Bilgi teknolojileri (BT) Denetimi Nedir ?
Bir işletmenin veya organizasyonun bilgi teknoloji sistemleri, sistemlerin yönetimi ve operasyonları ile bunlarla ilişkili süreçlerin denetlenmesidir.
BT denetimi;
Düzenleyici otoritenin talebi üzerine zorunlu
İhtiyari olarak isteğe bağlı yapılabilir.
Türkiye’de Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından bankaların bilgi sistemleri ve bankacılık süreçlerinin denetimi zorunludur. Söz konusu denetimi, çıkarılmış olan yönetmelikte aranan şartları sağlayan BDDK tarafından yetkilendirilmiş bağımsız denetim kuruluşlar yapabilir.
Ancak özellikle bankacılık sektörü dışında kalan bağımsız denetime tabi işletmelerin BT denetimleri diğer bağımsız denetim kuruluşları ve denetçiler tarafından ihtiyari olarak yapılması pek tabi mümkündür.
Günümüzde birçok işletmenin muhasebe kayıt sistemleri, verdikleri hizmet ve operasyonlarında yüksek oranda bilgisayarlar aracılığıyla yapıldığından, söz konusu işletmenin bağımsız denetimi yapılırken BT kontrollerini yapıp, sistem ve süreçleri incelemeye ihtiyaç vardır.
BT Denetimi Neden Önemli?
Birçok işletme Bilgi Teknolojilerine çok büyük bedeller harcamaktadır. Örneğin orta büyüklükte bir işletmenin bir ERP sistemine yaptığı teknolojik yatırımın ve devamında alınan hizmetin maliyeti şüphesiz ne kadar maliyetli olduğunu herkes tarafından bilinmektedir. Bu sebeple, BT sistemlerinin güvenilir, aynı zamanda olası teknolojik saldırılara karşı güvenli, savunmasız olmamaları gerekir.Genel olarak BT denetim süreci aşağıdaki gibi gerçekleştirilir:
BT denetim hedefleri ve kapsamı belirlenir.BT kontrollerinden ilgili bilgiler elde edilir ve söz konusu elde edilen bilgiler değerlendirilir.
Bilgisayar Destekli Denetim Tekniklerini (BDDT) kullanarak, verilerin kopyasını alıp veri testi yapma veya muhasebe yazılımının analizi yapma gibi denetim testleri uygulanır.
Denetim bulguları raporlanır.
BT Denetim Planı nasıl oluşturulur?
Bir BT denetimi planlanmasında yer alması gereken kritik unsurlar;
Bilgi teknolojileri ortamı (ekosistemi),
BT riskleri ve
Denetim işini yürütmek için gerekli kaynaklar değerlendirilerek oluşturulmalıdır.
BT ortamının değerlendirilmesi, BT iç kontrol prosedürleri ile incelenecek faaliyetlerin anlaşılmasından kaynaklanır. Söz konusu temel tespitlerin olmaması, denetim çalışmasının yanlış yönlendirilmesi, uygun olmayan ve hatalı sonuçların ortaya çıkma riskinin arttıracaktır. Ayını zamanda başlangıçtaki bu inceleme; BT prosedürlerinin ve BT güvenliğinin gizlilik, bütünlük ve ulaşılabilirlik gibi temel prensiplerine odaklanan kontrol ortamının yüksek düzeyde gözden geçirilmesini içermelidir.
En azından bu aşama ele alınması gereken alanlar:Değişim yönetimi; örneğin, kritik sistemlerin yazılım ve donanım güncellemeleri üzerinde değişim kontrolleri
Erişim güvenliği; örneğin, sisteme hem içeriden hem dışarıdan zorla erişimin kontrolü
İş sürekliliği ve acil kurtarma; işletmenin bilgi varlıklarını öngörülemeyen tehditlerden veya felaketlerden koruma kabiliyeti ve bunların hızlı bir şekilde nasıl geri kazanılacağı.
Bağımsız denetimde olduğu gibi BT denetiminde de işlerin planlanması ve yürütülmesinde risk odaklı yaklaşım uygulanmaktadır.
Dolayısıyla bu yaklaşım;en önemli riskleri tanımlamayı,
tanımlanan riskleri varılmak istenen kontrol hedefleri ile ilişkilendirmeyi ve
öz konusu riskleri azaltmak için özel kontrollerin belirlenmesini içermektedir.
Bu bağlamda, ISO 27001 veya COBIT 5 gibi BT Denetim Standartları, BT denetçisi tarafından tanımlanmış olan riskleri kabul edilebilir seviyeye indirebilecek kontrolleri belirlemek veya tavsiyelerde bulunmak için kullanılabilir.
Gerekli kaynaklar
BT Denetiminin Yürütülmesi
Denetim sürecinde tespit edilen kontrol zayıflıkları belgelendirilerek, tespitler bir raporla yönetimden sorumlu olanlara sunulmalıdır.
