirme faaliyetleri yürütülür. ITIL dört ile birlikte hayatımıza giren servis değer sistemi ise beş stratejik unsurdan oluşur. Bu unsurlar servis değer zinciri, ITIL pratikleri, rehber ilkeler, yönetişim ve sürekli iyileştirmedir. Bu sistemin temel amacı, fırsat ve talepleri girdi olarak alıp müşteri için somut bir değer üretmektir. Servis değer zinciri, ürün ve servislerin etkin yönetimi için gerekli olan tüm faaliyetleri içeren bir işletim modelidir. Bu zincir içerisinde planlama, geliştirme, etkileşim, tasarım ve geçiş, elde etme ve oluşturma ile yaygınlaştırma ve destek olmak üzere altı temel faaliyet bulunur. ITIL, işletmelere belirli süreçleri dikte etmek yerine, kendi uygulamalarını inşa edebilecekleri esnek bir rehberlik sunar. Bu çerçeve, iş ve bilgi sistemleri stratejilerinin hizalanması, risklerin takibi ve kaliteli servis sunumu gibi konularda işletmelere büyük faydalar sağlar. Özellikle boşa harcanan zaman ve maliyetin azaltılması, son ürün kalitesinin ve dolayısıyla müşteri memnuniyetinin artırılması ITIL uygulamasının en somut çıktıları arasındadır. Sınav hazırlığında olan adayların, ITIL’ın bir zorunluluk değil, en iyi uygulama örneği sağlayan bir çerçeve olduğunu ve işletme kültürüne entegre edilmesi gerektiğini bilmesi önem arz etmektedir. Bilgi sistemleri denetimi süreçlerinde Uluslararası Denetim Standartları, yani ISA, oldukça kritik bir role sahiptir. Uluslararası Denetim ve Güvence Standartları Kurulu olan IAASB tarafından yayınlanan bu standartlar, kamu yararını gözeterek yüksek kalitede denetim yapılmasını hedefler. ISA standartları doğrudan finansal tablo denetimi için tasarlanmış olsa da, kontrol ortamına ve denetim prosedürlerine ilişkin hükümleri nedeniyle bilgi sistemleri denetiminde de kıyasen uygulanmaktadır. Sermaye Piyasası Kurulu ve Bankacılık Düzenleme ve Denetleme Kurumu düzenlemelerinde de bu standartlara sıkça atıf yapıldığı görülmektedir. Bilgi sistemleri denetçisinin, işletmenin bilgi teknolojisi yapısı hakkında derinlemesine bilgi sahibi olması ve risk değerlendirmesinde uzmanlık desteğine ihtiyaç duyabileceği bu standartlarda açıkça ifade edilmiştir. Sınavda, hangi ISA standardının hangi denetim alanıyla ilgili olduğu ve bilgi sistemleri üzerindeki etkileri sıklıkla sorulmaktadır. Bu standartlardan ISA iki yüz kırk, finansal tabloların denetiminde denetçinin hileye ilişkin sorumluluklarını düzenler. Hileyi hatadan ayıran temel unsurun kasıtlı yapılması olduğu bu standartta vurgulanır. Denetçi, hileli finansal raporlama ve varlıkların kötüye kullanılması olmak üzere iki tür kasıtlı yanlışlıkla ilgilenir. Yönetim hilesini tespit etmenin, çalışan hilesini tespit etmekten çok daha zor olduğu gerçeği denetim planlamasında dikkate alınmalıdır. Hilenin önlenmesinde asıl sorumluluk yönetime ait olsa da, denetçi makul bir güvence sağlamak için denetimi planlamalıdır. ISA iki yüz kırk’ın uygulama rehberinde, denetçinin adli bilişim ve bilgi sistemleri gibi teknik alanlarda uzman kişileri görevlendirebileceği belirtilmiştir. ISA iki yüz altmış beş ise denetim sırasında tespit edilen iç kontrol eksikliklerinin yönetime bildirilmesi sürecini ele alır. Denetçinin, tespit ettiği önemli iç kontrol eksikliklerini üst yönetime zamanında ve yazılı olarak bildirmesi yasal bir zorunluluktur. Denetimin planlanması aşamasında ISA üç yüz standardı devreye girer. Bu standart, verilerin erişilebilirliği ve bilgisayar destekli denetim tekniklerinin kullanımı gibi bilgi sistemlerinin denetim metodolojisi üzerindeki etkilerinin dikkate alınmasını gerektirir. ISA üç yüz on beş ise işletmenin iç kontrolleri dahil olmak üzere çevresini tanıması ve riskleri belirlemesi sürecini düzenler. Bu standartta bilgi sistemleri konusu, iç kontroldeki kritik önemi nedeniyle çok detaylı bir şekilde işlenmiştir. Bilgi işleme kontrolleri, bilgi teknolojisi çevresi, altyapısı ve süreçleri gibi kavramlar burada tanımlanmıştır. Bilgi teknolojisi altyapısı; ağ, işletim sistemleri, veri tabanları ve bunlarla ilgili donanım ve yazılımlardan oluşur. Genel bilgi teknolojisi kontrolleri ise sistemin sürekli ve doğru çalışmasını destekleyen süreçler üzerindeki kontrollerdir. Sınavda bu tanımların birbirine karıştırılmaması, özellikle genel kontroller ile uygulama kontrolleri arasındaki farkın iyi bilinmesi gerekmektedir. ISA üç yüz otuz standardı, belirlenen risklere karşı uygulanacak denetim prosedürlerini açıklar. Denetçi, kontrol testleri veya maddi doğrulama prosedürleri uygulayarak yeterli kanıt elde etmeye çalışır. Bilgisayar destekli denetim tekniklerinin kullanılması, elektronik işlemlerin daha kapsamlı test edilmesine ve örneklem yerine ana kitlenin tamamının incelenmesine olanak tanır. ISA dört yüz iki ise dışarıdan hizmet alan işletmelerde denetçinin sorumluluğunu düzenler. Eğer bir işletme finansal raporlamaya ilişkin bilgi sistemleri faaliyetlerini dışarıdan bir kuruluştan alıyorsa, denetçi bu hizmet sağlayıcının kontrollerini de denetim kapsamına dahil etmelidir. Bu durum, günümüzde bulut bilişim ve dış kaynak kullanımı arttığı için denetim pratiğinde hayati bir öneme sahiptir. Etik ilkeler ve kurallar, bilgi sistemleri denetçileri için mesleki saygınlığın ve güvenilirliğin temelini oluşturur. Türkiye’de Kamu Gözetimi Kurumu tarafından yayınlanan Bağımsız Denetçiler İçin Etik Kurallar, sermaye piyasasında denetim yapanlar için kıyasen uygulanmaktadır. Bu kurallar, uluslararası etik kodların Türkçe tercümesi olup kamu yararına hareket etme sorumluluğunu merkeze alır. Denetçiler için beş temel etik ilke belirlenmiştir: dürüstlük, tarafsızlık, mesleki yeterlilik ve özen, sır saklama ve mesleğe uygun davranış. Dürüstlük ilkesi, tüm ilişkilerde doğru ve güvenilir olmayı gerektirirken; tarafsızlık ilkesi, önyargı ve çıkar çatışmalarının kararları etkilemesine izin verilmemesini emreder. Mesleki yeterlilik ve özen, güncel standartlara uygun bilgi birikimine sahip olmayı ve dikkatli hareket etmeyi kapsar. Sır saklama ilkesi ise elde edilen gizli bilgilerin yetkisiz kişilerle paylaşılmamasını ve kişisel çıkar için kullanılmamasını sağlar. Ancak mevzuatın zorunlu kıldığı veya müşterinin izin verdiği durumlarda bu bilgilerin açıklanması bir istisna teşkil edebilir. Etik kurallar çerçevesinde tehditlerin belirlenmesi ve değerlendirilmesi için kavramsal bir çerçeve kullanılır. Denetçiler, temel ilkelere uyumu engelleyebilecek beş ana tehdit türüne karşı dikkatli olmalıdır. Bunlar kişisel çıkar tehdidi, kendi kendini denetleme tehdidi, taraf tutma tehdidi, yakınlık tehdidi ve yıldırma tehdididir. Örneğin, bir denetçinin müşterisinde finansal çıkarının olması kişisel çıkar tehdidi oluştururken; daha önce kendisinin kurduğu bir sistemi denetlemesi kendi kendini denetleme tehdidi yaratır. Denetçinin bir müşterinin pozisyonunu tarafsızlığını bozacak şekilde savunması taraf tutma, müşteri ile uzun süreli ilişki içinde olması ise yakınlık tehdidi olarak adlandırılır. Müşteriden gelen baskılar nedeniyle tarafsızlığın engellenmesi ise yıldırma tehdidi kapsamındadır. Bu tehditlerin kabul edilebilir bir düzeye indirilmesi için gerekli önlemlerin alınması, aksi takdirde ilgili işin reddedilmesi veya sonlandırılması gerekir. Sınavda bu tehdit türleri senaryolar üzerinden sorulabilmektedir. Bağımsızlık standartları, etik kuralların en kritik bölümlerinden biridir ve hem esasta hem de şekilce bağımsızlığı kapsar. Esasta bağımsızlık, denetçinin mesleki muhakemesini etkileyecek unsurlardan ari olmasıdır. Şekilde bağımsızlık ise dışarıdan bakan makul bir üçüncü kişinin denetçinin tarafsızlığından şüphe duymayacağı bir durumun varlığıdır. Bağımsızlığa ilişkin çok spesifik kurallar mevcuttur. Örneğin, kamu yararı bulunan bir şirketin denetiminde, bir müşteriden alınan ücretlerin toplam ücretlerin yüzde on beş’inden fazlasını oluşturması durumunda bu durum üst yönetime bildirilmeli ve gerekli önlemler alınmalıdır. Denetim şirketleri, denetim işiyle ilgili şarta bağlı ücret talep edemezler. Ayrıca, denetim ekibi üyeleri küçük ve önemsiz değerler dışında müşteriden hediye veya ağırlama teklifi kabul edemezler. Banka olan bir müşteride normal ticari şartlar dışında mevduat hesabı bulundurulması veya kredi kullanılması da bağımsızlığı zedeleyen unsurlar arasındadır. Rotasyon kuralları da bağımsızlığın korunması açısından sınavda sıkça sorulan rakamsal veriler içerir. Kamu yararı bulunan şirketlerin denetiminde, sorumlu denetçi ve kilit denetçiler kümülatif olarak en fazla yedi yıl görev yapabilirler. Bu yedi yıllık azami denetlenebilir dönem sonunda, sorumlu denetçi için beş yıl, kalite gözden geçirme denetçisi için üç yıl ve diğer kilit denetçiler için iki yıl ara verme zorunluluğu bulunmaktadır. Bu süreler, denetçinin müşteri ile olan aşırı yakınlığının önüne geçmek amacıyla getirilmiştir. Ayrıca, denetim şirketi veya ağa dahil şirketler, denetim müşterisi adına yönetim sorumluluğu üstlenemezler. Bu yasaklar ve süreler, denetimin kalitesini ve tarafsızlığını korumaya yönelik kesin hükümlerdir. Son olarak, ISACA tarafından yayınlanan etik kurallar da bilgi sistemleri denetçileri için evrensel bir standart teşkil eder. ISACA üyeleri ve CISA sertifikası sahipleri, kurumsal bilgi sistemlerinin etkin yönetişimi için uygun standartları desteklemek, görevlerini mesleki titizlikle yerine getirmek ve paydaşların çıkarına yasal bir şekilde hizmet etmekle yükümlüdür. Bilgilerin gizliliğini korumak, sadece yetkin oldukları işleri kabul etmek ve denetim sonuçlarını tüm önemli hususları içerecek şekilde raporlamak ISACA’nın temel etik prensipleri arasındadır. Bu kurallara uyulmaması durumunda disiplin soruşturmaları ve sertifika iptali gibi yaptırımlar söz konusu olabilir. Bilgi sistemleri denetimi sınavına hazırlanan bir adayın, hem yerel mevzuattaki etik kuralları hem de ISACA gibi uluslararası kuruluşların belirlediği bu standartları bir bütün olarak kavraması, mesleki başarı için elzemdir.
Bölüm 16
Bilgi sistemleri denetiminde denetçinin bağımsızlığı ve etik kurallara uyumu, denetim faaliyetinin güvenilirliği açısından temel teşkil etmektedir. Bu kapsamda denetçilerin ve denetim kuruluşlarının uyması gereken katı kurallar bulunmaktadır. Denetim müşterisi olan bir banka veya benzeri finansal kuruluştan, normal borç verme şartları dışında kredi veya kredi garantisi kabul edilmesi kesinlikle yasaktır. Benzer şekilde, normal ticari şartlar altında tutulmadığı sürece, denetim müşterisi olan bir banka veya aracı kurumda mevduat ya da aracı kurum hesabı bulundurulamaz. Finansal çıkar ve iş ilişkileri konusunda da belirgin sınırlar mevcuttur. Denetim şirketi, ağa dahil şirketler veya denetim ekibi üyeleri, denetim müşterisi veya onun yönetimiyle yakın bir iş ilişkisi kuramazlar. Bu kuralın tek istisnası, söz konusu ilişkinin hem denetim kuruluşu hem de müşteri yönetimi açısından önemsiz bir düzeyde olmasıdır. Ayrıca, denetim şirketinin ortakları, kilit yöneticileri veya çalışanlarının, denetim müşterisinde yönetici veya yetkili olarak görev yapması yasaklanmıştır. Kamu yararı bulunan şirketlerin denetiminde, denetçilerin rotasyonu ve görev süreleri de belirli sınırlamalara tabidir. Sorumlu denetçi, işin kalitesini gözden geçirmekle görevli denetçi ve diğer kilit denetçi rollerini üstlenen kişiler, bu görevleri kümülatif olarak en fazla yedi yıl boyunca yürütebilirler. Bu yedi yıllık azami denetlenebilir dönemin sonunda, denetçilerin görevlerine ara vermeleri zorunludur. Sorumlu denetçi için bu ara verme süresi beş yıl olarak belirlenmiştir. Kaliteye yönelik gözden geçirmeden sorumlu olan denetçiler için ara verme süresi üç yıl, diğer kilit denetçi rollerindekiler için ise iki yıldır. Bu süreler sınav sorularında sıklıkla karşımıza çıkmaktadır ve her bir rol için belirlenen farklı soğuma sürelerinin karıştırılmaması gerekmektedir. Ayrıca, bir denetim şirketinin veya denetim ağına dahil bir şirketin, denetim müşterisi adına herhangi bir yönetim sorumluluğu üstlenmesi de mevzuat gereği mümkün değildir. Bilgi sistemleri denetimi alanında küresel düzeyde kabul gören ISACA etik kuralları, tüm CISA belgesi sahiplerini ve birlik üyelerini bağlamaktadır. Bu kurallar seti yedi temel maddeden oluşmaktadır. İlk olarak, üyeler kurumsal bilgi sistemlerinin ve teknolojisinin etkin yönetişimi için uygun standart ve prosedürlerin uygulanmasını desteklemek ve bunlara uyumu teşvik etmekle yükümlüdür. İkinci olarak, görevlerini mesleki standartlara uygun, tarafsız, gereken özen ve mesleki titizlik içinde yerine getirmelidirler. Üçüncü madde, paydaşların çıkarına yasal ve dürüst bir şekilde hizmet edilmesini, yüksek davranış ve karakter standartlarının korunmasını ve mesleğin itibarının zedelenmemesini emreder. Dördüncü madde gizlilik esasına odaklanır; denetçiler görevleri sırasında elde ettikleri bilgileri, yasal bir zorunluluk olmadıkça korumalı ve bu bilgileri kişisel çıkarları için kullanmamalıdır. Beşinci madde yetkinlik üzerinedir; denetçiler kendi alanlarındaki yetkinliklerini sürdürmeli ve yalnızca yeterli bilgi ve beceriye sahip oldukları işleri üstlenmelidir. Altıncı madde, denetim sonuçları hakkında paydaşları doğru bilgilendirmeyi, önemli hususları gizlememeyi gerektirir. Son madde ise paydaşların mesleki eğitimini desteklemeyi hedefler. Bu etik kurallara uyulmaması durumunda disiplin cezaları gündeme gelebilmektedir. Sermaye piyasası mevzuatı çerçevesinde bilgi sistemleri bağımsız denetim yükümlülüklerine dair bazı önemli ayrımlar bulunmaktadır. Örneğin Merkezi Kayıt Kuruluşu, Borsa İstanbul ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu gibi kurumlar ile geniş yetkili aracı kurumların bilgi sistemleri denetim yükümlülüğü bulunurken, halka açık ortaklıkların bu özel tebliğ kapsamında bir bilgi sistemleri bağımsız denetim yükümlülüğü bulunmamaktadır. Bu ayrım sınavda sıklıkla sorulan bir husustur. Ayrıca, Kamu Gözetimi Kurumu tarafından yayınlanan etik kuralların temel ilkeleri arasında dürüstlük, objektif olma, mesleki yeterlilik ve özen ile sır saklama yer alırken, meslekte en iyi olma gibi bir temel ilke bulunmamaktadır. Denetçinin gizli bilgileri açıklayabileceği durumlar da sınırlıdır. Mevzuatın izin vermesi ve müşterinin yetkilendirmesi, hukuki takip süreçlerinde zorunlu tutulması veya mesleki bir görev olarak açıklamanın gerekmesi bu durumlar arasındadır. Ancak mesleki ilişki sona erdikten sonra gizli bilgilerin açıklanması genel bir kural değildir ve etik ihlali sayılabilir. Bilgi sistemleri güvenliğinin sağlanmasında sızma testleri kritik bir rol oynamaktadır. Sızma testlerinin temel amacı, kurum ve kuruluşların bilgi sistemlerindeki olası güvenlik açıklarının, kötü niyetli bir saldırı gerçekleşmeden önce tespit edilerek düzeltilmesidir. Bu testlerin kapsamı oldukça geniştir ve asgari olarak iletişim altyapısı, aktif cihazlar, DNS servisleri, etki alanı ve kullanıcı bilgisayarları, e-posta servisleri, veri tabanı sistemleri, web uygulamaları, mobil uygulamalar, kablosuz ağ sistemleri, dağıtık servis dışı bırakma testleri, sosyal mühendislik testleri ve bulut sistemlerini içermelidir. Sızma testleri uygulanırken sistem tespiti, servis tespiti ve açıklık taraması adımları izlenir. Ayrıca, bir önceki testte tespit edilen bulguların giderilip giderilmediği de doğrulama testleri ile kontrol edilmelidir. Testler sırasında hizmet kesintisine yol açmamaya özen gösterilmeli, riskli testler kurumla koordineli bir şekilde planlanmalıdır. Sızma testleri belirli erişim noktalarından ve farklı kullanıcı profilleri kullanılarak gerçekleştirilir. Erişim noktaları temel olarak internet ve kurum iç ağı olarak ikiye ayrılır. İnternet üzerinden yapılan testlerde dış dünyaya açık servisler taranırken, iç ağ testlerinde kurumun yerel ağındaki sunucular ve kullanıcı bilgisayarları hedef alınır. Kullanıcı profilleri ise testin gerçekçiliğini artırmak için çeşitlendirilir. Anonim kullanıcı profili, internet üzerinden web servislerine erişebilen ancak yetkisi olmayan kişileri temsil eder. Müşteri profili, web uygulamalarına giriş yetkisi olan kurumsal veya bireysel kullanıcıları simüle eder. Personel profili ise kurum çalışanlarının sahip olduğu yetkilerle sistemde oluşturabileceği tehditleri ölçmek için kullanılır. Bu profilde özellikle yerel yönetici yetkisine sahip kullanıcılar da test edilmelidir. Eğer bu profiller dışında bir kullanıcı tipi kullanılırsa, bunun hak ve yetkileri raporda açıkça belirtilmelidir. Sızma testi sürecinin teknik adımları sistem tespiti ile başlar. Bu adımda sunucu ve ağ cihazlarının yapılandırma bilgileri toplanır. Ardından servis tespiti adımına geçilerek port taraması yapılır ve dışa açık servisler belirlenir. Son olarak açıklık taraması ve araştırması aşamasında, güncel açıklık veri tabanları kullanılarak sistemdeki muhtemel güvenlik açıkları ve bunların diğer bileşenler üzerindeki etkileri analiz edilir. İnternet üzerinden yapılan temel sızma testlerinde kurumun IP ağı taranırken, iç ağ testlerinde yerel ağ haritası tespiti, güvenlik duvarı atlatma denemeleri, araya girme teknikleri ve ele geçirilen sistemler üzerinden daha kritik bilgilere ulaşma çalışmaları yürütülür. Sızma testi sonuçlarının takibi, kurum yönetim kurullarının sorumluluğundadır. Tespit edilen bulgular, önem derecelerine ve oluşturdukları risklere göre bir aksiyon planı çerçevesinde giderilmelidir. Özellikle acil ve kritik olarak derecelendirilmiş bulguların ivedilikle kapatılması esastır. Sızma testi raporunda bulgu referans numarası, bulgu adı, önem derecesi, etkisi, erişim noktası ve kullanıcı profili gibi bilgiler standart bir formatta sunulmalıdır. Bulgu önem dereceleri beş kategoride sınıflandırılır. Acil derecesi, niteliksiz bir saldırganın dış ağdan sistemi tamamen ele geçirebildiği durumları ifade eder. Kritik derecesi ise nitelikli bir saldırganın aynı sonucu elde edebildiği açıklıklar içindir. Yüksek önem derecesi, kısıtlı hak yükseltme veya hizmet dışı bırakma saldırılarına sebep olan açıklıkları kapsar. Orta derece, yerel ağdan gerçekleştirilen hizmet dışı bırakma saldırılarını; düşük derece ise tam etkisi belirlenemeyen veya en iyi uygulama standartlarına uyulmamasından kaynaklanan eksiklikleri temsil eder. Bilgi sistemleri bağımsız denetim süreci sonunda denetçiler dört farklı türde görüş bildirebilirler. Olumlu görüş, kurumun bilgi sistemleri üzerinde ilgili tebliğe uygun olarak etkin, yeterli ve uyumlu kontrollerin tesis edildiği durumlarda verilir. Şartlı görüş ise denetim faaliyetine getirilen bazı sınırlandırmalar veya belirli süreçlerdeki kontrol eksiklikleri nedeniyle, bu hususların muhtemel etkileri hariç tutularak geri kalan kısımların uygun olduğu durumlarda kullanılır. Eğer bilgi sistemleri kontrolleri önemli ölçüde yetersiz veya uyumsuz bulunursa olumsuz görüş bildirilir. Denetçinin görüş bildirmesi için gerekli kanıtları toplayamadığı veya denetim kapsamının ciddi şekilde kısıtlandığı durumlarda ise görüşten kaçınma yoluna gidilir. Her denetim raporunda yönetim kurulunun sorumluluğu, denetim kuruluşunun sorumluluğu ve kontrollerin doğasından kaynaklanan kısıtlamalar açıkça belirtilmelidir. Özellikle doğal kısıtlar bölümünde, kontrollerin zayıflıklarının her zaman tespit edilemeyebileceği ve mevcut durumun gelecekte değişebileceği vurgulanmalıdır. Bu raporlama formatları ve görüş türleri, sermaye piyasası denetim standartlarının ayrılmaz bir parçasıdır ve sınavda rapor örnekleri üzerinden sorular gelebilmektedir.
İlk 5 dakika ücretsiz dinlendi
Kalan 183 dakikayı dinlemek ve tüm bölümlere erişmek için premium lisans gerekli.
Lisans Satın Al