Bilgi teknolojileri (BT) Denetimi Nedir ?

Bir işletmenin veya organizasyonun bilgi teknoloji sistemleri, sistemlerin yönetimi ve operasyonları ile bunlarla ilişkili süreçlerin denetlenmesidir.

BT denetimi;

• Düzenleyici otoritenin talebi üzerine zorunlu   

• İhtiyari olarak isteğe bağlı yapılabilir.

Türkiye’de Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından bankaların bilgi sistemleri ve bankacılık süreçlerinin denetimi zorunludur. Söz konusu denetimi, çıkarılmış olan yönetmelikte aranan şartları sağlayan BDDK tarafından yetkilendirilmiş bağımsız denetim kuruluşlar yapabilir.

Ancak özellikle bankacılık sektörü dışında kalan bağımsız denetime tabi işletmelerin BT denetimleri diğer bağımsız denetim kuruluşları ve denetçiler tarafından ihtiyari olarak yapılması pek tabi mümkündür.

Günümüzde birçok işletmenin muhasebe kayıt sistemleri, verdikleri hizmet ve operasyonlarında yüksek oranda bilgisayarlar aracılığıyla yapıldığından, söz konusu işletmenin bağımsız denetimi yapılırken BT kontrollerini yapıp, sistem ve süreçleri incelemeye ihtiyaç vardır.

BT Denetimi Neden Önemli?

Birçok işletme Bilgi Teknolojilerine çok büyük bedeller harcamaktadır. Örneğin orta büyüklükte bir işletmenin bir ERP sistemine yaptığı teknolojik yatırımın ve devamında alınan hizmetin maliyeti şüphesiz ne kadar maliyetli olduğunu herkes tarafından bilinmektedir. Bu sebeple, BT sistemlerinin güvenilir, aynı zamanda olası teknolojik saldırılara karşı güvenli, savunmasız olmamaları gerekir.

BT denetimi önemlidir. Çünkü denetim; BT sistemlerinin yeterince korunduğuna, karar alıcı ve bilgi kullanıcılarına güvenilir bilgi sağladığına ve amaçlanan faydalarını elde etmek için uygun şekilde yönetildiğine dair güvence sağlar.

İşletmelerde çoğu kullanıcı bilgisayarların nasıl çalıştığını ve algoritmalarının nasıl olduğunu bilmeden bilgi teknolojilerine güvenir. Ancak bir bilgisayar hatası süresiz olarak sonsuza dek tekrarlanabilir ve insan hatasından çok daha fazla hasara neden olabilir.

BT denetimi aynı zamanda veri tahribatı, onaysız değişiklik yapma, sisteme dışarıdan sızıntı, hizmetin kesilmesi ve BT sistemlerinin kötü yönetimi gibi riskleri azaltmaya yardımcı olur.

Genel olarak BT denetim süreci aşağıdaki gibi gerçekleştirilir:

1. BT denetim hedefleri ve kapsamı belirlenir.

2. BT denetim hedeflerini gerçekleştirmek için gerekli denetim planı geliştirilir.

3. BT kontrollerinden ilgili bilgiler elde edilir ve söz konusu elde edilen bilgiler değerlendirilir.

4. Bilgisayar Destekli Denetim Tekniklerini (BDDT) kullanarak, verilerin kopyasını alıp veri testi yapma veya muhasebe yazılımının analizi yapma gibi denetim testleri uygulanır.

5. Denetim bulguları raporlanır.
   
   BT Denetim Planı nasıl oluşturulur?
    

Bir BT denetimi planlanmasında yer alması gereken kritik unsurlar;

• Bilgi teknolojileri ortamı (ekosistemi),

• BT riskleri ve

• Denetim işini yürütmek için gerekli kaynaklar değerlendirilerek oluşturulmalıdır.

BT ortamının değerlendirilmesi, BT iç kontrol prosedürleri ile incelenecek faaliyetlerin anlaşılmasından kaynaklanır. Söz konusu temel tespitlerin olmaması, denetim çalışmasının yanlış yönlendirilmesi, uygun olmayan ve hatalı sonuçların ortaya çıkma riskinin arttıracaktır. Ayını zamanda başlangıçtaki bu inceleme; BT prosedürlerinin ve BT güvenliğinin gizlilik, bütünlük ve ulaşılabilirlik gibi temel prensiplerine odaklanan kontrol ortamının yüksek düzeyde gözden geçirilmesini içermelidir.

En azından bu aşama ele alınması gereken alanlar:

1. Değişim yönetimi; örneğin, kritik sistemlerin yazılım ve donanım güncellemeleri üzerinde değişim kontrolleri

2. Erişim güvenliği; örneğin, sisteme hem içeriden hem dışarıdan zorla erişimin kontrolü

3. İş sürekliliği ve acil kurtarma; işletmenin bilgi varlıklarını öngörülemeyen tehditlerden veya felaketlerden koruma kabiliyeti ve bunların hızlı bir şekilde nasıl geri kazanılacağı.

Bağımsız denetimde olduğu gibi BT denetiminde de işlerin planlanması ve yürütülmesinde risk odaklı yaklaşım uygulanmaktadır.

Dolayısıyla bu yaklaşım;

• en önemli riskleri tanımlamayı,

• tanımlanan riskleri varılmak istenen kontrol hedefleri ile ilişkilendirmeyi ve

• söz konusu riskleri azaltmak için özel kontrollerin belirlenmesini içermektedir.

Bu bağlamda, ISO 27001 veya COBIT 5 gibi BT Denetim Standartları, BT denetçisi tarafından tanımlanmış olan riskleri kabul edilebilir seviyeye indirebilecek kontrolleri belirlemek veya tavsiyelerde bulunmak için kullanılabilir.

Gerekli kaynaklar

Denetimin planlanmasındaki son önemli unsur ise, özel bir uzmana ihtiyaç duyulması da dahil BT denetimi olarak yapılacak toplam iş miktarını değerlendirmektir.

Yeterli sayıda BT denetim personelinin varlığı ve denetimin zamanlaması açısından, bu aşamanın doğru bir şekilde analiz edilmesi daha düşük maliyet ile daha yüksek kaliteli ve fayda sağlayan denetim çalışmaları gerçekleştirmeyi sağlayacaktır.

 BT Denetiminin Yürütülmesi

Uygulanacak kontroller belirlendikten sonra BT denetçisi, belirlenmiş olan kontrollerin etkili bir şekilde tasarlanıp tasarlanmadığını ve kontrollerin çalışıp çalışmadığını görmek için kanıt toplaması gerekecektir. Bu durumda denetçinin mesleki deneyimi, pratikte belirli noktalarda ihtiyaç duyacağı öznel mesleki yargısı ile değer katmaya yardımcı olacaktır.

Denetim sürecinde tespit edilen kontrol zayıflıkları belgelendirilerek, tespitler bir raporla yönetimden sorumlu olanlara sunulmalıdır.