Bilgi Sistemleri Danışmanlığı (IT), Bilgi teknolojisi (BT) denetimini tanımlamak için; Bir işletme veya kuruluşun bilgi teknolojisi sistemlerinin, yönetim ve operasyonlarının ve bunlarla ilişkili süreçlerin denetlenmesi olduğunu söyleyebiliriz.
BT denetimi;
- Düzenleyici otoritenin talebi üzerine zorunlu veya
- İhtiyari olarak isteğe bağlı yapılabilir.
Türkiye’de Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) bankaların bilgi sistemlerini ve bankacılık süreçlerini denetlemesi gerekmektedir. Söz konusu denetim, BDDK tarafından yetkilendirilmiş ve çıkarılan yönetmelikte aranan şartları sağlayan bağımsız denetim kuruluşları tarafından gerçekleştirilebilir.
Ancak, özellikle bankacılık sektörü dışında bağımsız denetime tabi işletmelerin BT denetimlerinin diğer bağımsız denetim kurumları ve denetçiler tarafından gönüllü olarak yapılması oldukça olasıdır.
Bilgi Sistemleri Danışmanlığı (IT)
Günümüzde birçok işletmenin muhasebe kayıt sistemleri, sağladıkları hizmet ve operasyonlarda çoğunlukla bilgisayarlar üzerinden yapıldığından, söz konusu işletmenin bağımsız denetimini gerçekleştirirken BT kontrollerinin yapılması ve sistem ve süreçlerin incelenmesi ihtiyacı doğmaktadır.
Denetim Türleri:
BT denetiminin yapılma amaçları aşağıdaki gibi sıralanabilir:
- İşletmelerin finansal tablolarını etkileyen BT sistemlerinden elde edilen verilerin güvenilirliğinin değerlendirilmesi.
- İlgili yürürlükteki yasalara, politikalara ve standartlara uygunluk düzeyini belirleyin.
- BT sistemlerinin kullanımı ve yönetiminde gereksiz ve aşırı uygulamaların bir sonucu olarak verimsizliğin tespiti ve kontrolü.
BT Denetimi Neden Önemli?
Birçok işletme Bilgi Teknolojilerine büyük miktarda para harcıyor. Örneğin, orta ölçekli bir işletmenin ERP sistemine yaptığı teknolojik yatırımın ve bundan sonra alınan hizmetin maliyetinin ne kadar maliyetli olduğunu herkes bilir. Bu nedenle, BT sistemleri güvenilir olmamalı, aynı zamanda güvenli olmalı ve olası teknolojik saldırılara karşı savunmasız olmamalıdır.
BT denetimi önemlidir. Çünkü kontrol; BT sistemlerinin yeterince korunduğuna, karar vericilere ve bilgi kullanıcılarına güvenilir bilgi sağladığına ve amaçlanan faydalarına ulaşmak için uygun şekilde yönetildiğine dair güvence sağlar.
İşletmelerdeki çoğu kullanıcı, bilgisayarların nasıl çalıştığını ve algoritmalarının nasıl çalıştığını bilmeden bilgi teknolojisine güvenir. Ancak bir bilgisayar hatası süresiz olarak tekrarlanabilir ve insan hatasından çok daha fazla hasara neden olabilir.
BT denetimi ayrıca veri imhası, kurcalama, sistem sızıntıları, kesintiler ve BT sistemlerinin yanlış yönetilmesi gibi risklerin azaltılmasına yardımcı olur.
BT Denetimi Nasıl Yapılır?
- Genel olarak BT denetim süreci aşağıdaki gibi gerçekleştirilir:
- BT denetiminin amaçları ve kapsamı belirlenir.
- BT denetim hedeflerine ulaşmak için gerekli denetim planı geliştirilmiştir.
- BT kontrollerinden ilgili bilgiler elde edilir ve elde edilen bilgiler değerlendirilir.
- Verilerin kopyalanması ve verilerin test edilmesi veya muhasebe yazılımının analiz edilmesi gibi denetim testleri Bilgisayar Destekli Denetim Teknikleri (CADT) kullanılarak uygulanır.
- Denetim bulguları raporlanır.
BT Denetim Planı Nasıl oluşturulur?
Bir BT denetimi planlanmasında yer alması gereken kritik unsurlar;
- Bilgi teknolojileri ortamı (ekosistemi),
- BT riskleri ve
- Denetim işini yürütmek için gerekli kaynaklar değerlendirilerek oluşturulmalıdır.
BT Ortamı
BT çevre değerlendirme yapılmıştır olmak için iç kontrol prosedürleri ve faaliyetleri bir anlayış oluşur. Bu temel tespitlerin yapılmaması ve denetim çalışmalarının yanlış yönlendirilmesi uygunsuz ve hatalı sonuç riskini artıracaktır. Aynı zamanda, bu inceleme başlangıçta; Gizlilik, bütünlük ve kullanılabilirlik gibi BT güvenliğinin temel ilkelerine odaklanan BT prosedürlerinin ve kontrol ortamının üst düzey bir incelemesini içermelidir.
En azından bu aşama ele alınması gereken alanlar:
- Değişim yönetimi; örneğin, kritik sistemlerin yazılım ve donanım güncellemeleri üzerinde değişim kontrolleri
- Erişim güvenliği; örneğin, sisteme hem içeriden hem dışarıdan zorla erişimin kontrolü
- İş sürekliliği ve acil kurtarma; işletmenin bilgi varlıklarını öngörülemeyen tehditlerden veya felaketlerden koruma kabiliyeti ve bunların hızlı bir şekilde nasıl geri kazanılacağı.
BT Riskleri
Bağımsız denetimde olduğu gibi BT denetiminde de işlerin planlanması ve yürütülmesinde risk odaklı yaklaşım uygulanmaktadır.
Dolayısıyla bu yaklaşım;
- En önemli riskleri tanımlamayı,
- Tanımlanan riskleri varılmak istenen kontrol hedefleri ile ilişkilendirmeyi ve
- Söz konusu riskleri azaltmak için özel kontrollerin belirlenmesini içermektedir.
Bu bağlamda, ISO 27001 veya COBIT 5 gibi BT Denetim Standartları, BT denetçisi tarafından belirlenen riskleri kabul edilebilir bir düzeye indirebilecek kontrolleri belirlemek veya önerilerde bulunmak için kullanılabilir.
Gerekli Kaynaklar
Denetimin planlanmasındaki son önemli unsur, özel bir uzmana duyulan ihtiyaç da dahil olmak üzere, BT denetimi olarak yapılacak toplam iş miktarını dikkate almaktır.
Yeterli sayıda BT denetim personelinin bulunması ve denetimin zamanlaması açısından, bu aşamanın doğru bir analizi, daha düşük maliyetle daha kaliteli ve faydalı denetim çalışmalarının yapılmasını sağlayacaktır.
BT Denetiminin Yürütülmesi
Uygulanacak kontroller belirlendikten sonra, BT denetçisinin tespit edilen kontrollerin etkili bir şekilde tasarlanıp tasarlanmadığını ve çalışıp çalışmadığını görmek için kanıt toplaması gerekecektir. Bu durumda denetçinin mesleki deneyimi, uygulamada belirli noktalarda ihtiyaç duyacağı öznel mesleki yargıya değer katmaya yardımcı olacaktır.
Denetimin Raporlanması
Denetim sürecinde tespit edilen kontrol zayıflıkları belgelenmeli ve bulgular bir raporla yönetimden sorumlu kişilere sunulmalıdır.
Bilgi Sistemleri Denetçisi Nedir?
Bilgi sistemleri denetçisi, denetimlerini bilgi teknolojileri ile ilgili standartlara referans vererek gerçekleştirebildiği ölçüde, objektif ve oldukça kabul edilebilir bulgu ve öneriler içeren raporlar üretebilir. Bilgi teknolojileri ile ilgili standartlar, bilgi işlem birimlerindeki şirket yöneticilerine ve çalışanlarına rehberlik ederken; Bilgi sistemi denetçilerinin denetim hedefleriyle uyumlu denetim programları hazırlamalarına yardımcı olmaktadır. Günümüzde, bilgi teknolojilerinin kullanımı için genel standartların yanı sıra yalnızca bilgi güvenliği veya hizmet sunumu gibi belirli konulara odaklanan ayrıntılı standartlar bulunmaktadır.
Tüm dünyada yaşanan skandallar sonucunda yatırımcıları korumak ve toplumun ve halkın çıkarlarını göz önünde bulundurmak amacıyla uluslararası kuruluşlar ve ülke yetkililerinin gözetiminde finansal raporlamanın doğruluğunu ve güvenilirliğini sağlamak için önemli adımlar atılmıştır. Bilgi sistemleri denetimi açısından söz konusu yönetmelik ve standartlar; Yasal düzenlemeler, bilgi sistemleri denetim standartları, bilgi sistemleri denetiminde mesleki yeterliliğin belirlenmesi, denetim sürecine ilişkin denetim faaliyetleri ve yardımcı düzenlemeleri kapsar.
Günümüzde uluslararası kuruluşlar tarafından risk, yönetim, kontrol ve bilgi güvenliği alanlarında geliştirilen, bilgi sistemleri denetimine özgü olmayan, ancak bilgi sistemleri denetimi kapsamına giren standartlar ve çerçeveler de bulunmaktadır. Bu 6 standart ve çerçeve, içerdikleri usul ve esaslar bakımından birbirleri arasında sürekli değişmekte, güncellenmekte ve daha kapsamlı hale gelmektedir.