İŞLETME VE BİLGİ - tide.org.tr°şletme ve Bilgi Teknolojileri İçin GAIT.pdf · 2 2. Bölüm...
Transcript of İŞLETME VE BİLGİ - tide.org.tr°şletme ve Bilgi Teknolojileri İçin GAIT.pdf · 2 2. Bölüm...
İŞLETME VE BİLGİ
TEKNOLOJİLERİ
RİSKLERİ İÇİN GAIT
İç Denetçiler MESLEKİ REHBERLİK Enstitüsü Standart Belirleme
İçindekiler
1. Giriş ......................................................................................................................................................... 1
2. Yöneticiler İçin Özet ............................................................................................................................. 2
3. Neden GAIT-R? ............................................................................................................................. ........ 4
4. GAIT-R İlkeleri ..................................................................................................................................... 6
5. GAIT-R Yukarıdan Aşağıya Metodolojisi ............................................................................................ 10
6. Risk Yönetimine İlişkin Varılan Sonuçlar ............................................................................................ 18
İşletme ve BT Riskleri İçin GAIT
1
1. GİRİŞ
İşletme ve BT Riskleri İçin GAIT1 (GAIT-R)2, kurumsal hedef ve amaçlara ulaşmak açısından kritik öneme
sahip kilit kontrollerin tümünü tanımlamak için kullanılan bir metodolojidir. GAIT-R’de, BT’nin – bu
dokümanda genellikle işletme riski olarak adlandırılan – kurumsal riskin yönetilmesi ve hafifletilmesi için
gereken kritik yönleri açıklanmaktadır. Denetim çalışmalarının planlanması aşamasında bu kritik BT
işlevleri ve onlara karşılık gelen riskler göz önünde bulundurulabilir.
GAIT-R, öncelikli olarak iç denetim uygulayıcıları için geliştirilmiştir. Fakat organizasyonları bünyesinde
BT risklerinin planlanması ve yönetiminden sorumlu kişiler veya BT yönetişim ve güvenlik yöneticileri de
GAIT-R’yi kullanabilirler.
GAIT-R öncelikli olarak iç denetim uygulayıcıları için geliştirilmiş olduğundan, risklerin yönetilmesi ve
hafifletilmesi için mevcut kilit kontroller üzerinde durmaktadır. Sonuç bölümünde, risk yönetim
stratejilerine ilişkin bir tartışmaya yer verilmiştir.
1 GAIT, Risk Esaslı Bilgi Teknolojileri Genel Kontrollerini Değerlendirme Kılavuzu anlamına gelmektedir.
2 GAIT-R ise, 2002 tarihli ABD Sarbanes-Oxley Kanunu’nun 404. maddesi uyarınca bir kurumun finansal raporlama üzerinde iç kontrol
değerlendirmesi sürecine dâhil edilmesi gereken BT genel kontrollerini tanımlamakta kullanılan bir süreç olan GAIT Metodolojisi’nden türetilmiş
bulunan IIA rehberlik ürünleri ailesinin bir üyesidir.
2
2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT
2. Yöneticiler İçin Özet
GAIT-R Metodolojisi dört ilkeye dayanmaktadır. Bu ilkeler:
İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme için bir
risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk olur.
İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi ve
hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC (Bilgi Teknolojileri Genel
Kontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla değerlendirilmesinden elde edilen
sonuçlara bakılarak tanımlanmalıdır.
İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir kombinasyonu
kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç kontrol sisteminin
değerlendirilmesi için, otomatik kilit kontrollerin değerlendirilmesi gerekmektedir.
İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması konusunda
ITGC’ler (BT Genel Kontrolleri) temel alınabilir.
GAIT-R Metodolojisi, her bir tanımlanmış kurumsal hedef için var olan riskler bazında, aşağıdakileri
içeren bir kapsama sahiptir:
• İş süreci dâhilinde manuel kilit kontroller.
• İş süreci dâhilinde otomatik ve karma kilit kontroller.
• ITGC süreçleri dâhilinde kilit kontroller.
• Treadway Komisyonu Sponsor Örgütler Komitesi (COSO) iç kontrol modelinin kontrol
ortamı, bilgi ve iletişim ve diğer katmanlarındaki faaliyetleri de içeren kurum-çapında
kontroller.
Denetçi ya da değerlendirme sorumlusu, iş hedeflerine ulaşma konusunda makul güvence sağlayan
kontrolleri tam ve eksiksiz kavramak suretiyle ve GAIT-R’yi kullanarak, yapılacak işlerin kapsamını
tanımlayabilir.
Bu metodolojinin nihai ürünü, belirlenen işletme risklerinin yeterli düzeyde yönetilmesi veya
azaltılmasına ve ilgili kurumsal hedeflerin yine yeterli düzeyde yönetilmesine yönelik makul bir güvence
sağlamak için gereken kilit kontrollerin bir listesidir. Böylelikle, denetçi, ya yeterli kontrollerin mevcut
olduğuna ilişkin güvence vermek amacıyla verimli ve etkili bir denetim projesi tasarlayabilir ya da
yönetimin bu kontrolleri iyileştirmesine katkıda bulunmak için katma değerli danışmanlık hizmetleri
sağlaya bilir.
Aşağıdaki şekilde, GAIT-R’nin işletme risklerinin yönetilmesini ve kurumsal hedeflere ulaşılmasını
sağlamak amacıyla muhtemelen tanımlayacağı kontroller kombinasyonu gösterilmektedir.
3
2. Bölüm | Yöneticiler İçin Özet İşletme ve BT Riskleri İçin GAIT
Şekil 1. GAIT-R Metodolojisi Yardımıyla Kontrollerin Tanımlanması
4
3. Bölüm | NEDEN GAIT-R?
İşletme ve BT Riskleri İçin GAIT
3. NEDEN GAIT-R?
GAIT-R’ye duyulan ihtiyaç, en iyi şekilde, gerçek hayatta karşılaşılan durumlardan iki örnekle
açıklanmaktadır:
A Şirketi; Amerika Birleşik Devletleri çapında yaklaşık 4.000 benzin istasyonu ve istasyon marketleriyle
(convenience store) büyük bir benzin istasyonu marketler zinciri işletiyordu. Sarbanes-Oxley Kanunu’nun
çıkmasından birkaç yıl önce, dış denetim firmasının BT denetim ekibi, marketlerde uygulanan hem
uygulama kontrolleri hem de genel BT kontrollerinin kritik öneme sahip olduğuna karar verdi. Her
marketin yazar kasa ve benzin pompası faaliyetlerini destekleyen kendi özel sunucusu bulunuyordu. En az
günde bir defa, genellikle günde iki defa, merkezi bilgisayar sistemi tarafından sunucular pinglenerek bu
sunuculardan alınan operasyonel veriler ve muhasebe verileri yüklenmekteydi.
Dış denetim firmasının BT Denetim Yöneticisi, şirketin İç Denetim Yöneticisi (CAE) ile temasa geçerek
ona önemli kontrol zafiyetleri tespit ettiklerini bildirdi. CAE de, bunun üzerine derhal, Şirket Kontrolörü,
Bilgi Sistemleri Grubu Başkanı (CIO), dış denetim firmasının genel görev ortakları ve kendi kıdemli
müdürüyle bir üst düzey toplantı düzenledi.
Toplantıda, BT denetim yöneticisi market sunucularıyla ilgili güvenlik sorunları bulunduğunu (örn.
parolalar düzenli aralıklarla değiştirilmiyordu) ve ayrıca, yüklemelerin yapılıp yapılmadığını, tam ve
eksiksiz olup olmadıklarını veya doğruluklarını teyit ve temin edecek hiçbir kontrolün bulunmadığını
bildirdi.
Dış denetim firmasının görevlendirdiği kıdemli müdür, hemen, merkezi market muhasebe biriminde,
market düzeyinde olabilecek yükleme sorunlarını belirleyecek nitelikte kontrollerin ekibi tarafından tespit
ve test edildiği yönünde bir cevap verdi. Bu kontroller arasında, marketlerde yapılan yüklemelerde
olabilecek eksikleri tespit eden raporların incelenmesi ve market operasyonlarının detaylı analizleri de
vardı ve bu detaylı analizler, market ve emtia kategorisine göre tahminlerden sapmaları ve trendleri de
kapsıyordu. Toplantının sonucunda, şirketin genel kontrol sisteminin finansal raporlama açısından yeterli
olduğu ve dış denetçinin şirketin iç koordinasyon ve risk değerlendirme fonksiyonlarını iyileştireceği
konularında mutabakata varıldı.
Bu örnekten alınacak ders; denetim alanlarının belirlenmesinde sadece teknoloji riskini temel almanın
denetimde verimsizliklere neden olabileceğidir. Denetlemeye değer teknoloji risklerinin belirlenmesi ancak
– manuel veya otomatik ayrımı yapmaksızın – tüm işletme kontrollerinin dikkate alınmasıyla mümkündür.
Kimileri kullanılabilirlik ve veri güvenliği gibi teknoloji risklerinin çok etkili ve önemli olduklarını,
dolayısıyla bu rehberde de sunulan bütünsel bir yaklaşımın gereksiz olduğunu iddia edebilir. Fakat biz bu
teknoloji risklerinin işletme riskine yansımaları belirlenmeden ve işletme riski bağlamında ele alınmadan,
bir denetimin gerekli olup olmadığına veya değerine ilişkin bir karara varmanın mümkün olmadığını
düşünüyoruz. Dolayısıyla, buna değdiğini düşündüğümüz durumlarda, teknoloji risklerinden ziyade işletme
risklerine yönelik bir değerlendirme, denetimin kapsamına daha etkili odaklanmayı sağlayabilir. Örneğin:
• Kullanılabilirliğin bir BT biriminin (fonksiyonunun) başarısı için önemli bir unsur olduğu ortadadır.
Ancak işletme riski yalnızca kullanılabilirlikten ibaret değildir; işletme riski, BT hizmetlerinin
sürekliliğini sağlayamamanın bir sonucu olarak bunun kritik iş süreçleri üzerinde hissedilebilen
etkisidir. Örneğin, faaliyetlerini sürdürebilmesi birden çok BT hizmetine bağlı olan tipik bir imalatçı
işletme düşünün. Bu BT hizmetleri arasında, diğer unsurların yanı sıra, tedarik, envanter ile üretim
kaynak ve planlama (MRP) sistemlerinin yanı sıra siparişler, faturalandırma, maaş bordroları, borçlu
hesaplar, muhasebe ve e-posta sistemleri de sayılabilir.
Kurumun iş etki analizi3; bu hizmetlerden her birinin sürekli kullanılabilirliğinin getirdiği değeri ve o
hizmetin uzun süreli yokluğunun yaratabileceği maliyeti tanımlar. İş etki analizinde kullanılabilirlik
kaybının kurumsal açıdan önemli sonuçlar doğuracağı sistemlerin sadece MRP ve e-posta sistemleri
olarak tanımlanması hâlinde, denetimin doğal olarak bu işletme risklerine odaklanması
gerekmektedir. Diğer bir deyişle, bu işletmede MRP ve e-posta sistemlerinin kullanılamaz olması
olarak formüle edilebilecek işletme risklerini önleyen veya hafifleten kontrollerin ve diğer
önlemlerin incelenip gözden geçirilmesiyle daha etkili bir denetim yapılmış olur.
3 İş etki analizi ayrıca kritik sistemler analizi, BT risk değerlendirmesi vb. olarak da adlandırılmaktadır.
5
3. Bölüm | NEDEN GAIT-R?
İşletme ve BT Riskleri İçin GAIT
Bunun benzeri veri güvenliği için de geçerlidir. Bir kurumun bilgi ağında birçok tür ve biçimde veri
işlenir veya saklanır. Ancak işletme kayıp riski, uygunsuz değişiklikler veya yetkisiz erişim tüm
verileri tutarlı bir şekilde etkilemez. Dolayısıyla, veri güvenliği denetimleri, kritik iş faaliyetlerini
desteklemek için gereken bilgi varlıklarını korumaya ya da verilerde meydana gelecek kayıp veya
hasarın direkt sorumluluk doğurabileceği durumlara (örn. müşteri kredi kartı bilgileri veya hastaların
hastalık geçmişlerinde kayıp veya hasar gibi) odaklanmalıdır. Bu kritik bilgi varlıkları, yalnızca ve
tamamen teknolojik perspektife dayalı bir risk değerlendirme modelinden daha ziyade, en iyi, bir
işletme riski yukarıdan aşağıya değerlendirme modeliyle tanımlanabilirler.
İkinci örnek ise bir işletme denetiminin teknolojiyi temel almayı tanımada, dolayısıyla da kurumsal
hedeflere ulaşmak için tüm riskleri değerlendirmede nasıl başarısız olabileceğini göstermektedir.
B Şirketi’nin iç denetçileri şirketin emisyonlara ilişkin çevresel düzenlemelere uyumu üzerine bir
denetim yapmaktadır. Şirket, Amerika’nın batı kıyısında bir rafineri tesisi işletmekte olup rutin faaliyetler
sırasında açığa çıkan belirli gazların havaya emisyonunu sınırlamak durumundadır. Ayrıca eyalet
düzenleyici otoritesine haftalık emisyon raporları sunmakla ve emisyonların düzenleyici sınırları aşması
hâlinde düzeltici eylemlerde bulunmakla da yükümlüdür.
Denetçilerin gündeminde (denetim kapsamında), diğerlerinin yanı sıra, aşağıdakilerin test edilmesi de
bulunmaktadır:
• Eyalet düzenleyici otoritesine sunulan raporların tam ve eksiksiz olup olmadığı.
• Tüm raporların ilgililere sunulmadan önce ilgili yöneticinin inceleme ve onayından geçip
geçmediği.
• Raporların zamanında sunulup sunulmadığı.
• Aşırı emisyonun meydana geldiği tüm durumların vakit kaybetmeden yönetime rapor edilip
edilmediği ve bu hususta düzeltici eylemlerde bulunulup bulunulmadığı.
• Para cezası ve başka cezaların da verilmesinin beklendiği aşırı emisyon durumunda uygun
tutarların tahakkuk ettirilip ettirilmediği.
• Emisyon izleme ekipmanlarının bakımının yeterli düzeyde yapılıp yapılmadığı.
Ancak bu denetim kapsamı yalnızca operasyonel ve finansal kıstaslar gözetilerek planlanmıştır. Bundan
dolayı, denetçiler, raporlarında emisyon uygunluğunun sağlanmasında rol oynayan BT sistemlerinde
verilerin ve bu verilerin işlenmesinin temel alındığını belirtmemişlerdir. (Bu rehberde, kurumsal hedeflere
ulaşmak için temel alınan otomatik kontroller ve BT’ye bağlı kontrollerin tümüne kritik BT işlevleri adı
verilmektedir). Denetçiler bir yukarıdan aşağıya yaklaşım benimsemiş olsalardı, kritik BT işlevlerinin
önemli ölçüde temel alındığını fark etmiş olurlardı. Fazla temel alınan bu kritik BT işlevlerinin arasında
aşağıdakiler bulunmaktadır:
• Faaliyetleri izlemek için kullanılan raporları hazırlamak ve düzenleme otoritelerine gönderilecek
raporları sunmak için kullanılan ve sistemde saklanan emisyon izleme sonuçlarının (yani
verilerin) tamlığı ve sağlamlığı. Veri erişimi üzerindeki kontroller de buradan hareketle kapsama
dâhil edilebilirdi.
• Faaliyetleri izlemek için kullanılan ve düzenleyici otoriteye sunulan kilit raporların
oluşturulmasında kullanılan yazılımın güvenilirliği.
• Emisyon ekipmanlarının işletim sisteminin güvenilirliği. Bu sistemde meydana gelecek arızalar
izleme sonuçlarında yanlışlıklara veya eksikliklere yol açabilir. Denetçiler biraz daha detaya girip
ekipman satıcısının ilgili yamaları kurarken, bunun yeterli olmadığı durumlarda da emisyon
ekipmanlarının bakımını yaparken yararlandığı uzaktan erişim üzerindeki kontrolleri de
değerlendirebilirlerdi.
Yukarıdaki iki örnekte anlatılan durumlar pek nadir karşılaşılan olaylar değildir. Bu rehberde, işletme
riskinin yukarıdan aşağıya değerlendirilmesinin bir parçası olarak kritik BT işlevlerinin ne denli temel
alındığının değerlendirilmesi için bir metodoloji sunulmaktadır. Bazı durumlarda, üçüncü şahıslar
tarafından ileri sürülen teknoloji riskleri de denetlemeye değer risklerdir. Bu rehber, bu riskleri
değerlendirmek ve yukarıdan aşağıya değerlendirme kapsamına dâhil etmek için kullanılan bir iş sürecini
kapsamaktadır. (bkz. Metodoloji bölümü, Adım 1).
6
4. Bölüm | GAIT-R
PrInCIPLES İşletme ve BT Riskleri İçin GAIT
4. GAIT-R İLKELERİ
GAIT-R Metodolojisi dört ilkeye dayanmaktadır.
İlke 1: Teknolojik ekipman ve sistemlerde meydana gelen bir arıza (başarısızlık), ancak işletme
için bir risk teşkil ettiği takdirde, değerlendirilmesi, yönetilmesi ve denetlenmesi gereken bir risk
olur.
Teknolojinin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına ulaşmasını sağlamaktır.
Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir işletme riski doğmasına yol
açabilir veya var olan bir işletme riskini büyütebilir; işletme riski ise işletmenin hedef ve amaçlarına
ulaşmada etkililik ve verimliliğin sağlanamaması olarak açıklanmaktadır.
Teknolojinin – ilgili işletme risklerini tanımlamaksızın ve bu işletme
risklerinin teknolojik yıkımlar, hatalar, eksiklikler ve arızaların etkisinden
ne derece izole edilebileceğini belirtmeksizin – diğer unsurlardan izole
edilerek tek başına değerlendirilmesi denetimlerde verimsiz sonuçlar elde
edilmesine neden olabilir. Yapılacak denetimleri herhangi bir yayından
alınmış, BT riskleri veya kontrol hedeflerini içeren bir kontrol listesini baz
alarak belirlemek ya da sırf önemli göründüğü için bir denetimi yapmayı tercih etmek şeklindeki
yaklaşım denetim yapmak için yetersiz bir gerekçedir. Dolayısıyla, işletmenin hedef ve amaçlarına
yönelik risklerin (örn. gelir kaybıyla sonuçlanacak olan siparişleri yerine getirememe veya gizlilik
ihlâliyle sonuçlanacak olan müşteri kredi verilerini koruyamama gibi) anlaşılması gerekmektedir.
Benzer şekilde, operasyonel ve finansal riski teknolojiyi temel alma unsurunu hesaba katmaksızın
değerlendirmek muhtemelen denetimde verimsizlik ve eksikliklere yol açacaktır. Ayrıca kritik BT
işlevleri üzerindeki kontroller denetim kapsamına dâhil edilmeyebilirler ve manuel kontroller de daha
güvenilir otomatik kontroller mevcut olduğunda değerlendirilebilirler.
İkinci GAIT-R ilkesi bir yukarıdan aşağıya değerlendirme modeline duyulan ihtiyaç, işletme risklerinin
bütünsel bir değerlendirmesi, manuel kontrollerin derecesi ve kritik BT işlevlerini temel alma üzerine bir
tartışma sunmaktadır.
İlke 2: Kilit kontroller; işletme risklerinin, risk toleransının ve işletme riskinin yönetilmesi veya
hafifletilmesi için gereken kontrollerin – otomatik kontroller ve ITGC de (Bilgi
Teknolojileri Genel Kontrolleri) dâhil – yukarıdan aşağıya değerlendirme metoduyla
değerlendirilmesinden elde edilen sonuçlara bakılarak tanımlanmalıdır.
Amerika Birleşik Devletleri’nde, Madde 404 uyarınca bir kurumun finansal raporlama üzerinde iç kontrol
değerlendirmesi için yapılacak işlerin kapsamı, genellikle, işletme riskinin – ABD Menkul Kıymetler ve
Borsa Komisyonu’na (SEC) ibraz edilen mali tablolarda önemli yalan ve yanlış beyan bulunması riski –
değerlendirilmesiyle başlayan bir yukarıdan aşağıya değerlendirme faaliyetinin sonuçlarına göre belirlenir.
Bu yaklaşımın geliştirilmesinde, yönetimin faaliyetlerini düzenleyen SEC’in ve dış denetim firmalarının
faaliyetlerini düzenleyen ABD Halka Açık Şirketler Muhasebe Gözetim Kurulu’nun (PCAOB)
yayımladığı rehberlerden esinlenilmiştir. Bu kurumların her ikisi de yukarıdan aşağıya risk değerlendirme
modelinin verimli bir iş kapsamı oluşturmak için kilit öneme sahip olduğunu bildirmiştir.
Finansal raporlama üzerindeki iç kontroller için yaptıkları yıllık değerlendirmelerinin bir parçası olarak
yönetimin ve denetçilerin ITGC’lerin denetimi için bir kapsam geliştirmelerine katkı sağlamak amacıyla,
İç Denetim Enstitüsü (IIA) 2007 yılında GAIT Metodolojisi’ni yayımlamıştır. Bu Metodoloji’de, mali
tablolarda önemli hata bulunması riskinin (yani bu durumda işletme riskinin) değerlendirilmesiyle
başlanan yukarıdan aşağıya risk değerlendirme faaliyetlerine ITGC’nin (adı geçen işletme riskiyle
bağlantılı olarak) teşkil ettiği riskin değerlendirilmesiyle devam edilmiştir.
Bu Metodoloji, yayımlandığı tarihten itibaren, giderek artan sayıda şirkete ve bunların denetçilerine ITGC
için Madde 404 uyarınca hem etkili hem de verimli bir kapsam belirleme konusunda yardımcı olmuştur.
Ayrıca doğru ITGC kontrollerinin değerlendirileceğine dair güvence de vermiştir. Denetim kapsamına
dâhil edilen ITGC’lerin toplam sayısı bu metodoloji kullanıldığında genellikle azalsa da, birçok şirket, bu
“BT riski diye bir şey yoktur.”
– Jay Taylor Genel Müdür, BT Denetimi, General Motors
7
4. Bölüm | GAIT-R
PrInCIPLES İşletme ve BT Riskleri İçin GAIT
sayıda net bir düşüş sağladıklarını bildirmişlerdir: Daha önce gözden kaçan alanlara ilişkin yeni kontroller
eklemiş ve kilit nitelikte olmayan kontrolleri değerlendirme kapsamından çıkarmışlardır (kilit kontroller
mali tablolarda önemli yalan ve yanlış beyan bulunmasını önlemek veya bulunan yanlış beyanları tespit
etmek için gereken kontrollerdir).
Geçen birkaç yılda Madde 404’ün uygulanmasıyla elde edilen deneyimlerden de anlaşılacağı üzere,
verimli bir kapsam belirlenebilmesi için, işletme kontrollerinin kapsamının belirlenmesi açısından
yukarıdan aşağıya esaslı bir yaklaşım benimsenmesi gerekmektedir. GAIT Metodolojisi, yukarıdan aşağıya
esaslı yaklaşımın ITGC kapsamı belirlemek için de işe yaradığını göstermiştir.
İlke 3: İşletme risklerinin hafifletilmesi için manuel ve otomatik kilit kontrollerin bir
kombinasyonu kullanılır. İşletme risklerini yönetmek veya hafifletmek amacına yönelik iç
kontrol sisteminin değerlendirilmesi için, öncelikle otomatik kilit kontrollerin
değerlendirilmesi gerekmektedir.
Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili
yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir.
Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı,
kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit
edilmelidir.
ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani
Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya
değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir.
Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik
olsun, bu iyi bir öneridir.
Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış
kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil
edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve
aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde
bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.
Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske
yönelik olmaktadır. Örneğin:
• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki
verilmesini sağlar.
• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir
otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar
ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.
Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının
değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller
işletme hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit
edilmesini sağlamak amacıyla baz alınan kontrollerdir.
Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:
•
Manuel kontroller (örn. fiziksel envanter sayımı).
•
Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi).
8
4. Bölüm | GAIT-R
PrInCIPLES İşletme ve BT Riskleri İçin GAIT
•
Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya
karma kontroller.4 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle
verimsiz olur. Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistem
raporunun gözden geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz
olmasını sağlayamayabilir. Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına
dâhil olur.
Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit
kontroller – uygun testler kullanılarak – değerlendirilmelidir.
Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn.
BT güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça
belirtilmesi gereken bir kapsam sınırlamasıdır.
Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin
istikrarlı ve uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin
değerlendirilmesi ve test edilmesi de düşünülmelidir.
İlke 4: Otomatik kilit kontrollerin devamlı ve düzgün çalışmasının güvence altına alınması
konusunda ITGC’ler (BT Genel Kontrolleri) temel alınabilir.
Karma kontrolleri de içeren ve hepsine birden kritik BT işlevleri adı verilen kilit otomatik kontrollerin
verimli ve istikrarlı bir şekilde çalışması gerekmektedir. Denetçiler bunun güvence altına alınması
konusunda genellikle ITGC’leri temel alırlar.
Aşağıda sunulan yukarıdan aşağıya değerlendirme metodolojisi, BT süreçlerinde (örn. değişiklik
yönetiminde) meydana gelen aksaklıkların kilit otomatik kontroller açısından teşkil ettiği riskin
değerlendirilmesi ve ITGC’lerde kilit kontrollerin tanımlanması için bir süreci de içermektedir.
ITGC’lerde meydana gelen bir aksaklığın bir işletme riskine yönelik kilit otomatik kontrollerde aksaklığa
veya bu kontrollerin güvence altına alınamamasına neden olması hâlinde, bahsi geçen kilit ITGC’ler
hesaba katılmadığı sürece, bu işletme riskine yönelik kontroller eksik kalacaktır.
Kritik BT işlevlerini güvence altına almak için gereken spesifik kilit ITGC’ler (GAIT Metodolojisi’nde
belirtilen ilkelere benzeyen) üç alt-ilke temel alınarak tanımlanır:
İlke 4a: Tanımlanması gereken ITGC süreci riskleri, önemli uygulamalarda ve ilgili verilerde kritik BT
işlevlerini etkileyen risklerdir.
Bu ilke ilk üç ilkede belirtilen kavramlarla ilişkilidir: işletme hedeflerine yönelik risklerin yukarıdan
aşağıya değerlendirme modeli, kilit iş süreci kontrollerini, bunların arasından da kritik BT işlevlerini
tanımlar. ITGC’de meydana gelen aksaklıkların bu kritik BT işlevleri açısından teşkil ettiği – değişiklik
kontrolü ve güvenlik gibi süreçlerde meydana gelen – risklerin yukarıdan aşağıya yaklaşımın bir parçası
ve devamı olarak tanımlanması ve değerlendirilmesi gerekmektedir.
İlke 4b: Çeşitli süreçlerde ve BT katmanlarında, tanımlanması gereken ITGC süreci riskleri bulunmaktadır.
Bu BT katmanları uygulama programı kodu, veritabanları, işletim sistemleri ve ağdır.
Tıpkı kilit işletme kontrolleri bulunan iş prosesleri (örn. borçlu hesap işlemleri, bütçeleme ve kiralama)
olduğu gibi, kilit ITGC’leri bulunan ITGC süreçleri de (örn. değişiklik yönetimi, bilgisayar işlemleri ve
güvenlik yönetimi) mevcuttur. Her ITGC süreci, her bir uygulamanın BT altyapısının dört katmanında da5
işler – uygulama, (çizelge gibi ilgili yapıların da dâhil olduğu) veritabanı, işletim sistemi ve ağ altyapısı –.
Bu katmanlar yığın olarak da bilinirler.
4ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır.
5 GAIT-R’da her kurumun ihtiyaçlarına uyarlanabilen dört katmanlı bir yığın kullanılır. Örneğin, bu metodolojiyi kullanan biri farklı bir dört
katmanlı grup tanımlayabilir veya yığında daha farklı sayıda katmanın bulunduğu bir model kullanabilir. Katman sayısı veya açıklama seçimi
GAIT-R Metodolojisi’nin işlerliğini engellemez.
9
4. Bölüm | GAIT-R
PrInCIPLES İşletme ve BT Riskleri İçin GAIT
Kritik BT işlevlerinin güvenilirliğine ilişkin riskler BT altyapısının her bir katmanında her ITGC süreci
için (örn. uygulama kodu katmanında değişiklik yönetimi sürecinde veya veritabanı katmanında güvenlik
yönetimi sürecinde meydana gelen riskler değerlendirilerek) değerlendirilebilirler.
İlke 4c: ITGC süreçlerinde bulunan riskler münferit kontrol hedeflerine değil, BT kontrol hedeflerine
ulaşılmasıyla hafifletilebilirler.
Her bir ITGC süreci BT kontrol hedeflerine ulaşılmasına katkı sağlayan kontroller içermektedir. Bu kontrol
hedefleri şu şekildedir:
•
Sistemler üretime geçirilmeden önce uygun şekilde test edilir ve validasyonları yapılır.
•
Veriler yetkisiz değişikliklere karşı korunurlar.
•
İşlemlerde meydana gelen herhangi bir sorun veya sorun teşkil eden duruma gereğince müdahale
edilir ve bunlar yine gereken şekilde kaydedilir, araştırılır ve çözümlenir.
Bu hedeflere ulaşılamaması hâlinde, kritik BT işlevlerinin uygun ve istikrarlı işleyemediği sonucuna
varılabilir. Önemli uygulamalar için gereken BT kontrol hedeflerinin tanımlanması konusunda GAIT-
R’den yararlanılır.
ITGC süreçlerindeki kontroller, işletme hedeflerine ulaşmada başarısızlık riskiyle her zaman doğrudan
bağlantılı değildir. Münferit ITGC’ler, ilgili BT kontrol hedeflerine ulaşılmasını güvence altına alırlar. Bu
kontrol hedefleri de kritik BT işlevlerinin istikrarlı çalışmasını güvence altına alırlar ve iş süreçlerindeki
kilit kontrollerin istikrarlı çalışması için de bu kritik BT işlevlerine ihtiyaç duyulur. İnceleme ve
değerlendirmeye tabi tutulan işletme hedefleriyle ilgili güvence sağlanabilmesi için ise, iş süreçlerinde kilit
kontrollerin varlığı gerekmektedir.
Sonuç olarak, öncelikle ilgili BT kontrol hedeflerinin tanımlanması önem arz etmektedir; ITGC’lerdeki
kilit kontroller ancak bu BT kontrol hedefleri tanımlandıktan sonra belirlenmelidir. Denetim kapsamına
dâhil edilmesi gereken kilit ITGC kontrolleri BT kontrol hedeflerine ulaşılması için gereken kontrollerdir.
Belirli birtakım ITGC’ler önemli gibi görünseler de, tanımlanmış bir BT kontrol hedefine yöneltilmesi
gerekmedikçe, bu ITGC kontrollerinin değerlendirme kapsamına alınmasına da gerek yoktur.
10
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
5. GAIT-R YUKARIDAN AŞAĞIYA METODOLOJİSİ
BT riskinin değerlendirilmesi işletme hedeflerine ulaşılmasına yönelik risklere ilişkin yapılan bütünsel bir
inceleme ve değerlendirmenin yalnızca bir parçası olduğundan, aşağıda tartışılan basamaklar risk
değerlendirme ve kontrol tanımlama sürecinin tamamını kapsamaktadır.
GAIT-R Metodolojisi, denetimin inceleme amacının ya da kontrol değerlendirmelerinin anlaşılmasından
başlayarak, tanımlanmış bir iş kapsamı elde edilmesiyle sonuçlanan sekiz basamaktan oluşur. 6
1. Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.
2. İşletme hedeflerine ulaşılacağı konusunda makul güvence sağlamak için gerekli olan, iş
süreçlerindeki kilit kontrolleri tanımla.
3. Kilit işletme kontrolleri arasından temel alınan kritik BT işlevlerini tanımla.
4. ITGC’lerin test edilmesi gereken önemli uygulamaları tanımla.
5. ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.
6. Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşılmasını sağlayıp sağlamadığını test et.
7. Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.
8. İncelemenin kapsamını belirle ve uygun bir tasarım ve etkinlik test programı oluştur.
Adım 1: Kontrollerin değerlendirilmesi için işletme hedeflerini tanımla.
İlke 1’de de belirtildiği üzere, BT’nin kullanım amaçlarından biri de bir işletmenin hedef veya amaçlarına
ulaşılmasını sağlamaktır. Teknolojinin hedeflenen amaca uygun işlememesi (yani teknoloji riski) bir
işletme riski doğmasına veya var olan bir işletme riskini büyümesine yol açabilir; ki bu durumda işletme
hedef ve amaçları verimli ve etkin bir şekilde başarılamaz.
Denetçiler 7 , kapsamı tanımlamaya, güvence verilmesi gereken işletme hedeflerini tanımlayarak ve
anlayarak başlamalıdırlar.
Kimi zaman, denetçilere tanımlanmış bir teknoloji riskine yönelik kaygılar bildirilebilir. Örneğin, bir
yönetim kurulu üyesi, Başkan (CEO) veya başka herhangi bir yönetici, ağ güvenliği veya uygulama
değişiklik yönetimi riskine ilişkin sorular sorabilir. Bu gibi durumlarda, denetçinin yine de ilgili işletme
risklerini tanımlaması ve tekrar bir yukarıdan aşağıya değerlendirme yapması gerekmektedir. Esas işletme
riski ve ilgili hafifletici etmenler ancak bu yolla tanımlanabilirler; bu da teknoloji riskine ilişkin kaygıların
yerinde olup olmadığının ve eğer haklı gerekçelere dayanıyorlarsa bu kaygıların derecesinin uygun şekilde
ölçülüp değerlendirilmesine olanak sağlar.
Örneğin, bu rehberin başında verdiğimiz A Şirketi örneğinde, basiretli bir denetçi benzin istasyonu
marketlerinde uygulamaları ve ITGC’leri denetlemeye girişmeden önce durup biraz düşünürdü.
Denetçilerin ilgilendikleri işletme riski, marketlerdeki tüm faaliyetlerin şirketin kayıtlarında tam, eksiksiz
ve doğru tutulup tutulmadığıydı. Bu işletme riskleri arasında da satışların kayıtlara yansıtılmaması,
envantere dahil malların zimmete geçirilmesi ve para kaçırma şeklinde riskler bulunuyordu.
6 Metni okuyanların bu belgenin Metodoloji kısmından ilkelere tekrar dönmeden yararlanabilmelerini sağlamak amacıyla, metinde ilkelerin
tanımlandığı bölümler tekrar verilmiştir. 7 Ayrıca, GAIT-R Metodolojisi, riskleri – özellikle BT ile ilgili olanları – tanımlamak ve değerlendirmek amacıyla denetimle ilgisi olmayanlar
tarafından da kullanılabilir. Bu metodolojide, bu noktadan itibaren kullanılan “denetçiler” ibaresi metodolojinin diğer kullanıcılarını da
kapsamaktadır.
11
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Denetçinin market faaliyetlerine yönelik kontrollerin de dâhil olduğu tüm hafifletici faktörleri anlamış ve
kavramış olması gerekirdi. Bu bütünsel bakış açısı ile market faaliyetlerinin trendlerin ve değişimlerin bir
analizini de içeren merkezi değerlendirmesini tanımlamanın yanı sıra başka önemli kontrollerin de mevcut
olduğunun tespit edilmiş olması gerekirdi (market yöneticisinin yaptığı günlük kasa denetimleri, bölge
müdürünün yaptığı aylık envanter ve kasa denetimleri ve bağımsız market denetçilerinin en az üç ayda bir
yaptıkları envanter ve kasa denetimleri gibi).
Sonuç olarak, basiretli bir denetçi, market içerisinde bulunan teknolojik donanımda meydana gelecek
herhangi bir arızanın makul bir zaman zarfında tespit edileceği sonucuna varmış olurdu. (Tespit
kontrollerinin yeterli olup olmadığına ilişkin yapılan değerlendirmeye işletme yönetimiyle yapılan
görüşmeler de dâhil edilmelidir. Yönetim, market çalışanlarının mal çalıp çalmadığını veya para kaçırıp
kaçırmadığını tespit etmeyi bölge müdürü veya market denetçisi ziyaretlerine kadar erteleme riskini göze
almaya razı olacaktır, zira daha sıkı kontrollerin maliyeti çok yüksektir.)
İlke 2’de teknoloji riskinin ancak ilgili işletme riskinin anlaşılmasıyla değerlendirilebileceği iddia
edilmektedir. Yukarıdan aşağıya yaklaşım işletme risklerini ve bu riskleri yönetmek veya hafifletmek için
mevcut olan kontrolleri tanımlamaktadır.
Adım 2: İş süreçlerinde yapılan ve işletme hedeflerine ulaşılacağı konusunda makul güvence
vermek için gereken kilit kontrolleri tanımla.
Adım 2, İlke 3’e dayanmaktadır. Denetçi, Adım 1’de tanımlanan işletme hedeflerine ulaşılacağı konusunda
güvence vermek için gereken kilit kontrolleri tanımlamalıdır. Denetçinin denetim kapsamına kilit olmayan
kontrollerin (örn. gereksiz veya mükerrer kontroller gibi) değerlendirilmesini de eklemeyi tercih edebilecek
olmasına karşın, bu türden bir güvencenin sunulmasının işletme açısından herhangi bir değer arz etmesi
hâlinde, yalnızca kilit kontrollerin değerlendirilmesi gerekir.
Bir iç kontrol sisteminde genellikle manuel ve otomatik kontroller bulunur. İşletme risklerinin etkili
yönetilip yönetilmediğini belirlemek için her iki tipte kontrolün de değerlendirilmesi gerekmektedir.
Özellikle, işletme risklerini hafifletmek için uygun kontrol kombinasyonunun bulunup bulunmadığı,
kontrollerin – teknoloji risklerine yönelik kontroller de dâhil – değerlendirilmesi yoluyla tespit
edilmelidir.
ABD düzenleyici otoritelerinin finansal raporlama üzerindeki iç kontrollerin değerlendirilmesine (yani
Madde 404 uyarınca yapılan yıllık değerlendirmeye) ilişkin yayımladıkları rehberlerde, yukarıdan aşağıya
değerlendirme sürecine kurumsal düzeyde kontrollerin tanımlanmasıyla başlanması önerilmektedir.
Değerlendirme ister finansal raporlama üzerindeki kontrollere isterse de başka işletme hedeflerine yönelik
olsun, bu iyi bir öneridir.
Kilit kontrol tanımlamasına; kurumsal düzeyde kontrollerin tanımlanması (örn. kurumsal davranış
kuralları) veya departman düzeyinde kontrollerin tanımlanması da (örn. yerel satış birimleri) dâhil
edilmelidir. Bu tanımlama faaliyetlerinde, ayrıca, COSO çerçevesinin farklı katmanlarındaki kontrol ve
aktiviteler de (örn. kurumun personel alım süreci, üst yönetimin takındığı tutum vs.) göz önünde
bulundurulmalıdır. Bu kontrol ve aktiviteler manuel veya otomatik olabilirler.
Bir işletme riski genellikle birden fazla kontrolle denetlenmekte ve bazı kontroller de tek ve aynı riske
yönelik olabilmektedir. Örneğin:
• Bir sipariş için yönetimin farklı katmanlarından alınan birden fazla onay siparişe izin ve yetki
verilmesini sağlar.
• Borçlu hesaplarda yapılan işlemlerin büyük deftere yüklenmesinde yapılabilecek atlamaları bir
otomatik arayüz kontrolü açığa çıkartabilir; olası yükleme hatalarını tespit etmek için ise borçlu hesaplar
ile büyük defter hesapları arasında manuel bir mutabakat yeterli olur.
Belirli bir işletme riskini yönetmeye veya hafifletmeye yönelik kontrollerin yeterli olup olmadığının
değerlendirilebilmesi için öncelikle kilit kontrollerin tanımlanması gerekmektedir. Kilit kontroller işletme
hedeflerine ulaşmada karşılaşılabilecek başarısızlıkların ya önlenmesi ya da zamanında tespit edilmesini
sağlamak amacıyla baz alınan kontrollerdir.
12
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Tanımlanan kilit kontroller arasında aşağıdakiler sayılabilir:
• Manuel kontroller (örn. fiziksel envanter sayımı).
•
Tamamen otomatik kontroller (örn. büyük defter hesaplarının mutabakatı veya güncellenmesi). •
Bunların tersi olan manuel kontrolün uygulama işlevlerini temel alacağı kısmen otomatik veya karma
kontroller.8 Bu işlevlerde bulunan bir hatanın tespit edilememesi hâlinde, kontrol bütünüyle verimsiz olur.
Örneğin, mükerrer tahsilat kayıtlarını tespit etmesi gereken kilit kontrollere bir sistem raporunun gözden
geçirilmesi de dâhil olabilir. Kontrolün manuel kısmı ise raporun tam ve eksiksiz olmasını sağlayamaz.
Dolayısıyla, bu sistem raporu bir kilit rapor olarak denetimin kapsamına dâhil olur.
Bir işletme riski denetiminde manuel, tam otomatik ya da karma olmalarına bakılmaksızın tüm kilit kontroller –
uygun testler kullanılarak – değerlendirilmelidir.
Not: İşletme risklerinin denetimine riskleri hafifleten kontrollerin tamamının değil de bir kısmının (örn. BT
güvenliği ile ilgili olanların veya manuel olanların) dâhil edilmesi denetim raporunda açıkça belirtilmesi
gereken bir kapsam sınırlamasıdır.
Karma kontroller de dâhil kilit otomatik kontrollerin mevcut olması hâlinde, otomatik kontrollerin istikrarlı ve
uygun şekilde uygulanmasını güvence altına almak için gereken ITGC’lerin değerlendirilmesi ve test edilmesi
de düşünülmelidir.
Adım 3: Kilit işletme kontrolleri arasından temel alınan kritik BT fonksiyonlarını tanımla.
Temel alınan kritik BT fonksiyonları tam otomatik kontroller ve karma kontrollerden (bkz. Adım 2) ve diğer
kritik BT fonksiyonlarından oluşmaktadır.
Birçok uygulamada kurumun temel aldığı hesaplamalar yapılır ve başka işlemler yürütülür. 9 Bu işlemler
(prosedürler) teknik olarak kontrol değildirler. Ancak işlevlerde bir arıza veya aksaklık meydana gelmesi
hâlinde, kilit manuel veya otomatik kontroller bunları tespit edemeden kimi hatalar ortaya çıkabilir. İşletme
hedeflerine ulaşılmasını engelleyen sezilemeyen hataların bulunması durumunda, bu hataların kritik BT
fonksiyonları olarak denetim kapsamına alınmaları gerekir.
Adım 4: ITGC’lerin test edilmesini gerektiren önemli uygulamaları tanımla.
Önemli uygulamalar kritik BT işlevleri kararlaştırıldıktan sonra tanımlanabilirler. Bu önemli uygulamalar kritik
BT işlevlerini kapsadıklarından ötürü potansiyel bir ITGC süreci riski bulunan uygulamalardır. Önemli
uygulamaları tanımlamak için aşağıdaki yollar izlenmelidir:
A. Kritik BT işlevlerini uygulamaya göre seç. Bu yolla kritik işlevlerin bulunduğu uygulamaların bir listesi elde
edilir. Bu liste yalnızca bir sonraki adıma tâbi olan ve ITGC süreçlerindeki risklerin değerlendirileceği
önemli uygulamaların bir listesidir.
B. Kritik BT işlevlerinin mevcut olup olmadığına bakılarak önemli addedilmeyen uygulamalar için ek bir adım
daha mevcuttur: Doğrudan uygulama verilerinde yapılan bir yetkisiz değişikliğin işletme hedeflerine
ulaşılmasını engelleyen sezilemeyen bir hatanın doğmasına yol açıp açmadığının belirlenmesi. Eğer böyle
bir ihtimal varsa, uygulama bir önemli uygulama olarak addedilmelidir.
Duruma göre, hesaplamalarda ve diğer işlevlerde uygulamanın öncesinde elde edilen verilerin kullanıldığı
da unutulmamalıdır. Bu verilerde meydana gelen bir değişikliğin sezilemeyen bir hataya yol açabileceği
durumlarda, risk yalnızca bu verileri kullanan uygulamada değil, başka uygulamalarda da bulunabilir (örn.
verilerin elde edildiği uygulamada ve verilerin saklandığı, dolayısıyla da risk altında bulunan başka
herhangi bir uygulamada). Verilerde meydana gelen değişikliklerin uygulamanın kendisinde veya başka bir
yerde tespit edilememesi hâlinde, bu yukarı akım uygulamaların her biri önemli uygulamalar olarak görülür. C. Yalnızca önemli uygulamalarla devam et.
8 ISACA’nın Sarbanes-Oxley İçin BT Kontrol Hedefleri’nde, bu kontroller, BT’ye bağlı manuel kontroller veya karma kontroller olarak tanımlanmaktadır. 9 Kimi BT denetçileri bu hesaplamalar, büyük defterlerin güncellenmesi vb. için programlanmış işlemler veya programlanmış muhasebe işlemleri terimlerini kullanmaktadır.
13
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Adım 5: ITGC süreci risklerini ve ilgili kontrol hedeflerini tanımla.
GAIT-R, her önemli uygulama için, yığının her bir katmanında bulunan (örn. uygulama kodu,
veritabanı, işletim sistemi ve altyapı) her bir BT sürecini çekerek (örn. değişiklik yönetimi, işlemler ve
güvenlik) BT süreci risklerini ve ilgili kontrol hedeflerini tanımlar. Tablo 1’de kısmen tamamlanmış
bir GAIT-R matrisinin bir örneği görülmektedir. Matris oluşturmak bu adımda bahsi geçen sonuçları
elde etmek için mükemmel bir yoldur.
14
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Tablo 1. Kısmen tamamlanmış GAIT-R matrisi
Katman Değişiklik Yönetimi İşlemler Güvenlik
Uygulama Evet
Uygulama; çok sayıda kilit
otomatik kontrolün yanı sıra, kilit
önemi haiz rapor ve hesaplamalar
ve büyük defter hesaplarının
güncellenmesi de dahil başka
kritik işlevler içerir ve
uygulama kodu düzeyinde
değişiklik yönetimi süreçlerinde
aksaklıklar olması hâlinde, en
azından makul sınırlar içerisinde
uygulamanın işlevselliğinin bu
durumdan olumsuz etkilenmesi
ihtimali vardır.
Gözetilecek kontrol hedefleri
arasında aşağıdakiler
bulunmaktadır:
• Tüm program değişikliklerinin
uygulamaya konmadan önce
BT ve kullanıcı yönetimi
tarafından onaylanması
gerekmektedir.
• Program değişiklikleri uygun
şekilde test edilir ve değişiklikler
hayata geçirilmeden önce bu test
sonuçları onaylanır.
Evet
Uygulama, bu süreçteki kontrollere dayanan
birçok arayüz toplu işi içerir. Kontrol
hedefleri arasında aşağıdakiler
bulunmaktadır:
• İşlemlerin normal şekilde
tamamlanmasını sağlamak için toplu
işler izlenir; prosesle ilgili sorun teşkil
eden tüm durumlar rapor edilerek uygun
düzeltici eylemler uygulanır.
• Toplu işler, bu işlerin istenen şekilde
yürütülmesi konusunda güvence veren
bir otomatik zaman programına alınırlar.
Evet
Uygulama, belirli kişiler ve
fonksiyonlar/birimlerin işlem
yetkilerinin
sınırlandırılmasına dair
otomatik kontroller
içerdiğinden dolayı, kullanıcı
erişim kontrolleri uygundur.
Bu önemli kontrol hedefleri
arasında aşağıdakiler
bulunmaktadır:
• Her kullanıcının
sorumluluk alanına uygun
tanımlanmış iş rollerine
bağlı olarak erişim
sınırlanır.
• Çalışanlara ve taşeronlara
verilen erişim izni iş akdi
feshedildiği anda kaldırılır.
• Yalnızca yetkili kişilerin
ayrıcalıklı erişim iznine
sahip olduklarından emin
olmak için periyodik
incelemeler yapılır.
Veritabanı Değerlendirme tamamlanmamıştır.
İşletim Sistemi Hayır
İşletim sistemine kurulan acil
durum yamalarını da içeren
işletim sistemi değişikliklerinin
kritik BT işlevlerini aksatmaya
yol açacak düzeyde
etkilemedikleri düşünülmektedir.
Özellikle, uygunsuz değişiklikler
veya yeterli testler yapılmadan
uygulanan değişiklikler tüm
uygulamanın arızalanıp
aksamasına yol açacaklarından
anında fark edilirler.
Ağ Altyapısı Değerlendirme tamamlanmamıştır.
15
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Risk değerlendirmesinde aşağıdaki hususlar göz önünde bulundurulmalıdır:
• Bir BT süreci aksaklığının meydana gelme ihtimali ve bu aksaklığın potansiyel etkisi.
• BT sürecinin kritik BT işlevlerinde arıza ve aksaklığa yol açacak şekilde aksama ihtimali
nedir?
• Kritik işlevlerin hemen fark edilmeksizin aksaması ve bunun da işletme hedeflerine
ulaşamamakla sonuçlanması ihtimali en azından makul sınırlar içerisinde var mıdır?
1. Her önemli uygulama bakımından, BT altyapısındaki her katman için spesifik ITGC süreci risklerini
ve ilgili kontrol hedeflerini tanımla. Kısaca, GAIT-R matrisindeki her hücreye bakarak Tablo 2’de
gösterilen ilgili soruları cevapla.
2. Eksiksiz bir değerlendirme yapmak için gerektiğinde BT Yönetişim Enstitüsü Bilgi ve İlgili
Teknolojiler İçin Kontrol Hedefleri (COBIT) gibi ek ürünler kullan.
Tablo 2. GAIT-R matrisindeki her hücre için sorulacak sorular
Katman Değişiklik Yönetimi İşlemler Güvenlik
Uygulama Değişiklik
yönetiminde bir
aksamanın,
tanımlanan bir ya da
birden fazla kritik
işlevin etkisiz hâle
gelmesine neden
olacak şekilde kritik
işlevleri etkilemesi
ihtimali en azından
makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve
ilgili kontrol hedeflerini
tanımla.
Operasyonlarda bir
aksamanın, tanımlanan bir
ya da birden fazla kritik
işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en
azından makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve ilgili
kontrol hedeflerini tanımla.
Güvenlikte bir aksamanın,
tanımlanan bir ya da birden
fazla kritik işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en azından
makul ölçüler içerisinde var
mıdır?
Başka bir deyişle, güvenlikte
meydana gelen bir aksamanın bir
uygulamada (örn. başvuru çizelgesi
gibi) bulunan verilerde yetkisiz
değişikliğe yol açması ihtimali en
azından makul ölçüler içerisinde var
mıdır?
Eğer öyleyse, riskleri ve ilgili kontrol
hedeflerini tanımla.
Veritabanı Değişiklik
yönetiminde bir
aksamanın,
tanımlanan bir ya da
birden fazla kritik
işlevin etkisiz hâle
gelmesine neden
olacak şekilde kritik
işlevleri etkilemesi
ihtimali en azından
makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve
ilgili kontrol hedeflerini
tanımla.
Operasyonlarda bir
aksamanın, tanımlanan bir
ya da birden fazla kritik
işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en
azından makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve ilgili
kontrol hedeflerini tanımla.
Güvenlikte bir aksamanın,
tanımlanan bir ya da birden
fazla kritik işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en azından
makul ölçüler içerisinde var
mıdır?
Başka bir deyişle, güvenlikte
meydana gelen bir aksamanın bir
uygulamada (örn. başvuru çizelgesi
gibi) bulunan verilerde yetkisiz
değişikliğe yol açması ihtimali en
azından makul ölçüler içerisinde var
mıdır?
Eğer öyleyse, riskleri ve ilgili kontrol
hedeflerini tanımla.
16
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Katman Değişiklik Yönetimi İşlemler Güvenlik
İşletim Sistemi Değişiklik
yönetiminde bir
aksamanın,
tanımlanan bir ya da
birden fazla kritik
işlevin etkisiz hâle
gelmesine neden
olacak şekilde kritik
işlevleri etkilemesi
ihtimali en azından
makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve
ilgili kontrol hedeflerini
tanımla.
Operasyonlarda bir
aksamanın, tanımlanan bir
ya da birden fazla kritik
işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en
azından makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve ilgili
kontrol hedeflerini tanımla.
Güvenlikte bir aksamanın,
tanımlanan bir ya da birden
fazla kritik işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en azından
makul ölçüler içerisinde var
mıdır?
Eğer öyleyse, riskleri ve ilgili kontrol
hedeflerini tanımla.
Ağ Altyapısı Değişiklik
yönetiminde bir
aksamanın,
tanımlanan bir ya da
birden fazla kritik
işlevin etkisiz hâle
gelmesine neden
olacak şekilde kritik
işlevleri etkilemesi
ihtimali en azından
makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve
ilgili kontrol hedeflerini
tanımla.
Operasyonlarda bir
aksamanın, tanımlanan bir
ya da birden fazla kritik
işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en
azından makul ölçüler
içerisinde var mıdır?
Eğer öyleyse, riskleri ve ilgili
kontrol hedeflerini tanımla.
Güvenlikte bir aksamanın,
tanımlanan bir ya da birden
fazla kritik işlevin etkisiz hâle
gelmesine neden olacak
şekilde kritik işlevleri
etkilemesi ihtimali en azından
makul ölçüler içerisinde var
mıdır?
Eğer öyleyse, riskleri ve ilgili kontrol
hedeflerini tanımla.
Adım 6: Bir ITGC tanımlayarak bunun kontrol hedeflerine ulaşmayı sağlayıp sağlamadığını test et.
Tüm riskler ve ilgili BT kontrol hedefleri tanımlandıktan sonra bu risklere ve kontrol hedeflerine yönelik
yapılacak spesifik ITGC kilit kontrolleri belirlenebilir. Bu amaca yönelik olarak COBIT gibi çerçevelerden büyük
oranda yararlanılabilir.
Her ITGC kilit kontrolünün GAIT-R vasıtasıyla tanımlanan her bir spesifik BT kontrol hedefiyle, dolayısıyla da
risk altındaki kritik BT işlevlerinin doğru çalışmasıyla bağlantılı olması gerekmektedir.
17
5. Bölüm | GAIT-R Yukarıdan Aşağıya Metodolojisi İşletme ve BT Riskleri İçin GAIT
Adım 7: Tanımlanan tüm kilit kontrollerin makul bir gözle bütünsel bir incelemesini yap.
Yukarıda belirtildiği üzere, işletme risklerini yönetmek veya hafifletmek ve işletme hedeflerine ulaşılması
konusunda makul bir güvence vermek için gereken iç kontrol sistemine aşağıda sayılanların uygun bir
kombinasyonunu içeren bir dizi kilit kontrol dâhildir:
• Kurumsal düzeyde kontroller.
• Manuel kontroller.
• Otomatik kontroller – hem tam otomatik hem karma kontroller –.
• ITGC’ler.
Bu adımda, denetçinin biraz düşünüp daha önce tanımlanmış kontrolleri gözden geçirmesi ve bu kontrollerin
istenen düzeyde güvence sağladığından emin olması gerekmektedir. Denetçilerin ayrıca aksaklık veya arızaların
diğer kilit kontrollerle tespit edebileceği ya da onarılıp telafi edilebileceği durumlarda mükerrer veya gereksiz
kontroller bulunup bulunmadığını ve bunları eleyerek verimliliği artırıp artıramayacaklarını belirlemesi
gerekmektedir.
Adım 8: İncelemenin kapsamını belirle ve uygun bir tasarım ve verimlilik test programı oluştur.
GAIT-R, işletme hedeflerine ulaşma konusunda makul bir güvence verilmesi için gereken kilit kontrolleri
tanımlamada denetçilere yardımcı olur. Daha sonra denetçiler ne tür bir denetim veya inceleme yapacaklarına
karar verebilirler:
• Tüm risklere yönelik tam ve eksiksiz bir işletme denetimi – kimileri bunu bir entegre denetim olarak
görebilir –.
• Denetçi değerlendirmeyi tek bir proje kapsamında mı yoksa farklı zamanlarda uygulanabilecek birden
fazla projeye bölerek mi yapmak istediğine karar vermelidir.
• Değerlendirmenin birden fazla projeye bölünerek yürütülmesi hâlinde, denetçinin konsolide
değerlendirmenin nasıl yapılıp rapor edileceğinin yanı sıra münferit projelerin sonuçlarının nasıl
değerlendirilip rapor edileceğini de belirlemesi gerekmektedir.
• Kapsam bakımından yalnızca seçilmiş kilit kontrollerle sınırlandırılmış bir denetim.
• Sınırlı kapsamın hem işe başlamadan önce hem de denetim raporunda açık ve net tanımlanması ve
beyan edilmesi gerekmektedir.
• Tüm ilgili kontrollerin etkililiğini kavramadan ve tüm yetersizliklerin etkisinin değerlendirilmemiş
diğer kilit kontrollerle hafifletilip hafifletilemeyeceğini anlamadan tüm kontrol yetersizliklerini
değerlendirmenin daha zor olabileceği unutulmamalıdır.
• Bir güvence projesinden ziyade, iç kontrol sisteminin etkinliğini artırarak ona değer katmaya yönelik
bir danışma görevi projesi.
18
6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT
6. RİSK YÖNETİMİNE İLİŞKİN VARILAN SONUÇLAR
Giriş bölümünde de belirtildiği üzere, GAIT-R Metodolojisi öncelikli olarak iç denetim uygulayıcıları için
geliştirilmiştir. Ancak, kontrollerin risk yönetim prosesinin yalnızca bir parçası olduğu hesaba katılmadan yapılan
risklere ilişkin bir tartışmanın tamlığından ve eksiksizliğinden söz edilemez.
COSO10 İşletme Riski Yönetimi (ERM) çerçevesinin aşağıda gösterildiği üzere birbirleriyle bağlantılı sekiz
bileşeni bulunmaktadır.
Şekil 2. COSO’nun ERM çerçevesi
GAIT-R, aşağıda sayılan bileşenler kapsamında gerçekleştirilen faaliyetlerin bir sonucu olarak, BT’ye bağlı
kontrol faaliyetlerinin kurumsal hedeflerle ilişkilendirilmesi için bir çerçeve sunmaktadır:
• Olay Tanımlama; stratejiyi ve amaçlara ulaşılmasını etkileyebilecek olayların belirlenmesini
kapsar.
• Risk değerlendirme; potansiyel olayların hedefleri ne derece etkileyebileceğinin anlaşılmasını
kapsar.
Risk cevabı bileşeni, risklere verilecek olası yanıt ve karşılıkların tanımlanması ve değerlendirilmesini kapsar.
Bu yanıtlar arasında riskten kaçınma, riski azaltma, risk paylaşımı ve riski kabul etme sayılabilir. Risk cevabı
GAIT-R’nin kapsamı dışında kalan bir yönetim sorumluluğudur ve bir denetim sırasında, kilit kontrol
faaliyetlerinin (yani risk karşılıklarının/yanıtlarının uygun şekilde işlemesini sağlamaya yardımcı olan politika ve
prosedürlerin) tanımlanmasına daha fazla odaklanır.
10 COSO ERM çerçevesi hakkında bilgi edinmek için www.coso.org web adresini ziyaret ediniz.
19
6. Bölüm | Varılan Sonuçlar İşletme ve BT Riskleri İçin GAIT
COSO ERM çerçevesi aşağıdaki hususları belirtmektedir.
“Bilişim sistemlerini temel almak giderek yaygınlaştığından ötürü önemli sistemlerde kontroller yapılması
gerekmektedir. Bu amaçla iki büyük bilişim sistemleri kontrol faaliyetleri grubu kullanılabilir. Bunlardan
ilki tümünde olmasa da birçok uygulama sisteminde uygulanan ve bu sistemlerin devamlı ve doğru
çalışmasını sağlayan genel kontrollerdir. İkincisi ise teknoloji uygulama faaliyetlerini kontrol emek için
kullanılan uygulama yazılımındaki bilgisayar destekli adımları kapsayan uygulama kontrolleridir.
Gerektiğinde diğer manüel süreç kontrolleriyle kombine edilen bu kontroller bilginin tamlığı, doğruluğu ve
geçerliliğini sağlarlar.”
GAIT-R’nin risk yönetim profesyonelleri için değeri, BT’nin işletme riskinin yönetilmesi ve hafifletilmesi için ve
yukarıda tartışıldığı üzere doğru ya da tam olmayabilecek bir geniş kapsamlı yaklaşımdan ziyade bir yukarıdan
aşağıya yaklaşım kullanarak kurumsal hedeflere ulaşılması için gereken spesifik özelliklerinin tanımlanmasını
sağlamasıdır.
Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, USA. All Rights reserved.
Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte Springs,
Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi
onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası,
IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya
herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı
bir yöntemle çoğaltılamaz.