Bilgi Sistemleri Denetiminde BDDK Yaklaşımı

BT RİSKLERİNİZ GÖZALTINDA MI?..

ITITAuditAudit 2006 BİLGİ TEKNOLOJİLERİ

DENETİMİSempozyum & Workshops

19 - 22 Nisan 2006swissôtel , İSTANBUL

Bilgi Sistemleri Denetiminde BDDK Yaklaşımı

AHMET TÜRKAY VARLI

BDDK Bilgi Yönetimi DairesiDaire Başkanı

2/35

ITAudit 2006UYARI

Bu sunumda ifade edilen görüşler, Kurum dahilinde Bilgi Sistemleri (BS) Denetimi alanında sürdürülen çalışmalar çerçevesinde oluşturulmuş ve henüz resmi Kurum görüşünü temsil etmemektedir.

3/35

ITAudit 2006İÇİNDEKİLER

Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği

Bilgi Sistemleri (BS) Denetimi Gereksinimi Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi : COBIT Paydaşlardan Beklentiler

4/35

ITAudit 2006


Bilgi Sistemleri (BS) Denetimi İhtiyacı Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi :

COBIT Paydaşlardan Beklentiler

5/35

ITAudit 2006BANKACILIKTABilgi Teknolojileri (BT)’nin Vazgeçilmezliği

Sektörel BT harcamaları-2005 (Kaynak:Gartner)

6/35

ITAudit 2006BT Harcamaları: Türkiye ve Dünya (Kaynak : Gartner)

Türkiye'de Bankaların BT Harcamaları ve Tahmini

1.4281.301

1.493

1.726

1.9522.065 2.033

1.000

1.200

1.400

1.600

1.800

2.000

2.200

2003 2004 2005 2006 2007 2008 2009

Yıllar

Milyo

n $

Dünyada Bankaların BT Harcamaları ve Tahmini

185 198 207 215 224 233 243

100

150

200

250

300

2003 2004 2005 2006 2007 2008 2009

Yıllar

Mily

ar $

Denetim gereksinimi ve yaklaşımı değişiyor…

7/35

ITAudit 2006BDDK- BT Envanter Çalışması

409402

366385

340360

380400

420

2002 2003 2004 2005

Milyon YTL

7.1438.408 8.741

12.258

0

3.000

6.000

9.000

12.000

15.000

2002 2003 2004 2005

Milyon YTL

Teknoloji Giderleri İşletme Giderleri

8/35

ITAudit 2006


Bilgi Sistemleri (BS) Denetimi Gereksinimi Diğer Ülke Uygulamaları Basel II / Operasyonel Risk BDDK’da BS Denetimi Çalışmaları Benimsenen Denetim Çerçevesi : COBIT Paydaşlardan Beklentiler

9/35

ITAudit 2006BS Denetimi Gereksinimi

AT&T– Ana Switch Problemi (1998) – 18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı

Enron– Finansal Bilgi Raporlamasında Sahtekarlık– 60 Milyar USD Zarar

WorldCom– Finansal Bilgi Raporlamasında Sahtekarlık

İmar Bankası– Çifte Kayıt Sistemi

10/35

ITAudit 2006




11/35

ITAudit 2006Dünyada Kamusal Bilgi Sistemleri Denetimi

ÜLKELER Kullanılan YaklaşımlarFİNLANDİYA “İç Kontrol ve Risk Yönetimi" İle İlgili Geliştirdikleri Kendi StandartlarıNORVEÇ CoBIT Baz AlınmıştırMACARİSTAN CoBIT Baz Alınmıştır ÇEK CUMHURİYETİ IT Yönetişimi ve Operasyonel Risk Kapsamında Sınırlı DüzenlemelerMAKEDONYA ISO 17799 Baz Alınmıştır

SLOVAKYA Her Yıl Bilgi Sistemleri Güvenliğini Kapsayacak Bir Denetim Raporu

DANİMARKA Finansal Denetimin Yanında Sistem, Operasyon, Veri ve İş Devamlılığı Denetimi

PORTEKİZ Üç Yılda Bir BS Denetimi Yapılmasını Zorunlu Kılan Kanun Tasarısı İSRAİL ISO 17799 Baz Alınmıştır

HOLLANDA Sınırlı Anlamda BS Denetimi‘ne de Referansta Bulunan StandardlarİTALYA Sınırlı Anlamda BS Kontrolleri İçeren DüzenlemelerSLOVENYA ISO 17799 Baz Alınmıştır

YUNANISTAN BS Denetimi’ne de Değinen Bankacılık İle İlgili İki Kanun

ALMANYA Almanya Denetim Kuruluşu (IDW) Tarafından Geliştirilen PS 330 Standardı

12/35

ITAudit 2006Dünyada Kamusal Bilgi Sistemleri (BS) Denetimi

Herhangi Bir Düzenleme Yapmamış Ülkeler

• Rusya• Tunus• İspanya• Güney Afrika• Türkiye !!!

• Taslak Yönetmelik ve diğer alt düzenlemeler

13/35

ITAudit 2006




14/35

ITAudit 2006

Basel II- Operasyonel Risk

BASEL II’de Operasyonel Risk Tanımı: “Yetersiz ve başarısız içsel süreçlerden, personel ve sistemlerden ya

da dışsal olaylardan kaynaklanan, doğrudan veya dolaylı zarar riskidir”

BDDK’nın İlgili Yönetmeliğinde (İDRYS): “Banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin

gözden kaçmasından, banka yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilmemesinden, banka yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıplara ya da zarara uğrama ihtimali” olarak tanımlanmaktadır.

“Operasyonel Risk” diğer riskleri çarpan etkisi ile arttırabilir!

15/35

ITAudit 2006




16/35

ITAudit 2006BDDK’ da BS Denetimi Çalışmaları (I)

2004 yılında başlandı (Teşkilat Yönetmeliği Değişikliği)

Örgüt yapısı yenilendi BS Denetimi ekibi oluşturuldu COBIT, BS7799, ITIL, COSO, standartları ve

yaklaşımları ile “FFIEC IT Examination Handbook” incelendi

Bankalar BT envanteri anket çalışması yapıldı Bankalarda Bağımsız Denetim Kuruluşlarınca

gerçekleştirilecek Bilgi Sistemleri Denetimine ilişkin (BDKGBSD) Yönetmelik (Taslak)

17/35

ITAudit 2006BDDK’ da BS Denetimi Çalışmaları (II)

İnsan kaynağı açığının kapatılması

Uzman ve uzman yardımcılarının sertifikasyonu

Eğitim çalışmaları

Sınırlı kapsamlı BS denetimi (bağımsız denetim)

18/35

ITAudit 2006BDDK’ da BS Denetimi ÇalışmalarıPlanlar

Kısa Vadeli Sınırlı Denetim Raporları ile tespit edilen konulara ilişkin

önlemlerin alınması BS Denetimi yapmak isteyen kuruluşların yetki

başvurularının değerlendirilmesi Bağımsız BS Denetimi Raporu İçeriğinin ve Yapısının

belirlenmesine ilişkin düzenleme Bankalarda BS yönetişiminin sağlaması, etkin BS

Yapısını oluşturulması ve Kontrol Hedeflerine

ulaşılmasında yararlanılacak düzenleme

19/35

ITAudit 2006BDDK’ da BS Denetimi ÇalışmalarıPlanlar

Orta Vadeli Bankalar Bilgi Teknolojileri Envanteri

çalışmasının denetim planlaması amacıyla yenilenmesi / yinelenmesi

Aktif denetim

20/35

ITAudit 2006BDDK / BS DenetimiTemel Prensipler

Risk odaklı denetim – Üstlenilen Riskler (Bankalar risk almak zorundadır)– Tesis edilen Politikalar, oluşturulan süreçler ve prosedürler

Süreç denetimi yaklaşımı (gerektiğinde ayrıntıya inebilme)

Üç saç ayağı – İç denetim – Bağımsız Denetim– Kamusal Denetim

Denetçiler arası İşbirliği Tek başlılık

– Denetim alanlarının bütünselliği (Finans + BS)– Sorumlulukların Tespiti

21/35

ITAudit 2006BDKGBSD Yönetmeliği (Taslak)Hazırlanma Süreci (I)

2004 yılında çalışmalara başlanmıştır Paydaşların (Bankalar, Bağımsız Denetim

Kuruluşları, ilgili STK’lar, İlgili kamu kurumları) katılımı

Web sayfasında kamuya duyuru Temel referanstaki yenilik çerçevesinde

güncelleme

22/35

ITAudit 2006(BDKGBSD) YönetmelikHazırlanma Süreci (II)

Mevcut bağımsız denetim yönetmelikleri (yetkilendirme ve denetim ilkeleri) ile ilişki ve uyum– Temel ilkelerin korunması (örnek: meslek

mensuplarının)– Materyalite, Etik kurallar

BS denetçisi unvanlarına İlişkin kriterlerin belirlenmesinde yaşanan zorluklar

23/35

ITAudit 2006BDKGBSD Yönetmelik (Taslak)

Yetkilendirme ve Meslek Mensupları Tarafların Yükümlülükleri Bilgi Sistemleri Denetimi Genel İlkeler ve Sorumluluklar Denetlenenin Destek Hizmeti Alması ve Bunların

Denetimi Bilgi Sistemleri Denetiminde İşbirliği Bilgi Sistemleri Denetiminde Dış Hizmet Alımı Bilgi Sistemleri Denetimi Raporu ve Bildirimi

24/35

ITAudit 2006BDKGBSD Yönetmelik (Taslak)BS Denetimi

Bağımsız Denetim ile BS Denetimi bütünsellik oluşturur

Bağımsız Denetim Şirketleri BS denetimi işini dış kaynak kullanımı yoluyla gerçekleştirebilirler.

Türler;– uygulama kontrollerinin denetimi, – genel kontrol alanlarının denetimi,– genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği geniş

kapsamlı denetim

Outsourcing

Denetim Takvimi – Uygulama Kontrolleri her yıl ve Genel Kontroller iki yılda bir yapılır.– Kurul özelleştirilmiş denetim isteyebilir.

Benimsenen Denetim Çerçevesi COBIT

25/35

ITAudit 2006




26/35

ITAudit 2006Benimsenen Denetim Çerçevesi

COBIT Neden COBIT ?

– Süreç tesisi ve denetimi odaklı– Bütüncül yaklaşım– Dengeli ve hiyerarşik yapılandırılmış alanlar– Ölçme ve Derecelendirme Mekanizması– Etkili Kurumsal Yönetişim aracı (Yönetilebilirliğin

sağlaması)– Teknolojiden bağımsız– ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygun– AB Mevzuatında BS Denetimi çerçevesi olarak

uygunluğuna onay veren düzenlemeler

27/35

ITAudit 2006Basel II ve BS Denetimi(Kaynak : INFORMATION SYSTEMS CONTROL JOURNAL)

Basel II Olay Çeşitleri

BT ile ilgili alanlar COBIT Süreçleri

İç Dolandırıcılık

Programların kasıtlı değiştirilmesi Değişiklik fonksiyonlarının yetkisiz kullanımı Sistem yönergelerinin kasıtlı değiştirilmesi Donanımın kasıtlı değiştirilmesi Sistemin ve uygulama verilerinin Hackleme yoluyla

kasıtlı değiştirilmesi Lisansız yazılım kullanımı/kopyalanması Erişim haklarının içeriden değiştirilmesi

PO6 (Yönetimin amaçlarının ve talimatlarının iletilmesi)

DS5 (Sistem güvenliğinin sağlanması)

DS9 (Konfigürasyon yönetimi)

Dış Dolandırıcılık

Sistemin ve uygulama verilerinin Hackleme yoluyla kasıtlı değiştirilmesi

Dışarıdan gelenlerin gizli fiziksel veya elektronik dökumanları görebilme imkanı bulabilmesi

Erişim haklarının dışarıdan değiştirilmesi Haberleşme bağlantılarının kesilmesi veya

dinlenmesi Şifrelerin ele geçirilmesi Virüsler


İstihdam Uygulamaları ve İş Ortamı Güvenliği

BT kaynaklarının hatalı kullanımı Güvenlik duyarlılığının düşüklüğü

PO6 (Yönetimin amaçlarının ve talimatlarının iletilmesi)

PO7 (İnsan kaynakları yönetimi)

28/35

ITAudit 2006Basel II ve BS Denetimi

Fiziksel Değerlerin Zarar Görmesi

Bilinçli veya kaza ile BT fiziksel altyapısına verilen zarar

DS12 (Veri yönetimi)

İş Aksamaları ve Sistem Arızaları

Donanım ve yazılım aksamaları Haberleşme arızaları Çalışanların sistemi sabote etmesi Temel BT çalışanlarının işi bırakması Yazılım/veri dosyalarının tahribi Yazılımın veya hassas bilgilerin çalınması Bilgisayar hataları Sistemin geri yüklenememesi DoS saldırısı Konfigürasyon kontrol hatası

DS3 (Performans ve kapasite yönetimi)

DS4 (Hizmet sürekliliğinin sağlanması)


DS9 (Konfigürasyon yönetimi) DS10 (Problem yönetimi)

Yürütme, Dağıtım ve Süreç Yönetimi

Elektronik medyalara (CD, DVD,…) dokunma hatası

Kullanılmayan iş ortamları Değişim kontrollerinde hata Tamamlanmamış girdi veya transaction Veri girdi/çıktısında hata Programlama/deneme hatası Operatör hatası, geri yükleme süreçlerinde mesela Elle yapılan süreçlerde hata

AI5 (Bilgi sistemleri kaynaklarının karşılanması)

AI6 (Değişiklik yönetimi) DS5(Sistem güvenliğinin

sağlanması) DS10 (Problem yönetimi)

29/35

ITAudit 2006COBIT vs COSO(Kaynak: ISACA)

COBIT COSO Birincil Takipçiler

Yönetim, kullanıcılar ve BS denetçileri

Yönetim

(Bütünleşme Konsorsiyumu) BK gözüyle

Politikaları, süreçleri, uygulamaları ve organizasyonel yapıları içeren süreçler kümesi

Süreç

BK hedefleri - Organizasyonel

Etkin &Verimli operasyonlar, Gizlilik, Bilginin Uyumluluğu ve Ulaşılabilirliği, Kanun ve düzenlemelerle uyumlu güvenilir finansal raporlama

Etkin&Verimli operasyonlar, Kanun ve düzenlemelerle uyumlu güvenilir finansal raporlama

Bileşenler ve Alanlar

Alanlar: Planlama ve Organizasyon Tedarik ve Uygulama Hizmet Sunumu ve Destek İzleme ve Değerlendirme

Bileşenler: Kontrol ortamı Risk yönetimi Kontrol eylemleri Bilgi ve haberleşme takibi

Ana Alan Bilişim Teknolojisi Sektörün tamamı

30/35

ITAudit 2006COBIT vs ISO 17799(Kaynak : ISACA)

ISACA %100 uyumlu, beraber kullanılabilirler

COBIT ISO 17799Kurumsal Yönetişim Bilgi Güvenliği Odaklıİş Strateji ve Süreçlerinin Değerlendirilmesi

Bilgi Güvenliği Standardı

Ölçüm Yöntemi Güvenlik Kontrollerinin Değerlendirilmesi

31/35

ITAudit 2006Standart KapsamlarıKaynak: ISACA

Göreceli Kapsam

(+): Değinilen Alanlar(O): Kısmen Değinilen Alanlar (-): Değinilmeyen alanlar

Kapsanan COBIT Alanları

32/35

ITAudit 2006BT Denetiminin Zorlukları(Çalışmalar Sırasında Karşılaşılmış Olan)

Uygulanan denetim araçlarının ve metodlarının çeşitliliği, tam standardizasyonun sağlanamamış olması

Yetişmiş eleman eksikliği– Örneğin: ISACA nın Türkiye Chapter’ının olmaması– Sertifikasyon zorunlu tutulamıyor

Oturmamış veya hiç olmayan mesleki mevzuat Bankalara yönelik ‘Uyulması Gereken Kriterler Seti’

eksikliği – Görüş vermedeki güçlük sonucu Finansal/BS Denetçileri ortak çalışma gerekliliği Konunun tüm taraflar (Denetçi, Denetlenen, Otorite) için

yeni olması

33/35

ITAudit 2006




34/35

ITAudit 2006Paydaşlardan BeklentilerBANKALAR

BS’nin Bankacılık faaliyetlerindeki önem derecesini doğru değerlendirmek (BASEL II Operasyonel riskin önemi)

Kontrol hedeflerinin tesisi, bankacılık faaliyetlerinde BS’den etkin yararlanmayı sağlar

Kontrol hedeflerinin tesisi, Kurumsal yönetişimin önemli bileşenlerinden biridir

Denetim sonuçları süreçlerin iyileştirilmesi ve etkinleştirilmesi için bir fırsattır (Finansal denetimler sonuca, BS denetimi daha çok sürece odaklıdır)

Etkin ve yönetilebilir bir BS ortamı uluslararası kredibiliteyi de olumlu yönde etkiler

Dış hizmet alımı BS denetimi sorumluğunun devri anlamına gelmez

35/35

ITAudit 2006Paydaşlardan BeklentilerBAĞIMSIZ DENETİM KURULUŞLARI

Bankacılık şekli değişmiştir, buna göre denetim sürecinin kapsamı değişmektedir

Sağlıklı denetim için yeniden yapılanma kaçınılmazdır– Denetim ekiplerinin yapılandırılması vb.

Sağlıklı bir denetimin bileşeni olarak BS Denetimi; kanuni zorunluluk olmaktan çok profesyonel iş yapmanın gereğidir

36/35

ITAudit 2006İLGİNİZ İÇİN TEŞEKÜRLER

SORULAR

Documents

Bilgi Sistemleri Denetiminde BDDK Yaklaşımı