İŞLETME VE BİLGİ - tide.org.tr°şletme ve Bilgi Teknolojileri İçin GAIT.pdf · 2 2. Bölüm...

İŞLETME VE BİLGİ

TEKNOLOJİLERİ

RİSKLERİ İÇİN GAIT

İç Denetçiler MESLEKİ REHBERLİK Enstitüsü Standart Belirleme

İşletme ve Bilgi Teknolojileri Riskleri

İçin GAIT

(GAIT-R)

İç Denetçiler Enstitüsü

Mart 2008

İçindekiler

1. Giriş ......................................................................................................................................................... 1

2. Yöneticiler İçin Özet ............................................................................................................................. 2

3. Neden GAIT-R? ............................................................................................................................. ........ 4

4. GAIT-R İlkeleri ..................................................................................................................................... 6

5. GAIT-R Yukarıdan Aşağıya Metodolojisi ............................................................................................ 10

6. Risk Yönetimine İlişkin Varılan Sonuçlar ............................................................................................ 18

İşletme ve BT Riskleri İçin GAIT

1

1. GİRİŞ

İşletme ve BT Riskleri İçin GAIT1 (GAIT-R)2, kurumsal hedef ve amaçlara ulaşmak açısından kritik öneme

sahip kilit kontrollerin tümünü tanımlamak için kullanılan bir metodolojidir. GAIT-R’de, BT’nin – bu

dokümanda genellikle işletme riski olarak adlandırılan – kurumsal riskin yönetilmesi ve hafifletilmesi için

gereken kritik yönleri açıklanmaktadır. Denetim çalışmalarının planlanması aşamasında bu kritik BT

işlevleri ve onlara karşılık gelen riskler göz önünde bulundurulabilir.

GAIT-R, öncelikli olarak iç denetim uygulayıcıları için geliştirilmiştir. Fakat organizasyonları bünyesinde

BT risklerinin planlanması ve yönetiminden sorumlu kişiler veya BT yönetişim ve güvenlik yöneticileri de

GAIT-R’yi kullanabilirler.

GAIT-R öncelikli olarak iç denetim uygulayıcıları için geliştirilmiş olduğundan, risklerin yönetilmesi ve

hafifletilmesi için mevcut kilit kontroller üzerinde durmaktadır. Sonuç bölümünde, risk yönetim

stratejilerine ilişkin bir tartışmaya yer verilmiştir.

1 GAIT, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir.

2 GAIT-R ise, 2002 tarihli ABD Sarbanes-Oxley Kanunu’nun 404. maddesi uyarınca bir kurumun finansal raporlama üzerinde iç kontrol

değerlendirmesi sürecine dâhil edilmesi gereken BT genel kontrollerini tanımlamakta kullanılan bir süreç olan GAIT Metodolojisi’nden türetilmiş

bulunan IIA rehberlik ürünleri ailesinin bir üyesidir.

2

2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT

2. Yöneticiler İçin Özet

GAIT-R Metodolojisi dört ilkeye dayanmaktadır. Bu ilkeler:

İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme için bir

risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk olur.

İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi ve

hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC (Bilgi Teknolojileri Genel

Kontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla değerlendirilmesinden elde edilen

sonuçlara bakılarak tanımlanmalıdır.

İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir kombinasyonu

kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç kontrol sisteminin

değerlendirilmesi için, otomatik kilit kontrollerin değerlendirilmesi gerekmektedir.

İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması konusunda

ITGC’ler (BT Genel Kontrolleri) temel alınabilir.

GAIT-R Metodolojisi, her bir tanımlanmış kurumsal hedef için var olan riskler bazında, aşağıdakileri

içeren bir kapsama sahiptir:

• İş süreci dâhilinde manuel kilit kontroller.

• İş süreci dâhilinde otomatik ve karma kilit kontroller.

• ITGC süreçleri dâhilinde kilit kontroller.

• Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) iç kontrol modelinin kontrol

ortamı, bilgi ve iletişim ve diğer katmanlarındaki faaliyetleri de içeren kurum-çapında

kontroller.

Denetçi ya da değerlendirme sorumlusu, iş hedeflerine ulaşma konusunda makul güvence sağlayan

kontrolleri tam ve eksiksiz kavramak suretiyle ve GAIT-R’yi kullanarak, yapılacak işlerin kapsamını

tanımlayabilir.

Bu metodolojinin nihai ürünü, belirlenen işletme risklerinin yeterli düzeyde yönetilmesi veya

azaltılmasına ve ilgili kurumsal hedeflerin yine yeterli düzeyde yönetilmesine yönelik makul bir güvence

sağlamak için gereken kilit kontrollerin bir listesidir. Böylelikle, denetçi, ya yeterli kontrollerin mevcut

olduğuna ilişkin güvence vermek amacıyla verimli ve etkili bir denetim projesi tasarlayabilir ya da

yönetimin bu kontrolleri iyileştirmesine katkıda bulunmak için katma değerli danışmanlık hizmetleri

sağlaya bilir.

Aşağıdaki şekilde, GAIT-R’nin işletme risklerinin yönetilmesini ve kurumsal hedeflere ulaşılmasını

sağlamak amacıyla muhtemelen tanımlayacağı kontroller kombinasyonu gösterilmektedir.

3

2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT

Şekil 1. GAIT-R Metodolojisi Yardımıyla Kontrollerin Tanımlanması

4

3. Bölüm | NEDEN GAIT-R?


3. NEDEN GAIT-R?

GAIT-R’ye duyulan ihtiyaç, en iyi şekilde, gerçek hayatta karşılaşılan durumlardan iki örnekle

açıklanmaktadır:

A Şirketi; Amerika Birleşik Devletleri çapında yaklaşık 4.000 benzin istasyonu ve istasyon marketleriyle

(convenience store) büyük bir benzin istasyonu marketler zinciri işletiyordu. Sarbanes-Oxley Kanunu’nun

çıkmasından birkaç yıl önce, dış denetim firmasının BT denetim ekibi, marketlerde uygulanan hem

uygulama kontrolleri hem de genel BT kontrollerinin kritik öneme sahip olduğuna karar verdi. Her

marketin yazar kasa ve benzin pompası faaliyetlerini destekleyen kendi özel sunucusu bulunuyordu. En az

günde bir defa, genellikle günde iki defa, merkezi bilgisayar sistemi tarafından sunucular pinglenerek bu

sunuculardan alınan operasyonel veriler ve muhasebe verileri yüklenmekteydi.

Dış denetim firmasının BT Denetim Yöneticisi, şirketin İç Denetim Yöneticisi (CAE) ile temasa geçerek

ona önemli kontrol zafiyetleri tespit ettiklerini bildirdi. CAE de, bunun üzerine derhal, Şirket Kontrolörü,

Bilgi Sistemleri Grubu Başkanı (CIO), dış denetim firmasının genel görev ortakları ve kendi kıdemli

müdürüyle bir üst düzey toplantı düzenledi.

Toplantıda, BT denetim yöneticisi market sunucularıyla ilgili güvenlik sorunları bulunduğunu (örn.

parolalar düzenli aralıklarla değiştirilmiyordu) ve ayrıca, yüklemelerin yapılıp yapılmadığını, tam ve

eksiksiz olup olmadıklarını veya doğruluklarını teyit ve temin edecek hiçbir kontrolün bulunmadığını

bildirdi.

Dış denetim firmasının görevlendirdiği kıdemli müdür, hemen, merkezi market muhasebe biriminde,

market düzeyinde olabilecek yükleme sorunlarını belirleyecek nitelikte kontrollerin ekibi tarafından tespit

ve test edildiği yönünde bir cevap verdi. Bu kontroller arasında, marketlerde yapılan yüklemelerde

olabilecek eksikleri tespit eden raporların incelenmesi ve market operasyonlarının detaylı analizleri de

vardı ve bu detaylı analizler, market ve emtia kategorisine göre tahminlerden sapmaları ve trendleri de

kapsıyordu. Toplantının sonucunda, şirketin genel kontrol sisteminin finansal raporlama açısından yeterli

olduğu ve dış denetçinin şirketin iç koordinasyon ve risk değerlendirme fonksiyonlarını iyileştireceği

konularında mutabakata varıldı.

Bu örnekten alınacak ders; denetim alanlarının belirlenmesinde sadece teknoloji riskini temel almanın

denetimde verimsizliklere neden olabileceğidir. Denetlemeye değer teknoloji risklerinin belirlenmesi ancak

– manuel veya otomatik ayrımı yapmaksızın – tüm işletme kontrollerinin dikkate alınmasıyla mümkündür.

Kimileri kullanılabilirlik ve veri güvenliği gibi teknoloji risklerinin çok etkili ve önemli olduklarını,

dolayısıyla bu rehberde de sunulan bütünsel bir yaklaşımın gereksiz olduğunu iddia edebilir. Fakat biz bu

teknoloji risklerinin işletme riskine yansımaları belirlenmeden ve işletme riski bağlamında ele alınmadan,

bir denetimin gerekli olup olmadığına veya değerine ilişkin bir karara varmanın mümkün olmadığını

düşünüyoruz. Dolayısıyla, buna değdiğini düşündüğümüz durumlarda, teknoloji risklerinden ziyade işletme

risklerine yönelik bir değerlendirme, denetimin kapsamına daha etkili odaklanmayı sağlayabilir. Örneğin:

• Kullanılabilirliğin bir BT biriminin (fonksiyonunun) başarısı için önemli bir unsur olduğu ortadadır.

Ancak işletme riski yalnızca kullanılabilirlikten ibaret değildir; işletme riski, BT hizmetlerinin

sürekliliğini sağlayamamanın bir sonucu olarak bunun kritik iş süreçleri üzerinde hissedilebilen

etkisidir. Örneğin, faaliyetlerini sürdürebilmesi birden çok BT hizmetine bağlı olan tipik bir imalatçı

işletme düşünün. Bu BT hizmetleri arasında, diğer unsurların yanı sıra, tedarik, envanter ile üretim

kaynak ve planlama (MRP) sistemlerinin yanı sıra siparişler, faturalandırma, maaş bordroları, borçlu

hesaplar, muhasebe ve e-posta sistemleri de sayılabilir.

Kurumun iş etki analizi3; bu hizmetlerden her birinin sürekli kullanılabilirliğinin getirdiği değeri ve o

hizmetin uzun süreli yokluğunun yaratabileceği maliyeti tanımlar. İş etki analizinde kullanılabilirlik

kaybının kurumsal açıdan önemli sonuçlar doğuracağı sistemlerin sadece MRP ve e-posta sistemleri

olarak tanımlanması hâlinde, denetimin doğal olarak bu işletme risklerine odaklanması

gerekmektedir. Diğer bir deyişle, bu işletmede MRP ve e-posta sistemlerinin kullanılamaz olması

olarak formüle edilebilecek işletme risklerini önleyen veya hafifleten kontrollerin ve diğer

önlemlerin incelenip gözden geçirilmesiyle daha etkili bir denetim yapılmış olur.

3 İş etki analizi ayrıca kritik sistemler analizi, BT risk değerlendirmesi vb. olarak da adlandırılmaktadır.

5

3. Bölüm | NEDEN GAIT-R?


Bunun benzeri veri güvenliği için de geçerlidir. Bir kurumun bilgi ağında birçok tür ve biçimde veri

işlenir veya saklanır. Ancak işletme kayıp riski, uygunsuz değişiklikler veya yetkisiz erişim tüm

verileri tutarlı bir şekilde etkilemez. Dolayısıyla, veri güvenliği denetimleri, kritik iş faaliyetlerini

desteklemek için gereken bilgi varlıklarını korumaya ya da verilerde meydana gelecek kayıp veya

hasarın direkt sorumluluk doğurabileceği durumlara (örn. müşteri kredi kartı bilgileri veya hastaların

hastalık geçmişlerinde kayıp veya hasar gibi) odaklanmalıdır. Bu kritik bilgi varlıkları, yalnızca ve

tamamen teknolojik perspektife dayalı bir risk değerlendirme modelinden daha ziyade, en iyi, bir

işletme riski yukarıdan aşağıya değerlendirme modeliyle tanımlanabilirler.

İkinci örnek ise bir işletme denetiminin teknolojiyi temel almayı tanımada, dolayısıyla da kurumsal

hedeflere ulaşmak için tüm riskleri değerlendirmede nasıl başarısız olabileceğini göstermektedir.

B Şirketi’nin iç denetçileri şirketin emisyonlara ilişkin çevresel düzenlemelere uyumu üzerine bir

denetim yapmaktadır. Şirket, Amerika’nın batı kıyısında bir rafineri tesisi işletmekte olup rutin faaliyetler

sırasında açığa çıkan belirli gazların havaya emisyonunu sınırlamak durumundadır. Ayrıca eyalet

düzenleyici otoritesine haftalık emisyon raporları sunmakla ve emisyonların düzenleyici sınırları aşması

hâlinde düzeltici eylemlerde bulunmakla da yükümlüdür.

Denetçilerin gündeminde (denetim kapsamında), diğerlerinin yanı sıra, aşağıdakilerin test edilmesi de

bulunmaktadır:

• Eyalet düzenleyici otoritesine sunulan raporların tam ve eksiksiz olup olmadığı.

• Tüm raporların ilgililere sunulmadan önce ilgili yöneticinin inceleme ve onayından geçip

geçmediği.

• Raporların zamanında sunulup sunulmadığı.

• Aşırı emisyonun meydana geldiği tüm durumların vakit kaybetmeden yönetime rapor edilip

edilmediği ve bu hususta düzeltici eylemlerde bulunulup bulunulmadığı.

• Para cezası ve başka cezaların da verilmesinin beklendiği aşırı emisyon durumunda uygun

tutarların tahakkuk ettirilip ettirilmediği.

• Emisyon izleme ekipmanlarının bakımının yeterli düzeyde yapılıp yapılmadığı.

Ancak bu denetim kapsamı yalnızca operasyonel ve finansal kıstaslar gözetilerek planlanmıştır. Bundan

dolayı, denetçiler, raporlarında emisyon uygunluğunun sağlanmasında rol oynayan BT sistemlerinde

verilerin ve bu verilerin işlenmesinin temel alındığını belirtmemişlerdir. (Bu rehberde, kurumsal hedeflere

ulaşmak için temel alınan otomatik kontroller ve BT’ye bağlı kontrollerin tümüne kritik BT işlevleri adı

verilmektedir). Denetçiler bir yukarıdan aşağıya yaklaşım benimsemiş olsalardı, kritik BT işlevlerinin

önemli ölçüde temel alındığını fark etmiş olurlardı. Fazla temel alınan bu kritik BT işlevlerinin arasında

aşağıdakiler bulunmaktadır:

• Faaliyetleri izlemek için kullanılan raporları hazırlamak ve düzenleme otoritelerine gönderilecek

raporları sunmak için kullanılan ve sistemde saklanan emisyon izleme sonuçlarının (yani

verilerin) tamlığı ve sağlamlığı. Veri erişimi üzerindeki kontroller de buradan hareketle kapsama

dâhil edilebilirdi.

• Faaliyetleri izlemek için kullanılan ve düzenleyici otoriteye sunulan kilit raporların

oluşturulmasında kullanılan yazılımın güvenilirliği.

• Emisyon ekipmanlarının işletim sisteminin güvenilirliği. Bu sistemde meydana gelecek arızalar

izleme sonuçlarında yanlışlıklara veya eksikliklere yol açabilir. Denetçiler biraz daha detaya girip

ekipman satıcısının ilgili yamaları kurarken, bunun yeterli olmadığı durumlarda da emisyon

ekipmanlarının bakımını yaparken yararlandığı uzaktan erişim üzerindeki kontrolleri de

değerlendirebilirlerdi.

Yukarıdaki iki örnekte anlatılan durumlar pek nadir karşılaşılan olaylar değildir. Bu rehberde, işletme

riskinin yukarıdan aşağıya değerlendirilmesinin bir parçası olarak kritik BT işlevlerinin ne denli temel

alındığının değerlendirilmesi için bir metodoloji sunulmaktadır. Bazı durumlarda, üçüncü şahıslar

tarafından ileri sürülen teknoloji riskleri de denetlemeye değer risklerdir. Bu rehber, bu riskleri

değerlendirmek ve yukarıdan aşağıya değerlendirme kapsamına dâhil etmek için kullanılan bir iş sürecini

kapsamaktadır. (bkz. Metodoloji bölümü, Adım 1).

6

4. Bölüm | GAIT-R

PrInCIPLES İşletme ve BT Riskleri İçin GAIT

4. GAIT-R İLKELERİ

GAIT-R Metodolojisi dört ilkeye dayanmaktadır.

İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme

için bir risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk

olur.

Teknolojinin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına ulaşmasını sağlamaktır.

Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir işletme riski doğmasına yol

açabilir veya var olan bir işletme riskini büyütebilir; işletme riski ise işletmenin hedef ve amaçlarına

ulaşmada etkililik ve verimliliğin sağlanamaması olarak açıklanmaktadır.

Teknolojinin – ilgili işletme risklerini tanımlamaksızın ve bu işletme

risklerinin teknolojik yıkımlar, hatalar, eksiklikler ve arızaların etkisinden

ne derece izole edilebileceğini belirtmeksizin – diğer unsurlardan izole

edilerek tek başına değerlendirilmesi denetimlerde verimsiz sonuçlar elde

edilmesine neden olabilir. Yapılacak denetimleri herhangi bir yayından

alınmış, BT riskleri veya kontrol hedeflerini içeren bir kontrol listesini baz

alarak belirlemek ya da sırf önemli göründüğü için bir denetimi yapmayı tercih etmek şeklindeki

yaklaşım denetim yapmak için yetersiz bir gerekçedir. Dolayısıyla, işletmenin hedef ve amaçlarına

yönelik risklerin (örn. gelir kaybıyla sonuçlanacak olan siparişleri yerine getirememe veya gizlilik

ihlâliyle sonuçlanacak olan müşteri kredi verilerini koruyamama gibi) anlaşılması gerekmektedir.

Benzer şekilde, operasyonel ve finansal riski teknolojiyi temel alma unsurunu hesaba katmaksızın

değerlendirmek muhtemelen denetimde verimsizlik ve eksikliklere yol açacaktır. Ayrıca kritik BT

işlevleri üzerindeki kontroller denetim kapsamına dâhil edilmeyebilirler ve manuel kontroller de daha

güvenilir otomatik kontroller mevcut olduğunda değerlendirilebilirler.

İkinci GAIT-R ilkesi bir yukarıdan aşağıya değerlendirme modeline duyulan ihtiyaç, işletme risklerinin

bütünsel bir değerlendirmesi, manuel kontrollerin derecesi ve kritik BT işlevlerini temel alma üzerine bir

tartışma sunmaktadır.

İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi veya

hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC de (Bilgi

Teknolojileri Genel Kontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla

değerlendirilmesinden elde edilen sonuçlara bakılarak tanımlanmalıdır.

Amerika Birleşik Devletleri’nde, Madde 404 uyarınca bir kurumun finansal raporlama üzerinde iç kontrol

değerlendirmesi için yapılacak işlerin kapsamı, genellikle, işletme riskinin – ABD Menkul Kıymetler ve

Borsa Komisyonu’na (SEC) ibraz edilen mali tablolarda önemli yalan ve yanlış beyan bulunması riski –

değerlendirilmesiyle başlayan bir yukarıdan aşağıya değerlendirme faaliyetinin sonuçlarına göre belirlenir.

Bu yaklaşımın geliştirilmesinde, yönetimin faaliyetlerini düzenleyen SEC’in ve dış denetim firmalarının

faaliyetlerini düzenleyen ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nun (PCAOB)

yayımladığı rehberlerden esinlenilmiştir. Bu kurumların her ikisi de yukarıdan aşağıya risk değerlendirme

modelinin verimli bir iş kapsamı oluşturmak için kilit öneme sahip olduğunu bildirmiştir.

Finansal raporlama üzerindeki iç kontroller için yaptıkları yıllık değerlendirmelerinin bir parçası olarak

yönetimin ve denetçilerin ITGC’lerin denetimi için bir kapsam geliştirmelerine katkı sağlamak amacıyla,

İç Denetim Enstitüsü (IIA) 2007 yılında GAIT Metodolojisi’ni yayımlamıştır. Bu Metodoloji’de, mali

tablolarda önemli hata bulunması riskinin (yani bu durumda işletme riskinin) değerlendirilmesiyle

başlanan yukarıdan aşağıya risk değerlendirme faaliyetlerine ITGC’nin (adı geçen işletme riskiyle

bağlantılı olarak) teşkil ettiği riskin değerlendirilmesiyle devam edilmiştir.

Bu Metodoloji, yayımlandığı tarihten itibaren, giderek artan sayıda şirkete ve bunların denetçilerine ITGC

için Madde 404 uyarınca hem etkili hem de verimli bir kapsam belirleme konusunda yardımcı olmuştur.

Ayrıca doğru ITGC kontrollerinin değerlendirileceğine dair güvence de vermiştir. Denetim kapsamına

dâhil edilen ITGC’lerin toplam sayısı bu metodoloji kullanıldığında genellikle azalsa da, birçok şirket, bu

“BT riski diye bir şey yoktur.”

– Jay Taylor Genel Müdür, BT Denetimi, General Motors

7

4. Bölüm | GAIT-R


sayıda net bir düşüş sağladıklarını bildirmişlerdir: Daha önce gözden kaçan alanlara ilişkin yeni kontroller

eklemiş ve kilit nitelikte olmayan kontrolleri değerlendirme kapsamından çıkarmışlardır (kilit kontroller

mali tablolarda önemli yalan ve yanlış beyan bulunmasını önlemek veya bulunan yanlış beyanları tespit

etmek için gereken kontrollerdir).

Geçen birkaç yılda Madde 404’ün uygulanmasıyla elde edilen deneyimlerden de anlaşılacağı üzere,

verimli bir kapsam belirlenebilmesi için, işletme kontrollerinin kapsamının belirlenmesi açısından

yukarıdan aşağıya esaslı bir yaklaşım benimsenmesi gerekmektedir. GAIT Metodolojisi, yukarıdan aşağıya

esaslı yaklaşımın ITGC kapsamı belirlemek için de işe yaradığını göstermiştir.

İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir

kombinasyonu kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç

kontrol sisteminin değerlendirilmesi için, öncelikle otomatik kilit kontrollerin

değerlendirilmesi gerekmektedir.

Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili

yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir.

Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı,

kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit

edilmelidir.

ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani

Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya

değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir.

Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik

olsun, bu iyi bir öneridir.

Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış

kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil

edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve

aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde

bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.

Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske

yönelik olmaktadır. Örneğin:

• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki

verilmesini sağlar.

• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir

otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar

ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.

Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının

değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller

işletme hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit

edilmesini sağlamak amacıyla baz alınan kontrollerdir.

Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:

•

Manuel kontroller (örn. fiziksel envanter sayımı).

•

Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi).

8

4. Bölüm | GAIT-R


•

Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya

karma kontroller.4 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle

verimsiz olur. Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistem

raporunun gözden geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz

olmasını sağlayamayabilir. Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına

dâhil olur.

Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit

kontroller – uygun testler kullanılarak – değerlendirilmelidir.

Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn.

BT güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça

belirtilmesi gereken bir kapsam sınırlamasıdır.

Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin

istikrarlı ve uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin

değerlendirilmesi ve test edilmesi de düşünülmelidir.

İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması

konusunda ITGC’ler (BT Genel Kontrolleri) temel alınabilir.

Karma kontrolleri de içeren ve hepsine birden kritik BT işlevleri adı verilen kilit otomatik kontrollerin

verimli ve istikrarlı bir şekilde çalışması gerekmektedir. Denetçiler bunun güvence altına alınması

konusunda genellikle ITGC’leri temel alırlar.

Aşağıda sunulan yukarıdan aşağıya değerlendirme metodolojisi, BT süreçlerinde (örn. değişiklik

yönetiminde) meydana gelen aksaklıkların kilit otomatik kontroller açısından teşkil ettiği riskin

değerlendirilmesi ve ITGC’lerde kilit kontrollerin tanımlanması için bir süreci de içermektedir.

ITGC’lerde meydana gelen bir aksaklığın bir işletme riskine yönelik kilit otomatik kontrollerde aksaklığa

veya bu kontrollerin güvence altına alınamamasına neden olması hâlinde, bahsi geçen kilit ITGC’ler

hesaba katılmadığı sürece, bu işletme riskine yönelik kontroller eksik kalacaktır.

Kritik BT işlevlerini güvence altına almak için gereken spesifik kilit ITGC’ler (GAIT Metodolojisi’nde

belirtilen ilkelere benzeyen) üç alt-ilke temel alınarak tanımlanır:

İlke 4a: Tanımlanması gereken ITGC süreci riskleri, önemli uygulamalarda ve ilgili verilerde kritik BT

işlevlerini etkileyen risklerdir.

Bu ilke ilk üç ilkede belirtilen kavramlarla ilişkilidir: işletme hedeflerine yönelik risklerin yukarıdan

aşağıya değerlendirme modeli, kilit iş süreci kontrollerini, bunların arasından da kritik BT işlevlerini

tanımlar. ITGC’de meydana gelen aksaklıkların bu kritik BT işlevleri açısından teşkil ettiği – değişiklik

kontrolü ve güvenlik gibi süreçlerde meydana gelen – risklerin yukarıdan aşağıya yaklaşımın bir parçası

ve devamı olarak tanımlanması ve değerlendirilmesi gerekmektedir.

İlke 4b: Çeşitli süreçlerde ve BT katmanlarında, tanımlanması gereken ITGC süreci riskleri bulunmaktadır.

Bu BT katmanları uygulama programı kodu, veritabanları, işletim sistemleri ve ağdır.

Tıpkı kilit işletme kontrolleri bulunan iş prosesleri (örn. borçlu hesap işlemleri, bütçeleme ve kiralama)

olduğu gibi, kilit ITGC’leri bulunan ITGC süreçleri de (örn. değişiklik yönetimi, bilgisayar işlemleri ve

güvenlik yönetimi) mevcuttur. Her ITGC süreci, her bir uygulamanın BT altyapısının dört katmanında da5

işler – uygulama, (çizelge gibi ilgili yapıların da dâhil olduğu) veritabanı, işletim sistemi ve ağ altyapısı –.

Bu katmanlar yığın olarak da bilinirler.

4ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır.

5 GAIT-R’da her kurumun ihtiyaçlarına uyarlanabilen dört katmanlı bir yığın kullanılır. Örneğin, bu metodolojiyi kullanan biri farklı bir dört

katmanlı grup tanımlayabilir veya yığında daha farklı sayıda katmanın bulunduğu bir model kullanabilir. Katman sayısı veya açıklama seçimi

GAIT-R Metodolojisi’nin işlerliğini engellemez.

9

4. Bölüm | GAIT-R


Kritik BT işlevlerinin güvenilirliğine ilişkin riskler BT altyapısının her bir katmanında her ITGC süreci

için (örn. uygulama kodu katmanında değişiklik yönetimi sürecinde veya veritabanı katmanında güvenlik

yönetimi sürecinde meydana gelen riskler değerlendirilerek) değerlendirilebilirler.

İlke 4c: ITGC süreçlerinde bulunan riskler münferit kontrol hedeflerine değil, BT kontrol hedeflerine

ulaşılmasıyla hafifletilebilirler.

Her bir ITGC süreci BT kontrol hedeflerine ulaşılmasına katkı sağlayan kontroller içermektedir. Bu kontrol

hedefleri şu şekildedir:

•

Sistemler üretime geçirilmeden önce uygun şekilde test edilir ve validasyonları yapılır.

•

Veriler yetkisiz değişikliklere karşı korunurlar.

•

İşlemlerde meydana gelen herhangi bir sorun veya sorun teşkil eden duruma gereğince müdahale

edilir ve bunlar yine gereken şekilde kaydedilir, araştırılır ve çözümlenir.

Bu hedeflere ulaşılamaması hâlinde, kritik BT işlevlerinin uygun ve istikrarlı işleyemediği sonucuna

varılabilir. Önemli uygulamalar için gereken BT kontrol hedeflerinin tanımlanması konusunda GAIT-

R’den yararlanılır.

ITGC süreçlerindeki kontroller, işletme hedeflerine ulaşmada başarısızlık riskiyle her zaman doğrudan

bağlantılı değildir. Münferit ITGC’ler, ilgili BT kontrol hedeflerine ulaşılmasını güvence altına alırlar. Bu

kontrol hedefleri de kritik BT işlevlerinin istikrarlı çalışmasını güvence altına alırlar ve iş süreçlerindeki

kilit kontrollerin istikrarlı çalışması için de bu kritik BT işlevlerine ihtiyaç duyulur. İnceleme ve

değerlendirmeye tabi tutulan işletme hedefleriyle ilgili güvence sağlanabilmesi için ise, iş süreçlerinde kilit

kontrollerin varlığı gerekmektedir.

Sonuç olarak, öncelikle ilgili BT kontrol hedeflerinin tanımlanması önem arz etmektedir; ITGC’lerdeki

kilit kontroller ancak bu BT kontrol hedefleri tanımlandıktan sonra belirlenmelidir. Denetim kapsamına

dâhil edilmesi gereken kilit ITGC kontrolleri BT kontrol hedeflerine ulaşılması için gereken kontrollerdir.

Belirli birtakım ITGC’ler önemli gibi görünseler de, tanımlanmış bir BT kontrol hedefine yöneltilmesi

gerekmedikçe, bu ITGC kontrollerinin değerlendirme kapsamına alınmasına da gerek yoktur.

10

5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT

5. GAIT-R YUKARIDAN AŞAĞIYA METODOLOJİSİ

BT riskinin değerlendirilmesi işletme hedeflerine ulaşılmasına yönelik risklere ilişkin yapılan bütünsel bir

inceleme ve değerlendirmenin yalnızca bir parçası olduğundan, aşağıda tartışılan basamaklar risk

değerlendirme ve kontrol tanımlama sürecinin tamamını kapsamaktadır.

GAIT-R Metodolojisi, denetimin inceleme amacının ya da kontrol değerlendirmelerinin anlaşılmasından

başlayarak, tanımlanmış bir iş kapsamı elde edilmesiyle sonuçlanan sekiz basamaktan oluşur. 6

1. Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.

2. İşletme hedeflerine ulaşılacağı konusunda makul güvence sağlamak için gerekli olan, iş

süreçlerindeki kilit kontrolleri tanımla.

3. Kilit işletme kontrolleri arasından temel alınan kritik BT işlevlerini tanımla.

4. ITGC’lerin test edilmesi gereken önemli uygulamaları tanımla.

5. ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.

6. Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşılmasını sağlayıp sağlamadığını test et.

7. Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.

8. İncelemenin kapsamını belirle ve uygun bir tasarım ve etkinlik test programı oluştur.

Adım 1: Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.

İlke 1’de de belirtildiği üzere, BT’nin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına

ulaşılmasını sağlamaktır. Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir

işletme riski doğmasına veya var olan bir işletme riskini büyümesine yol açabilir; ki bu durumda işletme

hedef ve amaçları verimli ve etkin bir şekilde başarılamaz.

Denetçiler 7 , kapsamı tanımlamaya, güvence verilmesi gereken işletme hedeflerini tanımlayarak ve

anlayarak başlamalıdırlar.

Kimi zaman, denetçilere tanımlanmış bir teknoloji riskine yönelik kaygılar bildirilebilir. Örneğin, bir

yönetim kurulu üyesi, Başkan (CEO) veya başka herhangi bir yönetici, ağ güvenliği veya uygulama

değişiklik yönetimi riskine ilişkin sorular sorabilir. Bu gibi durumlarda, denetçinin yine de ilgili işletme

risklerini tanımlaması ve tekrar bir yukarıdan aşağıya değerlendirme yapması gerekmektedir. Esas işletme

riski ve ilgili hafifletici etmenler ancak bu yolla tanımlanabilirler; bu da teknoloji riskine ilişkin kaygıların

yerinde olup olmadığının ve eğer haklı gerekçelere dayanıyorlarsa bu kaygıların derecesinin uygun şekilde

ölçülüp değerlendirilmesine olanak sağlar.

Örneğin, bu rehberin başında verdiğimiz A Şirketi örneğinde, basiretli bir denetçi benzin istasyonu

marketlerinde uygulamaları ve ITGC’leri denetlemeye girişmeden önce durup biraz düşünürdü.

Denetçilerin ilgilendikleri işletme riski, marketlerdeki tüm faaliyetlerin şirketin kayıtlarında tam, eksiksiz

ve doğru tutulup tutulmadığıydı. Bu işletme riskleri arasında da satışların kayıtlara yansıtılmaması,

envantere dahil malların zimmete geçirilmesi ve para kaçırma şeklinde riskler bulunuyordu.

6 Metni okuyanların bu belgenin Metodoloji kısmından ilkelere tekrar dönmeden yararlanabilmelerini sağlamak amacıyla, metinde ilkelerin

tanımlandığı bölümler tekrar verilmiştir. 7 Ayrıca, GAIT-R Metodolojisi, riskleri – özellikle BT ile ilgili olanları – tanımlamak ve değerlendirmek amacıyla denetimle ilgisi olmayanlar

tarafından da kullanılabilir. Bu metodolojide, bu noktadan itibaren kullanılan “denetçiler” ibaresi metodolojinin diğer kullanıcılarını da

kapsamaktadır.

11


Denetçinin market faaliyetlerine yönelik kontrollerin de dâhil olduğu tüm hafifletici faktörleri anlamış ve

kavramış olması gerekirdi. Bu bütünsel bakış açısı ile market faaliyetlerinin trendlerin ve değişimlerin bir

analizini de içeren merkezi değerlendirmesini tanımlamanın yanı sıra başka önemli kontrollerin de mevcut

olduğunun tespit edilmiş olması gerekirdi (market yöneticisinin yaptığı günlük kasa denetimleri, bölge

müdürünün yaptığı aylık envanter ve kasa denetimleri ve bağımsız market denetçilerinin en az üç ayda bir

yaptıkları envanter ve kasa denetimleri gibi).

Sonuç olarak, basiretli bir denetçi, market içerisinde bulunan teknolojik donanımda meydana gelecek

herhangi bir arızanın makul bir zaman zarfında tespit edileceği sonucuna varmış olurdu. (Tespit

kontrollerinin yeterli olup olmadığına ilişkin yapılan değerlendirmeye işletme yönetimiyle yapılan

görüşmeler de dâhil edilmelidir. Yönetim, market çalışanlarının mal çalıp çalmadığını veya para kaçırıp

kaçırmadığını tespit etmeyi bölge müdürü veya market denetçisi ziyaretlerine kadar erteleme riskini göze

almaya razı olacaktır, zira daha sıkı kontrollerin maliyeti çok yüksektir.)

İlke 2’de teknoloji riskinin ancak ilgili işletme riskinin anlaşılmasıyla değerlendirilebileceği iddia

edilmektedir. Yukarıdan aşağıya yaklaşım işletme risklerini ve bu riskleri yönetmek veya hafifletmek için

mevcut olan kontrolleri tanımlamaktadır.

Adım 2: İş süreçlerinde yapılan ve işletme hedeflerine ulaşılacağı konusunda makul güvence

vermek için gereken kilit kontrolleri tanımla.

Adım 2, İlke 3’e dayanmaktadır. Denetçi, Adım 1’de tanımlanan işletme hedeflerine ulaşılacağı konusunda

güvence vermek için gereken kilit kontrolleri tanımlamalıdır. Denetçinin denetim kapsamına kilit olmayan

kontrollerin (örn. gereksiz veya mükerrer kontroller gibi) değerlendirilmesini de eklemeyi tercih edebilecek

olmasına karşın, bu türden bir güvencenin sunulmasının işletme açısından herhangi bir değer arz etmesi

hâlinde, yalnızca kilit kontrollerin değerlendirilmesi gerekir.

Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili

yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir.

Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı,

kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit

edilmelidir.

ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani

Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya

değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir.

Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik

olsun, bu iyi bir öneridir.

Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış

kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil

edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve

aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde

bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.

Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske

yönelik olabilmektedir. Örneğin:

• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki

verilmesini sağlar.

• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir

otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar

ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.

Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının

değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller işletme

hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit edilmesini

sağlamak amacıyla baz alınan kontrollerdir.

12


Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:

• Manuel kontroller (örn. fiziksel envanter sayımı).

•

Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi). •

Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya karma

kontroller.8 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle verimsiz olur.

Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistem raporunun gözden

geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz olmasını sağlayamaz.

Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına dâhil olur.

Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit kontroller –

uygun testler kullanılarak – değerlendirilmelidir.

Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn. BT

güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça belirtilmesi

gereken bir kapsam sınırlamasıdır.

Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin istikrarlı ve

uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin değerlendirilmesi ve test edilmesi

de düşünülmelidir.

Adım 3: Kilit işletme kontrolleri arasından temel alınan kritik BT fonksiyonlarını tanımla.

Temel alınan kritik BT fonksiyonları tam otomatik kontroller ve karma kontrollerden (bkz. Adım 2) ve diğer

kritik BT fonksiyonlarından oluşmaktadır.

Birçok uygulamada kurumun temel aldığı hesaplamalar yapılır ve başka işlemler yürütülür. 9 Bu işlemler

(prosedürler) teknik olarak kontrol değildirler. Ancak işlevlerde bir arıza veya aksaklık meydana gelmesi

hâlinde, kilit manuel veya otomatik kontroller bunları tespit edemeden kimi hatalar ortaya çıkabilir. İşletme

hedeflerine ulaşılmasını engelleyen sezilemeyen hataların bulunması durumunda, bu hataların kritik BT

fonksiyonları olarak denetim kapsamına alınmaları gerekir.

Adım 4: ITGC’lerin test edilmesini gerektiren önemli uygulamaları tanımla.

Önemli uygulamalar kritik BT işlevleri kararlaştırıldıktan sonra tanımlanabilirler. Bu önemli uygulamalar kritik

BT işlevlerini kapsadıklarından ötürü potansiyel bir ITGC süreci riski bulunan uygulamalardır. Önemli

uygulamaları tanımlamak için aşağıdaki yollar izlenmelidir:

A. Kritik BT işlevlerini uygulamaya göre seç. Bu yolla kritik işlevlerin bulunduğu uygulamaların bir listesi elde

edilir. Bu liste yalnızca bir sonraki adıma tâbi olan ve ITGC süreçlerindeki risklerin değerlendirileceği

önemli uygulamaların bir listesidir.

B. Kritik BT işlevlerinin mevcut olup olmadığına bakılarak önemli addedilmeyen uygulamalar için ek bir adım

daha mevcuttur: Doğrudan uygulama verilerinde yapılan bir yetkisiz değişikliğin işletme hedeflerine

ulaşılmasını engelleyen sezilemeyen bir hatanın doğmasına yol açıp açmadığının belirlenmesi. Eğer böyle

bir ihtimal varsa, uygulama bir önemli uygulama olarak addedilmelidir.

Duruma göre, hesaplamalarda ve diğer işlevlerde uygulamanın öncesinde elde edilen verilerin kullanıldığı

da unutulmamalıdır. Bu verilerde meydana gelen bir değişikliğin sezilemeyen bir hataya yol açabileceği

durumlarda, risk yalnızca bu verileri kullanan uygulamada değil, başka uygulamalarda da bulunabilir (örn.

verilerin elde edildiği uygulamada ve verilerin saklandığı, dolayısıyla da risk altında bulunan başka

herhangi bir uygulamada). Verilerde meydana gelen değişikliklerin uygulamanın kendisinde veya başka bir

yerde tespit edilememesi hâlinde, bu yukarı akım uygulamaların her biri önemli uygulamalar olarak görülür. C. Yalnızca önemli uygulamalarla devam et.

8 ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır. 9 Kimi BT denetçileri bu hesaplamalar, büyük defterlerin güncellenmesi vb. için programlanmış işlemler veya programlanmış muhasebe işlemleri terimlerini kullanmaktadır.

13


Adım 5: ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.

GAIT-R, her önemli uygulama için, yığının her bir katmanında bulunan (örn. uygulama kodu,

veritabanı, işletim sistemi ve altyapı) her bir BT sürecini çekerek (örn. değişiklik yönetimi, işlemler ve

güvenlik) BT süreci risklerini ve ilgili kontrol hedeflerini tanımlar. Tablo 1’de kısmen tamamlanmış

bir GAIT-R matrisinin bir örneği görülmektedir. Matris oluşturmak bu adımda bahsi geçen sonuçları

elde etmek için mükemmel bir yoldur.

14


Tablo 1. Kısmen tamamlanmış GAIT-R matrisi

Katman Değişiklik Yönetimi İşlemler Güvenlik

Uygulama Evet

Uygulama; çok sayıda kilit

otomatik kontrolün yanı sıra, kilit

önemi haiz rapor ve hesaplamalar

ve büyük defter hesaplarının

güncellenmesi de dahil başka

kritik işlevler içerir ve

uygulama kodu düzeyinde

değişiklik yönetimi süreçlerinde

aksaklıklar olması hâlinde, en

azından makul sınırlar içerisinde

uygulamanın işlevselliğinin bu

durumdan olumsuz etkilenmesi

ihtimali vardır.

Gözetilecek kontrol hedefleri

arasında aşağıdakiler

bulunmaktadır:

• Tüm program değişikliklerinin

uygulamaya konmadan önce

BT ve kullanıcı yönetimi

tarafından onaylanması

gerekmektedir.

• Program değişiklikleri uygun

şekilde test edilir ve değişiklikler

hayata geçirilmeden önce bu test

sonuçları onaylanır.

Evet

Uygulama, bu süreçteki kontrollere dayanan

birçok arayüz toplu işi içerir. Kontrol

hedefleri arasında aşağıdakiler

bulunmaktadır:

• İşlemlerin normal şekilde

tamamlanmasını sağlamak için toplu

işler izlenir; prosesle ilgili sorun teşkil

eden tüm durumlar rapor edilerek uygun

düzeltici eylemler uygulanır.

• Toplu işler, bu işlerin istenen şekilde

yürütülmesi konusunda güvence veren

bir otomatik zaman programına alınırlar.

Evet

Uygulama, belirli kişiler ve

fonksiyonlar/birimlerin işlem

yetkilerinin

sınırlandırılmasına dair

otomatik kontroller

içerdiğinden dolayı, kullanıcı

erişim kontrolleri uygundur.

Bu önemli kontrol hedefleri

arasında aşağıdakiler

bulunmaktadır:

• Her kullanıcının

sorumluluk alanına uygun

tanımlanmış iş rollerine

bağlı olarak erişim

sınırlanır.

• Çalışanlara ve taşeronlara

verilen erişim izni iş akdi

feshedildiği anda kaldırılır.

• Yalnızca yetkili kişilerin

ayrıcalıklı erişim iznine

sahip olduklarından emin

olmak için periyodik

incelemeler yapılır.

Veritabanı Değerlendirme tamamlanmamıştır.

İşletim Sistemi Hayır

İşletim sistemine kurulan acil

durum yamalarını da içeren

işletim sistemi değişikliklerinin

kritik BT işlevlerini aksatmaya

yol açacak düzeyde

etkilemedikleri düşünülmektedir.

Özellikle, uygunsuz değişiklikler

veya yeterli testler yapılmadan

uygulanan değişiklikler tüm

uygulamanın arızalanıp

aksamasına yol açacaklarından

anında fark edilirler.

Ağ Altyapısı Değerlendirme tamamlanmamıştır.

15


Risk değerlendirmesinde aşağıdaki hususlar göz önünde bulundurulmalıdır:

• Bir BT süreci aksaklığının meydana gelme ihtimali ve bu aksaklığın potansiyel etkisi.

• BT sürecinin kritik BT işlevlerinde arıza ve aksaklığa yol açacak şekilde aksama ihtimali

nedir?

• Kritik işlevlerin hemen fark edilmeksizin aksaması ve bunun da işletme hedeflerine

ulaşamamakla sonuçlanması ihtimali en azından makul sınırlar içerisinde var mıdır?

1. Her önemli uygulama bakımından, BT altyapısındaki her katman için spesifik ITGC süreci risklerini

ve ilgili kontrol hedeflerini tanımla. Kısaca, GAIT-R matrisindeki her hücreye bakarak Tablo 2’de

gösterilen ilgili soruları cevapla.

2. Eksiksiz bir değerlendirme yapmak için gerektiğinde BT Yönetişim Enstitüsü Bilgi ve İlgili

Teknolojiler İçin Kontrol Hedefleri (COBIT) gibi ek ürünler kullan.

Tablo 2. GAIT-R matrisindeki her hücre için sorulacak sorular


Uygulama Değişiklik

yönetiminde bir

aksamanın,

tanımlanan bir ya da

birden fazla kritik

işlevin etkisiz hâle

gelmesine neden

olacak şekilde kritik

işlevleri etkilemesi

ihtimali en azından

makul ölçüler

içerisinde var mıdır?

Eğer öyleyse, riskleri ve

ilgili kontrol hedeflerini

tanımla.

Operasyonlarda bir

aksamanın, tanımlanan bir

ya da birden fazla kritik


gelmesine neden olacak

şekilde kritik işlevleri

etkilemesi ihtimali en

azından makul ölçüler


Eğer öyleyse, riskleri ve ilgili

kontrol hedeflerini tanımla.

Güvenlikte bir aksamanın,

tanımlanan bir ya da birden

fazla kritik işlevin etkisiz hâle



etkilemesi ihtimali en azından

makul ölçüler içerisinde var

mıdır?

Başka bir deyişle, güvenlikte

meydana gelen bir aksamanın bir

uygulamada (örn. başvuru çizelgesi

gibi) bulunan verilerde yetkisiz

değişikliğe yol açması ihtimali en

azından makul ölçüler içerisinde var

mıdır?

Eğer öyleyse, riskleri ve ilgili kontrol

hedeflerini tanımla.

Veritabanı Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?

Başka bir deyişle, güvenlikte

meydana gelen bir aksamanın bir

uygulamada (örn. başvuru çizelgesi

gibi) bulunan verilerde yetkisiz

değişikliğe yol açması ihtimali en

azından makul ölçüler içerisinde var

mıdır?



16



İşletim Sistemi Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?



Ağ Altyapısı Değişiklik

yönetiminde bir

aksamanın,


birden fazla kritik


gelmesine neden




makul ölçüler




tanımla.

Operasyonlarda bir


















mıdır?



Adım 6: Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşmayı sağlayıp sağlamadığını test et.

Tüm riskler ve ilgili BT kontrol hedefleri tanımlandıktan sonra bu risklere ve kontrol hedeflerine yönelik

yapılacak spesifik ITGC kilit kontrolleri belirlenebilir. Bu amaca yönelik olarak COBIT gibi çerçevelerden büyük

oranda yararlanılabilir.

Her ITGC kilit kontrolünün GAIT-R vasıtasıyla tanımlanan her bir spesifik BT kontrol hedefiyle, dolayısıyla da

risk altındaki kritik BT işlevlerinin doğru çalışmasıyla bağlantılı olması gerekmektedir.

17


Adım 7: Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.

Yukarıda belirtildiği üzere, işletme risklerini yönetmek veya hafifletmek ve işletme hedeflerine ulaşılması

konusunda makul bir güvence vermek için gereken iç kontrol sistemine aşağıda sayılanların uygun bir

kombinasyonunu içeren bir dizi kilit kontrol dâhildir:

• Kurumsal düzeyde kontroller.

• Manuel kontroller.

• Otomatik kontroller – hem tam otomatik hem karma kontroller –.

• ITGC’ler.

Bu adımda, denetçinin biraz düşünüp daha önce tanımlanmış kontrolleri gözden geçirmesi ve bu kontrollerin

istenen düzeyde güvence sağladığından emin olması gerekmektedir. Denetçilerin ayrıca aksaklık veya arızaların

diğer kilit kontrollerle tespit edebileceği ya da onarılıp telafi edilebileceği durumlarda mükerrer veya gereksiz

kontroller bulunup bulunmadığını ve bunları eleyerek verimliliği artırıp artıramayacaklarını belirlemesi

gerekmektedir.

Adım 8: İncelemenin kapsamını belirle ve uygun bir tasarım ve verimlilik test programı oluştur.

GAIT-R, işletme hedeflerine ulaşma konusunda makul bir güvence verilmesi için gereken kilit kontrolleri

tanımlamada denetçilere yardımcı olur. Daha sonra denetçiler ne tür bir denetim veya inceleme yapacaklarına

karar verebilirler:

• Tüm risklere yönelik tam ve eksiksiz bir işletme denetimi – kimileri bunu bir entegre denetim olarak

görebilir –.

• Denetçi değerlendirmeyi tek bir proje kapsamında mı yoksa farklı zamanlarda uygulanabilecek birden

fazla projeye bölerek mi yapmak istediğine karar vermelidir.

• Değerlendirmenin birden fazla projeye bölünerek yürütülmesi hâlinde, denetçinin konsolide

değerlendirmenin nasıl yapılıp rapor edileceğinin yanı sıra münferit projelerin sonuçlarının nasıl

değerlendirilip rapor edileceğini de belirlemesi gerekmektedir.

• Kapsam bakımından yalnızca seçilmiş kilit kontrollerle sınırlandırılmış bir denetim.

• Sınırlı kapsamın hem işe başlamadan önce hem de denetim raporunda açık ve net tanımlanması ve

beyan edilmesi gerekmektedir.

• Tüm ilgili kontrollerin etkililiğini kavramadan ve tüm yetersizliklerin etkisinin değerlendirilmemiş

diğer kilit kontrollerle hafifletilip hafifletilemeyeceğini anlamadan tüm kontrol yetersizliklerini

değerlendirmenin daha zor olabileceği unutulmamalıdır.

• Bir güvence projesinden ziyade, iç kontrol sisteminin etkinliğini artırarak ona değer katmaya yönelik

bir danışma görevi projesi.

18

6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT

6. RİSK YÖNETİMİNE İLİŞKİN VARILAN SONUÇLAR

Giriş bölümünde de belirtildiği üzere, GAIT-R Metodolojisi öncelikli olarak iç denetim uygulayıcıları için

geliştirilmiştir. Ancak, kontrollerin risk yönetim prosesinin yalnızca bir parçası olduğu hesaba katılmadan yapılan

risklere ilişkin bir tartışmanın tamlığından ve eksiksizliğinden söz edilemez.

COSO10 İşletme Riski Yönetimi (ERM) çerçevesinin aşağıda gösterildiği üzere birbirleriyle bağlantılı sekiz

bileşeni bulunmaktadır.

Şekil 2. COSO’nun ERM çerçevesi

GAIT-R, aşağıda sayılan bileşenler kapsamında gerçekleştirilen faaliyetlerin bir sonucu olarak, BT’ye bağlı

kontrol faaliyetlerinin kurumsal hedeflerle ilişkilendirilmesi için bir çerçeve sunmaktadır:

• Olay Tanımlama; stratejiyi ve amaçlara ulaşılmasını etkileyebilecek olayların belirlenmesini

kapsar.

• Risk değerlendirme; potansiyel olayların hedefleri ne derece etkileyebileceğinin anlaşılmasını

kapsar.

Risk cevabı bileşeni, risklere verilecek olası yanıt ve karşılıkların tanımlanması ve değerlendirilmesini kapsar.

Bu yanıtlar arasında riskten kaçınma, riski azaltma, risk paylaşımı ve riski kabul etme sayılabilir. Risk cevabı

GAIT-R’nin kapsamı dışında kalan bir yönetim sorumluluğudur ve bir denetim sırasında, kilit kontrol

faaliyetlerinin (yani risk karşılıklarının/yanıtlarının uygun şekilde işlemesini sağlamaya yardımcı olan politika ve

prosedürlerin) tanımlanmasına daha fazla odaklanır.

10 COSO ERM çerçevesi hakkında bilgi edinmek için www.coso.org web adresini ziyaret ediniz.

http://www.coso.org/

19

6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT

COSO ERM çerçevesi aşağıdaki hususları belirtmektedir.

“Bilişim sistemlerini temel almak giderek yaygınlaştığından ötürü önemli sistemlerde kontroller yapılması

gerekmektedir. Bu amaçla iki büyük bilişim sistemleri kontrol faaliyetleri grubu kullanılabilir. Bunlardan

ilki tümünde olmasa da birçok uygulama sisteminde uygulanan ve bu sistemlerin devamlı ve doğru

çalışmasını sağlayan genel kontrollerdir. İkincisi ise teknoloji uygulama faaliyetlerini kontrol emek için

kullanılan uygulama yazılımındaki bilgisayar destekli adımları kapsayan uygulama kontrolleridir.

Gerektiğinde diğer manüel süreç kontrolleriyle kombine edilen bu kontroller bilginin tamlığı, doğruluğu ve

geçerliliğini sağlarlar.”

GAIT-R’nin risk yönetim profesyonelleri için değeri, BT’nin işletme riskinin yönetilmesi ve hafifletilmesi için ve

yukarıda tartışıldığı üzere doğru ya da tam olmayabilecek bir geniş kapsamlı yaklaşımdan ziyade bir yukarıdan

aşağıya yaklaşım kullanarak kurumsal hedeflere ulaşılması için gereken spesifik özelliklerinin tanımlanmasını

sağlamasıdır.

Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,

Altamonte Springs, Florida 32701-4201, USA. All Rights reserved.

Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte Springs,

Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi

onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası,

IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya

herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı

bir yöntemle çoğaltılamaz.

İŞLETME VE BİLGİ - tide.org.tr°şletme ve Bilgi Teknolojileri İçin GAIT.pdf · 2 2. Bölüm...

Documents

Transcript of İŞLETME VE BİLGİ - tide.org.tr°şletme ve Bilgi Teknolojileri İçin GAIT.pdf · 2 2. Bölüm...