Upload
doannhu
View
238
Download
3
Embed Size (px)
Citation preview
BT RİSKLERİNİZ GÖZALTINDA MI?..
ITITAuditAudit 2006 BİLGİ TEKNOLOJİLERİ
DENETİMİSempozyum & Workshops
19 - 22 Nisan 2006swissôtel , İSTANBUL
Bilgi Sistemleri Denetiminde BDDK Yaklaşımı
AHMET TÜRKAY VARLI
BDDK Bilgi Yönetimi DairesiDaire Başkanı
2/35
ITAudit 2006UYARI
Bu sunumda ifade edilen görüşler, Kurum dahilinde Bilgi Sistemleri (BS) Denetimi alanında sürdürülen çalışmalar çerçevesinde oluşturulmuş ve henüz resmi Kurum görüşünü temsil etmemektedir.
3/35
ITAudit 2006İÇİNDEKİLER
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi Gereksinimi Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi : COBIT Paydaşlardan Beklentiler
4/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
5/35
ITAudit 2006BANKACILIKTABilgi Teknolojileri (BT)’nin Vazgeçilmezliği
Sektörel BT harcamaları-2005 (Kaynak:Gartner)
6/35
ITAudit 2006BT Harcamaları: Türkiye ve Dünya (Kaynak : Gartner)
Türkiye'de Bankaların BT Harcamaları ve Tahmini
1.4281.301
1.493
1.726
1.9522.065 2.033
1.000
1.200
1.400
1.600
1.800
2.000
2.200
2003 2004 2005 2006 2007 2008 2009
Yıllar
Milyo
n $
Dünyada Bankaların BT Harcamaları ve Tahmini
185 198 207 215 224 233 243
100
150
200
250
300
2003 2004 2005 2006 2007 2008 2009
Yıllar
Mily
ar $
Denetim gereksinimi ve yaklaşımı değişiyor…
7/35
ITAudit 2006BDDK- BT Envanter Çalışması
409402
366385
340360
380400
420
2002 2003 2004 2005
Milyon YTL
7.1438.408 8.741
12.258
0
3.000
6.000
9.000
12.000
15.000
2002 2003 2004 2005
Milyon YTL
Teknoloji Giderleri İşletme Giderleri
8/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi Gereksinimi Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi : COBIT Paydaşlardan Beklentiler
9/35
ITAudit 2006BS Denetimi Gereksinimi
AT&T– Ana Switch Problemi (1998) – 18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı
Enron– Finansal Bilgi Raporlamasında Sahtekarlık– 60 Milyar USD Zarar
WorldCom– Finansal Bilgi Raporlamasında Sahtekarlık
İmar Bankası– Çifte Kayıt Sistemi
10/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
11/35
ITAudit 2006Dünyada Kamusal Bilgi Sistemleri Denetimi
ÜLKELER Kullanılan YaklaşımlarFİNLANDİYA “İç Kontrol ve Risk Yönetimi" İle İlgili Geliştirdikleri Kendi StandartlarıNORVEÇ CoBIT Baz AlınmıştırMACARİSTAN CoBIT Baz Alınmıştır ÇEK CUMHURİYETİ IT Yönetişimi ve Operasyonel Risk Kapsamında Sınırlı DüzenlemelerMAKEDONYA ISO 17799 Baz Alınmıştır
SLOVAKYA Her Yıl Bilgi Sistemleri Güvenliğini Kapsayacak Bir Denetim Raporu
DANİMARKA Finansal Denetimin Yanında Sistem, Operasyon, Veri ve İş Devamlılığı Denetimi
PORTEKİZ Üç Yılda Bir BS Denetimi Yapılmasını Zorunlu Kılan Kanun Tasarısı İSRAİL ISO 17799 Baz Alınmıştır
HOLLANDA Sınırlı Anlamda BS Denetimi‘ne de Referansta Bulunan StandardlarİTALYA Sınırlı Anlamda BS Kontrolleri İçeren DüzenlemelerSLOVENYA ISO 17799 Baz Alınmıştır
YUNANISTAN BS Denetimi’ne de Değinen Bankacılık İle İlgili İki Kanun
ALMANYA Almanya Denetim Kuruluşu (IDW) Tarafından Geliştirilen PS 330 Standardı
12/35
ITAudit 2006Dünyada Kamusal Bilgi Sistemleri (BS) Denetimi
Herhangi Bir Düzenleme Yapmamış Ülkeler
• Rusya• Tunus• İspanya• Güney Afrika• Türkiye !!!
• Taslak Yönetmelik ve diğer alt düzenlemeler
13/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
14/35
ITAudit 2006
Basel II- Operasyonel Risk
BASEL II’de Operasyonel Risk Tanımı: “Yetersiz ve başarısız içsel süreçlerden, personel ve sistemlerden ya
da dışsal olaylardan kaynaklanan, doğrudan veya dolaylı zarar riskidir”
BDDK’nın İlgili Yönetmeliğinde (İDRYS): “Banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin
gözden kaçmasından, banka yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilmemesinden, banka yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıplara ya da zarara uğrama ihtimali” olarak tanımlanmaktadır.
“Operasyonel Risk” diğer riskleri çarpan etkisi ile arttırabilir!
15/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
16/35
ITAudit 2006BDDK’ da BS Denetimi Çalışmaları (I)
2004 yılında başlandı (Teşkilat Yönetmeliği Değişikliği)
Örgüt yapısı yenilendi BS Denetimi ekibi oluşturuldu COBIT, BS7799, ITIL, COSO, standartları ve
yaklaşımları ile “FFIEC IT Examination Handbook” incelendi
Bankalar BT envanteri anket çalışması yapıldı Bankalarda Bağımsız Denetim Kuruluşlarınca
gerçekleştirilecek Bilgi Sistemleri Denetimine ilişkin (BDKGBSD) Yönetmelik (Taslak)
17/35
ITAudit 2006BDDK’ da BS Denetimi Çalışmaları (II)
İnsan kaynağı açığının kapatılması
Uzman ve uzman yardımcılarının sertifikasyonu
Eğitim çalışmaları
Sınırlı kapsamlı BS denetimi (bağımsız denetim)
18/35
ITAudit 2006BDDK’ da BS Denetimi ÇalışmalarıPlanlar
Kısa Vadeli Sınırlı Denetim Raporları ile tespit edilen konulara ilişkin
önlemlerin alınması BS Denetimi yapmak isteyen kuruluşların yetki
başvurularının değerlendirilmesi Bağımsız BS Denetimi Raporu İçeriğinin ve Yapısının
belirlenmesine ilişkin düzenleme Bankalarda BS yönetişiminin sağlaması, etkin BS
Yapısını oluşturulması ve Kontrol Hedeflerine
ulaşılmasında yararlanılacak düzenleme
19/35
ITAudit 2006BDDK’ da BS Denetimi ÇalışmalarıPlanlar
Orta Vadeli Bankalar Bilgi Teknolojileri Envanteri
çalışmasının denetim planlaması amacıyla yenilenmesi / yinelenmesi
Aktif denetim
20/35
ITAudit 2006BDDK / BS DenetimiTemel Prensipler
Risk odaklı denetim – Üstlenilen Riskler (Bankalar risk almak zorundadır)– Tesis edilen Politikalar, oluşturulan süreçler ve prosedürler
Süreç denetimi yaklaşımı (gerektiğinde ayrıntıya inebilme)
Üç saç ayağı – İç denetim – Bağımsız Denetim– Kamusal Denetim
Denetçiler arası İşbirliği Tek başlılık
– Denetim alanlarının bütünselliği (Finans + BS)– Sorumlulukların Tespiti
21/35
ITAudit 2006BDKGBSD Yönetmeliği (Taslak)Hazırlanma Süreci (I)
2004 yılında çalışmalara başlanmıştır Paydaşların (Bankalar, Bağımsız Denetim
Kuruluşları, ilgili STK’lar, İlgili kamu kurumları) katılımı
Web sayfasında kamuya duyuru Temel referanstaki yenilik çerçevesinde
güncelleme
22/35
ITAudit 2006(BDKGBSD) YönetmelikHazırlanma Süreci (II)
Mevcut bağımsız denetim yönetmelikleri (yetkilendirme ve denetim ilkeleri) ile ilişki ve uyum– Temel ilkelerin korunması (örnek: meslek
mensuplarının)– Materyalite, Etik kurallar
BS denetçisi unvanlarına İlişkin kriterlerin belirlenmesinde yaşanan zorluklar
23/35
ITAudit 2006BDKGBSD Yönetmelik (Taslak)
Yetkilendirme ve Meslek Mensupları Tarafların Yükümlülükleri Bilgi Sistemleri Denetimi Genel İlkeler ve Sorumluluklar Denetlenenin Destek Hizmeti Alması ve Bunların
Denetimi Bilgi Sistemleri Denetiminde İşbirliği Bilgi Sistemleri Denetiminde Dış Hizmet Alımı Bilgi Sistemleri Denetimi Raporu ve Bildirimi
24/35
ITAudit 2006BDKGBSD Yönetmelik (Taslak)BS Denetimi
Bağımsız Denetim ile BS Denetimi bütünsellik oluşturur
Bağımsız Denetim Şirketleri BS denetimi işini dış kaynak kullanımı yoluyla gerçekleştirebilirler.
Türler;– uygulama kontrollerinin denetimi, – genel kontrol alanlarının denetimi,– genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği geniş
kapsamlı denetim
Outsourcing
Denetim Takvimi – Uygulama Kontrolleri her yıl ve Genel Kontroller iki yılda bir yapılır.– Kurul özelleştirilmiş denetim isteyebilir.
Benimsenen Denetim Çerçevesi COBIT
25/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
26/35
ITAudit 2006Benimsenen Denetim Çerçevesi
COBIT Neden COBIT ?
– Süreç tesisi ve denetimi odaklı– Bütüncül yaklaşım– Dengeli ve hiyerarşik yapılandırılmış alanlar– Ölçme ve Derecelendirme Mekanizması– Etkili Kurumsal Yönetişim aracı (Yönetilebilirliğin
sağlaması)– Teknolojiden bağımsız– ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygun– AB Mevzuatında BS Denetimi çerçevesi olarak
uygunluğuna onay veren düzenlemeler
27/35
ITAudit 2006Basel II ve BS Denetimi(Kaynak : INFORMATION SYSTEMS CONTROL JOURNAL)
Basel II Olay Çeşitleri
BT ile ilgili alanlar COBIT Süreçleri
İç Dolandırıcılık
Programların kasıtlı değiştirilmesi Değişiklik fonksiyonlarının yetkisiz kullanımı Sistem yönergelerinin kasıtlı değiştirilmesi Donanımın kasıtlı değiştirilmesi Sistemin ve uygulama verilerinin Hackleme yoluyla
kasıtlı değiştirilmesi Lisansız yazılım kullanımı/kopyalanması Erişim haklarının içeriden değiştirilmesi
PO6 (Yönetimin amaçlarının ve talimatlarının iletilmesi)
DS5 (Sistem güvenliğinin sağlanması)
DS9 (Konfigürasyon yönetimi)
Dış Dolandırıcılık
Sistemin ve uygulama verilerinin Hackleme yoluyla kasıtlı değiştirilmesi
Dışarıdan gelenlerin gizli fiziksel veya elektronik dökumanları görebilme imkanı bulabilmesi
Erişim haklarının dışarıdan değiştirilmesi Haberleşme bağlantılarının kesilmesi veya
dinlenmesi Şifrelerin ele geçirilmesi Virüsler
DS5 (Sistem güvenliğinin sağlanması)
İstihdam Uygulamaları ve İş Ortamı Güvenliği
BT kaynaklarının hatalı kullanımı Güvenlik duyarlılığının düşüklüğü
PO6 (Yönetimin amaçlarının ve talimatlarının iletilmesi)
PO7 (İnsan kaynakları yönetimi)
28/35
ITAudit 2006Basel II ve BS Denetimi
Fiziksel Değerlerin Zarar Görmesi
Bilinçli veya kaza ile BT fiziksel altyapısına verilen zarar
DS12 (Veri yönetimi)
İş Aksamaları ve Sistem Arızaları
Donanım ve yazılım aksamaları Haberleşme arızaları Çalışanların sistemi sabote etmesi Temel BT çalışanlarının işi bırakması Yazılım/veri dosyalarının tahribi Yazılımın veya hassas bilgilerin çalınması Bilgisayar hataları Sistemin geri yüklenememesi DoS saldırısı Konfigürasyon kontrol hatası
DS3 (Performans ve kapasite yönetimi)
DS4 (Hizmet sürekliliğinin sağlanması)
DS5 (Sistem güvenliğinin sağlanması)
DS9 (Konfigürasyon yönetimi) DS10 (Problem yönetimi)
Yürütme, Dağıtım ve Süreç Yönetimi
Elektronik medyalara (CD, DVD,…) dokunma hatası
Kullanılmayan iş ortamları Değişim kontrollerinde hata Tamamlanmamış girdi veya transaction Veri girdi/çıktısında hata Programlama/deneme hatası Operatör hatası, geri yükleme süreçlerinde mesela Elle yapılan süreçlerde hata
AI5 (Bilgi sistemleri kaynaklarının karşılanması)
AI6 (Değişiklik yönetimi) DS5(Sistem güvenliğinin
sağlanması) DS10 (Problem yönetimi)
29/35
ITAudit 2006COBIT vs COSO(Kaynak: ISACA)
COBIT COSO Birincil Takipçiler
Yönetim, kullanıcılar ve BS denetçileri
Yönetim
(Bütünleşme Konsorsiyumu) BK gözüyle
Politikaları, süreçleri, uygulamaları ve organizasyonel yapıları içeren süreçler kümesi
Süreç
BK hedefleri - Organizasyonel
Etkin &Verimli operasyonlar, Gizlilik, Bilginin Uyumluluğu ve Ulaşılabilirliği, Kanun ve düzenlemelerle uyumlu güvenilir finansal raporlama
Etkin&Verimli operasyonlar, Kanun ve düzenlemelerle uyumlu güvenilir finansal raporlama
Bileşenler ve Alanlar
Alanlar: Planlama ve Organizasyon Tedarik ve Uygulama Hizmet Sunumu ve Destek İzleme ve Değerlendirme
Bileşenler: Kontrol ortamı Risk yönetimi Kontrol eylemleri Bilgi ve haberleşme takibi
Ana Alan Bilişim Teknolojisi Sektörün tamamı
30/35
ITAudit 2006COBIT vs ISO 17799(Kaynak : ISACA)
ISACA %100 uyumlu, beraber kullanılabilirler
COBIT ISO 17799Kurumsal Yönetişim Bilgi Güvenliği Odaklıİş Strateji ve Süreçlerinin Değerlendirilmesi
Bilgi Güvenliği Standardı
Ölçüm Yöntemi Güvenlik Kontrollerinin Değerlendirilmesi
31/35
ITAudit 2006Standart KapsamlarıKaynak: ISACA
Göreceli Kapsam
(+): Değinilen Alanlar(O): Kısmen Değinilen Alanlar (-): Değinilmeyen alanlar
Kapsanan COBIT Alanları
32/35
ITAudit 2006BT Denetiminin Zorlukları(Çalışmalar Sırasında Karşılaşılmış Olan)
Uygulanan denetim araçlarının ve metodlarının çeşitliliği, tam standardizasyonun sağlanamamış olması
Yetişmiş eleman eksikliği– Örneğin: ISACA nın Türkiye Chapter’ının olmaması– Sertifikasyon zorunlu tutulamıyor
Oturmamış veya hiç olmayan mesleki mevzuat Bankalara yönelik ‘Uyulması Gereken Kriterler Seti’
eksikliği – Görüş vermedeki güçlük sonucu Finansal/BS Denetçileri ortak çalışma gerekliliği Konunun tüm taraflar (Denetçi, Denetlenen, Otorite) için
yeni olması
33/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :
COBIT Paydaşlardan Beklentiler
34/35
ITAudit 2006Paydaşlardan BeklentilerBANKALAR
BS’nin Bankacılık faaliyetlerindeki önem derecesini doğru değerlendirmek (BASEL II Operasyonel riskin önemi)
Kontrol hedeflerinin tesisi, bankacılık faaliyetlerinde BS’den etkin yararlanmayı sağlar
Kontrol hedeflerinin tesisi, Kurumsal yönetişimin önemli bileşenlerinden biridir
Denetim sonuçları süreçlerin iyileştirilmesi ve etkinleştirilmesi için bir fırsattır (Finansal denetimler sonuca, BS denetimi daha çok sürece odaklıdır)
Etkin ve yönetilebilir bir BS ortamı uluslararası kredibiliteyi de olumlu yönde etkiler
Dış hizmet alımı BS denetimi sorumluğunun devri anlamına gelmez
35/35
ITAudit 2006Paydaşlardan BeklentilerBAĞIMSIZ DENETİM KURULUŞLARI
Bankacılık şekli değişmiştir, buna göre denetim sürecinin kapsamı değişmektedir
Sağlıklı denetim için yeniden yapılanma kaçınılmazdır– Denetim ekiplerinin yapılandırılması vb.
Sağlıklı bir denetimin bileşeni olarak BS Denetimi; kanuni zorunluluk olmaktan çok profesyonel iş yapmanın gereğidir
36/35
ITAudit 2006İLGİNİZ İÇİN TEŞEKÜRLER
SORULAR