GAIT-İşletme ve Bilgi Teknolojileri İçin GAIT3 İş etki analizi ayrıca kritik sistemler analizi, BT risk değerlendirmesi vb. olarak da adlandırılmaktadır. 5 3. Bölüm |NEDEN

İŞLETME VE BİLGİ TEKNOLOJİLERİ RİSKLERİ İÇİN GAIT

İç Denetçiler MESLEKİ REHBERLİK Enstitüsü Standart Belirleme

İşletme ve Bilgi Teknolojileri Riskleri İçin GAIT

(GAIT-R)

İç Denetçiler Enstitüsü

Mart 2008

İçindekiler

1. Giriş ......................................................................................................................................................... 1

2. Yöneticiler İçin Özet .............................................................................................................................2

3. Neden GAIT-R? .....................................................................................................................................4

4. GAIT-R İlkeleri .....................................................................................................................................6

5. GAIT-R Yukarıdan Aşağıya Metodolojisi ............................................................................................ 10

6. Risk Yönetimine İlişkin Varılan Sonuçlar ............................................................................................18

İşletme ve BT Riskleri İçin GAIT

1

1. GİRİŞ

İşletme ve BT Riskleri İçin GAIT1 (GAIT-R)2, kurumsal hedef ve amaçlara ulaşmak açısından kritik öneme sahip kilit kontrollerin tümünü tanımlamak için kullanılan bir metodolojidir. GAIT-R’de, BT’nin – bu dokümanda genellikle işletme riski olarak adlandırılan – kurumsal riskin yönetilmesi ve hafifletilmesi için gereken kritik yönleri açıklanmaktadır. Denetim çalışmalarının planlanması aşamasında bu kritik BT işlevleri ve onlara karşılık gelen riskler göz önünde bulundurulabilir.

GAIT-R, öncelikli olarak iç denetim uygulayıcıları için geliştirilmiştir. Fakat organizasyonları bünyesinde BT risklerinin planlanması ve yönetiminden sorumlu kişiler veya BT yönetişim ve güvenlik yöneticileri de GAIT-R’yi kullanabilirler.

GAIT-R öncelikli olarak iç denetim uygulayıcıları için geliştirilmiş olduğundan, risklerin yönetilmesi ve hafifletilmesi için mevcut kilit kontroller üzerinde durmaktadır. Sonuç bölümünde, risk yönetim stratejilerine ilişkin bir tartışmaya yer verilmiştir.

1GAIT, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir.

2GAIT-R ise, 2002 tarihli ABD Sarbanes-Oxley Kanunu’nun 404. maddesi uyarınca bir kurumun finansal raporlama üzerinde iç kontrol

değerlendirmesi sürecine dâhil edilmesi gereken BT genel kontrollerini tanımlamakta kullanılan bir süreç olan GAIT Metodolojisi’nden türetilmiş bulunan IIA rehberlik ürünleri ailesinin bir üyesidir.

2

2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT

2. Yöneticiler İçin Özet

GAIT-R Metodolojisi dört ilkeye dayanmaktadır. Bu ilkeler:

İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme için bir risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk olur.

İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi ve hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC (Bilgi Teknolojileri GenelKontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla değerlendirilmesinden elde edilen sonuçlara bakılarak tanımlanmalıdır.

İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir kombinasyonu kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç kontrol sisteminin değerlendirilmesi için, otomatik kilit kontrollerin değerlendirilmesi gerekmektedir.

İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması konusunda ITGC’ler (BT Genel Kontrolleri) temel alınabilir.

GAIT-R Metodolojisi, her bir tanımlanmış kurumsal hedef için var olan riskler bazında, aşağıdakileri içeren bir kapsama sahiptir:

• İş süreci dâhilinde manuel kilit kontroller.

• İş süreci dâhilinde otomatik ve karma kilit kontroller.

• ITGC süreçleri dâhilinde kilit kontroller.

• Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) iç kontrol modelinin kontrolortamı, bilgi ve iletişim ve diğer katmanlarındaki faaliyetleri de içeren kurum-çapında kontroller.

Denetçi ya da değerlendirme sorumlusu, iş hedeflerine ulaşma konusunda makul güvence sağlayan kontrolleri tam ve eksiksiz kavramak suretiyle ve GAIT-R’yi kullanarak, yapılacak işlerin kapsamını tanımlayabilir.

Bu metodolojinin nihai ürünü, belirlenen işletme risklerinin yeterli düzeyde yönetilmesi veya azaltılmasına ve ilgili kurumsal hedeflerin yine yeterli düzeyde yönetilmesine yönelik makul bir güvence sağlamak için gereken kilit kontrollerin bir listesidir. Böylelikle, denetçi, ya yeterli kontrollerin mevcut olduğuna ilişkin güvence vermek amacıyla verimli ve etkili bir denetim projesi tasarlayabilir ya da yönetimin bu kontrolleri iyileştirmesine katkıda bulunmak için katma değerli danışmanlık hizmetleri sağlaya bilir.

Aşağıdaki şekilde, GAIT-R’nin işletme risklerinin yönetilmesini ve kurumsal hedeflere ulaşılmasını sağlamak amacıyla muhtemelen tanımlayacağı kontroller kombinasyonu gösterilmektedir.

3

2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT

Şekil 1. GAIT-R Metodolojisi Yardımıyla Kontrollerin Tanımlanması

4

3. Bölüm | NEDEN GAIT-R? İşletme ve BT Riskleri İçin GAIT

3. NEDEN GAIT-R?

GAIT-R’ye duyulan ihtiyaç, en iyi şekilde, gerçek hayatta karşılaşılan durumlardan iki örnekle açıklanmaktadır:

A Şirketi; Amerika Birleşik Devletleri çapında yaklaşık 4.000 benzin istasyonu ve istasyon marketleriyle (convenience store) büyük bir benzin istasyonu marketler zinciri işletiyordu. Sarbanes-Oxley Kanunu’nun çıkmasından birkaç yıl önce, dış denetim firmasının BT denetim ekibi, marketlerde uygulanan hem uygulama kontrolleri hem de genel BT kontrollerinin kritik öneme sahip olduğuna karar verdi. Her marketin yazar kasa ve benzin pompası faaliyetlerini destekleyen kendi özel sunucusu bulunuyordu. En az günde bir defa, genellikle günde iki defa, merkezi bilgisayar sistemi tarafından sunucular pinglenerek bu sunuculardan alınan operasyonel veriler ve muhasebe verileri yüklenmekteydi.

Dış denetim firmasının BT Denetim Yöneticisi, şirketin İç Denetim Yöneticisi (CAE) ile temasa geçerek ona önemli kontrol zafiyetleri tespit ettiklerini bildirdi. CAE de, bunun üzerine derhal, Şirket Kontrolörü, Bilgi Sistemleri Grubu Başkanı (CIO), dış denetim firmasının genel görev ortakları ve kendi kıdemli müdürüyle bir üst düzey toplantı düzenledi. Toplantıda, BT denetim yöneticisi market sunucularıyla ilgili güvenlik sorunları bulunduğunu (örn. parolalar düzenli aralıklarla değiştirilmiyordu) ve ayrıca, yüklemelerin yapılıp yapılmadığını, tam ve eksiksiz olup olmadıklarını veya doğruluklarını teyit ve temin edecek hiçbir kontrolün bulunmadığını bildirdi.Dış denetim firmasının görevlendirdiği kıdemli müdür, hemen, merkezi market muhasebe biriminde, market düzeyinde olabilecek yükleme sorunlarını belirleyecek nitelikte kontrollerin ekibi tarafından tespit ve test edildiği yönünde bir cevap verdi. Bu kontroller arasında, marketlerde yapılan yüklemelerde olabilecek eksikleri tespit eden raporların incelenmesi ve market operasyonlarının detaylı analizleri de vardı ve bu detaylı analizler, market ve emtia kategorisine göre tahminlerden sapmaları ve trendleri de kapsıyordu. Toplantının sonucunda, şirketin genel kontrol sisteminin finansal raporlama açısından yeterli olduğu ve dış denetçinin şirketin iç koordinasyon ve risk değerlendirme fonksiyonlarını iyileştireceği konularında mutabakata varıldı.

Bu örnekten alınacak ders; denetim alanlarının belirlenmesinde sadece teknoloji riskini temel almanın denetimde verimsizliklere neden olabileceğidir. Denetlemeye değer teknoloji risklerinin belirlenmesi ancak – manuel veya otomatik ayrımı yapmaksızın – tüm işletme kontrollerinin dikkate alınmasıyla mümkündür.

Kimileri kullanılabilirlik ve veri güvenliği gibi teknoloji risklerinin çok etkili ve önemli olduklarını, dolayısıyla bu rehberde de sunulan bütünsel bir yaklaşımın gereksiz olduğunu iddia edebilir. Fakat biz bu teknoloji risklerinin işletme riskine yansımaları belirlenmeden ve işletme riski bağlamında ele alınmadan, bir denetimin gerekli olup olmadığına veya değerine ilişkin bir karara varmanın mümkün olmadığını düşünüyoruz. Dolayısıyla, buna değdiğini düşündüğümüz durumlarda, teknoloji risklerinden ziyade işletme risklerine yönelik bir değerlendirme, denetimin kapsamına daha etkili odaklanmayı sağlayabilir. Örneğin:

• Kullanılabilirliğin bir BT biriminin (fonksiyonunun) başarısı için önemli bir unsur olduğu ortadadır. Ancak işletme riski yalnızca kullanılabilirlikten ibaret değildir; işletme riski, BT hizmetlerinin sürekliliğini sağlayamamanın bir sonucu olarak bunun kritik iş süreçleri üzerinde hissedilebilen etkisidir. Örneğin, faaliyetlerini sürdürebilmesi birden çok BT hizmetine bağlı olan tipik bir imalatçı işletme düşünün. Bu BT hizmetleri arasında, diğer unsurların yanı sıra, tedarik, envanter ile üretim kaynak ve planlama (MRP) sistemlerinin yanı sıra siparişler, faturalandırma, maaş bordroları, borçlu hesaplar, muhasebe ve e-posta sistemleri de sayılabilir.

Kurumun iş etki analizi3; bu hizmetlerden her birinin sürekli kullanılabilirliğinin getirdiği değeri ve o hizmetin uzun süreli yokluğunun yaratabileceği maliyeti tanımlar. İş etki analizinde kullanılabilirlik kaybının kurumsal açıdan önemli sonuçlar doğuracağı sistemlerin sadece MRP ve e-posta sistemleri olarak tanımlanması hâlinde, denetimin doğal olarak bu işletme risklerine odaklanması gerekmektedir. Diğer bir deyişle, bu işletmede MRP ve e-posta sistemlerinin kullanılamaz olması olarak formüle edilebilecek işletme risklerini önleyen veya hafifleten kontrollerin ve diğer önlemlerin incelenip gözden geçirilmesiyle daha etkili bir denetim yapılmış olur.

3İş etki analizi ayrıca kritik sistemler analizi, BT risk değerlendirmesi vb. olarak da adlandırılmaktadır.

5

3. Bölüm | NEDEN GAIT-R? İşletme ve BT Riskleri İçin GAIT

Bunun benzeri veri güvenliği için de geçerlidir. Bir kurumun bilgi ağında birçok tür ve biçimde veri işlenir veya saklanır. Ancak işletme kayıp riski, uygunsuz değişiklikler veya yetkisiz erişim tüm verileri tutarlı bir şekilde etkilemez. Dolayısıyla, veri güvenliği denetimleri, kritik iş faaliyetlerini desteklemek için gereken bilgi varlıklarını korumaya ya da verilerde meydana gelecek kayıp veya hasarın direkt sorumluluk doğurabileceği durumlara (örn. müşteri kredi kartı bilgileri veya hastaların hastalık geçmişlerinde kayıp veya hasar gibi) odaklanmalıdır. Bu kritik bilgi varlıkları, yalnızca ve tamamen teknolojik perspektife dayalı bir risk değerlendirme modelinden daha ziyade, en iyi, bir işletme riski yukarıdan aşağıya değerlendirme modeliyle tanımlanabilirler.

İkinci örnek ise bir işletme denetiminin teknolojiyi temel almayı tanımada, dolayısıyla da kurumsal hedeflere ulaşmak için tüm riskleri değerlendirmede nasıl başarısız olabileceğini göstermektedir.

B Şirketi’nin iç denetçileri şirketin emisyonlara ilişkin çevresel düzenlemelere uyumu üzerine bir denetim yapmaktadır. Şirket, Amerika’nın batı kıyısında bir rafineri tesisi işletmekte olup rutin faaliyetler sırasında açığa çıkan belirli gazların havaya emisyonunu sınırlamak durumundadır. Ayrıca eyalet düzenleyici otoritesine haftalık emisyon raporları sunmakla ve emisyonların düzenleyici sınırları aşması hâlinde düzeltici eylemlerde bulunmakla da yükümlüdür.

Denetçilerin gündeminde (denetim kapsamında), diğerlerinin yanı sıra, aşağıdakilerin test edilmesi de bulunmaktadır:

• Eyalet düzenleyici otoritesine sunulan raporların tam ve eksiksiz olup olmadığı.

• Tüm raporların ilgililere sunulmadan önce ilgili yöneticinin inceleme ve onayından geçip

geçmediği.

• Raporların zamanında sunulup sunulmadığı.

• Aşırı emisyonun meydana geldiği tüm durumların vakit kaybetmeden yönetime rapor edilip

edilmediği ve bu hususta düzeltici eylemlerde bulunulup bulunulmadığı.

• Para cezası ve başka cezaların da verilmesinin beklendiği aşırı emisyon durumunda uygun

tutarların tahakkuk ettirilip ettirilmediği.

• Emisyon izleme ekipmanlarının bakımının yeterli düzeyde yapılıp yapılmadığı.

Ancak bu denetim kapsamı yalnızca operasyonel ve finansal kıstaslar gözetilerek planlanmıştır. Bundan dolayı, denetçiler, raporlarında emisyon uygunluğunun sağlanmasında rol oynayan BT sistemlerinde verilerin ve bu verilerin işlenmesinin temel alındığını belirtmemişlerdir. (Bu rehberde, kurumsal hedeflere ulaşmak için temel alınan otomatik kontroller ve BT’ye bağlı kontrollerin tümüne kritik BT işlevleri adı verilmektedir). Denetçiler bir yukarıdan aşağıya yaklaşım benimsemiş olsalardı, kritik BT işlevlerinin önemli ölçüde temel alındığını fark etmiş olurlardı. Fazla temel alınan bu kritik BT işlevlerinin arasında aşağıdakiler bulunmaktadır:

• Faaliyetleri izlemek için kullanılan raporları hazırlamak ve düzenleme otoritelerine gönderilecek raporları sunmak için kullanılan ve sistemde saklanan emisyon izleme sonuçlarının (yani verilerin) tamlığı ve sağlamlığı. Veri erişimi üzerindeki kontroller de buradan hareketle kapsama dâhil edilebilirdi.

• Faaliyetleri izlemek için kullanılan ve düzenleyici otoriteye sunulan kilit raporların oluşturulmasında kullanılan yazılımın güvenilirliği.

• Emisyon ekipmanlarının işletim sisteminin güvenilirliği. Bu sistemde meydana gelecek arızalar izleme sonuçlarında yanlışlıklara veya eksikliklere yol açabilir. Denetçiler biraz daha detaya girip ekipman satıcısının ilgili yamaları kurarken, bunun yeterli olmadığı durumlarda da emisyon ekipmanlarının bakımını yaparken yararlandığı uzaktan erişim üzerindeki kontrolleri de değerlendirebilirlerdi.

Yukarıdaki iki örnekte anlatılan durumlar pek nadir karşılaşılan olaylar değildir. Bu rehberde, işletme riskinin yukarıdan aşağıya değerlendirilmesinin bir parçası olarak kritik BT işlevlerinin ne denli temel alındığının değerlendirilmesi için bir metodoloji sunulmaktadır. Bazı durumlarda, üçüncü şahıslar tarafından ileri sürülen teknoloji riskleri de denetlemeye değer risklerdir. Bu rehber, bu riskleri değerlendirmek ve yukarıdan aşağıya değerlendirme kapsamına dâhil etmek için kullanılan bir iş sürecini kapsamaktadır. (bkz. Metodoloji bölümü, Adım 1).

6

4. Bölüm | GAIT-RPrInCIPLES


4. GAIT-R İLKELERİ

GAIT-R Metodolojisi dört ilkeye dayanmaktadır.

İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme için bir risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk olur.

Teknolojinin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına ulaşmasını sağlamaktır. Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir işletme riski doğmasına yol açabilir veya var olan bir işletme riskini büyütebilir; işletme riski ise işletmenin hedef ve amaçlarına ulaşmada etkililik ve verimliliğin sağlanamaması olarak açıklanmaktadır.

Teknolojinin – ilgili işletme risklerini tanımlamaksızın ve bu işletme risklerinin teknolojik yıkımlar, hatalar, eksiklikler ve arızaların etkisinden ne derece izole edilebileceğini belirtmeksizin – diğer unsurlardan izole edilerek tek başına değerlendirilmesi denetimlerde verimsiz sonuçlar elde edilmesine neden olabilir. Yapılacak denetimleri herhangi bir yayından alınmış, BT riskleri veya kontrol hedeflerini içeren bir kontrol listesini baz alarak belirlemek ya da sırf önemli göründüğü için bir denetimi yapmayı tercih etmek şeklindeki yaklaşım denetim yapmak için yetersiz bir gerekçedir. Dolayısıyla, işletmenin hedef ve amaçlarına yönelik risklerin (örn. gelir kaybıyla sonuçlanacak olan siparişleri yerine getirememe veya gizlilik ihlâliyle sonuçlanacak olan müşteri kredi verilerini koruyamama gibi) anlaşılması gerekmektedir.

Benzer şekilde, operasyonel ve finansal riski teknolojiyi temel alma unsurunu hesaba katmaksızın değerlendirmek muhtemelen denetimde verimsizlik ve eksikliklere yol açacaktır. Ayrıca kritik BT işlevleri üzerindeki kontroller denetim kapsamına dâhil edilmeyebilirler ve manuel kontroller de daha güvenilir otomatik kontroller mevcut olduğunda değerlendirilebilirler.

İkinci GAIT-R ilkesi bir yukarıdan aşağıya değerlendirme modeline duyulan ihtiyaç, işletme risklerinin bütünsel bir değerlendirmesi, manuel kontrollerin derecesi ve kritik BT işlevlerini temel alma üzerine bir tartışma sunmaktadır.

İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi veya hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC de (BilgiTeknolojileri Genel Kontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla değerlendirilmesinden elde edilen sonuçlara bakılarak tanımlanmalıdır.

Amerika Birleşik Devletleri’nde, Madde 404 uyarınca bir kurumun finansal raporlama üzerinde iç kontrol değerlendirmesi için yapılacak işlerin kapsamı, genellikle, işletme riskinin – ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) ibraz edilen mali tablolarda önemli yalan ve yanlış beyan bulunması riski – değerlendirilmesiyle başlayan bir yukarıdan aşağıya değerlendirme faaliyetinin sonuçlarına göre belirlenir. Bu yaklaşımın geliştirilmesinde, yönetimin faaliyetlerini düzenleyen SEC’in ve dış denetim firmalarının faaliyetlerini düzenleyen ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nun (PCAOB) yayımladığı rehberlerden esinlenilmiştir. Bu kurumların her ikisi de yukarıdan aşağıya risk değerlendirme modelinin verimli bir iş kapsamı oluşturmak için kilit öneme sahip olduğunu bildirmiştir.

Finansal raporlama üzerindeki iç kontroller için yaptıkları yıllık değerlendirmelerinin bir parçası olarak yönetimin ve denetçilerin ITGC’lerin denetimi için bir kapsam geliştirmelerine katkı sağlamak amacıyla, İç Denetim Enstitüsü (IIA) 2007 yılında GAIT Metodolojisi’ni yayımlamıştır. Bu Metodoloji’de, mali tablolarda önemli hata bulunması riskinin (yani bu durumda işletme riskinin) değerlendirilmesiyle başlanan yukarıdan aşağıya risk değerlendirme faaliyetlerine ITGC’nin (adı geçen işletme riskiyle bağlantılı olarak) teşkil ettiği riskin değerlendirilmesiyle devam edilmiştir.

Bu Metodoloji, yayımlandığı tarihten itibaren, giderek artan sayıda şirkete ve bunların denetçilerine ITGC için Madde 404 uyarınca hem etkili hem de verimli bir kapsam belirleme konusunda yardımcı olmuştur. Ayrıca doğru ITGC kontrollerinin değerlendirileceğine dair güvence de vermiştir. Denetim kapsamına dâhil edilen ITGC’lerin toplam sayısı bu metodoloji kullanıldığında genellikle azalsa da, birçok şirket, bu

“BT riski diye bir şey yoktur.”

– Jay TaylorGenel Müdür, BT Denetimi,General Motors

7



sayıda net bir düşüş sağladıklarını bildirmişlerdir: Daha önce gözden kaçan alanlara ilişkin yeni kontroller eklemiş ve kilit nitelikte olmayan kontrolleri değerlendirme kapsamından çıkarmışlardır (kilit kontrollermali tablolarda önemli yalan ve yanlış beyan bulunmasını önlemek veya bulunan yanlış beyanları tespit etmek için gereken kontrollerdir).

Geçen birkaç yılda Madde 404’ün uygulanmasıyla elde edilen deneyimlerden de anlaşılacağı üzere, verimli bir kapsam belirlenebilmesi için, işletme kontrollerinin kapsamının belirlenmesi açısından yukarıdan aşağıya esaslı bir yaklaşım benimsenmesi gerekmektedir. GAIT Metodolojisi, yukarıdan aşağıya esaslı yaklaşımın ITGC kapsamı belirlemek için de işe yaradığını göstermiştir.

İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir kombinasyonu kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç kontrol sisteminin değerlendirilmesi için, öncelikle otomatik kilit kontrollerin değerlendirilmesi gerekmektedir.

Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir. Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı, kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit edilmelidir.

ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir. Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik olsun, bu iyi bir öneridir.

Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.

Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske yönelik olmaktadır. Örneğin:

• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki verilmesini sağlar.

• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.

Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller işletme hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit edilmesini sağlamak amacıyla baz alınan kontrollerdir.

Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:

• Manuel kontroller (örn. fiziksel envanter sayımı).

• Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi).

8



• Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya karma kontroller.4 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle verimsiz olur. Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistemraporunun gözden geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz olmasını sağlayamayabilir. Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına dâhil olur.

Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit kontroller – uygun testler kullanılarak – değerlendirilmelidir.

Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn. BT güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça belirtilmesi gereken bir kapsam sınırlamasıdır.

Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin istikrarlı ve uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin değerlendirilmesi ve test edilmesi de düşünülmelidir.

İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması konusunda ITGC’ler (BT Genel Kontrolleri) temel alınabilir.

Karma kontrolleri de içeren ve hepsine birden kritik BT işlevleri adı verilen kilit otomatik kontrollerin verimli ve istikrarlı bir şekilde çalışması gerekmektedir. Denetçiler bunun güvence altına alınması konusunda genellikle ITGC’leri temel alırlar.

Aşağıda sunulan yukarıdan aşağıya değerlendirme metodolojisi, BT süreçlerinde (örn. değişiklik yönetiminde) meydana gelen aksaklıkların kilit otomatik kontroller açısından teşkil ettiği riskin değerlendirilmesi ve ITGC’lerde kilit kontrollerin tanımlanması için bir süreci de içermektedir.

ITGC’lerde meydana gelen bir aksaklığın bir işletme riskine yönelik kilit otomatik kontrollerde aksaklığa veya bu kontrollerin güvence altına alınamamasına neden olması hâlinde, bahsi geçen kilit ITGC’ler hesaba katılmadığı sürece, bu işletme riskine yönelik kontroller eksik kalacaktır.

Kritik BT işlevlerini güvence altına almak için gereken spesifik kilit ITGC’ler (GAIT Metodolojisi’ndebelirtilen ilkelere benzeyen) üç alt-ilke temel alınarak tanımlanır:

İlke 4a: Tanımlanması gereken ITGC süreci riskleri, önemli uygulamalarda ve ilgili verilerde kritik BT işlevlerini etkileyen risklerdir.

Bu ilke ilk üç ilkede belirtilen kavramlarla ilişkilidir: işletme hedeflerine yönelik risklerin yukarıdan aşağıya değerlendirme modeli, kilit iş süreci kontrollerini, bunların arasından da kritik BT işlevlerini tanımlar. ITGC’de meydana gelen aksaklıkların bu kritik BT işlevleri açısından teşkil ettiği – değişiklik kontrolü ve güvenlik gibi süreçlerde meydana gelen – risklerin yukarıdan aşağıya yaklaşımın bir parçası ve devamı olarak tanımlanması ve değerlendirilmesi gerekmektedir.

İlke 4b: Çeşitli süreçlerde ve BT katmanlarında, tanımlanması gereken ITGC süreci riskleri bulunmaktadır. Bu BT katmanları uygulama programı kodu, veritabanları, işletim sistemleri ve ağdır.Tıpkı kilit işletme kontrolleri bulunan iş prosesleri (örn. borçlu hesap işlemleri, bütçeleme ve kiralama) olduğu gibi, kilit ITGC’leri bulunan ITGC süreçleri de (örn. değişiklik yönetimi, bilgisayar işlemleri ve güvenlik yönetimi) mevcuttur. Her ITGC süreci, her bir uygulamanın BT altyapısının dört katmanında da5

işler – uygulama, (çizelge gibi ilgili yapıların da dâhil olduğu) veritabanı, işletim sistemi ve ağ altyapısı –. Bu katmanlar yığın olarak da bilinirler.

4ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır.

5GAIT-R’da her kurumun ihtiyaçlarına uyarlanabilen dört katmanlı bir yığın kullanılır. Örneğin, bu metodolojiyi kullanan biri farklı bir dört

katmanlı grup tanımlayabilir veya yığında daha farklı sayıda katmanın bulunduğu bir model kullanabilir. Katman sayısı veya açıklama seçimi GAIT-R Metodolojisi’nin işlerliğini engellemez.

9



Kritik BT işlevlerinin güvenilirliğine ilişkin riskler BT altyapısının her bir katmanında her ITGC süreci için (örn. uygulama kodu katmanında değişiklik yönetimi sürecinde veya veritabanı katmanında güvenlik yönetimi sürecinde meydana gelen riskler değerlendirilerek) değerlendirilebilirler.

İlke 4c: ITGC süreçlerinde bulunan riskler münferit kontrol hedeflerine değil, BT kontrol hedeflerine ulaşılmasıyla hafifletilebilirler.

Her bir ITGC süreci BT kontrol hedeflerine ulaşılmasına katkı sağlayan kontroller içermektedir. Bu kontrol hedefleri şu şekildedir:

• Sistemler üretime geçirilmeden önce uygun şekilde test edilir ve validasyonları yapılır.

• Veriler yetkisiz değişikliklere karşı korunurlar.

• İşlemlerde meydana gelen herhangi bir sorun veya sorun teşkil eden duruma gereğince müdahale edilir ve bunlar yine gereken şekilde kaydedilir, araştırılır ve çözümlenir.

Bu hedeflere ulaşılamaması hâlinde, kritik BT işlevlerinin uygun ve istikrarlı işleyemediği sonucuna varılabilir. Önemli uygulamalar için gereken BT kontrol hedeflerinin tanımlanması konusunda GAIT-R’den yararlanılır.

ITGC süreçlerindeki kontroller, işletme hedeflerine ulaşmada başarısızlık riskiyle her zaman doğrudan bağlantılı değildir. Münferit ITGC’ler, ilgili BT kontrol hedeflerine ulaşılmasını güvence altına alırlar. Bu kontrol hedefleri de kritik BT işlevlerinin istikrarlı çalışmasını güvence altına alırlar ve iş süreçlerindeki kilit kontrollerin istikrarlı çalışması için de bu kritik BT işlevlerine ihtiyaç duyulur. İnceleme ve değerlendirmeye tabi tutulan işletme hedefleriyle ilgili güvence sağlanabilmesi için ise, iş süreçlerinde kilit kontrollerin varlığı gerekmektedir.

Sonuç olarak, öncelikle ilgili BT kontrol hedeflerinin tanımlanması önem arz etmektedir; ITGC’lerdeki kilit kontroller ancak bu BT kontrol hedefleri tanımlandıktan sonra belirlenmelidir. Denetim kapsamına dâhil edilmesi gereken kilit ITGC kontrolleri BT kontrol hedeflerine ulaşılması için gereken kontrollerdir. Belirli birtakım ITGC’ler önemli gibi görünseler de, tanımlanmış bir BT kontrol hedefine yöneltilmesi gerekmedikçe, bu ITGC kontrollerinin değerlendirme kapsamına alınmasına da gerek yoktur.

10

5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT

5. GAIT-R YUKARIDAN AŞAĞIYA METODOLOJİSİ

BT riskinin değerlendirilmesi işletme hedeflerine ulaşılmasına yönelik risklere ilişkin yapılan bütünsel bir inceleme ve değerlendirmenin yalnızca bir parçası olduğundan, aşağıda tartışılan basamaklar risk değerlendirme ve kontrol tanımlama sürecinin tamamını kapsamaktadır.

GAIT-R Metodolojisi, denetimin inceleme amacının ya da kontrol değerlendirmelerinin anlaşılmasından başlayarak, tanımlanmış bir iş kapsamı elde edilmesiyle sonuçlanan sekiz basamaktan oluşur.

6

1. Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.

2. İşletme hedeflerine ulaşılacağı konusunda makul güvence sağlamak için gerekli olan, iş

süreçlerindeki kilit kontrolleri tanımla.

3. Kilit işletme kontrolleri arasından temel alınan kritik BT işlevlerini tanımla.

4. ITGC’lerin test edilmesi gereken önemli uygulamaları tanımla.

5. ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.

6. Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşılmasını sağlayıp sağlamadığını test et.

7. Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.

8. İncelemenin kapsamını belirle ve uygun bir tasarım ve etkinlik test programı oluştur.

Adım 1: Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.

İlke 1’de de belirtildiği üzere, BT’nin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına ulaşılmasını sağlamaktır. Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir işletme riski doğmasına veya var olan bir işletme riskini büyümesine yol açabilir; ki bu durumda işletme hedef ve amaçları verimli ve etkin bir şekilde başarılamaz.Denetçiler 7 , kapsamı tanımlamaya, güvence verilmesi gereken işletme hedeflerini tanımlayarak ve anlayarak başlamalıdırlar.

Kimi zaman, denetçilere tanımlanmış bir teknoloji riskine yönelik kaygılar bildirilebilir. Örneğin, bir yönetim kurulu üyesi, Başkan (CEO) veya başka herhangi bir yönetici, ağ güvenliği veya uygulama değişiklik yönetimi riskine ilişkin sorular sorabilir. Bu gibi durumlarda, denetçinin yine de ilgili işletme risklerini tanımlaması ve tekrar bir yukarıdan aşağıya değerlendirme yapması gerekmektedir. Esas işletme riski ve ilgili hafifletici etmenler ancak bu yolla tanımlanabilirler; bu da teknoloji riskine ilişkin kaygıların yerinde olup olmadığının ve eğer haklı gerekçelere dayanıyorlarsa bu kaygıların derecesinin uygun şekilde ölçülüp değerlendirilmesine olanak sağlar.

Örneğin, bu rehberin başında verdiğimiz A Şirketi örneğinde, basiretli bir denetçi benzin istasyonu marketlerinde uygulamaları ve ITGC’leri denetlemeye girişmeden önce durup biraz düşünürdü.

Denetçilerin ilgilendikleri işletme riski, marketlerdeki tüm faaliyetlerin şirketin kayıtlarında tam, eksiksiz ve doğru tutulup tutulmadığıydı. Bu işletme riskleri arasında da satışların kayıtlara yansıtılmaması, envantere dahil malların zimmete geçirilmesi ve para kaçırma şeklinde riskler bulunuyordu.

6Metni okuyanların bu belgenin Metodoloji kısmından ilkelere tekrar dönmeden yararlanabilmelerini sağlamak amacıyla, metinde ilkelerin

tanımlandığı bölümler tekrar verilmiştir.7

Ayrıca, GAIT-R Metodolojisi, riskleri – özellikle BT ile ilgili olanları – tanımlamak ve değerlendirmek amacıyla denetimle ilgisi olmayanlar

tarafından da kullanılabilir. Bu metodolojide, bu noktadan itibaren kullanılan “denetçiler” ibaresi metodolojinin diğer kullanıcılarını da kapsamaktadır.

11


Denetçinin market faaliyetlerine yönelik kontrollerin de dâhil olduğu tüm hafifletici faktörleri anlamış ve kavramış olması gerekirdi. Bu bütünsel bakış açısı ile market faaliyetlerinin trendlerin ve değişimlerin bir analizini de içeren merkezi değerlendirmesini tanımlamanın yanı sıra başka önemli kontrollerin de mevcut olduğunun tespit edilmiş olması gerekirdi (market yöneticisinin yaptığı günlük kasa denetimleri, bölge müdürünün yaptığı aylık envanter ve kasa denetimleri ve bağımsız market denetçilerinin en az üç ayda bir yaptıkları envanter ve kasa denetimleri gibi).

Sonuç olarak, basiretli bir denetçi, market içerisinde bulunan teknolojik donanımda meydana gelecek herhangi bir arızanın makul bir zaman zarfında tespit edileceği sonucuna varmış olurdu. (Tespit kontrollerinin yeterli olup olmadığına ilişkin yapılan değerlendirmeye işletme yönetimiyle yapılan görüşmeler de dâhil edilmelidir. Yönetim, market çalışanlarının mal çalıp çalmadığını veya para kaçırıp kaçırmadığını tespit etmeyi bölge müdürü veya market denetçisi ziyaretlerine kadar erteleme riskini göze almaya razı olacaktır, zira daha sıkı kontrollerin maliyeti çok yüksektir.)

İlke 2’de teknoloji riskinin ancak ilgili işletme riskinin anlaşılmasıyla değerlendirilebileceği iddia edilmektedir. Yukarıdan aşağıya yaklaşım işletme risklerini ve bu riskleri yönetmek veya hafifletmek için mevcut olan kontrolleri tanımlamaktadır.

Adım 2: İş süreçlerinde yapılan ve işletme hedeflerine ulaşılacağı konusunda makul güvence vermek için gereken kilit kontrolleri tanımla.

Adım 2, İlke 3’e dayanmaktadır. Denetçi, Adım 1’de tanımlanan işletme hedeflerine ulaşılacağı konusunda güvence vermek için gereken kilit kontrolleri tanımlamalıdır. Denetçinin denetim kapsamına kilit olmayan kontrollerin (örn. gereksiz veya mükerrer kontroller gibi) değerlendirilmesini de eklemeyi tercih edebilecek olmasına karşın, bu türden bir güvencenin sunulmasının işletme açısından herhangi bir değer arz etmesi hâlinde, yalnızca kilit kontrollerin değerlendirilmesi gerekir.

Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir. Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı, kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit edilmelidir.

ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir. Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik olsun, bu iyi bir öneridir.

Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.

Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske yönelik olabilmektedir. Örneğin:

• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki verilmesini sağlar.

• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.

Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller işletme hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit edilmesini sağlamak amacıyla baz alınan kontrollerdir.

12


Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:

• Manuel kontroller (örn. fiziksel envanter sayımı).

• Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi).

• Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya karma kontroller.8 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle verimsiz olur. Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistem raporunun gözden geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz olmasını sağlayamaz. Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına dâhil olur.

Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit kontroller – uygun testler kullanılarak – değerlendirilmelidir.

Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn. BT güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça belirtilmesi gereken bir kapsam sınırlamasıdır.

Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin istikrarlı ve uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin değerlendirilmesi ve test edilmesi de düşünülmelidir.

Adım 3: Kilit işletme kontrolleri arasından temel alınan kritik BT fonksiyonlarını tanımla.

Temel alınan kritik BT fonksiyonları tam otomatik kontroller ve karma kontrollerden (bkz. Adım 2) ve diğer kritik BT fonksiyonlarından oluşmaktadır.

Birçok uygulamada kurumun temel aldığı hesaplamalar yapılır ve başka işlemler yürütülür. 9 Bu işlemler (prosedürler) teknik olarak kontrol değildirler. Ancak işlevlerde bir arıza veya aksaklık meydana gelmesi hâlinde, kilit manuel veya otomatik kontroller bunları tespit edemeden kimi hatalar ortaya çıkabilir. İşletme hedeflerine ulaşılmasını engelleyen sezilemeyen hataların bulunması durumunda, bu hataların kritik BT fonksiyonları olarak denetim kapsamına alınmaları gerekir.

Adım 4: ITGC’lerin test edilmesini gerektiren önemli uygulamaları tanımla.

Önemli uygulamalar kritik BT işlevleri kararlaştırıldıktan sonra tanımlanabilirler. Bu önemli uygulamalar kritik BT işlevlerini kapsadıklarından ötürü potansiyel bir ITGC süreci riski bulunan uygulamalardır. Önemli uygulamaları tanımlamak için aşağıdaki yollar izlenmelidir:

A. Kritik BT işlevlerini uygulamaya göre seç. Bu yolla kritik işlevlerin bulunduğu uygulamaların bir listesi elde edilir. Bu liste yalnızca bir sonraki adıma tâbi olan ve ITGC süreçlerindeki risklerin değerlendirileceği önemli uygulamaların bir listesidir.

B. Kritik BT işlevlerinin mevcut olup olmadığına bakılarak önemli addedilmeyen uygulamalar için ek bir adım daha mevcuttur: Doğrudan uygulama verilerinde yapılan bir yetkisiz değişikliğin işletme hedeflerine ulaşılmasını engelleyen sezilemeyen bir hatanın doğmasına yol açıp açmadığının belirlenmesi. Eğer böyle bir ihtimal varsa, uygulama bir önemli uygulama olarak addedilmelidir.

Duruma göre, hesaplamalarda ve diğer işlevlerde uygulamanın öncesinde elde edilen verilerin kullanıldığı da unutulmamalıdır. Bu verilerde meydana gelen bir değişikliğin sezilemeyen bir hataya yol açabileceği durumlarda, risk yalnızca bu verileri kullanan uygulamada değil, başka uygulamalarda da bulunabilir (örn. verilerin elde edildiği uygulamada ve verilerin saklandığı, dolayısıyla da risk altında bulunan başka herhangi bir uygulamada). Verilerde meydana gelen değişikliklerin uygulamanın kendisinde veya başka bir yerde tespit edilememesi hâlinde, bu yukarı akım uygulamaların her biri önemli uygulamalar olarak görülür.

C. Yalnızca önemli uygulamalarla devam et.

8ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır.

9Kimi BT denetçileri bu hesaplamalar, büyük defterlerin güncellenmesi vb. için programlanmış işlemler veya programlanmış muhasebe işlemleri terimlerini kullanmaktadır.

13


Adım 5: ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.

GAIT-R, her önemli uygulama için, yığının her bir katmanında bulunan (örn. uygulama kodu, veritabanı, işletim sistemi ve altyapı) her bir BT sürecini çekerek (örn. değişiklik yönetimi, işlemler ve güvenlik) BT süreci risklerini ve ilgili kontrol hedeflerini tanımlar. Tablo 1’de kısmen tamamlanmış bir GAIT-R matrisinin bir örneği görülmektedir. Matris oluşturmak bu adımda bahsi geçen sonuçları elde etmek için mükemmel bir yoldur.

14


Tablo 1. Kısmen tamamlanmış GAIT-R matrisi

Katman Değişiklik Yönetimi İşlemler Güvenlik

Uygulama Evet

Uygulama; çok sayıda kilit

otomatik kontrolün yanı sıra, kilit

önemi haiz rapor ve hesaplamalar

ve büyük defter hesaplarının

güncellenmesi de dahil başka

kritik işlevler içerir ve

uygulama kodu düzeyinde

değişiklik yönetimi süreçlerinde

aksaklıklar olması hâlinde, en

azından makul sınırlar içerisinde

uygulamanın işlevselliğinin bu

durumdan olumsuz etkilenmesi

ihtimali vardır.

Gözetilecek kontrol hedefleri

arasında aşağıdakiler

bulunmaktadır:

• Tüm program değişikliklerinin

uygulamaya konmadan önce

BT ve kullanıcı yönetimi

tarafından onaylanması

gerekmektedir.

• Program değişiklikleri uygun

şekilde test edilir ve değişiklikler

hayata geçirilmeden önce bu test

sonuçları onaylanır.

Evet

Uygulama, bu süreçteki kontrollere dayanan

birçok arayüz toplu işi içerir. Kontrol

hedefleri arasında aşağıdakiler

bulunmaktadır:

• İşlemlerin normal şekilde

tamamlanmasını sağlamak için toplu

işler izlenir; prosesle ilgili sorun teşkil

eden tüm durumlar rapor edilerek uygun

düzeltici eylemler uygulanır.

• Toplu işler, bu işlerin istenen şekilde

yürütülmesi konusunda güvence veren

bir otomatik zaman programına alınırlar.

Evet

Uygulama, belirli kişiler ve

fonksiyonlar/birimlerin işlem

yetkilerinin

sınırlandırılmasına dair

otomatik kontroller

içerdiğinden dolayı, kullanıcı

erişim kontrolleri uygundur.

Bu önemli kontrol hedefleri

arasında aşağıdakiler

bulunmaktadır:

• Her kullanıcının

sorumluluk alanına uygun

tanımlanmış iş rollerine

bağlı olarak erişim

sınırlanır.

• Çalışanlara ve taşeronlara

verilen erişim izni iş akdi

feshedildiği anda kaldırılır.

• Yalnızca yetkili kişilerin

ayrıcalıklı erişim iznine

sahip olduklarından emin

olmak için periyodik

incelemeler yapılır.

Veritabanı Değerlendirme tamamlanmamıştır.

İşletim Sistemi Hayır

İşletim sistemine kurulan acil

durum yamalarını da içeren

işletim sistemi değişikliklerinin

kritik BT işlevlerini aksatmaya

yol açacak düzeyde

etkilemedikleri düşünülmektedir.

Özellikle, uygunsuz değişiklikler

veya yeterli testler yapılmadan

uygulanan değişiklikler tüm

uygulamanın arızalanıp

aksamasına yol açacaklarından

anında fark edilirler.

Ağ Altyapısı Değerlendirme tamamlanmamıştır.

15


Risk değerlendirmesinde aşağıdaki hususlar göz önünde bulundurulmalıdır:

• Bir BT süreci aksaklığının meydana gelme ihtimali ve bu aksaklığın potansiyel etkisi.

• BT sürecinin kritik BT işlevlerinde arıza ve aksaklığa yol açacak şekilde aksama ihtimali nedir?

• Kritik işlevlerin hemen fark edilmeksizin aksaması ve bunun da işletme hedeflerine ulaşamamakla sonuçlanması ihtimali en azından makul sınırlar içerisinde var mıdır?

1. Her önemli uygulama bakımından, BT altyapısındaki her katman için spesifik ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla. Kısaca, GAIT-R matrisindeki her hücreye bakarak Tablo 2’de gösterilen ilgili soruları cevapla.

2. Eksiksiz bir değerlendirme yapmak için gerektiğinde BT Yönetişim Enstitüsü Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) gibi ek ürünler kullan.

Tablo 2. GAIT-R matrisindeki her hücre için sorulacak sorular


Uygulama Değişiklik

yönetiminde bir

aksamanın,

tanımlanan bir ya da

birden fazla kritik

işlevin etkisiz hâle

gelmesine neden

olacak şekilde kritik

işlevleri etkilemesi

ihtimali en azından

makul ölçüler

içerisinde var mıdır?

Eğer öyleyse, riskleri ve

ilgili kontrol hedeflerini

tanımla.

Operasyonlarda bir

aksamanın, tanımlanan bir

ya da birden fazla kritik


gelmesine neden olacak

şekilde kritik işlevleri

etkilemesi ihtimali en

azından makul ölçüler


Eğer öyleyse, riskleri ve ilgili

kontrol hedeflerini tanımla.

Güvenlikte bir aksamanın,

tanımlanan bir ya da birden

fazla kritik işlevin etkisiz hâle



etkilemesi ihtimali en azından

makul ölçüler içerisinde var

mıdır?

Başka bir deyişle, güvenlikte

meydana gelen bir aksamanın bir

uygulamada (örn. başvuru çizelgesi

gibi) bulunan verilerde yetkisiz

değişikliğe yol açması ihtimali en

azından makul ölçüler içerisinde var

mıdır?

Eğer öyleyse, riskleri ve ilgili kontrol

hedeflerini tanımla.

Veritabanı Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?

Başka bir deyişle, güvenlikte

meydana gelen bir aksamanın bir

uygulamada (örn. başvuru çizelgesi

gibi) bulunan verilerde yetkisiz

değişikliğe yol açması ihtimali en

azından makul ölçüler içerisinde var

mıdır?



16



İşletim Sistemi Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?



Ağ Altyapısı Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?



Adım 6: Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşmayı sağlayıp sağlamadığını test et.

Tüm riskler ve ilgili BT kontrol hedefleri tanımlandıktan sonra bu risklere ve kontrol hedeflerine yönelik yapılacak spesifik ITGC kilit kontrolleri belirlenebilir. Bu amaca yönelik olarak COBIT gibi çerçevelerden büyük oranda yararlanılabilir.

Her ITGC kilit kontrolünün GAIT-R vasıtasıyla tanımlanan her bir spesifik BT kontrol hedefiyle, dolayısıyla da risk altındaki kritik BT işlevlerinin doğru çalışmasıyla bağlantılı olması gerekmektedir.

17


Adım 7: Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.

Yukarıda belirtildiği üzere, işletme risklerini yönetmek veya hafifletmek ve işletme hedeflerine ulaşılması konusunda makul bir güvence vermek için gereken iç kontrol sistemine aşağıda sayılanların uygun bir kombinasyonunu içeren bir dizi kilit kontrol dâhildir:

• Kurumsal düzeyde kontroller.

• Manuel kontroller.

• Otomatik kontroller – hem tam otomatik hem karma kontroller –.

• ITGC’ler.

Bu adımda, denetçinin biraz düşünüp daha önce tanımlanmış kontrolleri gözden geçirmesi ve bu kontrollerin istenen düzeyde güvence sağladığından emin olması gerekmektedir. Denetçilerin ayrıca aksaklık veya arızaların diğer kilit kontrollerle tespit edebileceği ya da onarılıp telafi edilebileceği durumlarda mükerrer veya gereksiz kontroller bulunup bulunmadığını ve bunları eleyerek verimliliği artırıp artıramayacaklarını belirlemesi gerekmektedir.

Adım 8: İncelemenin kapsamını belirle ve uygun bir tasarım ve verimlilik test programı oluştur.

GAIT-R, işletme hedeflerine ulaşma konusunda makul bir güvence verilmesi için gereken kilit kontrolleri tanımlamada denetçilere yardımcı olur. Daha sonra denetçiler ne tür bir denetim veya inceleme yapacaklarına karar verebilirler:

• Tüm risklere yönelik tam ve eksiksiz bir işletme denetimi – kimileri bunu bir entegre denetim olarak görebilir –.

• Denetçi değerlendirmeyi tek bir proje kapsamında mı yoksa farklı zamanlarda uygulanabilecek birden fazla projeye bölerek mi yapmak istediğine karar vermelidir.

• Değerlendirmenin birden fazla projeye bölünerek yürütülmesi hâlinde, denetçinin konsolide değerlendirmenin nasıl yapılıp rapor edileceğinin yanı sıra münferit projelerin sonuçlarının nasıl değerlendirilip rapor edileceğini de belirlemesi gerekmektedir.

• Kapsam bakımından yalnızca seçilmiş kilit kontrollerle sınırlandırılmış bir denetim.

• Sınırlı kapsamın hem işe başlamadan önce hem de denetim raporunda açık ve net tanımlanması ve beyan edilmesi gerekmektedir.

• Tüm ilgili kontrollerin etkililiğini kavramadan ve tüm yetersizliklerin etkisinin değerlendirilmemiş diğer kilit kontrollerle hafifletilip hafifletilemeyeceğini anlamadan tüm kontrol yetersizliklerini değerlendirmenin daha zor olabileceği unutulmamalıdır.

• Bir güvence projesinden ziyade, iç kontrol sisteminin etkinliğini artırarak ona değer katmaya yönelik bir danışma görevi projesi.

18

6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT

6. RİSK YÖNETİMİNE İLİŞKİN VARILAN SONUÇLAR

Giriş bölümünde de belirtildiği üzere, GAIT-R Metodolojisi öncelikli olarak iç denetim uygulayıcıları için geliştirilmiştir. Ancak, kontrollerin risk yönetim prosesinin yalnızca bir parçası olduğu hesaba katılmadan yapılan risklere ilişkin bir tartışmanın tamlığından ve eksiksizliğinden söz edilemez.

COSO10 İşletme Riski Yönetimi (ERM) çerçevesinin aşağıda gösterildiği üzere birbirleriyle bağlantılı sekiz bileşeni bulunmaktadır.

Şekil 2. COSO’nun ERM çerçevesi

GAIT-R, aşağıda sayılan bileşenler kapsamında gerçekleştirilen faaliyetlerin bir sonucu olarak, BT’ye bağlı kontrol faaliyetlerinin kurumsal hedeflerle ilişkilendirilmesi için bir çerçeve sunmaktadır:

• Olay Tanımlama; stratejiyi ve amaçlara ulaşılmasını etkileyebilecek olayların belirlenmesini kapsar.

• Risk değerlendirme; potansiyel olayların hedefleri ne derece etkileyebileceğinin anlaşılmasını kapsar.

Risk cevabı bileşeni, risklere verilecek olası yanıt ve karşılıkların tanımlanması ve değerlendirilmesini kapsar. Bu yanıtlar arasında riskten kaçınma, riski azaltma, risk paylaşımı ve riski kabul etme sayılabilir. Risk cevabı GAIT-R’nin kapsamı dışında kalan bir yönetim sorumluluğudur ve bir denetim sırasında, kilit kontrol faaliyetlerinin (yani risk karşılıklarının/yanıtlarının uygun şekilde işlemesini sağlamaya yardımcı olan politika ve prosedürlerin) tanımlanmasına daha fazla odaklanır.

10COSO ERM çerçevesi hakkında bilgi edinmek için www.coso.org web adresini ziyaret ediniz.

19

6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT

COSO ERM çerçevesi aşağıdaki hususları belirtmektedir.

“Bilişim sistemlerini temel almak giderek yaygınlaştığından ötürü önemli sistemlerde kontroller yapılması gerekmektedir. Bu amaçla iki büyük bilişim sistemleri kontrol faaliyetleri grubu kullanılabilir. Bunlardan ilki tümünde olmasa da birçok uygulama sisteminde uygulanan ve bu sistemlerin devamlı ve doğru çalışmasını sağlayan genel kontrollerdir. İkincisi ise teknoloji uygulama faaliyetlerini kontrol emek için kullanılan uygulama yazılımındaki bilgisayar destekli adımları kapsayan uygulama kontrolleridir. Gerektiğinde diğer manüel süreç kontrolleriyle kombine edilen bu kontroller bilginin tamlığı, doğruluğu ve geçerliliğini sağlarlar.”

GAIT-R’nin risk yönetim profesyonelleri için değeri, BT’nin işletme riskinin yönetilmesi ve hafifletilmesi için ve yukarıda tartışıldığı üzere doğru ya da tam olmayabilecek bir geniş kapsamlı yaklaşımdan ziyade bir yukarıdan aşağıya yaklaşım kullanarak kurumsal hedeflere ulaşılması için gereken spesifik özelliklerinin tanımlanmasını sağlamasıdır.

Documents

GAIT-İşletme ve Bilgi Teknolojileri İçin GAIT3 İş etki analizi ayrıca kritik sistemler analizi, BT risk değerlendirmesi vb. olarak da adlandırılmaktadır. 5 3. Bölüm |NEDEN